Está disponível o lançamento do projeto Nebula 1.5, que oferece ferramentas para a construção de redes de sobreposição seguras. A rede pode unir de vários a dezenas de milhares de hosts separados geograficamente e hospedados por diferentes provedores, formando uma rede isolada separada no topo da rede global. O projeto foi escrito em Go e distribuído sob a licença do MIT. O projeto foi fundado pela Slack, que desenvolve um mensageiro corporativo de mesmo nome. Suporta Linux, FreeBSD, macOS, Windows, iOS e Android.
Os nós da rede Nebula se comunicam diretamente entre si no modo P2P – conexões VPN diretas são criadas dinamicamente à medida que os dados precisam ser transferidos entre os nós. A identidade de cada host na rede é confirmada por um certificado digital, e a conexão à rede requer autenticação - cada usuário recebe um certificado confirmando o endereço IP na rede Nebula, nome e participação em grupos de hosts. Os certificados são assinados por uma autoridade de certificação interna, implantados pelo criador da rede em suas instalações e usados para certificar a autoridade dos hosts que têm o direito de se conectar à rede sobreposta.
Para criar um canal de comunicação autenticado e seguro, o Nebula usa seu próprio protocolo de túnel baseado no protocolo de troca de chaves Diffie-Hellman e na cifra AES-256-GCM. A implementação do protocolo é baseada em primitivas prontas e comprovadas fornecidas pelo framework Noise, que também é utilizado em projetos como WireGuard, Lightning e I2P. Diz-se que o projeto passou por uma auditoria de segurança independente.
Para descobrir outros nós e coordenar conexões com a rede, são criados nós “farol” especiais, cujos endereços IP globais são fixos e conhecidos pelos participantes da rede. Os nós participantes não estão vinculados a um endereço IP externo; eles são identificados por certificados. Os proprietários de hosts não podem fazer alterações em certificados assinados por conta própria e, diferentemente das redes IP tradicionais, não podem fingir ser outro host simplesmente alterando o endereço IP. Quando um túnel é criado, a identidade do host é verificada com uma chave privada individual.
A rede criada recebe um determinado intervalo de endereços de intranet (por exemplo, 192.168.10.0/24) e os endereços internos são associados a certificados de host. Os grupos podem ser formados a partir de participantes da rede sobreposta, por exemplo, para servidores e estações de trabalho separados, aos quais são aplicadas regras separadas de filtragem de tráfego. Vários mecanismos são fornecidos para contornar conversores de endereços (NATs) e firewalls. É possível organizar o roteamento através da rede sobreposta de tráfego de hosts terceiros que não fazem parte da rede Nebula (rota insegura).
Ele suporta a criação de firewalls para separar o acesso e filtrar o tráfego entre os nós da rede sobreposta Nebula. ACLs com vinculação de tag são usadas para filtragem. Cada host na rede pode definir suas próprias regras de filtragem com base em hosts, grupos, protocolos e portas de rede. Neste caso, os hosts são filtrados não por endereços IP, mas por identificadores de host assinados digitalmente, que não podem ser falsificados sem comprometer o centro de certificação que coordena a rede.
Na nova versão:
- Adicionado um sinalizador "-raw" ao comando print-cert para imprimir a representação PEM do certificado.
- Adicionado suporte para a nova arquitetura Linux riscv64.
- Adicionada uma configuração experimental de remote_allow_ranges para vincular listas de hosts permitidos a sub-redes específicas.
- Adicionada a opção pki.disconnect_invalid para redefinir túneis após o término da confiança ou expiração da vida útil do certificado.
- Adicionada opção unsafe_routes..metric para definir o peso de uma rota externa específica.
Fonte: opennet.ru