การเปิดตัวโครงการ Nebula 1.5 พร้อมให้ใช้งานแล้ว โดยนำเสนอเครื่องมือสำหรับการสร้างเครือข่ายโอเวอร์เลย์ที่ปลอดภัย เครือข่ายสามารถรวมโฮสต์ที่แยกจากกันตามภูมิศาสตร์ตั้งแต่หลายหมื่นไปจนถึงหลายหมื่นโฮสต์โดยผู้ให้บริการที่แตกต่างกัน กลายเป็นเครือข่ายแยกที่แยกจากกันบนเครือข่ายทั่วโลก โครงการนี้เขียนด้วยภาษา Go และเผยแพร่ภายใต้ใบอนุญาต MIT โครงการนี้ก่อตั้งโดย Slack ซึ่งพัฒนาโปรแกรมส่งข้อความขององค์กรในชื่อเดียวกัน รองรับ Linux, FreeBSD, macOS, Windows, iOS และ Android
โหนดบนเครือข่าย Nebula สื่อสารกันโดยตรงในโหมด P2P—การเชื่อมต่อ VPN โดยตรงจะถูกสร้างขึ้นแบบไดนามิก เนื่องจากจำเป็นต้องถ่ายโอนข้อมูลระหว่างโหนด ข้อมูลระบุตัวตนของแต่ละโฮสต์บนเครือข่ายได้รับการยืนยันด้วยใบรับรองดิจิทัล และการเชื่อมต่อกับเครือข่ายจำเป็นต้องมีการตรวจสอบสิทธิ์ - ผู้ใช้แต่ละคนจะได้รับใบรับรองที่ยืนยันที่อยู่ IP ในเครือข่าย Nebula ชื่อและความเป็นสมาชิกในกลุ่มโฮสต์ ใบรับรองลงนามโดยหน่วยงานออกใบรับรองภายใน ซึ่งใช้งานโดยผู้สร้างเครือข่ายในโรงงานของตน และใช้เพื่อรับรองอำนาจของโฮสต์ที่มีสิทธิ์เชื่อมต่อกับเครือข่ายโอเวอร์เลย์
เพื่อสร้างช่องทางการสื่อสารที่ปลอดภัยและได้รับการรับรอง Nebula ใช้โปรโตคอลทันเนลของตัวเองโดยใช้โปรโตคอลการแลกเปลี่ยนคีย์ Diffie-Hellman และการเข้ารหัส AES-256-GCM การใช้โปรโตคอลจะขึ้นอยู่กับพื้นฐานสำเร็จรูปและผ่านการพิสูจน์แล้วซึ่งจัดทำโดยเฟรมเวิร์ก Noise ซึ่งใช้ในโครงการต่างๆ เช่น WireGuard, Lightning และ I2P กล่าวกันว่าโครงการดังกล่าวได้รับการตรวจสอบความปลอดภัยโดยหน่วยงานอิสระแล้ว
ในการค้นหาโหนดอื่นๆ และประสานการเชื่อมต่อกับเครือข่าย โหนด "ประภาคาร" พิเศษจะถูกสร้างขึ้น โดยมีที่อยู่ IP ทั่วโลกที่ได้รับการแก้ไขและเป็นที่รู้จักของผู้เข้าร่วมเครือข่าย โหนดที่เข้าร่วมไม่ได้เชื่อมโยงกับที่อยู่ IP ภายนอก แต่จะถูกระบุโดยใบรับรอง เจ้าของโฮสต์ไม่สามารถเปลี่ยนแปลงใบรับรองที่ลงนามได้ด้วยตนเอง และแตกต่างจากเครือข่าย IP แบบเดิมตรงที่ไม่สามารถแสร้งทำเป็นโฮสต์อื่นเพียงแค่เปลี่ยนที่อยู่ IP เมื่อสร้างทันเนล ข้อมูลประจำตัวของโฮสต์จะถูกตรวจสอบด้วยคีย์ส่วนตัวแต่ละรายการ
เครือข่ายที่สร้างขึ้นจะได้รับการจัดสรรช่วงที่อยู่อินทราเน็ตจำนวนหนึ่ง (เช่น 192.168.10.0/24) และที่อยู่ภายในจะเชื่อมโยงกับใบรับรองโฮสต์ กลุ่มสามารถสร้างขึ้นจากผู้เข้าร่วมในเครือข่ายโอเวอร์เลย์ เช่น เพื่อแยกเซิร์ฟเวอร์และเวิร์กสเตชัน ซึ่งใช้กฎการกรองการรับส่งข้อมูลที่แยกจากกัน มีกลไกต่างๆ ไว้เพื่อเลี่ยงผ่านตัวแปลที่อยู่ (NAT) และไฟร์วอลล์ สามารถจัดเส้นทางผ่านเครือข่ายซ้อนทับของการรับส่งข้อมูลจากโฮสต์บุคคลที่สามซึ่งไม่ได้เป็นส่วนหนึ่งของเครือข่ายเนบิวลา (เส้นทางที่ไม่ปลอดภัย)
รองรับการสร้างไฟร์วอลล์เพื่อแยกการเข้าถึงและกรองการรับส่งข้อมูลระหว่างโหนดในเครือข่ายโอเวอร์เลย์ Nebula ACL ที่มีการเชื่อมโยงแท็กจะใช้สำหรับการกรอง แต่ละโฮสต์บนเครือข่ายสามารถกำหนดกฎการกรองของตนเองตามโฮสต์ กลุ่ม โปรโตคอล และพอร์ตเครือข่าย ในกรณีนี้ โฮสต์จะไม่ถูกกรองตามที่อยู่ IP แต่โดยตัวระบุโฮสต์ที่ลงนามแบบดิจิทัล ซึ่งไม่สามารถปลอมแปลงได้โดยไม่กระทบต่อศูนย์รับรองที่ประสานงานเครือข่าย
ในรุ่นใหม่:
- เพิ่มแฟล็ก "-raw" ให้กับคำสั่ง print-cert เพื่อพิมพ์การแสดง PEM ของใบรับรอง
- เพิ่มการรองรับสถาปัตยกรรม Linux ใหม่ riscv64
- เพิ่มการตั้งค่า remote_allow_ranges แบบทดลองเพื่อเชื่อมโยงรายการโฮสต์ที่อนุญาตกับซับเน็ตเฉพาะ
- เพิ่มตัวเลือก pki.disconnect_invalid เพื่อรีเซ็ตช่องสัญญาณหลังจากการยกเลิกความน่าเชื่อถือหรืออายุการใช้งานใบรับรองหมดอายุ
- เพิ่มตัวเลือก unsafe_routes .metric เพื่อกำหนดน้ำหนักให้กับเส้นทางภายนอกที่เฉพาะเจาะจง
ที่มา: opennet.ru