Rilis proyek Nebula 1.5 telah tersedia, menawarkan alat untuk membangun jaringan overlay yang aman. Jaringan dapat menyatukan beberapa hingga puluhan ribu host yang terpisah secara geografis yang dihosting oleh penyedia berbeda, membentuk jaringan terisolasi terpisah di atas jaringan global. Proyek ini ditulis dalam Go dan didistribusikan di bawah lisensi MIT. Proyek ini didirikan oleh Slack, yang mengembangkan utusan perusahaan dengan nama yang sama. Mendukung Linux, FreeBSD, macOS, Windows, iOS dan Android.
Node di jaringan Nebula berkomunikasi langsung satu sama lain dalam mode P2Pβkoneksi VPN langsung dibuat secara dinamis saat data perlu ditransfer antar node. Identitas setiap host di jaringan dikonfirmasi oleh sertifikat digital, dan koneksi ke jaringan memerlukan otentikasi - setiap pengguna menerima sertifikat yang mengonfirmasi alamat IP di jaringan Nebula, nama dan keanggotaan dalam grup host. Sertifikat ditandatangani oleh otoritas sertifikasi internal, diterapkan oleh pembuat jaringan di fasilitasnya dan digunakan untuk mengesahkan otoritas host yang memiliki hak untuk terhubung ke jaringan overlay.
Untuk membuat saluran komunikasi yang terautentikasi dan aman, Nebula menggunakan protokol terowongannya sendiri berdasarkan protokol pertukaran kunci Diffie-Hellman dan sandi AES-256-GCM. Implementasi protokol didasarkan pada primitif yang sudah jadi dan terbukti yang disediakan oleh kerangka Noise, yang juga digunakan dalam proyek seperti WireGuard, Lightning, dan I2P. Proyek tersebut dikatakan telah menjalani audit keamanan independen.
Untuk menemukan node lain dan mengoordinasikan koneksi ke jaringan, node βmercusuarβ khusus dibuat, yang alamat IP globalnya ditetapkan dan diketahui oleh peserta jaringan. Node yang berpartisipasi tidak terikat pada alamat IP eksternal; mereka diidentifikasi oleh sertifikat. Pemilik host tidak dapat membuat sendiri perubahan pada sertifikat yang ditandatangani dan, tidak seperti jaringan IP tradisional, tidak dapat berpura-pura menjadi host lain hanya dengan mengubah alamat IP. Ketika terowongan dibuat, identitas host diverifikasi dengan kunci pribadi individual.
Jaringan yang dibuat dialokasikan sejumlah alamat intranet tertentu (misalnya, 192.168.10.0/24) dan alamat internal dikaitkan dengan sertifikat host. Grup dapat dibentuk dari peserta dalam jaringan overlay, misalnya, ke server dan stasiun kerja terpisah, yang menerapkan aturan pemfilteran lalu lintas terpisah. Berbagai mekanisme disediakan untuk melewati penerjemah alamat (NAT) dan firewall. Dimungkinkan untuk mengatur perutean melalui jaringan overlay lalu lintas dari host pihak ketiga yang bukan bagian dari jaringan Nebula (rute tidak aman).
Ini mendukung pembuatan firewall untuk memisahkan akses dan memfilter lalu lintas antar node di jaringan overlay Nebula. ACL dengan pengikatan tag digunakan untuk pemfilteran. Setiap host di jaringan dapat menentukan aturan pemfilterannya sendiri berdasarkan host, grup, protokol, dan port jaringan. Dalam hal ini, host difilter bukan berdasarkan alamat IP, namun berdasarkan pengidentifikasi host yang ditandatangani secara digital, yang tidak dapat dipalsukan tanpa mengorbankan pusat sertifikasi yang mengoordinasikan jaringan.
Dalam rilis baru:
- Menambahkan tanda "-raw" ke perintah print-cert untuk mencetak representasi PEM dari sertifikat.
- Menambahkan dukungan untuk arsitektur Linux baru riscv64.
- Menambahkan pengaturan remote_allow_ranges eksperimental untuk mengikat daftar host yang diizinkan ke subnet tertentu.
- Menambahkan opsi pki.disconnect_invalid untuk menyetel ulang terowongan setelah penghentian kepercayaan atau masa pakai sertifikat berakhir.
- Menambahkan opsi unsafe_routes. .metric untuk memberikan bobot pada rute eksternal tertentu.
Sumber: opennet.ru