De frijlitting fan it Nebula 1.5-projekt is beskikber, en biedt ark foar it bouwen fan feilige overlay-netwurken. It netwurk kin ferienigje fan ferskate oant tsientûzenen geografysk skieden hosts hosted troch ferskate providers, it foarmjen fan in apart isolearre netwurk boppe op it globale netwurk. It projekt is skreaun yn Go en ferspraat ûnder de MIT-lisinsje. It projekt waard oprjochte troch Slack, dy't in bedriuwsmessenger mei deselde namme ûntwikkelet. Unterstützt Linux, FreeBSD, macOS, Windows, iOS en Android.
Knooppunten op it Nebula-netwurk kommunisearje direkt mei elkoar yn P2P-modus - direkte VPN-ferbiningen wurde dynamysk makke as gegevens moatte wurde oerdroegen tusken knopen. De identiteit fan elke host op it netwurk wurdt befêstige troch in digitaal sertifikaat, en ferbining mei it netwurk fereasket autentikaasje - elke brûker krijt in sertifikaat dat it IP-adres yn it Nebula-netwurk befêstiget, namme en lidmaatskip yn hostgroepen. Sertifikaten wurde tekene troch in ynterne sertifisearringsautoriteit, ynset troch de netwurkskepper by har fasiliteiten en brûkt om de autoriteit te sertifisearje fan hosts dy't it rjocht hawwe om te ferbinen mei it overlay-netwurk.
Om in authentisearre, feilich kommunikaasjekanaal te meitsjen, brûkt Nebula syn eigen tunnelprotokol basearre op it Diffie-Hellman-kaai-útwikselprotokol en it AES-256-GCM-sifer. De protokol-ymplemintaasje is basearre op ready-made en bewezen primitives levere troch it Noise-ramt, dat ek brûkt wurdt yn projekten lykas WireGuard, Lightning en I2P. It projekt soe in ûnôfhinklike feiligenskontrôle hawwe ûndergien.
Om oare knooppunten te ûntdekken en ferbiningen mei it netwurk te koördinearjen, wurde spesjale "fjoertoer" knopen makke, wêrfan de globale IP-adressen fêst binne en bekend binne foar netwurkdielnimmers. Dielnimmende knopen binne net bûn oan in ekstern IP-adres; se wurde identifisearre troch sertifikaten. Hosteigners kinne net op har eigen wizigingen meitsje oan ûndertekene sertifikaten en kinne, yn tsjinstelling ta tradisjonele IP-netwurken, net pretendearje as in oare host troch gewoan it IP-adres te feroarjen. As in tunnel wurdt makke, wurdt de identiteit fan de host ferifiearre mei in yndividuele privee kaai.
It oanmakke netwurk wurdt in bepaald berik fan intranetadressen tawiisd (bygelyks 192.168.10.0/24) en de ynterne adressen wurde ferbûn mei hostsertifikaten. Groepen kinne wurde foarme út dielnimmers yn it overlay netwurk, bygelyks, te skieden tsjinners en wurkstasjons, dêr't aparte ferkear filtering regels tapast wurde. Ferskate meganismen wurde levere om adresoersetters (NAT's) en firewalls te omgean. It is mooglik om routing te organisearjen fia it overlay-netwurk fan ferkear fan hosts fan tredden dy't gjin diel útmeitsje fan it Nebula-netwurk (ûnfeilige rûte).
It stipet it meitsjen fan firewalls om tagong te skieden en ferkear te filterjen tusken knooppunten yn it Nebula-overlay-netwurk. ACL's mei tagbinding wurde brûkt foar filterjen. Elke host op it netwurk kin syn eigen filterregels definiearje op basis fan hosts, groepen, protokollen en netwurkports. Yn dit gefal wurde hosts filtere net troch IP-adressen, mar troch digitaal ûndertekene host-identifikaasjes, dy't net kinne wurde smeid sûnder it sertifisearringssintrum te kompromittearjen dat it netwurk koördinearret.
Yn de nije release:
- In "-raw" flagge tafoege oan it print-cert kommando om de PEM-fertsjintwurdiging fan it sertifikaat te printsjen.
- Stipe tafoege foar de nije Linux-arsjitektuer riscv64.
- In eksperimintele remote_allow_ranges-ynstelling tafoege om listen fan tastiene hosts te binen oan spesifike subnetten.
- Tafoege pki.disconnect_invalid opsje foar in reset tunnels nei trust beëiniging of sertifikaat lifetime ferrint.
- Unsafe_routes opsje tafoege. .metric om gewicht te jaan oan in spesifike eksterne rûte.
Boarne: opennet.ru