O lançamento de a nova versão de Nebula 1.5, que é posicionada como uma coleção de ferramentas para construir redes de sobreposição seguras Eles podem se conectar de vários a dezenas de milhares de hosts separados geograficamente, formando uma rede isolada separada no topo da rede global.
O projeto foi desenvolvido para criar suas próprias redes de sobreposição para qualquer necessidade, por exemplo, combinar computadores corporativos em diferentes escritórios, servidores em diferentes data centers ou ambientes virtuais de diferentes provedores de nuvem.
Sobre a Nebulosa
Os nós da rede nebulosa se comunicam diretamente uns com os outros no modo P2P, uma vez que a necessidade de transferir dados entre os nóss cria conexões VPN diretas dinamicamente. A identidade de cada host na rede é confirmada por um certificado digital e a conexão com a rede requer autenticação; cada usuário recebe um certificado que confirma o endereço IP na rede Nebula, o nome e a participação nos grupos de hosts.
Os certificados são assinados por uma autoridade de certificação interna, implementados pelo criador de cada rede individual em suas próprias instalações e usados para certificar a autoridade de hosts que têm o direito de se conectar a uma rede overlay específica vinculada à autoridade de certificação.
Para criar um canal de comunicação seguro autenticado, O Nebula usa seu próprio protocolo de túnel baseado no protocolo de troca de chaves Diffie-Hellman e criptografia AES-256-GCM. A implementação do protocolo é baseada em primitivas prontas para uso e testadas fornecidas pela estrutura Noise, que também é usado em projetos como WireGuard, Lightning e I2P. O projeto foi aprovado em uma auditoria de segurança independente.
Para descobrir outros nós e coordenar a conexão com a rede, nós "beacon" são criados especiais, cujos endereços IP globais são fixos e conhecidos pelos participantes da rede. Os nós participantes não têm um link para um endereço IP externo, eles são identificados por certificados. Os proprietários do host não podem fazer alterações em certificados autoassinados e, ao contrário das redes IP tradicionais, eles não podem fingir ser outro host simplesmente alterando o endereço IP. Quando um túnel é criado, a identidade do host é validada em relação a uma chave privada individual.
A rede criada é atribuída a um certo intervalo de endereços de intranet (por exemplo, 192.168.10.0/24) e os endereços internos são vinculados a certificados de host. Os grupos podem ser formados a partir de participantes na rede de sobreposição, por exemplo, para separar servidores e estações de trabalho, aos quais são aplicadas regras de filtragem de tráfego separadas. Vários mecanismos são fornecidos para atravessar tradutores de endereço (NAT) e firewalls. É possível organizar o roteamento através da rede de sobreposição de tráfego de hosts de terceiros que não estão incluídos na rede Nebula (rota insegura).
Além disso, suporta a criação de Firewalls para separar o acesso e filtrar o tráfego entre os nós da rede de nebulosa sobreposta. ACLs vinculados a tag são usados para filtragem. Cada host na rede pode definir suas próprias regras de filtro para hosts, grupos, protocolos e portas da rede. Ao mesmo tempo, os hosts não são filtrados por endereços IP, mas por identificadores de host assinados digitalmente, que não podem ser forjados sem comprometer o centro de certificação que coordena a rede.
O código é escrito em Go e licenciado pelo MIT. O projeto foi fundado pela Slack, que desenvolve o mensageiro corporativo de mesmo nome. Suporta Linux, FreeBSD, macOS, Windows, iOS e Android.
Em relação a as mudanças que foram implementadas na nova versão são os seguintes:
- Adicionado o sinalizador "-raw" ao comando print-cert para imprimir a representação PEM do certificado.
- Adicionado suporte para a nova arquitetura Linux riscv64.
- Adicionada configuração experimental remote_allow_ranges para vincular listas de hosts permitidos a sub-redes específicas.
- Adicionada a opção pki.disconnect_invalid para redefinir os túneis após o término da confiança ou expiração do certificado.
- Adicionada opção unsafe_routes. .metric para definir o peso para um caminho externo específico.
Por fim, se você tiver interesse em saber mais sobre o assunto, pode consultar seus detalhes e / ou documentação no seguinte link.