P1.5P 오버레이 네트워크 생성 시스템 Nebula 2 출시

보안 오버레이 네트워크 구축을 위한 도구를 제공하는 Nebula 1.5 프로젝트가 출시되었습니다. 네트워크는 서로 다른 공급자가 호스팅하는 지리적으로 분리된 여러 호스트에서 수만 개까지 통합하여 글로벌 네트워크 위에 별도의 격리된 네트워크를 형성할 수 있습니다. 이 프로젝트는 Go로 작성되었으며 MIT 라이선스에 따라 배포됩니다. 이 프로젝트는 동명의 기업 메신저를 개발하는 슬랙(Slack)에 의해 설립됐다. Linux, FreeBSD, macOS, Windows, iOS 및 Android를 지원합니다.

Nebula 네트워크의 노드는 P2P 모드에서 서로 직접 통신합니다. 노드 간에 데이터를 전송해야 하므로 직접 VPN 연결이 동적으로 생성됩니다. 네트워크에 있는 각 호스트의 신원은 디지털 인증서로 확인되며 네트워크에 연결하려면 인증이 필요합니다. 각 사용자는 Nebula 네트워크의 IP 주소, 호스트 그룹의 이름 및 멤버십을 확인하는 인증서를 받습니다. 인증서는 내부 인증 기관에서 서명하고, 네트워크 작성자가 해당 시설에 배포하며, 오버레이 네트워크에 연결할 수 있는 권한이 있는 호스트의 기관을 인증하는 데 사용됩니다.

인증된 보안 통신 채널을 생성하기 위해 Nebula는 Diffie-Hellman 키 교환 프로토콜과 AES-256-GCM 암호를 기반으로 하는 자체 터널 프로토콜을 사용합니다. 프로토콜 구현은 WireGuard, Lightning 및 I2P와 같은 프로젝트에서도 사용되는 Noise 프레임워크에서 제공하는 이미 제작되고 입증된 기본 요소를 기반으로 합니다. 이 프로젝트는 독립적인 보안 감사를 받은 것으로 알려졌습니다.

다른 노드를 검색하고 네트워크 연결을 조정하기 위해 특수 "등대" 노드가 생성되며, 이 노드의 글로벌 IP 주소는 고정되어 네트워크 참가자에게 알려집니다. 참여 노드는 외부 IP 주소에 바인딩되지 않으며 인증서로 식별됩니다. 호스트 소유자는 서명된 인증서를 스스로 변경할 수 없으며 기존 IP 네트워크와 달리 단순히 IP 주소를 변경하여 다른 호스트인 것처럼 가장할 수 없습니다. 터널이 생성되면 호스트의 신원은 개별 개인 키로 확인됩니다.

생성된 네트워크에는 특정 범위의 인트라넷 주소(예: 192.168.10.0/24)가 할당되고 내부 주소는 호스트 인증서와 연결됩니다. 예를 들어, 별도의 트래픽 필터링 규칙이 적용되는 별도의 서버 및 워크스테이션과 같이 오버레이 네트워크의 참가자로부터 그룹을 형성할 수 있습니다. NAT(주소 변환기) 및 방화벽을 우회하기 위한 다양한 메커니즘이 제공됩니다. Nebula 네트워크(안전하지 않은 경로)의 일부가 아닌 타사 호스트의 트래픽 오버레이 네트워크를 통해 라우팅을 구성할 수 있습니다.

Nebula 오버레이 네트워크의 노드 간 액세스를 분리하고 트래픽을 필터링하기 위한 방화벽 생성을 지원합니다. 태그 바인딩이 있는 ACL은 필터링에 사용됩니다. 네트워크의 각 호스트는 호스트, 그룹, 프로토콜 및 네트워크 포트를 기반으로 자체 필터링 규칙을 정의할 수 있습니다. 이 경우 호스트는 IP 주소가 아닌 디지털 서명된 호스트 식별자로 필터링됩니다. 이는 네트워크를 조정하는 인증 센터를 손상시키지 않으면서 위조할 수 없습니다.

새 릴리스에서:

• 인증서의 PEM 표현을 인쇄하기 위해 print-cert 명령에 "-raw" 플래그를 추가했습니다.
• 새로운 Linux 아키텍처 riscv64에 대한 지원이 추가되었습니다.
• 허용된 호스트 목록을 특정 서브넷에 바인딩하기 위해 실험적인 remote_allow_ranges 설정을 추가했습니다.
• 신뢰 종료 또는 인증서 수명이 만료된 후 터널을 재설정하기 위해 pki.disconnect_invalid 옵션이 추가되었습니다.
• unsafe_routes 옵션이 추가되었습니다. .metric은 특정 외부 경로에 가중치를 할당합니다.

출처 : opennet.ru