Објављено је издање пројекта Небула 1.9, које нуди алате за изградњу безбедних преклапајућих мрежа које вам омогућавају да комбинујете географски одвојене хостове у засебну изоловану мрежу која ради на врху глобалне мреже. Пројекат је дизајниран да креира сопствене мреже за преклапање за било коју потребу, на пример, да комбинује корпоративне рачунаре у различитим канцеларијама, сервере у различитим центрима података или виртуелна окружења различитих провајдера у облаку. Код је написан у Го и дистрибуиран под МИТ лиценцом. Пројекат је основао Слацк, који развија истоимени корпоративни гласник. Подржава Линук, ФрееБСД, мацОС, Виндовс, иОС и Андроид.
Чворови у Nebula мрежи међусобно директно комуницирају у P2P режиму - како се појави потреба за преносом података између чворова, директне везе се динамички креирају. ВПН-везе. Идентитет сваког хоста у мрежи потврђује се дигиталним сертификатом, а повезивање са мрежом захтева аутентификацију — сваки корисник добија сертификат којим се потврђује његова IP адреса у Nebula мрежи, његово име и чланство у групи хостова. Сертификате потписује интерни ауторитет за сертификате (CA), распоређује га креатор сваке појединачне мреже у својим просторијама и користи се за проверу ауторитета хостова овлашћених за повезивање са одређеном преклапајућом мрежом повезаном са CA.
За креирање аутентификованог, безбедног комуникационог канала, Небула користи сопствени тунелски протокол заснован на Диффие-Хеллман протоколу за размену кључева и АЕС-256-ГЦМ шифри. Имплементација протокола је заснована на готовим и провереним примитивима које обезбеђује Ноисе фрамеворк, који се такође користи у пројектима као што су ВиреГуард, Лигхтнинг и И2П. Речено је да је пројекат прошао независну безбедносну ревизију.
Да би се открили други чворови и координирале везе са мрежом, креирају се посебни „светионици“ чворови, чије су глобалне IP адресе фиксне и познате учесницима мреже. Чворови учесници немају никакво повезивање са спољним... ИП адреса, идентификују се сертификатима. Власници хостова не могу самостално да мењају потписане сертификате и, за разлику од традиционалних IP мрежа, не могу да се представљају као други хост једноставном променом IP адресе. Приликом успостављања тунела, идентитет хоста се потврђује његовим индивидуалним приватним кључем.
Креираној мрежи се додељује одређени опсег интранет адреса (на пример, 192.168.10.0/24), а интерне адресе су повезане са сертификатима домаћина. Обезбеђени су различити механизми да се заобиђу преводиоци адреса (НАТ) и заштитни зидови. Могуће је организовати рутирање кроз преклапајућу мрежу саобраћаја са хостова треће стране који нису део мреже Небула (небезбедна рута). Групе се могу формирати од учесника у мрежи преклапања, на пример, до одвојених сервера и радних станица, на које се примењују посебна правила филтрирања саобраћаја.
Подржава стварање заштитних зидова за одвајање приступа и филтрирање саобраћаја између чворова у мрежи Небула оверлаи. АЦЛ-ови са повезивањем ознака се користе за филтрирање. Сваки хост на мрежи може да дефинише сопствена правила филтрирања на основу хостова, група, протокола и мрежних портова. У овом случају, хостови се не филтрирају по ИП адресама, већ по дигитално потписаним идентификаторима хоста, који се не могу фалсифицирати без угрожавања ауторитета за сертификацију који координира мрежу.
У новом издању:
- Додато је ново подешавање дефаулт_лоцал_цидр_ани, које мења понашање при руковању „лоцал_ип“ подмрежама у правилима заштитног зида како би се спречило неоправдано допуштање саобраћаја хостовима наведеним у блоку унсафе_роутес. У верзији 1.9, поставка је постављена на „труе“, али ће у следећем издању 1.10 бити замењена вредношћу „фасле“, што ће резултирати узимањем у обзир локалних подмрежа када се примењују правила заштитног зида на хостове који су доступни преко несигурних рута (да бисте отворили приступ таквим хостовима, потребан вам је лоцал_цидр).
- Обезбеђена је званична слика за Доцкер систем, која вам омогућава да брзо примените преклапајућу мрежу засновану на Небула или чвор за њу.
- Додате експерименталне верзије за архитектуру Лоонг64.
- Имплементирана је сервисна скрипта за ОпенРЦ систем иницијализације.
- Подршка за аутентификацију коришћењем сертификата сертификованих од стране ауторитета за сертификацију (ссхд.трустед_цас) је додата у позадински ССХ процес. Имплементирана је могућност уграђивања кључева хоста у блок подешавања ссхд.хост_кеи.
- Обезбеђена подршка за поновно учитавање подешавања „тун.унсафе_роутес“.
- Уклоњена је подршка за застарело подешавање лоцал_ранге, у корист преферред_рангес.
- За изградњу сада је потребан го тоолкит 1.22. Минимални захтеви за верзије оперативног система Виндовс повећани су на Виндовс 10 и Виндовс Сервер 2016.
Извор: опеннет.ру
