Доступен выпуск проекта Nebula 1.5, предлагающего инструментарий для построения защищённых оверлейных сетей. Сеть может объединять от нескольких до десятков тысяч территориально разделённых хостов, размещённых у разных провайдеров, формируя отдельную изолированную сеть поверх глобальной сети. Проект написан на языке Go и распространяется под лицензией MIT. Проект основан компанией Slack, развивающей одноимённый корпоративный мессенджер. Поддерживается работа в Linux, FreeBSD, macOS, Windows, iOS en Android.
Node in die Nebula-netwerk kommunikeer direk met mekaar in P2P-modus - soos die behoefte ontstaan om data tussen nodusse oor te dra, word direkte verbindings dinamies geskep. Skynprivaatnetwerk-verbindings. Die identiteit van elke gasheer op die netwerk word bevestig deur 'n digitale sertifikaat, en verbinding met die netwerk vereis verifikasie—elke gebruiker ontvang 'n sertifikaat wat hul IP-adres op die Nebula-netwerk, hul naam en hul gasheergroeplidmaatskap bevestig. Sertifikate word onderteken deur 'n interne sertifikaatowerheid, ontplooi deur die netwerkverskaffer op hul eie perseel en gebruik om die gesag van gashere wat gemagtig is om aan die oorlegnetwerk te koppel, te verifieer.
Om 'n geverifieerde, veilige kommunikasiekanaal te skep, gebruik Nebula 'n eie tonnelprotokol gebaseer op die Diffie-Hellman-sleuteluitruilprotokol en AES-256-GCM-kode. Die protokolimplementering is gebaseer op gereedgemaakte en getoetste primitiewe wat deur die Noise-raamwerk verskaf word, wat ook in projekte soos ... gebruik word. WireGuard, Weerlig, en I2P. Daar word gesê dat die projek 'n onafhanklike sekuriteitsoudit geslaag het.
Om ander nodusse te ontdek en verbindings met die netwerk te koördineer, word spesiale "vuurtoring"-nodusse geskep, waarvan die globale IP-adresse vas is en aan netwerkdeelnemers bekend is. Deelnemende nodusse het geen binding aan die eksterne IP adres, word hulle deur sertifikate geïdentifiseer. Gasheereienaars kan nie onafhanklik getekende sertifikate wysig nie en, anders as tradisionele IP-netwerke, kan hulle nie 'n ander gasheer naboots deur bloot die IP-adres te verander nie. Wanneer 'n tonnel gevestig word, word die gasheer se identiteit deur sy individuele privaat sleutel bevestig.
Aan die geskepte netwerk word 'n sekere reeks intranetadresse (byvoorbeeld 192.168.10.0/24) toegeken en die interne adresse word met gasheersertifikate geassosieer. Groepe kan gevorm word van deelnemers in die oorlegnetwerk, byvoorbeeld, tot aparte bedieners en werkstasies, waarop afsonderlike verkeersfiltreerreëls toegepas word. Verskeie meganismes word verskaf om adresvertalers (NAT's) en brandmure te omseil. Dit is moontlik om roetes te organiseer deur die oorlegnetwerk van verkeer van derdeparty-gashere wat nie deel is van die Nebula-netwerk nie (onveilige roete).
Dit ondersteun die skepping van brandmure om toegang te skei en verkeer tussen nodusse in die Nebula-oorlegnetwerk te filtreer. ACL's met merkerbinding word vir filtering gebruik. Elke gasheer op die netwerk kan sy eie filterreëls definieer gebaseer op gashere, groepe, protokolle en netwerkpoorte. In hierdie geval word gashere nie deur IP-adresse gefiltreer nie, maar deur digitaal ondertekende gasheeridentifiseerders, wat nie vervals kan word sonder om die sertifiseringsentrum wat die netwerk koördineer, in die gedrang te bring nie.
In die nuwe vrystelling:
- Het 'n "-rou" vlag by die print-cert-opdrag gevoeg om die PEM-voorstelling van die sertifikaat te druk.
- Добавлена поддержка новой архитектуры Linux riscv64.
- Het 'n eksperimentele remote_allow_ranges-instelling bygevoeg om lyste van toegelate gashere aan spesifieke subnette te bind.
- Bygevoeg pki.disconnect_invalid opsie om tonnels terug te stel nadat trustbeëindiging of sertifikaatleeftyd verstryk het.
- Bygevoeg unsafe_routes opsie. .metriek om gewig aan 'n spesifieke eksterne roete toe te ken.
Bron: opennet.ru
