Nebula 1.5, un proxecto que ofrece ferramentas para construír redes superpostas seguras, xa está dispoñible. A rede pode conectar desde uns poucos ata decenas de miles de hosts xeograficamente dispersos aloxados por diferentes provedores, formando unha rede separada e illada enriba da rede global. O proxecto está escrito en Go e distribúese baixo a licenza MIT. Foi fundado por Slack, a empresa detrás da aplicación de mensaxería corporativa do mesmo nome. Admite Linux, FreeBSD, macOS, Windows, iOS e Android.
Os nodos da rede Nebula interactúan entre si directamente en modo P2P: a medida que xorde a necesidade de transferir datos entre nodos, créanse dinámicamente conexións directas. VPN-conexións. A identidade de cada host na rede confírmase mediante un certificado dixital e a conexión á rede require autenticación: cada usuario recibe un certificado que confirma o seu enderezo IP na rede Nebula, o seu nome e a súa pertenza ao grupo de hosts. Os certificados asínaos unha autoridade de certificación interna, que o provedor de rede implementa localmente e utilízase para verificar a autoridade dos hosts autorizados a conectarse á rede superposta.
Para crear unha canle de comunicación autenticada e segura, Nebula emprega un protocolo de tunelización propietario baseado no protocolo de intercambio de claves Diffie-Hellman e no cifrado AES-256-GCM. A implementación do protocolo baséase en primitivas predefinidas e probadas proporcionadas polo framework Noise, que tamén se emprega en proxectos como WireGuard, Lightning e I2P. Dise que o proxecto superou unha auditoría de seguridade independente.
Para descubrir outros nodos e coordinar as conexións á rede, créanse nodos "faro" especiais, cuxos enderezos IP globais son fixos e coñecidos polos participantes da rede. Os nodos participantes non teñen ningunha vinculación co externo enderezo IP, identifícanse mediante certificados. Os propietarios dos hosts non poden modificar de forma independente os certificados asinados e, a diferenza das redes IP tradicionais, non poden suplantar outro host simplemente cambiando o enderezo IP. Ao establecer un túnel, a identidade do host confírmase mediante a súa clave privada individual.
Á rede creada asígnaselle un rango específico de enderezos de intranet (por exemplo, 192.168.10.0/24) e os enderezos internos asócianse cos certificados de host. Os participantes da rede superposta poden agruparse, por exemplo, en servidores e estacións de traballo separadas, cada unha coas súas propias regras de filtrado de tráfico. Ofrécense varios mecanismos para atravesar tradutores de enderezos de rede (NAT) e cortafuegos. Tamén é posible o enrutamento do tráfico desde hosts de terceiros que non forman parte da rede Nebula a través da rede superposta (ruta non segura).
Pódense crear cortafuegos para separar o acceso e filtrar o tráfico entre os nodos da rede superposta de Nebula. Para o filtrado utilízanse ACL con vinculación de etiquetas. Cada host da rede pode definir as súas propias regras de filtrado por host, grupo, protocolo e porto de rede. Os hosts non se filtran por enderezos IP, senón por identificadores de host asinados dixitalmente, que non se poden falsificar sen comprometer a CA que coordina a rede.
Na nova versión:
- O comando print-cert agora ten un indicador "-raw" para imprimir a representación PEM do certificado.
- Engadido soporte para a nova arquitectura Linux riscv64.
- Engadiuse a configuración experimental remote_allow_ranges para vincular as listas de hosts permitidos a subredes específicas.
- Engadiuse a opción pki.disconnect_invalid para restablecer os túneles despois de que se rompa a confianza ou expire a vida útil do certificado.
- Engadiuse a opción unsafe_routes. .metric para asignar un peso a unha ruta externa específica.
Fonte: opennet.ru
