Je k dispozici verze projektu Nebula 1.5, která nabízí nástroje pro budování bezpečných překryvných sítí. Síť může sjednotit několik až desítky tisíc geograficky oddělených hostitelů hostovaných různými poskytovateli a vytvořit tak samostatnou izolovanou síť na vrcholu globální sítě. Projekt je napsán v Go a distribuován pod licencí MIT. Projekt založila společnost Slack, která vyvíjí stejnojmenný firemní messenger. Podporuje Linux, FreeBSD, macOS, Windows, iOS a Android.
Uzly v síti Nebula spolu komunikují přímo v režimu P2P – přímá připojení VPN jsou dynamicky vytvářena, protože je třeba přenášet data mezi uzly. Identita každého hostitele v síti je potvrzena digitálním certifikátem a připojení k síti vyžaduje autentizaci – každý uživatel obdrží certifikát potvrzující IP adresu v síti Nebula, jméno a členství v hostitelských skupinách. Certifikáty jsou podepsány interní certifikační autoritou, nasazeny tvůrcem sítě ve svých zařízeních a použity k certifikaci autority hostitelů, kteří mají právo se připojit k překryvné síti.
K vytvoření ověřeného, zabezpečeného komunikačního kanálu používá Nebula svůj vlastní tunelový protokol založený na protokolu výměny klíčů Diffie-Hellman a šifře AES-256-GCM. Implementace protokolu je založena na hotových a osvědčených primitivech poskytovaných frameworkem Noise, který se používá i v projektech jako WireGuard, Lightning a I2P. Projekt prý prošel nezávislým bezpečnostním auditem.
Pro objevování dalších uzlů a koordinaci připojení k síti jsou vytvářeny speciální „majákové“ uzly, jejichž globální IP adresy jsou pevné a známé účastníkům sítě. Zúčastněné uzly nejsou vázány na externí IP adresu, jsou identifikovány certifikáty. Vlastníci hostitelů nemohou sami provádět změny podepsaných certifikátů a na rozdíl od tradičních IP sítí se nemohou vydávat za jiného hostitele pouhou změnou IP adresy. Po vytvoření tunelu je identita hostitele ověřena pomocí individuálního soukromého klíče.
Vytvořené síti je přidělen určitý rozsah intranetových adres (například 192.168.10.0/24) a interní adresy jsou spojeny s hostitelskými certifikáty. Skupiny mohou být tvořeny z účastníků v překryvné síti, například do samostatných serverů a pracovních stanic, na které jsou aplikována samostatná pravidla filtrování provozu. K obcházení překladače adres (NAT) a firewallů jsou poskytovány různé mechanismy. Je možné organizovat směrování přes překryvnou síť provozu z hostitelů třetích stran, kteří nejsou součástí sítě Nebula (nebezpečná cesta).
Podporuje vytváření firewallů pro oddělení přístupu a filtrování provozu mezi uzly v překryvné síti Nebula. K filtrování se používají ACL s vazbou tagu. Každý hostitel v síti může definovat svá vlastní pravidla filtrování na základě hostitelů, skupin, protokolů a síťových portů. V tomto případě nejsou hostitelé filtrováni podle IP adres, ale podle digitálně podepsaných identifikátorů hostitele, které nelze zfalšovat bez ohrožení certifikačního centra koordinujícího síť.
V novém vydání:
- Do příkazu print-cert byl přidán příznak "-raw", aby se vytiskla reprezentace certifikátu PEM.
- Přidána podpora pro novou architekturu Linuxu riscv64.
- Přidáno experimentální nastavení remote_allow_ranges pro spojení seznamů povolených hostitelů s konkrétními podsítěmi.
- Přidána možnost pki.disconnect_invalid pro resetování tunelů po ukončení důvěryhodnosti nebo vypršení životnosti certifikátu.
- Přidána možnost unsafe_routes. .metric pro přiřazení váhy konkrétní externí trase.
Zdroj: opennet.ru