Saadaval on Nebula 1.5 projekti väljalase, mis pakub tööriistu turvaliste ülekattevõrkude ehitamiseks. Võrk võib ühendada mitmest kuni kümnest tuhandest geograafiliselt eraldatud hostist, mida hostivad erinevad pakkujad, moodustades globaalse võrgu peal eraldi isoleeritud võrgu. Projekt on kirjutatud Go-s ja seda levitatakse MIT-i litsentsi all. Projekti asutas Slack, kes töötab välja samanimelise ettevõtte sõnumitooja. Toetab Linuxit, FreeBSD-d, macOS-i, Windowsi, iOS-i ja Androidi.
Nebula võrgu sõlmed suhtlevad P2P-režiimis üksteisega otse – VPN-i otseühendused luuakse dünaamiliselt, kuna sõlmede vahel on vaja andmeid üle kanda. Iga võrgus oleva hosti identiteet kinnitatakse digisertifikaadiga ning võrku ühendamine nõuab autentimist – iga kasutaja saab sertifikaadi, mis kinnitab IP-aadressi Nebula võrgus, nime ja kuulumist hostigruppidesse. Sertifikaadid allkirjastab sisemine sertifitseerimisasutus, võrgu looja juurutab need oma rajatistesse ja neid kasutatakse ülekattevõrguga ühenduse loomise õigust omavate hostide volituste sertifitseerimiseks.
Autentitud turvalise sidekanali loomiseks kasutab Nebula oma tunneliprotokolli, mis põhineb Diffie-Hellmani võtmevahetusprotokollil ja AES-256-GCM šifril. Protokolli juurutamine põhineb valmis ja tõestatud primitiividel, mida pakub Noise raamistik, mida kasutatakse ka sellistes projektides nagu WireGuard, Lightning ja I2P. Väidetavalt on projekt läbinud sõltumatu turvaauditi.
Teiste sõlmede avastamiseks ja võrguühenduste koordineerimiseks luuakse spetsiaalsed “tuletorni” sõlmed, mille globaalsed IP-aadressid on fikseeritud ja võrgus osalejatele teada. Osalevad sõlmed ei ole seotud välise IP-aadressiga, neid tuvastavad sertifikaadid. Hostiomanikud ei saa allkirjastatud sertifikaatides ise muudatusi teha ja erinevalt tavapärastest IP-võrkudest ei saa nad lihtsalt IP-aadressi muutes teeselda, et nad on teised hostid. Tunneli loomisel kontrollitakse hosti identiteeti individuaalse privaatvõtmega.
Loodud võrgule eraldatakse teatud vahemik sisevõrgu aadresse (näiteks 192.168.10.0/24) ja sisemised aadressid seotakse hostisertifikaatidega. Ülekattevõrgus osalejatest saab moodustada rühmi näiteks eraldi serveriteks ja tööjaamadeks, millele rakendatakse eraldi liikluse filtreerimise reegleid. Aadressitõlkijatest (NAT-idest) ja tulemüüridest mööda hiilimiseks on ette nähtud erinevad mehhanismid. Nebula võrku mittekuuluvate kolmandate osapoolte hostide liikluse ülekattevõrgu kaudu on võimalik korraldada marsruutimist (ebaturvaline marsruut).
See toetab tulemüüride loomist, et eraldada juurdepääs ja filtreerida liiklust Nebula ülekattevõrgu sõlmede vahel. Filtreerimiseks kasutatakse sildi sidumisega ACL-e. Iga võrgu host saab määrata oma filtreerimisreeglid, mis põhinevad hostidel, rühmadel, protokollidel ja võrguportidel. Sel juhul ei filtreerita hoste mitte IP-aadresside, vaid digitaalselt allkirjastatud hosti identifikaatorite järgi, mida ei saa võltsida ilma võrku koordineerivat sertifitseerimiskeskust kahjustamata.
Uues väljaandes:
- Serdi PEM-i esituse printimiseks lisati käsule print-cert lipp "-raw".
- Lisatud on uue Linuxi arhitektuuri riscv64 tugi.
- Lisati eksperimentaalne remote_allow_ranges säte, et siduda lubatud hostide loendid kindlate alamvõrkudega.
- Lisatud on suvand pki.disconnect_invalid tunnelite lähtestamiseks pärast usalduse lõppemist või sertifikaadi kehtivusaja lõppemist.
- Lisatud valik unsafe_routes. .metric, et määrata kaal konkreetsele välisele marsruudile.
Allikas: opennet.ru