Nebula 1.5 նախագծի թողարկումը հասանելի է, որն առաջարկում է անվտանգ ծածկույթի ցանցեր կառուցելու գործիքներ: Ցանցը կարող է միավորել մի քանիից մինչև տասնյակ հազարավոր աշխարհագրորեն առանձնացված հոսթեր, որոնք տեղակայված են տարբեր պրովայդերների կողմից՝ ձևավորելով առանձին մեկուսացված ցանց գլոբալ ցանցի վերևում: Նախագիծը գրված է Go-ում և տարածվում է MIT լիցենզիայի ներքո: Նախագիծը հիմնադրվել է Slack-ի կողմից, որը մշակում է համանուն կորպորատիվ մեսենջեր։ Աջակցում է Linux, FreeBSD, macOS, Windows, iOS և Android:
Nebula ցանցի հանգույցները ուղղակիորեն շփվում են միմյանց հետ P2P ռեժիմով. ուղղակի VPN կապերը դինամիկ կերպով ստեղծվում են, քանի որ անհրաժեշտ է տվյալներ փոխանցել հանգույցների միջև: Ցանցի յուրաքանչյուր հոսթի ինքնությունը հաստատվում է թվային վկայականով, իսկ ցանցին միանալը պահանջում է նույնականացում. յուրաքանչյուր օգտվող ստանում է վկայագիր, որը հաստատում է IP հասցեն Nebula ցանցում, անունը և անդամակցությունը հյուրընկալող խմբերին: Հավաստագրերը ստորագրվում են սերտիֆիկացման ներքին մարմնի կողմից, որոնք տեղակայվում են ցանցի ստեղծողի կողմից իր հաստատություններում և օգտագործվում են հավաստագրելու այն հոսթինգների լիազորությունները, որոնք իրավունք ունեն միանալու ծածկույթի ցանցին:
Նույնականացված, անվտանգ հաղորդակցման ալիք ստեղծելու համար Nebula-ն օգտագործում է իր սեփական թունելային արձանագրությունը՝ հիմնված Diffie-Hellman բանալիների փոխանակման արձանագրության և AES-256-GCM ծածկագրի վրա: Արձանագրության իրականացումը հիմնված է Noise Framework-ի կողմից տրամադրված պատրաստի և ապացուցված պարզունակության վրա, որն օգտագործվում է նաև այնպիսի նախագծերում, ինչպիսիք են WireGuard-ը, Lightning-ը և I2P-ը: Նշվում է, որ նախագիծն անցել է անվտանգության անկախ աուդիտ:
Այլ հանգույցներ հայտնաբերելու և ցանցի հետ կապերը համակարգելու համար ստեղծվում են հատուկ «փարոս» հանգույցներ, որոնց գլոբալ IP հասցեները ֆիքսված են և հայտնի են ցանցի մասնակիցներին։ Մասնակից հանգույցները կապված չեն արտաքին IP հասցեի հետ, դրանք ճանաչվում են վկայագրերով: Հոսթի սեփականատերերը չեն կարող ինքնուրույն փոփոխություններ կատարել ստորագրված վկայագրերում և, ի տարբերություն ավանդական IP ցանցերի, չեն կարող ձևանալ որպես այլ հոսթ՝ պարզապես փոխելով IP հասցեն: Երբ թունել է ստեղծվում, հյուրընկալողի ինքնությունը ստուգվում է անհատական մասնավոր բանալիով:
Ստեղծված ցանցին հատկացվում է ներցանցային հասցեների որոշակի տիրույթ (օրինակ՝ 192.168.10.0/24), իսկ ներքին հասցեները կապված են հոսթի վկայականների հետ։ Խմբերը կարող են ձևավորվել ծածկույթի ցանցի մասնակիցներից, օրինակ՝ առանձին սերվերներ և աշխատատեղեր, որոնց նկատմամբ կիրառվում են երթեւեկության զտման առանձին կանոններ։ Տարբեր մեխանիզմներ են տրամադրվում հասցեների թարգմանիչները (NAT) և firewalls-ը շրջանցելու համար: Հնարավոր է կազմակերպել երթուղիներ երթևեկության ծածկույթի ցանցի միջոցով երրորդ կողմի հյուրընկալողներից, որոնք Nebula ցանցի մաս չեն կազմում (անապահով երթուղի):
Այն աջակցում է firewalls-ի ստեղծմանը, որպեսզի բաժանեն մուտքը և զտեն տրաֆիկը Nebula ծածկույթի ցանցի հանգույցների միջև: Ֆիլտրման համար օգտագործվում են պիտակների կապով ACL-ները: Ցանցի յուրաքանչյուր հոսթ կարող է սահմանել իր զտման կանոնները՝ հիմնվելով հոսթների, խմբերի, արձանագրությունների և ցանցի նավահանգիստների վրա: Այս դեպքում հոսթները զտվում են ոչ թե IP հասցեներով, այլ թվային ստորագրված հոսթի նույնացուցիչներով, որոնք չեն կարող կեղծվել առանց ցանցը համակարգող սերտիֆիկացման կենտրոնի վտանգի:
Նոր թողարկումում.
- Print-cert հրամանին ավելացվել է «-raw» դրոշ՝ վկայագրի PEM ներկայացումը տպելու համար:
- Ավելացվեց աջակցություն Linux-ի նոր riscv64 ճարտարապետության համար:
- Ավելացվեց փորձնական remote_allow_ranges կարգավորում՝ թույլատրված հոսթինգների ցուցակները որոշակի ենթացանցերին կապելու համար:
- Ավելացվեց pki.disconnect_invalid տարբերակ՝ վստահության դադարեցումից կամ վկայագրի գործողության ժամկետը լրանալուց հետո թունելները վերականգնելու համար:
- Ավելացվեց unsafe_routes տարբերակ:.metric՝ որոշակի արտաքին երթուղու կշիռը սահմանելու համար:
Source: opennet.ru