Dostupno je izdanje projekta Nebula 1.5 koji nudi alate za izgradnju sigurnih preklapajućih mreža. Mreža može ujediniti od nekoliko do desetaka tisuća geografski odvojenih hostova koje hostiraju različiti pružatelji usluga, tvoreći zasebnu izoliranu mrežu na vrhu globalne mreže. Projekt je napisan u Go-u i distribuiran pod licencom MIT-a. Projekt je osnovao Slack, koji razvija istoimeni korporativni glasnik. Podržava Linux, FreeBSD, macOS, Windows, iOS i Android.
Čvorovi na mreži Nebula komuniciraju izravno jedni s drugima u P2P načinu rada—izravne VPN veze se dinamički stvaraju kako se podaci trebaju prenijeti između čvorova. Identitet svakog hosta na mreži potvrđuje se digitalnim certifikatom, a spajanje na mrežu zahtijeva autentifikaciju – svaki korisnik dobiva certifikat koji potvrđuje IP adresu u Nebula mreži, ime i članstvo u host grupama. Certifikate potpisuje interno certifikacijsko tijelo, postavlja kreator mreže u svojim objektima i koristi ih za certifikaciju ovlasti hostova koji imaju pravo povezivanja na preklapajuću mrežu.
Za stvaranje autentificiranog, sigurnog komunikacijskog kanala, Nebula koristi vlastiti tunelski protokol temeljen na Diffie-Hellman protokolu za razmjenu ključeva i AES-256-GCM šifri. Implementacija protokola temelji se na gotovim i provjerenim primitivima koje pruža Noise framework, koji se također koristi u projektima kao što su WireGuard, Lightning i I2P. Rečeno je da je projekt prošao neovisnu sigurnosnu reviziju.
Kako bi se otkrili drugi čvorovi i koordinirale veze s mrežom, stvaraju se posebni "svjetionici" čvorovi čije su globalne IP adrese fiksne i poznate sudionicima mreže. Čvorovi koji sudjeluju nisu vezani za vanjsku IP adresu; oni se identificiraju certifikatima. Vlasnici hostova ne mogu sami mijenjati potpisane certifikate i, za razliku od tradicionalnih IP mreža, ne mogu se pretvarati da su drugi host jednostavnom promjenom IP adrese. Kada se stvori tunel, identitet glavnog računala se provjerava pojedinačnim privatnim ključem.
Stvorenoj mreži dodijeljen je određeni raspon intranetskih adresa (na primjer, 192.168.10.0/24), a interne adrese pridružene su certifikatima glavnog računala. Grupe se mogu formirati od sudionika u preklopnoj mreži, na primjer, za odvajanje poslužitelja i radnih stanica, na koje se primjenjuju zasebna pravila za filtriranje prometa. Postoje različiti mehanizmi za zaobilaženje prevoditelja adresa (NAT) i vatrozida. Moguće je organizirati usmjeravanje kroz preklopnu mrežu prometa s hostova trećih strana koji nisu dio mreže Nebula (nesigurna ruta).
Podržava stvaranje vatrozida za odvajanje pristupa i filtriranje prometa između čvorova u mreži preklapanja Nebula. Za filtriranje se koriste ACL-ovi s vezanjem oznaka. Svaki host na mreži može definirati vlastita pravila filtriranja na temelju hostova, grupa, protokola i mrežnih priključaka. U ovom slučaju, hostovi se ne filtriraju prema IP adresama, već prema digitalno potpisanim identifikatorima hostova, koji se ne mogu krivotvoriti bez ugrožavanja certifikacijskog centra koji koordinira mrežom.
U novom izdanju:
- Dodana je oznaka "-raw" naredbi print-cert za ispis PEM reprezentacije certifikata.
- Dodana podrška za novu Linux arhitekturu riscv64.
- Dodana je eksperimentalna postavka remote_allow_ranges za povezivanje popisa dopuštenih hostova s određenim podmrežama.
- Dodana opcija pki.disconnect_invalid za resetiranje tunela nakon prekida povjerenja ili isteka životnog vijeka certifikata.
- Dodana opcija unsafe_routes..metric za postavljanje težine određene vanjske rute.
Izvor: opennet.ru