Nebula 1.5 proiektuaren oharra eskuragarri dago, gainjarri sare seguruak eraikitzeko tresnak eskainiz. Sarea hornitzaile ezberdinek ostatatutako geografikoki bereizitako hainbat ostalaritik hamarnaka milatara batu ditzake, sare globalaren gainean sare isolatu bereizia osatuz. Proiektua Go-n idatzita dago eta MIT lizentziapean banatzen da. Proiektua Slack-ek sortu zuen, izen bereko mezulari korporatiboa garatzen duena. Linux, FreeBSD, macOS, Windows, iOS eta Android onartzen ditu.
Nebula sareko nodoak elkarren artean zuzenean komunikatzen dira P2P moduan; VPN konexio zuzenak dinamikoki sortzen dira, datuak nodoen artean transferitu behar baitira. Sareko ostalari bakoitzaren identitatea ziurtagiri digital baten bidez berresten da, eta sarera konektatzeko autentifikazioa behar da - erabiltzaile bakoitzak ziurtagiri bat jasotzen du Nebula sareko IP helbidea, izena eta ostalari taldeetako kide izatea. Ziurtagiriak barneko ziurtapen-agintari batek sinatzen ditu, sare-sortzaileak bere instalazioetan zabaldu eta gainjarritako sarera konektatzeko eskubidea duten ostalarien agintaritza ziurtatzeko erabiltzen dira.
Komunikazio kanal autentifikatu eta seguru bat sortzeko, Nebulak bere tunel-protokolo propioa erabiltzen du Diffie-Hellman gakoen truke-protokoloan eta AES-256-GCM zifratuan oinarrituta. Protokoloaren ezarpena Noise esparruak emandako prest egindako eta frogatutako primitiboetan oinarritzen da, WireGuard, Lightning eta I2P bezalako proiektuetan ere erabiltzen dena. Proiektuak segurtasun auditoria independente bat egin omen zuen.
Beste nodo batzuk ezagutzeko eta sarerako konexioak koordinatzeko, "itsasargia" nodo bereziak sortzen dira, eta horien IP helbide globalak finkoak dira eta sareko parte-hartzaileek ezagutzen dituzte. Parte hartzen duten nodoak ez daude kanpoko IP helbide batera lotzen; ziurtagirien bidez identifikatzen dira. Ostalariaren jabeek ezin dute aldaketarik egin sinatutako ziurtagirietan beren kabuz eta, IP sare tradizionalek ez bezala, ezin dute beste ostalari bat izan nahi IP helbidea aldatuz. Tunel bat sortzen denean, ostalariaren identitatea gako pribatu indibidual batekin egiaztatzen da.
Sortutako sareari intranet helbide sorta jakin bat esleitzen zaio (adibidez, 192.168.10.0/24) eta barne helbideak ostalariaren ziurtagiriekin lotzen dira. Taldeak osa daitezke gainjarri sareko parte-hartzaileetatik, adibidez, zerbitzari eta lan-estazio bereizietarako, eta horiei trafikoa iragazteko arau bereiziak aplikatzen zaizkie. Hainbat mekanismo eskaintzen dira helbide itzultzaileak (NAT) eta suebakiak saihesteko. Nebula sarearen parte ez diren hirugarrenen ostalarien trafikoaren gainjartze sarearen bidez bideratzea posible da (bide ez-segurua).
Nebula gainjartzeko sareko nodoen artean sarbidea bereizteko eta iragazteko suebakiak sortzea onartzen du. Etiketa-lotura duten ACLak iragazteko erabiltzen dira. Sareko ostalari bakoitzak bere iragazketa-arauak defini ditzake ostalari, talde, protokolo eta sareko ataketan oinarrituta. Kasu honetan, ostalariak ez dira IP helbideen arabera iragazten, digitalki sinatutako ostalari-identifikatzaileen bidez baizik, eta horiek ezin dira faltsutu sarea koordinatzen duen ziurtagiri-zentroa arriskuan jarri gabe.
Argitalpen berrian:
- "-raw" bandera gehitu zaio print-cert komandoari ziurtagiriaren PEM irudikapena inprimatzeko.
- Linux arkitektura berrirako euskarria gehitu da riscv64.
- remote_allow_ranges ezarpen esperimentala gehitu da baimendutako ostalarien zerrendak azpisare zehatzetara lotzeko.
- pki.disconnect_invalid aukera gehitu da tunelak berrezartzeko, konfiantzaren amaiera edo ziurtagiriaren bizitza iraungi ondoren.
- Unsafe_routes..metric aukera gehitu da kanpoko ibilbide zehatz baten pisua ezartzeko.
Iturria: opennet.ru