Nebula 1.5 նախագիծը, որն առաջարկում է անվտանգ վերադրվող ցանցեր կառուցելու գործիքներ, այժմ հասանելի է։ Ցանցը կարող է միացնել մի քանիից մինչև տասնյակ հազարավոր աշխարհագրորեն ցրված հոսթեր, որոնք հյուրընկալվում են տարբեր մատակարարների կողմից՝ ձևավորելով առանձին, մեկուսացված ցանց գլոբալ ցանցի վերևում։ Նախագիծը գրված է Go լեզվով և տարածվում է MIT լիցենզիայով։ Այն հիմնադրվել է Slack-ի կողմից, որը ստեղծել է համանուն կորպորատիվ հաղորդագրությունների հավելվածը։ Այն աջակցում է Linux, FreeBSD, macOS, Windows, iOS և Android.
Nebula ցանցի հանգույցները միմյանց հետ փոխազդում են անմիջապես P2P ռեժիմով. հանգույցների միջև տվյալներ փոխանցելու անհրաժեշտության դեպքում դինամիկ կերպով ստեղծվում են ուղիղ կապեր։ VPN-կապեր։ Ցանցում յուրաքանչյուր հոսթի ինքնությունը հաստատվում է թվային վկայականով, և ցանցին միանալու համար անհրաժեշտ է նույնականացում. յուրաքանչյուր օգտատեր ստանում է վկայական, որը հաստատում է իր IP հասցեն Nebula ցանցում, իր անունը և հոսթ խմբի անդամակցությունը։ Վկայականները ստորագրվում են ներքին վկայագրման մարմնի կողմից, տեղադրվում են ցանցային մատակարարի կողմից տեղում և օգտագործվում են վերադրված ցանցին միանալու լիազորություն ունեցող հոսթերի լիազորությունները ստուգելու համար։
Հաստատված, անվտանգ կապի ալիք ստեղծելու համար Nebula-ն օգտագործում է Դիֆի-Հելմանի բանալիների փոխանակման արձանագրության և AES-256-GCM գաղտնագրի վրա հիմնված սեփական թունելային արձանագրություն: Արձանագրության իրականացումը հիմնված է Noise framework-ի կողմից տրամադրված պատրաստի և փորձարկված պրիմիտիվների վրա, որը նաև օգտագործվում է այնպիսի նախագծերում, ինչպիսիք են՝ WireGuard, Lightning և I2P: Ասում են, որ նախագիծն անցել է անկախ անվտանգության աուդիտ:
Այլ հանգույցներ հայտնաբերելու և ցանցին կապերը համակարգելու համար ստեղծվում են հատուկ «փարոս» հանգույցներ, որոնց գլոբալ IP հասցեները ֆիքսված են և հայտնի են ցանցի մասնակիցներին: Մասնակից հանգույցները կապ չունեն արտաքին հանգույցի հետ: IP հասցե, դրանք նույնականացվում են վկայագրերով: Հոսթի սեփականատերերը չեն կարող ինքնուրույն փոփոխել ստորագրված վկայագրերը և, ի տարբերություն ավանդական IP ցանցերի, չեն կարող կրկնօրինակել մեկ այլ հոսթին՝ պարզապես փոխելով IP հասցեն: Թունել ստեղծելիս հոսթի ինքնությունը հաստատվում է նրա անհատական մասնավոր բանալիով:
Ստեղծվող ցանցին հատկացվում է ներցանցային հասցեների որոշակի միջակայք (օրինակ՝ 192.168.10.0/24), և ներքին հասցեները կապված են հոսթի վկայականների հետ։ Վերադրվող ցանցի մասնակիցները կարող են խմբեր կազմել, օրինակ՝ սերվերներն ու աշխատանքային կայանները առանձնացնելու համար, որոնց նկատմամբ կիրառվում են երթևեկության զտման առանձին կանոններ։ Ցանցային հասցեների թարգմանությունը (NAT) և firewall-ները շրջանցելու համար տրամադրվում են տարբեր մեխանիզմներ։ Հնարավոր է կազմակերպել Nebula ցանցի մաս չհանդիսացող երրորդ կողմի հոսթերից երթևեկության երթուղայնացում (անվտանգ երթուղի):
Աջակցում է firewall-ների ստեղծմանը՝ Nebula ծածկույթի ցանցի հանգույցների միջև մուտքը առանձնացնելու և երթևեկությունը զտելու համար։ Ֆիլտրման համար օգտագործվում են թեգերի կապմամբ ACL-ներ։ Ցանցի յուրաքանչյուր հոսթ կարող է սահմանել իր սեփական զտման կանոնները՝ ըստ հոսթերի, խմբերի, արձանագրությունների և ցանցային պորտերի։ Այս դեպքում հոսթերը զտվում են ոչ թե IP հասցեներով, այլ թվային ստորագրությամբ հոսթերի նույնականացուցիչներով, որոնք չեն կարող կեղծվել առանց ցանցը համակարգող հավաստագրման մարմնին վտանգելու։
Նոր թողարկումում.
- print-cert հրամանն այժմ ունի «-raw» դրոշակ՝ վկայականի PEM ներկայացումը տպելու համար։
- Ավելացված աջակցություն նոր ճարտարապետության համար Linux riscv64.
- Ավելացվել է remote_allow_ranges փորձարարական կարգավորումը՝ թույլատրված հոսթերի ցուցակները որոշակի ենթացանցերի հետ կապելու համար։
- Ավելացվել է pki.disconnect_invalid տարբերակը՝ թունելները վերականգնելու համար, երբ վստահությունը խզվում է կամ վկայագրի ժամկետը լրանում է։
- Ավելացվել է unsafe_routes տարբերակը։ .metric՝ որոշակի արտաքին երթուղուն կշիռ վերագրելու համար։
Source: opennet.ru
