Ir-rilaxx tal-proġett Nebula 1.5 huwa disponibbli, li joffri għodod għall-bini ta 'netwerks ta' overlay sikuri. In-netwerk jista 'jgħaqqad minn diversi għal għexieren ta' eluf ta 'hosts separati ġeografikament ospitati minn fornituri differenti, li jiffurmaw netwerk iżolat separat fuq in-netwerk globali. Il-proġett huwa miktub f'Go u mqassam taħt il-liċenzja tal-MIT. Il-proġett twaqqaf minn Slack, li jiżviluppa messaġġier korporattiv bl-istess isem. Jappoġġja Linux, FreeBSD, macOS, Windows, iOS u Android.
In-nodi fuq in-netwerk Nebula jikkomunikaw direttament ma 'xulxin fil-mod P2P—konnessjonijiet VPN diretti jinħolqu b'mod dinamiku peress li d-dejta trid tiġi trasferita bejn in-nodi. L-identità ta 'kull ospitanti fuq in-netwerk hija kkonfermata minn ċertifikat diġitali, u l-konnessjoni man-netwerk teħtieġ awtentikazzjoni - kull utent jirċievi ċertifikat li jikkonferma l-indirizz IP fin-netwerk Nebula, isem u sħubija fi gruppi ospitanti. Iċ-ċertifikati huma ffirmati minn awtorità ta 'ċertifikazzjoni interna, skjerati mill-kreatur tan-netwerk fil-faċilitajiet tiegħu u użati biex jiċċertifikaw l-awtorità ta' hosts li għandhom id-dritt li jgħaqqdu man-netwerk overlay.
Biex toħloq kanal ta 'komunikazzjoni awtentikat u sigur, Nebula juża l-protokoll tal-mina tiegħu stess ibbażat fuq il-protokoll ta' skambju taċ-ċavetta Diffie-Hellman u ċ-ċifra AES-256-GCM. L-implimentazzjoni tal-protokoll hija bbażata fuq primittivi lesti u ppruvati pprovduti mill-qafas tal-Istorbju, li jintuża wkoll fi proġetti bħal WireGuard, Lightning u I2P. Jingħad li l-proġett għadda minn verifika tas-sigurtà indipendenti.
Biex tiskopri nodi oħra u tikkoordina konnessjonijiet man-netwerk, jinħolqu nodi speċjali "fanal", li l-indirizzi IP globali tagħhom huma fissi u magħrufa mill-parteċipanti tan-netwerk. In-nodi parteċipanti mhumiex marbuta ma' indirizz IP estern; huma identifikati minn ċertifikati. Is-sidien tal-hosts ma jistgħux jagħmlu bidliet fiċ-ċertifikati ffirmati waħedhom u, b'differenza għan-netwerks IP tradizzjonali, ma jistgħux jippretendu li huma ospitanti ieħor sempliċement billi jibdlu l-indirizz IP. Meta tinħoloq mina, l-identità tal-host tiġi vverifikata b'ċavetta privata individwali.
In-netwerk maħluq huwa allokat ċertu firxa ta 'indirizzi intranet (per eżempju, 192.168.10.0/24) u l-indirizzi interni huma assoċjati ma' ċertifikati ospitanti. Gruppi jistgħu jiġu ffurmati minn parteċipanti fin-netwerk overlay, pereżempju, għal servers u stazzjonijiet tax-xogħol separati, li għalihom jiġu applikati regoli separati ta 'filtrazzjoni tat-traffiku. Diversi mekkaniżmi huma pprovduti biex jiġu evitati t-tradutturi tal-indirizzi (NATs) u l-firewalls. Huwa possibbli li torganizza r-rotot permezz tan-netwerk overlay tat-traffiku minn hosts ta 'partijiet terzi li mhumiex parti min-netwerk Nebula (rotta mhux sigura).
Jappoġġja l-ħolqien ta 'firewalls biex jissepara l-aċċess u jiffiltra t-traffiku bejn in-nodi fin-netwerk ta' overlay Nebula. ACLs b'irbit tat-tikketta jintużaw għall-iffiltrar. Kull host fuq in-netwerk jista 'jiddefinixxi r-regoli ta' filtrazzjoni tiegħu stess ibbażati fuq hosts, gruppi, protokolli, u portijiet tan-netwerk. F'dan il-każ, l-ospiti huma ffiltrati mhux b'indirizzi IP, iżda b'identifikaturi tal-host iffirmati b'mod diġitali, li ma jistgħux jiġu falsifikati mingħajr ma jiġi kompromess iċ-ċentru ta 'ċertifikazzjoni li jikkoordina n-netwerk.
Fir-rilaxx il-ġdid:
- Żiedet bandiera "-raw" mal-kmand print-cert biex tipprintja r-rappreżentazzjoni PEM taċ-ċertifikat.
- Appoġġ miżjud għall-arkitettura Linux ġdida riscv64.
- Żieda setting sperimentali remote_allow_ranges biex jorbot listi ta' hosts permessi ma' subnets speċifiċi.
- Miżjud l-għażla pki.disconnect_invalid biex tirrisettja l-mini wara t-terminazzjoni tal-fiduċja jew il-ħajja taċ-ċertifikat jiskadi.
- Miżjud għażla unsafe_routes. .metrika biex tassenja piż għal rotta esterna speċifika.
Sors: opennet.ru