Útgáfa Nebula 1.5 verkefnisins er í boði, sem býður upp á verkfæri til að byggja upp örugg yfirborðsnet. Netið getur sameinað frá nokkrum upp í tugþúsundir landfræðilega aðskilda gestgjafa sem hýst eru af mismunandi veitendum og myndað sérstakt einangrað net ofan á alþjóðlega netið. Verkefnið er skrifað í Go og dreift undir MIT leyfinu. Verkefnið var stofnað af Slack, sem þróar samnefndan boðbera fyrirtækja. Styður Linux, FreeBSD, macOS, Windows, iOS og Android.
Hnútar á Nebula netinu hafa bein samskipti sín á milli í P2P ham - beinar VPN tengingar eru búnar til á kraftmikinn hátt þar sem flytja þarf gögn á milli hnúta. Auðkenni hvers hýsils á netinu er staðfest með stafrænu skilríki og tenging við netið krefst auðkenningar - hver notandi fær vottorð sem staðfestir IP tölu í Nebula netinu, nafn og aðild að hýsilhópum. Vottorð eru undirrituð af innri vottunaryfirvaldi, dreift af netframleiðandanum á aðstöðu sinni og notuð til að votta heimildir gestgjafa sem hafa rétt til að tengjast yfirlagsnetinu.
Til að búa til staðfesta, örugga samskiptarás notar Nebula sína eigin göngasamskiptareglur byggðar á Diffie-Hellman lyklaskiptareglunum og AES-256-GCM dulmálinu. Samskiptareglur innleiðingin byggir á tilbúnum og sannreyndum frumstæðum sem Noise ramma gefur til, sem einnig er notað í verkefnum eins og WireGuard, Lightning og I2P. Verkefnið er sagt hafa farið í gegnum óháða öryggisúttekt.
Til að uppgötva aðra hnúta og samræma tengingar við netið, eru búnir til sérstakir „vita“ hnútar, alheims IP tölur þeirra eru fastar og þekktar fyrir þátttakendur netsins. Hnútar sem taka þátt eru ekki bundnir ytri IP tölu; þeir eru auðkenndir með vottorðum. Hýsingareigendur geta ekki gert breytingar á undirrituðum skilríkjum á eigin spýtur og, ólíkt hefðbundnum IP netkerfum, geta þeir ekki þykjast vera annar gestgjafi einfaldlega með því að breyta IP tölunni. Þegar göng eru búin til er auðkenni gestgjafans staðfest með einstökum einkalykli.
Hinu stofnaða neti er úthlutað ákveðnu úrvali innra netfanga (til dæmis 192.168.10.0/24) og innri vistföngin eru tengd hýsilvottorðum. Hægt er að mynda hópa úr þátttakendum í yfirlagsnetinu, til dæmis til aðskildra netþjóna og vinnustöðva, sem aðskildum umferðarsíureglum er beitt á. Ýmsar aðferðir eru til staðar til að komast framhjá heimilisfangaþýðendum (NAT) og eldveggi. Það er hægt að skipuleggja leið í gegnum yfirborðsnet umferðar frá þriðja aðila vélum sem eru ekki hluti af Nebula netinu (óörugg leið).
Það styður stofnun eldvegga til að aðgreina aðgang og sía umferð á milli hnúta í Nebula yfirlagsnetinu. ACL með merkibindingu eru notuð til að sía. Hver gestgjafi á netinu getur skilgreint sínar eigin síunarreglur byggðar á vélum, hópum, samskiptareglum og netgáttum. Í þessu tilviki eru vélar síaðir ekki eftir IP-tölum, heldur með stafrænt undirrituðum hýsilkennum, sem ekki er hægt að falsa án þess að skerða vottunarmiðstöðina sem samhæfir netið.
Í nýju útgáfunni:
- Bætti "-hrá" fána við print-cert skipunina til að prenta PEM framsetningu vottorðsins.
- Bætti við stuðningi við nýja Linux arkitektúr riscv64.
- Bætti við tilraunastillingu fyrir remote_allow_ranges til að binda lista yfir leyfða hýsa við ákveðin undirnet.
- Pki.disconnect_invalid valkostur bætt við til að endurstilla göng eftir lokun trausts eða líftíma vottorðs rennur út.
- Bætti við óöruggum_leiðum valkostinum. .mæling til að úthluta þyngd á tiltekna ytri leið.
Heimild: opennet.ru