Die vrystelling van die Nebula 1.5-projek is beskikbaar, wat gereedskap bied om veilige oorlegnetwerke te bou. Die netwerk kan van verskeie tot tienduisende geografies geskeide gashere verenig wat deur verskillende verskaffers gehuisves word, en vorm 'n aparte geïsoleerde netwerk bo-op die globale netwerk. Die projek is in Go geskryf en onder die MIT-lisensie versprei. Die projek is gestig deur Slack, wat 'n korporatiewe boodskapper met dieselfde naam ontwikkel. Ondersteun Linux, FreeBSD, macOS, Windows, iOS en Android.
Nodusse op die Nebula-netwerk kommunikeer direk met mekaar in P2P-modus—direkte VPN-verbindings word dinamies geskep aangesien data tussen nodusse oorgedra moet word. Die identiteit van elke gasheer op die netwerk word deur 'n digitale sertifikaat bevestig, en om aan die netwerk te koppel, vereis verifikasie - elke gebruiker ontvang 'n sertifikaat wat die IP-adres in die Nebula-netwerk, naam en lidmaatskap in gasheergroepe bevestig. Sertifikate word deur 'n interne sertifiseringsowerheid onderteken, deur die netwerkskepper by sy fasiliteite ontplooi en gebruik om die gesag te sertifiseer van gashere wat die reg het om aan die oorlegnetwerk te koppel.
Om 'n geverifieerde, veilige kommunikasiekanaal te skep, gebruik Nebula sy eie tonnelprotokol gebaseer op die Diffie-Hellman-sleuteluitruilprotokol en die AES-256-GCM-syfer. Die protokol-implementering is gebaseer op klaargemaakte en bewese primitiewe wat deur die Noise-raamwerk verskaf word, wat ook in projekte soos WireGuard, Lightning en I2P gebruik word. Die projek het glo 'n onafhanklike sekuriteitsoudit ondergaan.
Om ander nodusse te ontdek en verbindings met die netwerk te koördineer, word spesiale "vuurtoring" nodusse geskep, waarvan die globale IP-adresse vasgestel is en aan netwerkdeelnemers bekend is. Deelnemende nodusse is nie aan 'n eksterne IP-adres gebind nie; hulle word deur sertifikate geïdentifiseer. Gasheereienaars kan nie op hul eie veranderinge aan ondertekende sertifikate aanbring nie en, anders as tradisionele IP-netwerke, kan hulle nie voorgee om 'n ander gasheer te wees bloot deur die IP-adres te verander nie. Wanneer 'n tonnel geskep word, word die gasheer se identiteit met 'n individuele private sleutel geverifieer.
Aan die geskepte netwerk word 'n sekere reeks intranetadresse (byvoorbeeld 192.168.10.0/24) toegeken en die interne adresse word met gasheersertifikate geassosieer. Groepe kan gevorm word van deelnemers in die oorlegnetwerk, byvoorbeeld, tot aparte bedieners en werkstasies, waarop afsonderlike verkeersfiltreerreëls toegepas word. Verskeie meganismes word verskaf om adresvertalers (NAT's) en brandmure te omseil. Dit is moontlik om roetes te organiseer deur die oorlegnetwerk van verkeer van derdeparty-gashere wat nie deel is van die Nebula-netwerk nie (onveilige roete).
Dit ondersteun die skepping van brandmure om toegang te skei en verkeer tussen nodusse in die Nebula-oorlegnetwerk te filtreer. ACL's met merkerbinding word vir filtering gebruik. Elke gasheer op die netwerk kan sy eie filterreëls definieer gebaseer op gashere, groepe, protokolle en netwerkpoorte. In hierdie geval word gashere nie deur IP-adresse gefiltreer nie, maar deur digitaal ondertekende gasheeridentifiseerders, wat nie vervals kan word sonder om die sertifiseringsentrum wat die netwerk koördineer, in die gedrang te bring nie.
In die nuwe vrystelling:
- Het 'n "-rou" vlag by die print-cert-opdrag gevoeg om die PEM-voorstelling van die sertifikaat te druk.
- Bygevoeg ondersteuning vir die nuwe Linux argitektuur riscv64.
- Het 'n eksperimentele remote_allow_ranges-instelling bygevoeg om lyste van toegelate gashere aan spesifieke subnette te bind.
- Bygevoeg pki.disconnect_invalid opsie om tonnels terug te stel nadat trustbeëindiging of sertifikaatleeftyd verstryk het.
- Bygevoeg unsafe_routes opsie. .metriek om gewig aan 'n spesifieke eksterne roete toe te ken.
Bron: opennet.ru