Miglājs, tīkla rīks drošu pārklājuma tīklu veidošanai

Programmas palaišana jaunā versija Nebula 1.5, kas ir novietots kā rīku kolekcija, lai izveidotu drošus pārklājuma tīklus Tie var izveidot savienojumu no vairākiem līdz desmitiem tūkstošu ģeogrāfiski atdalītu saimniekdatoru, veidojot atsevišķu izolētu tīklu globālā tīkla augšpusē.

Projekts ir paredzēts, lai izveidotu savus pārklājuma tīklus jebkurai nepieciešamībai, piemēram, lai apvienotu korporatīvos datorus dažādos birojos, serverus dažādos datu centros vai virtuālās vides no dažādiem mākoņa pakalpojumu sniedzējiem.

Par miglāju

Nebula tīkla mezgli tieši sazinās viens ar otru P2P režīmā, jo nepieciešamība pārsūtīt datus starp mezgliems dinamiski izveido tiešus VPN savienojumus. Katra tīkla resursdatora identitāti apstiprina digitālais sertifikāts, un savienojumam ar tīklu nepieciešama autentifikācija; katrs lietotājs saņem sertifikātu, kas apstiprina IP adresi Nebula tīklā, nosaukumu un piederību resursdatora grupām.

Sertifikātus paraksta iekšējā sertifikācijas iestāde, ko ievieš katra atsevišķā tīkla veidotājs savās telpās, un tos izmanto, lai sertificētu to resursdatoru pilnvaras, kuriem ir tiesības izveidot savienojumu ar noteiktu pārklājuma tīklu, kas saistīts ar sertifikātu iestādi.

Lai izveidotu autentificētu drošu saziņas kanālu, Nebula izmanto savu tunelēšanas protokolu, kura pamatā ir Difija-Helmena atslēgu apmaiņas protokols un AES-256-GCM šifrēšana. Protokola ieviešana balstās uz lietošanai gataviem un pārbaudītiem primitīviem, ko nodrošina Noise framework, kas ir arī izmanto tādos projektos kā WireGuard, Lightning un I2P. Tiek ziņots, ka projekts ir izturējis neatkarīgu drošības auditu.

Lai atklātu citus mezglus un koordinētu savienojumu ar tīklu, tiek izveidoti "bākas" mezgli īpašie piedāvājumi, kuru globālās IP adreses ir fiksētas un zināmas tīkla dalībniekiem. Iesaistītajiem mezgliem nav saites uz ārēju IP adresi, tos identificē ar sertifikātiem. Saimniekdatora īpašnieki nevar veikt izmaiņas pašparakstītos sertifikātos, un atšķirībā no tradicionālajiem IP tīkliem viņi nevar izlikties par citu resursdatoru, vienkārši mainot IP adresi. Kad tiek izveidots tunelis, resursdatora identitāte tiek pārbaudīta pret individuālu privāto atslēgu.

Izveidotajam tīklam tiek piešķirts noteikts iekštīkla adrešu diapazons (piemēram, 192.168.10.0/24) un iekšējās adreses ir saistītas ar resursdatora sertifikātiem. Grupas var veidot no pārklājuma tīkla dalībniekiem, piemēram, uz atsevišķiem serveriem un darbstacijām, kurām tiek piemēroti atsevišķi trafika filtrēšanas noteikumi. Adrešu tulkotāju (NAT) un ugunsmūru šķērsošanai ir paredzēti dažādi mehānismi. Ir iespējams organizēt maršrutēšanu, izmantojot trafika pārklājuma tīklu no trešo pušu resursdatoriem, kas nav iekļauti miglāja tīklā (nedrošs maršruts).

Arī atbalsta ugunsmūru izveidi, lai atdalītu piekļuvi un filtrētu trafiku starp pārklājošā miglāja tīkla mezgliem. Filtrēšanai tiek izmantoti ar tagiem saistīti ACL. Katrs tīkla resursdators var definēt savus filtra noteikumus tīkla saimniekiem, grupām, protokoliem un portiem. Tajā pašā laikā resursdatori tiek filtrēti nevis pēc IP adresēm, bet gan pēc ciparparakstiem resursdatora identifikatoriem, kurus nevar viltot, neapdraudot sertifikācijas centru, kas koordinē tīklu.

Kods ir rakstīts Go un ir licencēts MIT. Projektu nodibināja Slack, kas izstrādā tāda paša nosaukuma korporatīvo kurjeru. Tā atbalsta Linux, FreeBSD, macOS, Windows, iOS un Android.

Attiecībā uz izmaiņas, kas tika ieviestas jaunajā versijā Tie ir šādi:

  • Komandai print-cert ir pievienots karodziņš "-raw", lai izdrukātu sertifikāta PEM attēlojumu.
  • Pievienots atbalsts jaunajai Linux riscv64 arhitektūrai.
  • Pievienots eksperimentāls remote_allow_ranges iestatījums, lai saistītu atļautos saimniekdatoru sarakstus ar noteiktiem apakštīkliem.
  • Pievienota opcija pki.disconnect_invalid, lai atiestatītu tuneļus pēc uzticamības pārtraukšanas vai sertifikāta derīguma termiņa beigām.
  • Pievienota opcija unsafe_routes. .metric, lai iestatītu svaru konkrētam ārējam ceļam.

Visbeidzot, ja vēlaties uzzināt vairāk par to, varat iepazīties ar tā detaļām un/vai dokumentāciju nākamajā saitē.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta.

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.