การเปิดตัว เวอร์ชันใหม่ของ Nebula 1.5 ซึ่งจัดวางเป็นชุดเครื่องมือสำหรับสร้างเครือข่ายโอเวอร์เลย์ที่ปลอดภัย พวกเขาสามารถเชื่อมโยงจากหลายหมื่นโฮสต์ที่แยกตามภูมิศาสตร์ สร้างเครือข่ายที่แยกจากกันบนเครือข่ายทั่วโลก
โปรเจ็กต์นี้ออกแบบมาเพื่อสร้างเครือข่ายโอเวอร์เลย์ของคุณเองสำหรับทุกความต้องการ เช่น เพื่อรวมคอมพิวเตอร์ขององค์กรในสำนักงานต่างๆ เซิร์ฟเวอร์ในศูนย์ข้อมูลต่างๆ หรือสภาพแวดล้อมเสมือนจริงจากผู้ให้บริการคลาวด์ต่างๆ
เกี่ยวกับเนบิวลา
โหนดของเครือข่ายเนบิวลาสื่อสารกันโดยตรงในโหมด P2P เนื่องจากความจำเป็นในการถ่ายโอนข้อมูลระหว่างโหนดs สร้างการเชื่อมต่อ VPN โดยตรงแบบไดนามิก ข้อมูลประจำตัวของแต่ละโฮสต์บนเครือข่ายได้รับการยืนยันโดยใบรับรองดิจิทัล และการเชื่อมต่อกับเครือข่ายต้องมีการตรวจสอบสิทธิ์ ผู้ใช้แต่ละคนจะได้รับใบรับรองยืนยันที่อยู่ IP ในเครือข่ายเนบิวลา ชื่อ และการเป็นสมาชิกของกลุ่มโฮสต์
ใบรับรองมีการลงนามโดยผู้ออกใบรับรองภายใน ดำเนินการโดยผู้สร้างแต่ละเครือข่ายในสถานที่ของตนเอง และใช้เพื่อรับรองสิทธิ์ของโฮสต์ที่มีสิทธิ์เชื่อมต่อกับเครือข่ายโอเวอร์เลย์เฉพาะที่เชื่อมโยงกับผู้ออกใบรับรอง
เพื่อสร้างช่องทางการสื่อสารที่ปลอดภัยที่รับรองความถูกต้อง Nebula ใช้โปรโตคอล tunneling ของตัวเองตามโปรโตคอลการแลกเปลี่ยนคีย์ Diffie-Hellman และการเข้ารหัส AES-256-GCM การนำโปรโตคอลไปใช้นั้นขึ้นอยู่กับพื้นฐานที่พร้อมใช้งานและทดสอบแล้วซึ่งจัดทำโดยกรอบงานเสียงรบกวนซึ่งก็คือ ใช้ในโครงการเช่น WireGuard, Lightning และ I2P โครงการดังกล่าวได้ผ่านการตรวจสอบความปลอดภัยอิสระแล้ว
หากต้องการค้นหาโหนดอื่นและประสานการเชื่อมต่อกับเครือข่าย โหนด "บีคอน" จะถูกสร้างขึ้น พิเศษ ซึ่งมีที่อยู่ IP ทั่วโลกได้รับการแก้ไขและผู้เข้าร่วมเครือข่ายรู้จัก โหนดที่เข้าร่วมไม่มีลิงก์ไปยังที่อยู่ IP ภายนอก โดยจะถูกระบุโดยใบรับรอง เจ้าของโฮสต์ไม่สามารถเปลี่ยนแปลงใบรับรองที่ลงนามเองได้ และต่างจากเครือข่าย IP แบบเดิม พวกเขาไม่สามารถหลอกว่าเป็นโฮสต์อื่นได้ง่ายๆ โดยการเปลี่ยนที่อยู่ IP เมื่อมีการสร้างช่องสัญญาณ ข้อมูลประจำตัวของโฮสต์จะถูกตรวจสอบกับคีย์ส่วนตัวส่วนบุคคล
เครือข่ายที่สร้างขึ้นถูกกำหนดช่วงที่อยู่อินทราเน็ต (เช่น 192.168.10.0/24) และที่อยู่ภายในเชื่อมโยงกับใบรับรองโฮสต์ สามารถสร้างกลุ่มได้จากผู้เข้าร่วมในเครือข่ายโอเวอร์เลย์ เช่น เพื่อแยกเซิร์ฟเวอร์และเวิร์กสเตชัน ซึ่งใช้กฎการกรองทราฟฟิกที่แยกจากกัน มีกลไกต่างๆ สำหรับ Traversing Address Translator (NAT) และไฟร์วอลล์ เป็นไปได้ที่จะจัดระเบียบเส้นทางผ่านเครือข่ายโอเวอร์เลย์ของการรับส่งข้อมูลจากโฮสต์บุคคลที่สามที่ไม่รวมอยู่ในเครือข่ายเนบิวลา (เส้นทางที่ไม่ปลอดภัย)
นอกจากนี้ รองรับการสร้างไฟร์วอลล์เพื่อแยกการเข้าถึงและกรองการรับส่งข้อมูล ระหว่างโหนดของเครือข่ายเนบิวลาโอเวอร์เลย์ ACL ที่ผูกแท็กใช้สำหรับกรอง แต่ละโฮสต์บนเครือข่ายสามารถกำหนดกฎการกรองของตนเองสำหรับโฮสต์เครือข่าย กลุ่ม โปรโตคอล และพอร์ต ในเวลาเดียวกัน โฮสต์จะไม่ถูกกรองโดยที่อยู่ IP แต่โดยตัวระบุโฮสต์ที่เซ็นชื่อแบบดิจิทัล ซึ่งไม่สามารถปลอมแปลงได้โดยไม่กระทบต่อศูนย์รับรองที่ประสานเครือข่าย
รหัสนี้เขียนด้วยภาษา Go และได้รับอนุญาตจาก MIT โครงการนี้ก่อตั้งโดย Slack ซึ่งเป็นผู้พัฒนา Messenger ขององค์กรที่มีชื่อเดียวกัน รองรับ Linux, FreeBSD, macOS, Windows, iOS และ Android
เกี่ยวกับ การเปลี่ยนแปลงที่นำมาใช้ในเวอร์ชันใหม่ พวกเขามีดังนี้:
- เพิ่มแฟล็ก "-raw" ในคำสั่ง print-cert เพื่อพิมพ์การแสดง PEM ของใบรับรอง
- เพิ่มการรองรับสถาปัตยกรรม Linux riscv64 ใหม่
- เพิ่มการตั้งค่า remote_allow_ranges แบบทดลองเพื่อเชื่อมโยงรายการโฮสต์ที่อนุญาตกับซับเน็ตเฉพาะ
- เพิ่มตัวเลือก pki.disconnect_invalid เพื่อรีเซ็ตช่องสัญญาณหลังจากสิ้นสุด trust หรือใบรับรองหมดอายุ
- เพิ่มตัวเลือก unsafe_routes .metric เพื่อกำหนดน้ำหนักสำหรับเส้นทางภายนอกที่เฉพาะเจาะจง
สุดท้ายนี้ หากสนใจอยากทราบข้อมูลเพิ่มเติม สามารถเข้าไปดูรายละเอียดและ/หรือ เอกสารในลิงค์ต่อไปนี้.