La eldono de la Nebula 1.5-projekto disponeblas, ofertante ilojn por konstrui sekurajn superkovrajn retojn. La reto povas kuniĝi de pluraj ĝis dekoj da miloj da geografie apartigitaj gastigantoj gastigitaj de malsamaj provizantoj, formante apartan izolitan reton aldone al la tutmonda reto. La projekto estas skribita en Go kaj distribuita sub la MIT-licenco. La projekto estis fondita de Slack, kiu disvolvas kompanian mesaĝiston de la sama nomo. Elportas Linukso, FreeBSD, macOS, Vindozo, iOS kaj Android.
Nodoj en la Nebula reto komunikas rekte unu kun la alia en P2P-reĝimo—rektaj VPN-konektoj estas dinamike kreitaj ĉar datumoj devas esti transdonitaj inter nodoj. La identeco de ĉiu gastiganto en la reto estas konfirmita per cifereca atestilo, kaj konektiĝi al la reto postulas aŭtentikigon - ĉiu uzanto ricevas atestilon konfirmantan la IP-adreson en la Nebula reto, nomon kaj membrecon en gastigaj grupoj. Atestiloj estas subskribitaj fare de interna atestadaŭtoritato, deplojita fare de la retokreinto ĉe ĝiaj instalaĵoj kaj uzataj por atesti la aŭtoritaton de gastigantoj, kiuj havas la rajton konekti al la superkovra reto.
Por krei aŭtentikigitan, sekuran komunikadkanalon, Nebula uzas sian propran tunelan protokolon bazitan sur la Diffie-Hellman-ŝlosila interŝanĝo-protokolo kaj la AES-256-GCM-ĉifro. La protokolo-efektivigo baziĝas sur pretaj kaj provitaj primitivuloj provizitaj de la kadro Noise, kiu ankaŭ estas uzata en projektoj kiel WireGuard, Lightning kaj I2P. La projekto laŭdire spertis sendependan sekurecrevizion.
Por malkovri aliajn nodojn kaj kunordigi ligojn al la reto, specialaj "lumturo-" nodoj estas kreitaj, kies tutmondaj IP-adresoj estas fiksitaj kaj konataj de retaj partoprenantoj. Partoprenantaj nodoj ne estas ligitaj al ekstera IP-adreso; ili estas identigitaj per atestiloj. Gastigantoj ne povas fari ŝanĝojn al subskribitaj atestiloj memstare kaj, male al tradiciaj IP-retoj, ne povas ŝajnigi esti alia gastiganto simple ŝanĝante la IP-adreson. Kiam tunelo estas kreita, la identeco de la gastiganto estas kontrolita per individua privata ŝlosilo.
Al la kreita reto estas asignita certa gamo da intraretaj adresoj (ekzemple, 192.168.10.0/24) kaj la internaj adresoj estas asociitaj kun gastigaj atestiloj. Grupoj povas esti formitaj de partoprenantoj en la supermeta reto, ekzemple, al apartaj serviloj kaj laborstacioj, al kiuj estas aplikataj apartaj trafikaj filtraj reguloj. Diversaj mekanismoj estas disponigitaj por preteriri adrestradukilojn (NAToj) kaj fajromurojn. Eblas organizi vojigon tra la superkovra reto de trafiko de triaj gastigantoj, kiuj ne estas parto de la Nebula reto (nesekura itinero).
Ĝi subtenas la kreadon de fajroŝirmiloj por apartigi aliron kaj filtri trafikon inter nodoj en la Nebula superkovra reto. ACLoj kun etikedo ligado estas uzataj por filtrado. Ĉiu gastiganto en la reto povas difini siajn proprajn filtrajn regulojn bazitajn sur gastigantoj, grupoj, protokoloj kaj retaj havenoj. En ĉi tiu kazo, gastigantoj estas filtritaj ne per IP-adresoj, sed per ciferece subskribitaj mastro-identigiloj, kiuj ne povas esti forĝitaj sen endanĝerigi la atestadcentron kunordiganta la reton.
En la nova eldono:
- Aldonis flagon "-raw" al la komando print-cert por presi la PEM-reprezentadon de la atestilo.
- Aldonita subteno por la nova Linukso-arkitekturo riscv64.
- Aldonis eksperimentan agordon remote_allow_ranges por ligi listojn de permesitaj gastigantoj al specifaj subretoj.
- Aldonita pki.disconnect_invalid opcio por restarigi tunelojn post finiĝo de fido aŭ atestildaŭro eksvalidiĝas.
- Aldonita opcio unsafe_routes. .metric por atribui pezon al specifa ekstera itinero.
fonto: opennet.ru