Nebula 1.5, proyék anu nawiskeun alat pikeun ngawangun jaringan overlay anu aman, ayeuna sayogi. Jaringan ieu tiasa nyambungkeun ti sababaraha dugi ka puluhan rébu host anu sumebar sacara geografis anu diayakeun ku panyadia anu béda, ngabentuk jaringan anu misah sareng terasing di luhur jaringan global. Proyék ieu ditulis dina Go sareng disebarkeun dina lisénsi MIT. Ieu diadegkeun ku Slack, perusahaan anu aya di tukangeun aplikasi olahtalatah perusahaan anu namina sami. Éta ngadukung Linux, FreeBSD, macOS, Windows, iOS sareng Android.
Node dina jaringan Nebula silih berinteraksi sacara langsung dina modeu P2P - nalika aya kabutuhan pikeun mindahkeun data antara node, sambungan langsung didamel sacara dinamis. VPN-koneksi. Identitas unggal host dina jaringan dikonfirmasi ku sertipikat digital, sareng sambungan ka jaringan meryogikeun auténtikasi—unggal pangguna nampi sertipikat anu mastikeun alamat IP na dina jaringan Nebula, nami na, sareng kaanggotaan grup host na. Sertipikat ditandatanganan ku otoritas sertipikat internal, disebarkeun ku panyadia jaringan on-premises sareng dianggo pikeun verifikasi otoritas host anu diidinan pikeun nyambung ka jaringan overlay.
Pikeun nyieun saluran komunikasi anu diauténtikasi sareng aman, Nebula nganggo protokol tunneling anu dipatenkeun dumasar kana protokol pertukaran konci Diffie-Hellman sareng cipher AES-256-GCM. Implementasi protokol ieu dumasar kana primitif anu parantos siap sareng diuji anu disayogikeun ku kerangka Noise, anu ogé dianggo dina proyék sapertos WireGuard, Lightning, sareng I2P. Proyék ieu cenah parantos lulus audit kaamanan mandiri.
Pikeun manggihan simpul séjén sareng koordinasi sambungan ka jaringan, simpul "mercusuar" khusus didamel, anu alamat IP globalna tetep sareng dipikanyaho ku pamilon jaringan. Simpul anu milu teu gaduh kaiket kana éksternal. alamat IP, aranjeunna diidentipikasi ku sertipikat. Nu boga host teu tiasa ngarobih sertipikat anu ditandatangan sacara mandiri sareng, teu sapertos jaringan IP tradisional, teu tiasa nyamar janten host sanés ku ngan saukur ngarobih alamat IP. Nalika ngadamel torowongan, idéntitas host dikonfirmasi ku konci pribadi masing-masing.
Jaringan anu dijieun dialokasikeun rentang alamat intranet anu khusus (contona, 192.168.10.0/24) sareng alamat internal pakait sareng sertipikat host. Pamilon jaringan overlay tiasa dikelompokkeun, contona, pikeun misahkeun server sareng workstation, masing-masing nganggo aturan panyaring lalu lintas nyalira. Rupa-rupa mékanisme disayogikeun pikeun ngalangkungan penerjemah alamat jaringan (NAT) sareng firewall. Ngarotasi lalu lintas ti host pihak katilu anu sanés bagian tina jaringan Nebula ngalangkungan jaringan overlay ogé dimungkinkeun (rute anu teu aman).
Firewall bisa dijieun pikeun misahkeun aksés jeung nyaring lalulintas antara node dina jaringan Nebula overlay. ACL kalawan tag binding dipaké pikeun nyaring. Unggal host dina jaringan bisa nangtukeun aturan nyaring sorangan dumasar host, grup, protokol, jeung port jaringan. Host disaring lain ku alamat IP, tapi ku idéntifikasi host anu ditandatanganan sacara digital, anu teu bisa dijieun tanpa ngorbankeun CA anu koordinasi jaringan.
Dina rilis anyar:
- Paréntah print-cert ayeuna gaduh bandéra "-raw" pikeun nyitak representasi PEM tina sertipikat.
- Ditambahkeun dukungan pikeun arsitéktur anyar Linux riscv64.
- Nambahkeun setélan ékspériméntal remote_allow_ranges pikeun ngabeungkeut daptar host anu diidinan kana subnet khusus.
- Nambahkeun pilihan pki.disconnect_invalid pikeun ngareset torowongan saatos kapercayaan rusak atanapi umur sertipikat kadaluwarsa.
- Ditambahkeun pilihan unsafe_routes. .metric pikeun nangtukeun bobot kana rute éksternal anu khusus.
sumber: opennet.ru
