Nebula 1.5, un proiect care oferă instrumente pentru construirea de rețele suprapuse securizate, este acum disponibil. Rețeaua se poate conecta oriunde, de la câteva până la zeci de mii de gazde dispersate geografic, găzduite de diferiți furnizori, formând o rețea separată, izolată, deasupra rețelei globale. Proiectul este scris în Go și distribuit sub licența MIT. A fost fondat de Slack, compania din spatele aplicației de mesagerie corporativă cu același nume. Acesta acceptă... Linux, FreeBSD, macOS, Windows, iOS și Android.
Nodurile din rețeaua Nebula interacționează direct între ele în modul P2P - pe măsură ce apare nevoia de a transfera date între noduri, conexiunile directe sunt create dinamic. VPN-conexiuni. Identitatea fiecărei gazde din rețea este confirmată printr-un certificat digital, iar conexiunea la rețea necesită autentificare - fiecare utilizator primește un certificat care confirmă adresa sa IP în rețeaua Nebula, numele său și apartenența la grupul de gazde. Certificatele sunt semnate de o autoritate de certificare internă, implementată de furnizorul de rețea local și utilizată pentru a verifica autoritatea gazdelor autorizate să se conecteze la rețeaua suprapusă.
Pentru a crea un canal de comunicație autentificat și securizat, Nebula folosește un protocol de tunelare proprietar bazat pe protocolul de schimb de chei Diffie-Hellman și cifrul AES-256-GCM. Implementarea protocolului se bazează pe primitive predefinite și testate furnizate de framework-ul Noise, care este utilizat și în proiecte precum WireGuard, Lightning și I2P. Se spune că proiectul a trecut un audit de securitate independent.
Pentru a descoperi alte noduri și a coordona conexiunile la rețea, sunt create noduri speciale „far”, ale căror adrese IP globale sunt fixe și cunoscute participanților la rețea. Nodurile participante nu au nicio legătură cu rețeaua externă. adresa IP, acestea sunt identificate prin certificate. Proprietarii de gazde nu pot modifica independent certificatele semnate și, spre deosebire de rețelele IP tradiționale, nu pot impersona o altă gazdă prin simpla schimbare a adresei IP. La stabilirea unui tunel, identitatea gazdei este confirmată de cheia sa privată individuală.
Rețelei create i se alocă un anumit interval de adrese intranet (de exemplu, 192.168.10.0/24), iar adresele interne sunt asociate cu certificate de gazdă. Grupurile pot fi formate din participanți la rețeaua de suprapunere, de exemplu, la servere și stații de lucru separate, cărora li se aplică reguli separate de filtrare a traficului. Sunt furnizate diferite mecanisme pentru a ocoli traducătorii de adrese (NAT) și firewall-urile. Este posibil să se organizeze rutarea prin rețeaua de suprapunere a traficului de la gazde terțe care nu fac parte din rețeaua Nebula (rută nesigură).
Acceptă crearea de firewall-uri pentru a separa accesul și filtrarea traficului între nodurile din rețeaua de suprapunere Nebula. ACL-urile cu legare de etichete sunt folosite pentru filtrare. Fiecare gazdă din rețea își poate defini propriile reguli de filtrare bazate pe gazde, grupuri, protocoale și porturi de rețea. În acest caz, gazdele sunt filtrate nu după adrese IP, ci prin identificatori de gazdă semnați digital, care nu pot fi falsificați fără a compromite centrul de certificare care coordonează rețeaua.
În noua versiune:
- S-a adăugat un flag „-raw” la comanda print-cert pentru a imprima reprezentarea PEM a certificatului.
- Suport adăugat pentru noua arhitectură Linux riscv64.
- S-a adăugat o setare experimentală remote_allow_ranges pentru a lega listele de gazde permise la anumite subrețele.
- S-a adăugat opțiunea pki.disconnect_invalid pentru a reseta tunelurile după încetarea încrederii sau după expirarea duratei de viață a certificatului.
- A fost adăugată opțiunea unsafe_routes. .metric pentru a atribui greutate unei anumite rute externe.
Sursa: opennet.ru
