Nebula 1.5 loyihasining chiqarilishi mavjud bo'lib, u xavfsiz qoplamali tarmoqlarni yaratish uchun vositalarni taklif etadi. Tarmoq turli provayderlar tomonidan joylashtirilgan bir necha o'n minglab geografik ajratilgan xostlarni birlashtirib, global tarmoq ustida alohida izolyatsiyalangan tarmoqni tashkil qilishi mumkin. Loyiha Go-da yozilgan va MIT litsenziyasi ostida tarqatiladi. Loyihaga xuddi shu nomdagi korporativ messenjerni ishlab chiqaruvchi Slack kompaniyasi asos solgan. Linux, FreeBSD, macOS, Windows, iOS va Android-ni qo'llab-quvvatlaydi.
Nebula tarmog'idagi tugunlar P2P rejimida bir-biri bilan to'g'ridan-to'g'ri aloqa qiladi - to'g'ridan-to'g'ri VPN ulanishlari dinamik ravishda yaratiladi, chunki ma'lumotlar tugunlar o'rtasida uzatilishi kerak. Tarmoqdagi har bir xostning identifikatori raqamli sertifikat bilan tasdiqlanadi va tarmoqqa ulanish autentifikatsiyani talab qiladi - har bir foydalanuvchi Nebula tarmog'idagi IP-manzilni, nomini va xost guruhlariga a'zoligini tasdiqlovchi sertifikat oladi. Sertifikatlar ichki sertifikatlashtirish organi tomonidan imzolanadi, tarmoq yaratuvchisi tomonidan o'z ob'ektlarida joylashtiriladi va overlay tarmog'iga ulanish huquqiga ega bo'lgan xostlarning vakolatlarini tasdiqlash uchun ishlatiladi.
Autentifikatsiya qilingan, xavfsiz aloqa kanalini yaratish uchun Nebula Diffie-Hellman kalit almashish protokoli va AES-256-GCM shifriga asoslangan o'zining tunnel protokolidan foydalanadi. Protokolni amalga oshirish WireGuard, Lightning va I2P kabi loyihalarda ham qo'llaniladigan Noise tizimi tomonidan taqdim etilgan tayyor va tasdiqlangan primitivlarga asoslangan. Loyiha mustaqil xavfsizlik auditidan o‘tgani aytilmoqda.
Boshqa tugunlarni aniqlash va tarmoqqa ulanishlarni muvofiqlashtirish uchun global IP manzillari aniqlangan va tarmoq ishtirokchilariga ma'lum bo'lgan maxsus "mayoq" tugunlari yaratiladi. Ishtirokchi tugunlar tashqi IP-manzilga bog'lanmagan, ular sertifikatlar bilan aniqlanadi. Xost egalari imzolangan sertifikatlarga mustaqil ravishda o'zgartirishlar kirita olmaydi va an'anaviy IP-tarmoqlardan farqli o'laroq, IP-manzilni o'zgartirib, o'zini boshqa xost sifatida ko'rsata olmaydi. Tunnel yaratilganda, xostning identifikatori shaxsiy shaxsiy kalit bilan tasdiqlanadi.
Yaratilgan tarmoq intranet manzillarining ma'lum diapazoni ajratilgan (masalan, 192.168.10.0/24) va ichki manzillar xost sertifikatlari bilan bog'langan. Guruhlar, masalan, trafikni filtrlashning alohida qoidalari qo'llaniladigan alohida serverlar va ish stantsiyalari uchun qatlamli tarmoq ishtirokchilaridan tuzilishi mumkin. Manzil tarjimonlari (NAT) va xavfsizlik devorlarini chetlab o'tish uchun turli mexanizmlar taqdim etiladi. Nebula tarmog'ining bir qismi bo'lmagan uchinchi tomon xostlaridan trafikning overlay tarmog'i orqali marshrutlashni tashkil qilish mumkin (xavfli marshrut).
Bu Nebula overlay tarmog'idagi tugunlar orasidagi kirish va trafikni filtrlash uchun xavfsizlik devorlarini yaratishni qo'llab-quvvatlaydi. Filtrlash uchun teglar bilan bog'langan ACLlardan foydalaniladi. Tarmoqdagi har bir xost xostlar, guruhlar, protokollar va tarmoq portlari asosida o'z filtrlash qoidalarini belgilashi mumkin. Bunday holda, xostlar IP-manzillar bo'yicha emas, balki raqamli imzolangan xost identifikatorlari tomonidan filtrlanadi, ularni tarmoqni muvofiqlashtiruvchi sertifikatlash markaziga zarar etkazmasdan soxtalashtirish mumkin emas.
Yangi nashrda:
- Sertifikatning PEM ko'rinishini chop etish uchun print-cert buyrug'iga "-raw" bayrog'i qo'shildi.
- Yangi Linux arxitekturasi riscv64 uchun qoʻshimcha qoʻllab-quvvatlash.
- Ruxsat etilgan xostlar roʻyxatini maʼlum pastki tarmoqlarga ulash uchun eksperimental remote_allow_ranges sozlamasi qoʻshildi.
- Ishonch tugatilgandan yoki sertifikatning amal qilish muddati tugagandan so'ng tunnellarni qayta o'rnatish uchun pki.disconnect_invalid opsiyasi qo'shildi.
- Muayyan tashqi marshrutning og'irligini o'rnatish uchun unsafe_routes opsiyasi qo'shildi..metrik.
Manba: opennet.ru