Elérhető a Nebula 1.5 projekt kiadása, amely eszközöket kínál biztonságos overlay hálózatok építéséhez. A hálózat több tízezer földrajzilag elkülönült gazdagéptől egyesíthet, amelyeket különböző szolgáltatók hosztolnak, különálló, elszigetelt hálózatot alkotva a globális hálózat tetején. A projekt Go nyelven íródott, és az MIT licence alatt terjeszthető. A projektet a Slack alapította, amely egy azonos nevű vállalati hírnököt fejleszt. Támogatja a Linuxot, a FreeBSD-t, a macOS-t, a Windowst, az iOS-t és az Androidot.
A Nebula hálózat csomópontjai közvetlenül kommunikálnak egymással P2P módban – a közvetlen VPN-kapcsolatok dinamikusan jönnek létre, mivel adatokat kell átvinni a csomópontok között. A hálózaton lévő minden host személyazonosságát digitális tanúsítvány erősíti meg, a hálózathoz való csatlakozáshoz pedig hitelesítés szükséges - minden felhasználó kap egy tanúsítványt, amely megerősíti a Nebula hálózatban található IP-címet, a nevet és a gazdagépcsoportokhoz való tartozást. A tanúsítványokat egy belső hitelesítő hatóság írja alá, a hálózat létrehozója telepíti a létesítményeiben, és az átfedő hálózathoz csatlakozási joggal rendelkező gazdagépek jogosultságának igazolására szolgál.
A hitelesített, biztonságos kommunikációs csatorna létrehozásához a Nebula saját alagútprotokollját használja, amely a Diffie-Hellman kulcscsere protokollon és az AES-256-GCM rejtjelen alapul. A protokoll megvalósítása a Noise keretrendszer által biztosított kész és bevált primitíveken alapul, amelyet olyan projektekben is használnak, mint a WireGuard, a Lightning és az I2P. Állítólag a projektet független biztonsági auditnak vetették alá.
Más csomópontok felfedezéséhez és a hálózathoz fűződő kapcsolatok koordinálásához speciális „világítótorony” csomópontok jönnek létre, amelyek globális IP-címe rögzített és a hálózat résztvevői számára ismert. A részt vevő csomópontok nincsenek külső IP-címhez kötve, hanem tanúsítványok azonosítják őket. A gazdagéptulajdonosok nem módosíthatják maguk az aláírt tanúsítványokat, és a hagyományos IP-hálózatokkal ellentétben nem tehetnek úgy, mintha egy másik gazdagépek lennének, egyszerűen az IP-cím megváltoztatásával. Alagút létrehozásakor a gazdagép identitását egy egyéni privát kulccsal ellenőrzik.
A létrehozott hálózathoz az intranetes címek bizonyos tartománya van hozzárendelve (például 192.168.10.0/24), és a belső címek gazdatanúsítványokhoz vannak társítva. Az overlay hálózat résztvevőiből csoportok alakíthatók, például külön szerverekké és munkaállomásokká, amelyekre külön forgalomszűrési szabályok vonatkoznak. Különféle mechanizmusok állnak rendelkezésre a címfordítók (NAT) és a tűzfalak megkerülésére. Lehetőség van a Nebula hálózathoz nem tartozó, harmadik féltől származó forgalom átfedési hálózatán keresztül történő útválasztás megszervezésére (nem biztonságos útvonal).
Támogatja a tűzfalak létrehozását a Nebula overlay hálózat csomópontjai közötti forgalom elkülönítésére és szűrésére. A szűréshez a címkekötéssel rendelkező ACL-eket használják. A hálózat minden állomása meghatározhatja saját szűrési szabályait a gazdagépek, csoportok, protokollok és hálózati portok alapján. Ebben az esetben a gazdagépeket nem IP-címek, hanem digitálisan aláírt állomásazonosítók szűrik, amelyek nem hamisíthatók a hálózatot koordináló hitelesítési központ veszélyeztetése nélkül.
Az új kiadásban:
- A "-raw" jelző hozzáadása a print-cert parancshoz a tanúsítvány PEM reprezentációjának kinyomtatásához.
- Az új Linux architektúra riscv64 támogatása hozzáadva.
- Kísérleti remote_allow_ranges beállítás hozzáadva az engedélyezett gazdagépek listáinak meghatározott alhálózatokhoz.
- A pki.disconnect_invalid beállítás hozzáadva az alagutak alaphelyzetbe állításához a bizalom megszűnése vagy a tanúsítvány élettartama lejárta után.
- Hozzáadott unsafe_routes opció. .metric egy adott külső útvonal súlyozásához.
Forrás: opennet.ru