Lanseringen av den nya versionen av Nebula 1.5 som är placerad som en samling verktyg för att bygga säkra överlagringsnätverk De kan länka från flera till tiotusentals geografiskt åtskilda värdar och bilda ett separat isolerat nätverk ovanpå det globala nätverket.
Projektet är designat för att skapa egna överläggsnätverk för alla behov, till exempel att kombinera företagsdatorer på olika kontor, servrar i olika datacenter eller virtuella miljöer från olika molnleverantörer.
Om Nebula
Noderna i Nebula-nätverket kommunicerar direkt med varandra i P2P-läge, eftersom behovet av att överföra data mellan noders skapar direkta VPN-anslutningar dynamiskt. Identiteten för varje värd i nätverket bekräftas av ett digitalt certifikat, och anslutning till nätverket kräver autentisering; varje användare får ett certifikat som bekräftar IP-adressen i Nebula-nätverket, namnet och medlemskapet i värdgrupperna.
Certifikaten signeras av en intern certifikatutfärdare, implementeras av skaparen av varje enskilt nätverk på sina egna anläggningar och används för att certifiera auktoriteten för värdar som har rätt att ansluta till ett specifikt överlagringsnätverk kopplat till certifikatutfärdaren.
För att skapa en autentiserad säker kommunikationskanal, Nebula använder sitt eget tunnlingsprotokoll baserat på Diffie-Hellman-nyckelutbytesprotokollet och AES-256-GCM-kryptering. Implementeringen av protokollet är baserat på färdiga att använda och testade primitiver som tillhandahålls av Noise-ramverket, som också är används i projekt som WireGuard, Lightning och I2P. Projektet sägs ha klarat en oberoende säkerhetsrevision.
För att upptäcka andra noder och koordinera anslutningen till nätverket skapas "beacon"-noder specialerbjudanden, vars globala IP-adresser är fasta och kända för nätverksdeltagare. De deltagande noderna har ingen länk till en extern IP-adress, de identifieras av certifikat. Värdägare kan inte göra ändringar i självsignerade certifikat, och till skillnad från traditionella IP-nätverk kan de inte låtsas vara en annan värd bara genom att ändra IP-adressen. När en tunnel skapas valideras värdens identitet mot en individuell privat nyckel.
Det skapade nätverket tilldelas ett visst antal intranätadresser (till exempel 192.168.10.0/24) och interna adresser är bundna med värdcertifikat. Grupper kan bildas från deltagare i överlagringsnätverket, till exempel till separata servrar och arbetsstationer, på vilka separata trafikfiltreringsregler tillämpas. Olika mekanismer tillhandahålls för att korsa adressöversättare (NAT) och brandväggar. Det är möjligt att organisera routing genom överlagringsnätverket av trafik från tredjepartsvärdar som inte ingår i Nebula-nätverket (osäker rutt).
Dessutom, stöder skapandet av brandväggar för att separera åtkomst och filtrera trafik mellan noderna i det överliggande Nebula-nätverket. Taggbundna ACL:er används för filtrering. Varje värd i nätverket kan definiera sina egna filterregler för nätverksvärdar, grupper, protokoll och portar. Samtidigt filtreras inte värdar av IP-adresser, utan av digitalt signerade värdidentifierare, som inte kan förfalskas utan att äventyra certifieringscentret som koordinerar nätverket.
Koden är skriven i Go och är licensierad av MIT. Projektet grundades av Slack, som utvecklar företagets budbärare med samma namn. Den stöder Linux, FreeBSD, macOS, Windows, iOS och Android.
Beträffande ändringarna som implementerades i den nya versionen är:
- Lade till "-rå"-flaggan till kommandot print-cert för att skriva ut PEM-representationen av certifikatet.
- Lade till stöd för den nya Linux riscv64-arkitekturen.
- Lade till experimentell remote_allow_ranges-inställning för att binda tillåtna värdlistor till specifika undernät.
- Lade till alternativet pki.disconnect_invalid för att återställa tunnlar efter förtroendeavslutning eller certifikat utgång.
- Lade till alternativet för osäkra_rutter. .metrisk för att ställa in vikten för en specifik extern väg.
Slutligen, om du är intresserad av att kunna veta mer om det, kan du konsultera dess detaljer och/eller dokumentation i följande länk.