Uruchomienie nowa wersja Nebula 1.5, która jest pozycjonowana jako zbiór narzędzi do budowania bezpiecznych sieci nakładkowych Mogą łączyć od kilku do kilkudziesięciu tysięcy geograficznie odseparowanych hostów, tworząc osobną, wyizolowaną sieć na szczycie sieci globalnej.
Projekt ma na celu tworzenie własnych sieci nakładkowych na dowolne potrzeby, na przykład łączenie komputerów firmowych w różnych biurach, serwerów w różnych centrach danych, czy środowisk wirtualnych od różnych dostawców chmury.
O Mgławicy
Węzły sieci Nebula komunikują się ze sobą bezpośrednio w trybie P2P, ponieważ potrzeba przesyłania danych między węzłamis dynamicznie tworzy bezpośrednie połączenia VPN. Tożsamość każdego hosta w sieci jest potwierdzana certyfikatem cyfrowym, a połączenie z siecią wymaga uwierzytelnienia; każdy użytkownik otrzymuje certyfikat potwierdzający adres IP w sieci Nebula, nazwę i przynależność do grup hostów.
Certyfikaty są podpisywane przez wewnętrzny urząd certyfikacji, implementowane przez twórcę każdej indywidualnej sieci we własnych obiektach i wykorzystywane do poświadczania uprawnień hostów, które mają prawo do łączenia się z określoną siecią nakładkową połączoną z urzędem certyfikacji.
Aby stworzyć uwierzytelniony, bezpieczny kanał komunikacji, Nebula używa własnego protokołu tunelowania opartego na protokole wymiany kluczy Diffie-Hellman i szyfrowaniu AES-256-GCM. Implementacja protokołu opiera się na gotowych do użycia i przetestowanych prymitywach dostarczonych przez framework Noise, który jest również używane w projektach takich jak WireGuard, Lightning i I2P. Mówi się, że projekt przeszedł niezależny audyt bezpieczeństwa.
Aby wykryć inne węzły i koordynować połączenie z siecią, tworzone są węzły „beaconowe” promocje, których globalne adresy IP są stałe i znane uczestnikom sieci. Uczestniczące węzły nie mają łącza do zewnętrznego adresu IP, są identyfikowane przez certyfikaty. Właściciele hostów nie mogą wprowadzać zmian w certyfikatach z podpisem własnym iw przeciwieństwie do tradycyjnych sieci IP, nie mogą udawać innego hosta, po prostu zmieniając adres IP. Po utworzeniu tunelu tożsamość hosta jest sprawdzana na podstawie indywidualnego klucza prywatnego.
Utworzonej sieci przypisywany jest określony zakres adresów intranetowych (na przykład 192.168.10.0/24) i adresy wewnętrzne są powiązane z certyfikatami hosta. Grupy mogą być tworzone od uczestników sieci nakładkowej, na przykład do oddzielnych serwerów i stacji roboczych, do których stosowane są odrębne reguły filtrowania ruchu. Dostępne są różne mechanizmy przechodzenia przez translatory adresów (NAT) i zapory sieciowe. Możliwe jest zorganizowanie routingu przez sieć nakładkową ruchu z hostów innych firm, które nie są zawarte w sieci Nebula (trasa niezabezpieczona).
Oprócz, obsługuje tworzenie zapór sieciowych w celu oddzielenia dostępu i filtrowania ruchu między węzłami nakładki sieci Nebula. Do filtrowania używane są listy ACL powiązane ze znacznikami. Każdy host w sieci może zdefiniować własne reguły filtrowania hostów sieciowych, grup, protokołów i portów. Jednocześnie hosty nie są filtrowane według adresów IP, ale według cyfrowo podpisanych identyfikatorów hostów, których nie można sfałszować bez narażania centrum certyfikacji koordynującego sieć.
Kod jest napisany w Go i jest licencjonowany przez MIT. Projekt został założony przez firmę Slack, która rozwija komunikatora korporacyjnego o tej samej nazwie. Obsługuje systemy Linux, FreeBSD, macOS, Windows, iOS i Android.
W sprawie zmiany, które zostały wprowadzone w nowej wersji Są one następujące:
- Dodano flagę „-raw” do polecenia print-cert, aby wydrukować reprezentację certyfikatu PEM.
- Dodano wsparcie dla nowej architektury Linux riscv64.
- Dodano eksperymentalne ustawienie remote_allow_ranges, aby powiązać listy dozwolonych hostów z określonymi podsieciami.
- Dodano opcję pki.disconnect_invalid do resetowania tuneli po zakończeniu zaufania lub wygaśnięciu certyfikatu.
- Dodano opcję unsafe_routes. .metric, aby ustawić wagę dla określonej ścieżki zewnętrznej.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się z jego szczegółami i / lub dokumentacja w poniższym linku.