يتوفر إصدار مشروع Nebula 1.5، وهو يقدم أدوات لبناء شبكات تراكب آمنة. يمكن للشبكة أن تتحد من عدة إلى عشرات الآلاف من الأجهزة المضيفة المنفصلة جغرافيًا والتي يستضيفها مقدمو خدمات مختلفون، وتشكل شبكة معزولة منفصلة فوق الشبكة العالمية. المشروع مكتوب بلغة Go ويتم توزيعه بموجب ترخيص MIT. تم تأسيس المشروع من قبل شركة Slack، التي تعمل على تطوير برنامج مراسلة مشترك يحمل نفس الاسم. يدعم Linux، وFreeBSD، وmacOS، وWindows، وiOS، وAndroid.
تتواصل العقد الموجودة على شبكة Nebula مباشرة مع بعضها البعض في وضع P2P — يتم إنشاء اتصالات VPN المباشرة ديناميكيًا عند الحاجة إلى نقل البيانات بين العقد. يتم تأكيد هوية كل مضيف على الشبكة من خلال شهادة رقمية، ويتطلب الاتصال بالشبكة المصادقة - يتلقى كل مستخدم شهادة تؤكد عنوان IP في شبكة Nebula والاسم والعضوية في المجموعات المضيفة. يتم توقيع الشهادات من قبل مرجع مصدق داخلي، ويتم نشرها بواسطة منشئ الشبكة في منشآته وتستخدم للتصديق على سلطة المضيفين الذين لديهم الحق في الاتصال بالشبكة المتراكبة.
لإنشاء قناة اتصال آمنة وموثقة، تستخدم Nebula بروتوكول النفق الخاص بها استنادًا إلى بروتوكول تبادل المفاتيح Diffie-Hellman وتشفير AES-256-GCM. يعتمد تنفيذ البروتوكول على أساسيات جاهزة ومثبتة يوفرها إطار عمل Noise، والذي يُستخدم أيضًا في مشاريع مثل WireGuard وLightning وI2P. ويقال إن المشروع خضع لتدقيق أمني مستقل.
لاكتشاف العقد الأخرى وتنسيق الاتصالات بالشبكة، يتم إنشاء عقد "منارة" خاصة، تكون عناوين IP العالمية الخاصة بها ثابتة ومعروفة للمشاركين في الشبكة. لا ترتبط العقد المشاركة بعنوان IP خارجي، بل يتم تحديدها بواسطة الشهادات. لا يمكن لمالكي المضيف إجراء تغييرات على الشهادات الموقعة بأنفسهم، وعلى عكس شبكات IP التقليدية، لا يمكنهم التظاهر بأنهم مضيف آخر بمجرد تغيير عنوان IP. عند إنشاء نفق، يتم التحقق من هوية المضيف باستخدام مفتاح خاص فردي.
يتم تخصيص نطاق معين من عناوين الإنترانت للشبكة التي تم إنشاؤها (على سبيل المثال، 192.168.10.0/24) وترتبط العناوين الداخلية بشهادات المضيف. يمكن تشكيل المجموعات من المشاركين في شبكة التراكب، على سبيل المثال، لفصل الخوادم ومحطات العمل، والتي يتم تطبيق قواعد تصفية حركة المرور المنفصلة عليها. يتم توفير آليات مختلفة لتجاوز مترجمي العناوين (NATs) وجدران الحماية. من الممكن تنظيم التوجيه من خلال شبكة تراكب حركة المرور من مضيفي الطرف الثالث الذين لا يشكلون جزءًا من شبكة Nebula (مسار غير آمن).
وهو يدعم إنشاء جدران الحماية لفصل الوصول وتصفية حركة المرور بين العقد في شبكة تراكب السديم. يتم استخدام قوائم ACL مع ربط العلامات للتصفية. يمكن لكل مضيف على الشبكة تحديد قواعد التصفية الخاصة به استنادًا إلى المضيفين والمجموعات والبروتوكولات ومنافذ الشبكة. في هذه الحالة، لا تتم تصفية الأجهزة المضيفة عن طريق عناوين IP، ولكن عن طريق معرفات المضيف الموقعة رقميًا، والتي لا يمكن تزويرها دون المساس بمركز الشهادات الذي ينسق الشبكة.
في الإصدار الجديد:
- تمت إضافة علامة "-raw" إلى أمر print-cert لطباعة تمثيل PEM للشهادة.
- تمت إضافة دعم لبنية Linux الجديدة riscv64.
- تمت إضافة إعداد Remote_allow_ranges التجريبي لربط قوائم المضيفين المسموح بهم بشبكات فرعية محددة.
- تمت إضافة خيار pki.disconnect_invalid لإعادة تعيين الأنفاق بعد إنهاء الثقة أو انتهاء عمر الشهادة.
- تمت إضافة خيار unsafe_routes. .metric لتعيين الوزن لطريق خارجي محدد.
المصدر: opennet.ru