Na voljo je izdaja projekta Nebula 1.5, ki ponuja orodja za gradnjo varnih prekrivnih omrežij. Omrežje lahko združuje od nekaj do več deset tisoč geografsko ločenih gostiteljev, ki jih gostijo različni ponudniki, in tvori ločeno izolirano omrežje na vrhu globalnega omrežja. Projekt je napisan v Go in se distribuira pod licenco MIT. Projekt je ustanovil Slack, ki razvija istoimenski korporativni messenger. Podpira Linux, FreeBSD, macOS, Windows, iOS in Android.
Vozlišča v omrežju Nebula komunicirajo neposredno med seboj v načinu P2P—neposredne povezave VPN se dinamično ustvarijo, ko je treba podatke prenesti med vozlišči. Identiteta vsakega gostitelja v omrežju je potrjena z digitalnim potrdilom, povezava v omrežje pa zahteva avtentikacijo – vsak uporabnik prejme potrdilo, ki potrjuje naslov IP v omrežju Nebula, ime in članstvo v skupinah gostiteljev. Potrdila podpiše notranja overitelja potrdil, ki jih vzpostavi ustvarjalec omrežja v svojih prostorih in se uporabljajo za potrjevanje avtoritete gostiteljev, ki imajo pravico do povezave s prekrivnim omrežjem.
Za ustvarjanje overjenega varnega komunikacijskega kanala Nebula uporablja lasten tunelski protokol, ki temelji na protokolu za izmenjavo ključev Diffie-Hellman in šifri AES-256-GCM. Implementacija protokola temelji na že pripravljenih in preverjenih primitivih, ki jih zagotavlja ogrodje Noise, ki se uporablja tudi v projektih, kot so WireGuard, Lightning in I2P. Projekt naj bi bil podvržen neodvisni varnostni presoji.
Za odkrivanje drugih vozlišč in usklajevanje povezav z omrežjem se ustvarijo posebna vozlišča »svetilnik«, katerih globalni naslovi IP so fiksni in znani udeležencem omrežja. Sodelujoča vozlišča niso vezana na zunanji naslov IP, identificirana so s certifikati. Lastniki gostiteljev ne morejo sami spreminjati podpisanih potrdil in se za razliko od tradicionalnih omrežij IP ne morejo pretvarjati, da so drugi gostitelji, tako da preprosto spremenijo naslov IP. Ko je ustvarjen tunel, se identiteta gostitelja preveri s posameznim zasebnim ključem.
Ustvarjenemu omrežju je dodeljen določen obseg intranetnih naslovov (na primer 192.168.10.0/24), notranji naslovi pa so povezani s potrdili gostitelja. Skupine je mogoče oblikovati iz udeležencev v prekrivnem omrežju, na primer za ločene strežnike in delovne postaje, za katere veljajo ločena pravila za filtriranje prometa. Na voljo so različni mehanizmi za obhod prevajalnikov naslovov (NAT) in požarnih zidov. Možno je organizirati usmerjanje skozi prekrivno omrežje prometa iz gostiteljev tretjih oseb, ki niso del omrežja Nebula (nevarna pot).
Podpira ustvarjanje požarnih zidov za ločevanje dostopa in filtriranje prometa med vozlišči v prekrivnem omrežju Nebula. ACL-ji z vezavo oznak se uporabljajo za filtriranje. Vsak gostitelj v omrežju lahko določi lastna pravila filtriranja na podlagi gostiteljev, skupin, protokolov in omrežnih vrat. V tem primeru gostitelji niso filtrirani po naslovih IP, ampak po digitalno podpisanih identifikatorjih gostiteljev, ki jih ni mogoče ponarediti, ne da bi ogrozili certifikacijski center, ki koordinira omrežje.
V novi izdaji:
- Ukazu print-cert dodana zastavica »-raw« za tiskanje PEM predstavitve potrdila.
- Dodana podpora za novo arhitekturo Linuxa riscv64.
- Dodana poskusna nastavitev remote_allow_ranges za povezovanje seznamov dovoljenih gostiteljev z določenimi podomrežji.
- Dodana možnost pki.disconnect_invalid za ponastavitev tunelov po prekinitvi zaupanja ali po izteku življenjske dobe potrdila.
- Dodana možnost unsafe_routes..metric za nastavitev teže določene zunanje poti.
Vir: opennet.ru