Запуск новая версия Nebula 1.5, которая позиционируется как набор инструментов для построения защищенных оверлейных сетей. Они могут связывать от нескольких до десятков тысяч географически разделенных хостов, образуя отдельную изолированную сеть поверх глобальной сети.
Проект предназначен для создания собственных оверлейных сетей для любых нужд, например, для объединения корпоративных компьютеров в разных офисах, серверов в разных дата-центрах или виртуальных сред от разных облачных провайдеров.
О туманности
Узлы сети Nebula общаются друг с другом напрямую в режиме P2P, поскольку необходимость передачи данных между узламиs динамически создает прямые VPN-соединения. Идентичность каждого хоста в сети подтверждается цифровым сертификатом, а для подключения к сети требуется аутентификация; каждый пользователь получает сертификат, подтверждающий IP-адрес в сети Nebula, имя и членство в группах хостов.
Сертификаты подписываются внутренним центром сертификации, внедряются создателем каждой отдельной сети на своих собственных объектах и используются для сертификации центров сертификации хостов, которые имеют право подключаться к определенной оверлейной сети, связанной с центром сертификации.
Чтобы создать защищенный канал связи с проверкой подлинности, Nebula использует собственный протокол туннелирования, основанный на протоколе обмена ключами Диффи-Хеллмана и шифровании AES-256-GCM. Реализация протокола основана на готовых к использованию и протестированных примитивах, предоставляемых фреймворком Noise, который также является используется в таких проектах, как WireGuard, Lightning и I2P. Сообщается, что проект прошел независимый аудит безопасности.
Для обнаружения других узлов и координации подключения к сети создаются узлы-маяки. специальные предложения, чьи глобальные IP-адреса фиксированы и известны участникам сети. У участвующих узлов нет ссылки на внешний IP-адрес, они идентифицируются сертификатами. Владельцы хостов не могут вносить изменения в самозаверяющие сертификаты, и, в отличие от традиционных IP-сетей, они не могут выдавать себя за другой хост, просто изменив IP-адрес. При создании туннеля идентификация хоста проверяется индивидуальным закрытым ключом.
Созданной сети назначается определенный диапазон адресов интрасети. (например, 192.168.10.0/24) и внутренние адреса связаны с сертификатами хоста. Группы могут формироваться из участников оверлейной сети, например, для разделения серверов и рабочих станций, к которым применяются отдельные правила фильтрации трафика. Предусмотрены различные механизмы для обхода трансляторов адресов (NAT) и межсетевых экранов. Возможна организация маршрутизации через оверлейную сеть трафика от сторонних хостов, не входящих в сеть Nebula (небезопасный маршрут).
Кроме того, поддерживает создание межсетевых экранов для разделения доступа и фильтрации трафика между узлами наложенной сети Nebula. ACL с привязкой к тегу используются для фильтрации. Каждый хост в сети может определять свои собственные правила фильтрации для сетевых хостов, групп, протоколов и портов. В то же время хосты фильтруются не по IP-адресам, а по идентификаторам хостов с цифровой подписью, которые невозможно подделать без ущерба для центра сертификации, координирующего работу сети.
Код написан на Go и лицензирован MIT. Основателем проекта является компания Slack, которая занимается разработкой одноименного корпоративного мессенджера. Он поддерживает Linux, FreeBSD, macOS, Windows, iOS и Android.
О изменения, которые были реализованы в новой версии Они заключаются в следующем:
- Добавлен флаг «-raw» в команду print-cert для печати представления сертификата в формате PEM.
- Добавлена поддержка новой архитектуры riscv64 Linux.
- Добавлен экспериментальный параметр remote_allow_ranges для привязки разрешенных списков хостов к определенным подсетям.
- Добавлена опция pki.disconnect_invalid для сброса туннелей после прекращения доверия или истечения срока действия сертификата.
- Добавлена опция unsafe_routes. .metric, чтобы установить вес для определенного внешнего пути.
Наконец, если вы хотите узнать о нем больше, вы можете ознакомиться с его подробностями и / или документация по следующей ссылке.