Rilis proyek Nebula 1.5 kasedhiya, nawakake alat kanggo mbangun jaringan overlay sing aman. Jaringan kasebut bisa nggabungake saka sawetara nganti puluhan ewu host sing dipisahake sacara geografis sing dianakake dening panyedhiya sing beda-beda, mbentuk jaringan terisolasi sing kapisah ing ndhuwur jaringan global. Proyek kasebut ditulis ing Go lan disebarake miturut lisensi MIT. Proyèk iki diadegaké déning Slack, sing ngembangake utusan perusahaan kanthi jeneng sing padha. Ndhukung Linux, FreeBSD, macOS, Windows, iOS lan Android.
Node ing jaringan Nebula komunikasi langsung karo siji liyane ing mode P2P-sambungan VPN langsung digawe kanthi dinamis amarga data kudu ditransfer antarane simpul. Identitas saben host ing jaringan kasebut dikonfirmasi kanthi sertifikat digital, lan nyambungake menyang jaringan mbutuhake otentikasi - saben pangguna nampa sertifikat sing ngonfirmasi alamat IP ing jaringan Nebula, jeneng lan anggota ing grup inang. Sertifikat ditandatangani dening panguwasa sertifikasi internal, disebarake dening panyipta jaringan ing fasilitas lan digunakake kanggo nandhakake wewenang host sing duwe hak kanggo nyambung menyang jaringan overlay.
Kanggo nggawe saluran komunikasi sing aman lan aman, Nebula nggunakake protokol terowongan dhewe adhedhasar protokol pertukaran kunci Diffie-Hellman lan cipher AES-256-GCM. Implementasi protokol kasebut adhedhasar primitif sing wis siap lan bukti sing diwenehake dening kerangka Noise, sing uga digunakake ing proyek kayata WireGuard, Lightning lan I2P. Proyèk kasebut diarani wis ngalami audit keamanan independen.
Kanggo nemokake simpul liyane lan koordinasi sambungan menyang jaringan, simpul khusus "merusu" digawe, alamat IP global sing tetep lan dikenal kanggo peserta jaringan. Node sing melu ora kaiket karo alamat IP eksternal sing diidentifikasi kanthi sertifikat. Pamilik host ora bisa nggawe owah-owahan ing sertifikat sing ditandatangani dhewe lan, ora kaya jaringan IP tradisional, ora bisa pura-pura dadi host liyane mung kanthi ngganti alamat IP. Nalika trowongan digawe, identitas host diverifikasi nganggo kunci pribadi individu.
Jaringan sing digawe diparengake sawetara alamat intranet tartamtu (contone, 192.168.10.0/24) lan alamat internal digandhengake karo sertifikat host. Grup bisa dibentuk saka peserta ing jaringan overlay, contone, kanggo misahake server lan workstation, sing ditrapake aturan nyaring lalu lintas sing kapisah. Macem-macem mekanisme diwenehake kanggo ngliwati penerjemah alamat (NAT) lan firewall. Sampeyan bisa ngatur rute liwat jaringan overlay lalu lintas saka host pihak katelu sing dudu bagean saka jaringan Nebula (rute ora aman).
Ndhukung nggawe firewall kanggo misahake akses lan nyaring lalu lintas antarane simpul ing jaringan overlay Nebula. ACLs karo tag naleni digunakake kanggo nyaring. Saben host ing jaringan bisa nemtokake aturan nyaring dhewe adhedhasar host, grup, protokol, lan port jaringan. Ing kasus iki, host disaring ora dening alamat IP, nanging dening digital mlebu identifier host, kang ora bisa palsu tanpa kompromi pusat sertifikasi koordinasi jaringan.
Ing release anyar:
- Nambahake gendera "-raw" menyang print-cert printah kanggo nyithak perwakilan PEM sertifikat.
- Dhukungan tambahan kanggo arsitektur Linux anyar riscv64.
- Nambahake setelan remote_allow_ranges eksperimen kanggo ngiket dhaptar host sing diidini menyang subnet tartamtu.
- Nambahake pilihan pki.disconnect_invalid kanggo ngreset trowongan sawise mandap kapercayan utawa umur sertifikat kadaluwarsa.
- Nambahake opsi unsafe_routes. .metrik kanggo nemtokake bobot menyang rute njaba tartamtu.
Source: opennet.ru