Güvenli üst katman ağları oluşturmak için araçlar sunan bir proje olan Nebula 1.5 artık kullanıma sunuldu. Bu ağ, farklı sağlayıcılar tarafından barındırılan, coğrafi olarak dağılmış birkaç ila on binlerce sunucuyu birbirine bağlayarak küresel ağın üzerinde ayrı, izole bir ağ oluşturabilir. Proje Go dilinde yazılmış olup MIT lisansı altında dağıtılmaktadır. Aynı adı taşıyan kurumsal mesajlaşma uygulamasının arkasındaki şirket olan Slack tarafından kurulmuştur. Linux, Ücretsiz BSD, macOS, Windows, iOS ve Android.
Nebula ağındaki düğümler, P2P modunda doğrudan birbirleriyle etkileşime girer; düğümler arasında veri aktarımı ihtiyacı ortaya çıktıkça, doğrudan bağlantılar dinamik olarak oluşturulur. VPN-bağlantılar. Ağdaki her ana bilgisayarın kimliği dijital bir sertifika ile doğrulanır ve ağa bağlantı kimlik doğrulaması gerektirir; her kullanıcı Nebula ağındaki IP adresini, adını ve ana bilgisayar grubu üyeliğini doğrulayan bir sertifika alır. Sertifikalar, ağ sağlayıcısı tarafından yerel olarak dağıtılan ve üst katman ağına bağlanmaya yetkili ana bilgisayarların yetkisini doğrulamak için kullanılan dahili bir sertifika otoritesi tarafından imzalanır.
Kimlik doğrulamalı ve güvenli bir iletişim kanalı oluşturmak için Nebula, Diffie-Hellman anahtar değişim protokolü ve AES-256-GCM şifrelemesine dayalı özel bir tünelleme protokolü kullanır. Protokol uygulaması, Noise çerçevesi tarafından sağlanan hazır ve test edilmiş temel bileşenlere dayanmaktadır; bu çerçeve, aşağıdakiler gibi projelerde de kullanılmaktadır: WireGuardLightning ve I2P protokollerini kullanıyor. Projenin bağımsız bir güvenlik denetiminden geçtiği belirtiliyor.
Diğer düğümleri keşfetmek ve ağa olan bağlantıları koordine etmek için, küresel IP adresleri sabit ve ağ katılımcıları tarafından bilinen özel "deniz feneri" düğümleri oluşturulur. Katılımcı düğümlerin dış dünyaya herhangi bir bağı yoktur. IP adresiSunucular sertifikalarla tanımlanır. Sunucu sahipleri imzalı sertifikaları bağımsız olarak değiştiremez ve geleneksel IP ağlarının aksine, yalnızca IP adresini değiştirerek başka bir sunucunun kimliğine bürünemezler. Bir tünel oluşturulurken, sunucunun kimliği bireysel özel anahtarıyla doğrulanır.
Oluşturulan ağa belirli bir intranet adresi aralığı tahsis edilir (örneğin, 192.168.10.0/24) ve dahili adresler ana bilgisayar sertifikalarıyla ilişkilendirilir. Yer paylaşımlı ağdaki katılımcılardan, örneğin ayrı trafik filtreleme kurallarının uygulandığı ayrı sunuculara ve iş istasyonlarına kadar gruplar oluşturulabilir. Adres çeviricilerini (NAT'ler) ve güvenlik duvarlarını atlamak için çeşitli mekanizmalar sağlanmıştır. Nebula ağının parçası olmayan üçüncü taraf ana bilgisayarlardan gelen trafiğin yer paylaşımlı ağı üzerinden yönlendirmeyi düzenlemek mümkündür (güvenli olmayan rota).
Nebula yer paylaşımı ağındaki düğümler arasındaki trafiği ayırmak ve filtrelemek için güvenlik duvarlarının oluşturulmasını destekler. Filtreleme için etiket bağlamalı ACL'ler kullanılır. Ağdaki her ana bilgisayar, ana bilgisayarlara, gruplara, protokollere ve ağ bağlantı noktalarına göre kendi filtreleme kurallarını tanımlayabilir. Bu durumda, ana bilgisayarlar IP adreslerine göre değil, ağı koordine eden sertifika merkezinden ödün vermeden sahtesi yapılamayan dijital olarak imzalanmış ana bilgisayar tanımlayıcılarına göre filtrelenir.
Yeni sürümde:
- Sertifikanın PEM gösterimini yazdırmak için print-cert komutuna "-raw" bayrağı eklendi.
- Yeni mimari için destek eklendi. Linux riscv64.
- İzin verilen ana bilgisayarların listelerini belirli alt ağlara bağlamak için deneysel bir Remote_allow_ranges ayarı eklendi.
- Güven sona erdikten veya sertifika ömrü sona erdikten sonra tünelleri sıfırlamak için pki.disconnect_invalid seçeneği eklendi.
- güvensiz_yollar seçeneği eklendi. .metrik, belirli bir harici rotaya ağırlık atamak için kullanılır.
Kaynak: opennet.ru
