De lancering van de nieuwe versie van Nebula 1.5 die is gepositioneerd als een verzameling tools om veilige overlay-netwerken te bouwen Ze kunnen meerdere tot tienduizenden geografisch gescheiden hosts verbinden en een afzonderlijk geïsoleerd netwerk vormen bovenop het wereldwijde netwerk.
Het project is ontworpen om uw eigen overlay-netwerken te creëren voor elke behoefte, bijvoorbeeld om bedrijfscomputers in verschillende kantoren, servers in verschillende datacenters of virtuele omgevingen van verschillende cloudproviders te combineren.
Over Nevel
De knooppunten van het Nebula-netwerk communiceren rechtstreeks met elkaar in P2P-modus, omdat de noodzaak om gegevens tussen knooppunten over te dragens maakt dynamisch directe VPN-verbindingen. De identiteit van elke host op het netwerk wordt bevestigd door een digitaal certificaat en verbinding met het netwerk vereist authenticatie; elke gebruiker ontvangt een certificaat dat het IP-adres in het Nebula-netwerk, de naam en het lidmaatschap van de hostgroepen bevestigt.
Certificaten worden ondertekend door een interne certificeringsinstantie, geïmplementeerd door de maker van elk afzonderlijk netwerk in hun eigen faciliteiten, en gebruikt om de autoriteit te certificeren van hosts die het recht hebben om verbinding te maken met een specifiek overlay-netwerk dat is gekoppeld aan de certificeringsinstantie.
Om een geverifieerd beveiligd communicatiekanaal te creëren, Nebula gebruikt zijn eigen tunnelingprotocol op basis van het Diffie-Hellman-sleuteluitwisselingsprotocol en AES-256-GCM-codering. De implementatie van het protocol is gebaseerd op kant-en-klare en geteste primitieven die worden geleverd door het Noise-framework, dat ook gebruikt in projecten als WireGuard, Lightning en I2P. Het project zou een onafhankelijke veiligheidsaudit hebben doorstaan.
Om andere knooppunten te ontdekken en de verbinding met het netwerk te coördineren, worden "baken" -knooppunten gemaakt specials, waarvan de globale IP-adressen vast en bekend zijn bij netwerkdeelnemers. De deelnemende nodes hebben geen link naar een extern IP-adres, ze worden geïdentificeerd door certificaten. Host-eigenaren kunnen zelf geen wijzigingen aanbrengen in ondertekende certificaten, en in tegenstelling tot traditionele IP-netwerken, kunnen ze zich niet voordoen als een andere host door simpelweg het IP-adres te wijzigen. Wanneer een tunnel wordt gemaakt, wordt de identiteit van de host gevalideerd aan de hand van een individuele persoonlijke sleutel.
Het aangemaakte netwerk krijgt een bepaalde reeks intranetadressen toegewezen (bijvoorbeeld 192.168.10.0/24) en interne adressen zijn gekoppeld aan hostcertificaten. Er kunnen groepen worden gevormd van deelnemers in het overlay-netwerk, bijvoorbeeld naar gescheiden servers en werkstations, waarop aparte regels voor verkeersfiltering worden toegepast. Er zijn verschillende mechanismen voorzien voor het doorkruisen van adresvertalers (NAT) en firewalls. Het is mogelijk om routering te organiseren via het overlay-netwerk van verkeer van externe hosts die niet zijn opgenomen in het Nebula-netwerk (onveilige route).
Bovendien, ondersteunt het maken van firewalls om toegang te scheiden en verkeer te filteren tussen de knooppunten van het overlay Nebula-netwerk. Tag-gebonden ACL's worden gebruikt voor filtering. Elke host op het netwerk kan zijn eigen filterregels definiëren voor netwerkhosts, groepen, protocollen en poorten. Tegelijkertijd worden hosts niet gefilterd op IP-adressen, maar op digitaal ondertekende host-ID's, die niet kunnen worden vervalst zonder het certificeringscentrum dat het netwerk coördineert in gevaar te brengen.
De code is geschreven in Go en heeft een licentie van MIT. Het project is opgericht door Slack, dat de gelijknamige zakelijke messenger ontwikkelt. Het ondersteunt Linux, FreeBSD, macOS, Windows, iOS en Android.
Wat betreft de de wijzigingen die zijn doorgevoerd in de nieuwe versie zijn de volgende:
- De vlag "-raw" toegevoegd aan de opdracht print-cert om de PEM-representatie van het certificaat af te drukken.
- Ondersteuning toegevoegd voor de nieuwe Linux riscv64-architectuur.
- Experimentele remote_allow_ranges-instelling toegevoegd om toegestane hostlijsten aan specifieke subnetten te binden.
- Optie pki.disconnect_invalid toegevoegd om tunnels opnieuw in te stellen na beëindiging van het vertrouwen of het verlopen van het certificaat.
- Optie onveilige_routes toegevoegd. .metric om het gewicht voor een specifiek extern pad in te stellen.
Tot slot, als u geïnteresseerd bent om er meer over te weten, kunt u de details ervan raadplegen en/of documentatie in de volgende link:.