Güvenli yer paylaşımlı ağlar oluşturmaya yönelik araçlar sunan Nebula 1.5 projesinin sürümü yayınlandı. Ağ, farklı sağlayıcılar tarafından barındırılan coğrafi olarak ayrılmış birkaç ila on binlerce ana bilgisayarı birleştirerek küresel ağın üzerinde ayrı bir izole ağ oluşturabilir. Proje Go'da yazılmıştır ve MIT lisansı altında dağıtılmaktadır. Proje, aynı adı taşıyan kurumsal bir mesajlaşma programı geliştiren Slack tarafından kuruldu. Linux, FreeBSD, macOS, Windows, iOS ve Android'i destekler.
Nebula ağındaki düğümler birbirleriyle P2P modunda doğrudan iletişim kurar; verilerin düğümler arasında aktarılması gerektiğinden doğrudan VPN bağlantıları dinamik olarak oluşturulur. Ağdaki her ana bilgisayarın kimliği dijital bir sertifikayla doğrulanır ve ağa bağlanmak için kimlik doğrulama gerekir; her kullanıcı, Nebula ağındaki IP adresini, adını ve ana bilgisayar gruplarındaki üyeliğini doğrulayan bir sertifika alır. Sertifikalar dahili bir sertifika yetkilisi tarafından imzalanır, ağ oluşturucusu tarafından kendi tesislerinde dağıtılır ve yer paylaşımlı ağa bağlanma hakkına sahip ana bilgisayarların yetkisini onaylamak için kullanılır.
Kimliği doğrulanmış, güvenli bir iletişim kanalı oluşturmak için Nebula, Diffie-Hellman anahtar değişim protokolünü ve AES-256-GCM şifresini temel alan kendi tünel protokolünü kullanır. Protokol uygulaması WireGuard, Lightning ve I2P gibi projelerde de kullanılan Noise çerçevesinin sağladığı hazır ve kanıtlanmış ilkellere dayanmaktadır. Projenin bağımsız bir güvenlik denetiminden geçtiği söyleniyor.
Diğer düğümleri keşfetmek ve ağ bağlantılarını koordine etmek için, küresel IP adresleri sabit olan ve ağ katılımcıları tarafından bilinen özel "deniz feneri" düğümleri oluşturulur. Katılımcı düğümler harici bir IP adresine bağlı değildir; sertifikalarla tanımlanırlar. Ana bilgisayar sahipleri, imzalanan sertifikalarda kendi başlarına değişiklik yapamaz ve geleneksel IP ağlarının aksine, yalnızca IP adresini değiştirerek başka bir ana bilgisayar gibi davranamaz. Bir tünel oluşturulduğunda, ana bilgisayarın kimliği bireysel bir özel anahtarla doğrulanır.
Oluşturulan ağa belirli bir intranet adresi aralığı tahsis edilir (örneğin, 192.168.10.0/24) ve dahili adresler ana bilgisayar sertifikalarıyla ilişkilendirilir. Yer paylaşımlı ağdaki katılımcılardan, örneğin ayrı trafik filtreleme kurallarının uygulandığı ayrı sunuculara ve iş istasyonlarına kadar gruplar oluşturulabilir. Adres çeviricilerini (NAT'ler) ve güvenlik duvarlarını atlamak için çeşitli mekanizmalar sağlanmıştır. Nebula ağının parçası olmayan üçüncü taraf ana bilgisayarlardan gelen trafiğin yer paylaşımlı ağı üzerinden yönlendirmeyi düzenlemek mümkündür (güvenli olmayan rota).
Nebula yer paylaşımı ağındaki düğümler arasındaki trafiği ayırmak ve filtrelemek için güvenlik duvarlarının oluşturulmasını destekler. Filtreleme için etiket bağlamalı ACL'ler kullanılır. Ağdaki her ana bilgisayar, ana bilgisayarlara, gruplara, protokollere ve ağ bağlantı noktalarına göre kendi filtreleme kurallarını tanımlayabilir. Bu durumda, ana bilgisayarlar IP adreslerine göre değil, ağı koordine eden sertifika merkezinden ödün vermeden sahtesi yapılamayan dijital olarak imzalanmış ana bilgisayar tanımlayıcılarına göre filtrelenir.
Yeni sürümde:
- Sertifikanın PEM gösterimini yazdırmak için print-cert komutuna "-raw" bayrağı eklendi.
- Yeni Linux mimarisi riskcv64 için destek eklendi.
- İzin verilen ana bilgisayarların listelerini belirli alt ağlara bağlamak için deneysel bir Remote_allow_ranges ayarı eklendi.
- Güven sona erdikten veya sertifika ömrü sona erdikten sonra tünelleri sıfırlamak için pki.disconnect_invalid seçeneği eklendi.
- güvensiz_yollar seçeneği eklendi. .metrik, belirli bir harici rotaya ağırlık atamak için kullanılır.
Kaynak: opennet.ru