Nebula 1.5 -projektin julkaisu on saatavilla, ja se tarjoaa työkaluja suojattujen overlay-verkkojen rakentamiseen. Verkko voi yhdistää useista kymmeniin tuhansiin eri palveluntarjoajien isännöimiä maantieteellisesti erillisiä isäntiä muodostaen erillisen verkon globaalin verkon päälle. Projekti on kirjoitettu Go-kielellä ja jaettu MIT-lisenssillä. Projektin perusti Slack, joka kehittää samannimistä yritysviestintää. Tukee Linuxia, FreeBSD:tä, macOS:ää, Windowsia, iOS:ää ja Androidia.
Nebula-verkon solmut kommunikoivat suoraan toistensa kanssa P2P-tilassa – suorat VPN-yhteydet luodaan dynaamisesti, kun dataa on siirrettävä solmujen välillä. Jokaisen verkossa olevan isännän henkilöllisyys vahvistetaan digitaalisella varmenteella, ja verkkoon liittyminen edellyttää todennusta - jokainen käyttäjä saa varmenteen, joka vahvistaa IP-osoitteen Nebula-verkossa, nimen ja isäntäryhmiin kuulumisen. Sertifikaatit allekirjoittaa sisäinen varmenneviranomainen, verkon luoja ottaa ne käyttöön tiloissaan ja niitä käytetään niiden isäntien valtuutuksen varmentamiseen, joilla on oikeus muodostaa yhteys peittoverkkoon.
Luodakseen autentikoidun, suojatun viestintäkanavan Nebula käyttää omaa tunneliprotokollaaan, joka perustuu Diffie-Hellman-avaimenvaihtoprotokollaan ja AES-256-GCM-salaukseen. Protokollatoteutus perustuu Noise-kehyksen tarjoamiin valmiisiin ja hyväksi havaittuihin primitiiveihin, joita käytetään myös projekteissa kuten WireGuard, Lightning ja I2P. Hankkeen kerrotaan käyneen läpi riippumattoman turvatarkastuksen.
Muiden solmujen löytämiseksi ja verkkoyhteyksien koordinoimiseksi luodaan erityisiä "majakkasolmuja", joiden globaalit IP-osoitteet ovat kiinteät ja verkon osallistujien tiedossa. Osallistuvia solmuja ei ole sidottu ulkoiseen IP-osoitteeseen, vaan ne tunnistetaan varmenteilla. Isäntäomistajat eivät voi tehdä muutoksia allekirjoitettuihin varmenteisiin itse, eivätkä perinteisestä IP-verkosta poiketen voi teeskennellä olevansa toinen isäntä yksinkertaisesti vaihtamalla IP-osoitetta. Kun tunneli luodaan, isännän henkilöllisyys varmistetaan henkilökohtaisella yksityisellä avaimella.
Luodulle verkolle on varattu tietty alue intranet-osoitteita (esimerkiksi 192.168.10.0/24) ja sisäiset osoitteet liitetään isäntävarmenteisiin. Overlay-verkon osallistujista voidaan muodostaa ryhmiä esimerkiksi erillisiksi palvelimiksi ja työasemiksi, joihin sovelletaan erillisiä liikenteen suodatussääntöjä. Osoitteenkääntäjien (NAT) ja palomuurien ohittamiseksi on tarjolla useita mekanismeja. On mahdollista järjestää reititys peittoverkon kautta sellaisilta kolmannen osapuolen isänniltä tulevan liikenteen kautta, jotka eivät ole osa Nebula-verkkoa (turvaton reitti).
Se tukee palomuurien luomista pääsyn erottamiseen ja liikenteen suodattamiseksi solmujen välillä Nebula overlay -verkossa. ACL-luetteloita, joissa on tunnisteen sidonta, käytetään suodattamiseen. Jokainen verkon isäntä voi määrittää omat suodatussääntönsä isäntien, ryhmien, protokollien ja verkkoporttien perusteella. Tällöin isäntiä ei suodateta IP-osoitteiden, vaan digitaalisesti allekirjoitettujen isäntätunnisteiden perusteella, joita ei voida väärentää vaarantamatta verkkoa koordinoivaa varmennekeskusta.
Uudessa julkaisussa:
- Lisätty "-raw"-lippu print-cert-komentoon tulostaakseen varmenteen PEM-esityksen.
- Lisätty tuki uudelle Linux-arkkitehtuurille riscv64.
- Lisätty kokeellinen remote_allow_ranges-asetus, joka sitoo sallittujen isäntien luettelot tiettyihin aliverkkoihin.
- Lisätty vaihtoehto pki.disconnect_invalid tunneleiden nollaamiseksi luottamuksen päättymisen tai varmenteen käyttöiän umpeutumisen jälkeen.
- Lisätty unsafe_routes -vaihtoehto. .metric määrittää painon tietylle ulkoiselle reitille.
Lähde: opennet.ru