Dostupno je izdanje projekta Nebula 1.5, koji nudi alate za izgradnju sigurnih preklapajućih mreža. Mreža može ujediniti od nekoliko do desetina hiljada geografski odvojenih hostova koje hostuju različiti provajderi, formirajući zasebnu izolovanu mrežu na vrhu globalne mreže. Projekat je napisan na Go i distribuiran pod MIT licencom. Projekat je osnovao Slack, koji razvija istoimeni korporativni glasnik. Podržava Linux, FreeBSD, macOS, Windows, iOS i Android.
Čvorovi na mreži Nebula komuniciraju direktno jedni s drugima u P2P modu – direktne VPN veze se dinamički kreiraju jer se podaci trebaju prenositi između čvorova. Identitet svakog hosta na mreži potvrđuje se digitalnim certifikatom, a za povezivanje na mrežu potrebna je autentikacija – svaki korisnik dobiva certifikat kojim se potvrđuje IP adresa u Nebula mreži, naziv i članstvo u grupama hostova. Certifikate potpisuje interno tijelo za sertifikaciju, postavlja ih kreator mreže u svojim objektima i koristi se za certifikaciju ovlaštenja hostova koji imaju pravo da se povežu na preklapajuću mrežu.
Za kreiranje autentificiranog, sigurnog komunikacijskog kanala, Nebula koristi vlastiti tunelski protokol baziran na Diffie-Hellman protokolu za razmjenu ključeva i AES-256-GCM šifri. Implementacija protokola se zasniva na gotovim i dokazanim primitivima koje obezbeđuje Noise framework, koji se takođe koristi u projektima kao što su WireGuard, Lightning i I2P. Rečeno je da je projekat prošao nezavisnu bezbednosnu reviziju.
Za otkrivanje drugih čvorova i koordinaciju veza s mrežom, kreiraju se posebni čvorovi "svjetionik", čije su globalne IP adrese fiksne i poznate učesnicima mreže. Čvorovi koji učestvuju nisu vezani za eksternu IP adresu; oni su identifikovani sertifikatima. Vlasnici hostova ne mogu sami unositi izmjene u potpisane certifikate i, za razliku od tradicionalnih IP mreža, ne mogu se pretvarati da su drugi host jednostavnom promjenom IP adrese. Kada se kreira tunel, identitet hosta se provjerava individualnim privatnim ključem.
Kreiranoj mreži je dodijeljen određeni raspon intranet adresa (na primjer, 192.168.10.0/24) i interne adrese su povezane sa certifikatima domaćina. Grupe se mogu formirati od učesnika u mreži preklapanja, na primer, do zasebnih servera i radnih stanica, na koje se primenjuju posebna pravila filtriranja saobraćaja. Obezbeđeni su različiti mehanizmi za zaobilaženje translatora adresa (NAT) i zaštitnih zidova. Moguće je organizirati rutiranje kroz preklapajuću mrežu saobraćaja sa hostova trećih strana koji nisu dio Nebula mreže (nesigurna ruta).
Podržava stvaranje zaštitnih zidova za odvajanje pristupa i filtriranje saobraćaja između čvorova u mreži Nebula overlay. Za filtriranje se koriste ACL-ovi sa povezivanjem oznaka. Svaki host na mreži može definirati vlastita pravila filtriranja na osnovu hostova, grupa, protokola i mrežnih portova. U ovom slučaju, hostovi se ne filtriraju po IP adresama, već po digitalno potpisanim identifikatorima hosta, koji se ne mogu krivotvoriti bez ugrožavanja centra za sertifikaciju koji koordinira mrežu.
U novom izdanju:
- Dodana je oznaka "-raw" komandi print-cert za ispis PEM reprezentacije certifikata.
- Dodata podrška za novu Linux arhitekturu riscv64.
- Dodata je eksperimentalna postavka remote_allow_ranges za povezivanje lista dozvoljenih hostova za određene podmreže.
- Dodata opcija pki.disconnect_invalid za resetiranje tunela nakon prekida povjerenja ili trajanja certifikata.
- Dodata opcija unsafe_routes. .metric za dodjelu težine određenoj vanjskoj ruti.
izvor: opennet.ru