Nebula 1.5, ett projekt som erbjuder verktyg för att bygga säkra overlay-nätverk, är nu tillgängligt. Nätverket kan ansluta allt från några få till tiotusentals geografiskt spridda värdar som hostas av olika leverantörer, och bilda ett separat, isolerat nätverk ovanpå det globala nätverket. Projektet är skrivet i Go och distribueras under MIT-licensen. Det grundades av Slack, företaget bakom företagsmeddelandeappen med samma namn. Det stöder Linux, FreeBSD, macOS, Windows, iOS och Android.
Noder i Nebula-nätverket interagerar direkt med varandra i P2P-läge - när behovet uppstår att överföra data mellan noder skapas direkta anslutningar dynamiskt. VPN-anslutningar. Identiteten för varje värd i nätverket bekräftas av ett digitalt certifikat, och anslutning till nätverket kräver autentisering – varje användare får ett certifikat som bekräftar sin IP-adress i Nebula-nätverket, sitt namn och sitt medlemskap i värdgruppen. Certifikat signeras av en intern certifikatutfärdare, distribueras lokalt av nätverksleverantören och används för att verifiera behörigheten hos värdar som är auktoriserade att ansluta till overlay-nätverket.
För att skapa en autentiserad, säker kommunikationskanal använder Nebula ett proprietärt tunnelprotokoll baserat på Diffie-Hellman-nyckelutbytesprotokollet och AES-256-GCM-chiffern. Protokollimplementeringen är baserad på färdiga och testade primitiver som tillhandahålls av Noise-ramverket, vilket också används i projekt som WireGuard, Lightning och I2P. Projektet sägs ha klarat en oberoende säkerhetsrevision.
För att upptäcka andra noder och koordinera anslutningar till nätverket skapas speciella "fyrtornsnoder", vars globala IP-adresser är fasta och kända för nätverksdeltagarna. Deltagande noder har ingen bindning till den externa IP-adress, de identifieras av certifikat. Värdägare kan inte självständigt modifiera signerade certifikat och, till skillnad från traditionella IP-nätverk, kan de inte utge sig för att vara en annan värd genom att helt enkelt ändra IP-adressen. När en tunnel upprättas bekräftas värdens identitet av dess individuella privata nyckel.
Ett specifikt intervall av intranätadresser (t.ex. 192.168.10.0/24) allokeras till det skapade nätverket, och interna adresser länkas till värdcertifikat. Grupper kan bildas från deltagare i overlay-nätverket, till exempel till separata servrar och arbetsstationer, för vilka separata trafikfiltreringsregler tillämpas. Olika mekanismer finns för att kringgå nätverksadressöversättare (NAT) och brandväggar. Det är möjligt att organisera routing av trafik från tredjepartsvärdar som inte ingår i Nebula-nätverket (osäker väg) genom overlay-nätverket.
Stöder skapandet av brandväggar för att separera åtkomst och filtrera trafik mellan noder i Nebula-överlagringsnätverket. ACL:er med taggbindning används för filtrering. Varje värd i nätverket kan definiera sina egna filtreringsregler efter värdar, grupper, protokoll och nätverksportar. I det här fallet filtreras värdar inte efter IP-adresser, utan efter digitalt signerade värdidentifierare som inte kan förfalskas utan att kompromettera certifieringsutfärdaren som koordinerar nätverkets sammansättning.
I den nya utgåvan:
- Kommandot print-cert har nu en "-raw"-flagga för att skriva ut PEM-representationen av certifikatet.
- Lade till stöd för ny arkitektur Linux riscv64.
- Lade till den experimentella inställningen remote_allow_ranges för att binda listor över tillåtna värdar till specifika delnät.
- Lade till alternativet pki.disconnect_invalid för att återställa tunnlar efter att förtroendet bryts eller certifikatets livslängd löpt ut.
- Lade till alternativet unsafe_routes. .metric för att tilldela en vikt till en specifik extern rutt.
Källa: opennet.ru
