Təhlükəsiz üst-üstə düşən şəbəkələrin qurulması üçün alətlər təklif edən Nebula 1.5 layihəsinin buraxılışı mövcuddur. Şəbəkə qlobal şəbəkənin üstündə ayrıca təcrid olunmuş şəbəkə yaradaraq, müxtəlif provayderlər tərəfindən yerləşdirilən bir neçədən on minlərlə coğrafi cəhətdən ayrılmış hostları birləşdirə bilər. Layihə Go-da yazılmış və MİT lisenziyası ilə yayılmışdır. Layihəni eyniadlı korporativ messencer hazırlayan Slack şirkəti təsis edib. Linux, FreeBSD, macOS, Windows, iOS və Android-i dəstəkləyir.
Nebula şəbəkəsindəki qovşaqlar P2P rejimində bir-biri ilə birbaşa əlaqə qurur - qovşaqlar arasında məlumatların ötürülməsi lazım olduğu üçün birbaşa VPN əlaqələri dinamik şəkildə yaradılır. Şəbəkədəki hər bir hostun şəxsiyyəti rəqəmsal sertifikatla təsdiqlənir və şəbəkəyə qoşulmaq üçün autentifikasiya tələb olunur - hər bir istifadəçi Nebula şəbəkəsindəki IP ünvanını, adı və host qruplarına üzvlüyünü təsdiq edən sertifikat alır. Sertifikatlar daxili sertifikatlaşdırma orqanı tərəfindən imzalanır, şəbəkə yaradıcısı tərəfindən öz obyektlərində yerləşdirilir və üst-üstə düşən şəbəkəyə qoşulmaq hüququ olan hostların səlahiyyətlərini təsdiqləmək üçün istifadə olunur.
Doğrulanmış, təhlükəsiz rabitə kanalı yaratmaq üçün Nebula Diffie-Hellman açar mübadiləsi protokolu və AES-256-GCM şifrəsi əsasında öz tunel protokolundan istifadə edir. Protokolun tətbiqi, WireGuard, Lightning və I2P kimi layihələrdə də istifadə olunan Noise çərçivəsi tərəfindən təmin edilmiş hazır və sübut edilmiş primitivlərə əsaslanır. Layihənin müstəqil təhlükəsizlik auditindən keçdiyi bildirilir.
Digər qovşaqları tapmaq və şəbəkə ilə əlaqəni koordinasiya etmək üçün qlobal IP ünvanları sabit və şəbəkə iştirakçılarına məlum olan xüsusi “mayak” qovşaqları yaradılır. İştirakçı qovşaqlar xarici IP ünvanına bağlı deyil, onlar sertifikatlarla müəyyən edilir. Host sahibləri imzalanmış sertifikatlara təkbaşına dəyişiklik edə bilməzlər və ənənəvi İP şəbəkələrdən fərqli olaraq sadəcə IP ünvanını dəyişdirməklə özlərini başqa host kimi göstərə bilməzlər. Tunel yaradıldıqda, ev sahibinin şəxsiyyəti fərdi şəxsi açarla yoxlanılır.
Yaradılan şəbəkəyə intranet ünvanlarının müəyyən diapazonu ayrılır (məsələn, 192.168.10.0/24) və daxili ünvanlar host sertifikatları ilə əlaqələndirilir. Qruplar üst-üstə düşən şəbəkənin iştirakçılarından, məsələn, ayrı-ayrı serverlər və iş stansiyaları üçün yaradıla bilər, onlara ayrı-ayrı trafik filtrləmə qaydaları tətbiq olunur. Ünvan tərcüməçiləri (NAT) və firewallları yan keçmək üçün müxtəlif mexanizmlər təqdim olunur. Nebula şəbəkəsinin bir hissəsi olmayan üçüncü tərəf hostlarından trafikin üst-üstə düşməsi şəbəkəsi vasitəsilə marşrutlaşdırma təşkil etmək mümkündür (təhlükəsiz marşrut).
O, Nebula overlay şəbəkəsindəki qovşaqlar arasında girişi ayırmaq və trafiki süzmək üçün firewallların yaradılmasını dəstəkləyir. Filtrləmə üçün etiket bağlaması olan ACL-lər istifadə olunur. Şəbəkədəki hər bir host hostlara, qruplara, protokollara və şəbəkə portlarına əsaslanaraq öz filtrləmə qaydalarını müəyyən edə bilər. Bu halda, hostlar IP ünvanları ilə deyil, rəqəmsal imzalanmış host identifikatorları tərəfindən süzülür və şəbəkəni koordinasiya edən sertifikatlaşdırma mərkəzinə zərər vermədən saxtalaşdırıla bilməz.
Yeni buraxılışda:
- Sertifikatın PEM təsvirini çap etmək üçün çap sertifikatı əmrinə "-raw" bayrağı əlavə edildi.
- Yeni Linux arxitekturası riscv64 üçün əlavə dəstək.
- İcazə verilən hostların siyahılarını xüsusi alt şəbəkələrə bağlamaq üçün eksperimental remote_allow_ranges parametri əlavə edildi.
- Güvən dayandırıldıqdan və ya sertifikatın müddəti bitdikdən sonra tunelləri sıfırlamaq üçün pki.disconnect_invalid seçimi əlavə edildi.
- Təhlükəsiz_marşrutlar seçimi əlavə edildi. xüsusi xarici marşruta çəki təyin etmək üçün .metrik.
Mənbə: opennet.ru