שחרור של Nebula 1.5, מערכת ליצירת רשתות כיסוי P2P

השחרור של פרויקט Nebula 1.5 זמין, ומציע כלים לבניית רשתות שכבת-על מאובטחות. הרשת יכולה לאחד בין כמה עד עשרות אלפי מארחים מופרדים גיאוגרפית המתארחים אצל ספקים שונים, וליצור רשת נפרדת מבודדת על גבי הרשת הגלובלית. הפרויקט כתוב ב-Go ומופץ תחת רישיון MIT. הפרויקט הוקם על ידי Slack, המפתחת מסנג'ר תאגידי באותו שם. תומך בלינוקס, FreeBSD, macOS, Windows, iOS ו- Android.

צמתים ברשת Nebula מתקשרים ישירות זה עם זה במצב P2P - חיבורי VPN ישירים נוצרים באופן דינמי כאשר יש צורך להעביר נתונים בין צמתים. זהותו של כל מארח ברשת מאושרת על ידי תעודה דיגיטלית, והחיבור לרשת מצריך אימות - כל משתמש מקבל תעודה המאשרת את כתובת ה-IP ברשת Nebula, שם וחברות בקבוצות מארחות. אישורים חתומים על ידי רשות אישורים פנימית, פרוסים על ידי יוצר הרשת במתקניו ומשמשים לאשר את הסמכות של מארחים בעלי זכות להתחבר לרשת העל.

כדי ליצור ערוץ תקשורת מאובטח ומאובטח, Nebula משתמשת בפרוטוקול מנהרה משלה המבוסס על פרוטוקול חילופי המפתחות Diffie-Hellman וצופן AES-256-GCM. הטמעת הפרוטוקול מבוססת על פרימיטיבים מוכנים ומוכחים המסופקים על ידי ה-Noise framework, המשמשת גם בפרויקטים כמו WireGuard, Lightning ו-I2P. נאמר כי הפרויקט עבר ביקורת אבטחה עצמאית.

כדי לגלות צמתים אחרים ולתאם חיבורים לרשת, נוצרים צמתים מיוחדים של "מגדלור", שכתובות ה-IP הגלובאליות שלהם קבועות ומוכרות למשתתפי הרשת. הצמתים המשתתפים אינם קשורים לכתובת IP חיצונית; הם מזוהים על ידי אישורים. בעלי מארחים אינם יכולים לבצע שינויים באישורים חתומים בעצמם, ובניגוד לרשתות IP מסורתיות, אינם יכולים להעמיד פנים שהם מארח אחר פשוט על ידי שינוי כתובת ה-IP. כאשר נוצרת מנהרה, זהות המארח מאומתת באמצעות מפתח פרטי אישי.

לרשת שנוצרה מוקצה טווח מסוים של כתובות אינטראנט (לדוגמה, 192.168.10.0/24) והכתובות הפנימיות משויכות לאישורי מארח. ניתן ליצור קבוצות ממשתתפים ברשת שכבת-העל, למשל, לשרתים ותחנות עבודה נפרדות, שעליהם מוחלים כללי סינון תעבורה נפרדים. מנגנונים שונים מסופקים לעקוף מתרגמי כתובות (NATs) וחומות אש. אפשר לארגן ניתוב דרך רשת העל של תעבורה ממארחים של צד שלישי שאינם חלק מרשת Nebula (מסלול לא בטוח).

הוא תומך ביצירת חומות אש להפרדת גישה וסינון תעבורה בין צמתים ברשת שכבת-העל של Nebula. ACLs עם קשירת תגים משמשים לסינון. כל מארח ברשת יכול להגדיר כללי סינון משלו בהתבסס על מארחים, קבוצות, פרוטוקולים ויציאות רשת. במקרה זה, המארחים מסוננים לא לפי כתובות IP, אלא לפי מזהי מארחים חתומים דיגיטלית, שלא ניתן לזייף מבלי לפגוע במרכז ההסמכה המתאם את הרשת.

במהדורה החדשה:

• נוסף דגל "-raw" לפקודת print-cert כדי להדפיס את ייצוג ה-PEM של התעודה.
• נוספה תמיכה בארכיטקטורת לינוקס החדשה riscv64.
• נוספה הגדרה ניסיונית של remote_allow_ranges כדי לאגד רשימות של מארחים מורשים לרשתות משנה ספציפיות.
• נוספה אפשרות pki.disconnect_invalid לאיפוס מנהרות לאחר סיום האמון או תום חיי האישור.
• נוספה אפשרות unsafe_routes. .מטרי להקצאת משקל למסלול חיצוני ספציפי.

מקור: OpenNet.ru