Đã có bản phát hành dự án Nebula 1.5, cung cấp các công cụ để xây dựng mạng lớp phủ an toàn. Mạng có thể hợp nhất từ vài đến hàng chục nghìn máy chủ cách nhau về mặt địa lý được lưu trữ bởi các nhà cung cấp khác nhau, tạo thành một mạng biệt lập riêng biệt trên mạng toàn cầu. Dự án được viết bằng Go và được phân phối theo giấy phép MIT. Dự án được thành lập bởi Slack, công ty phát triển ứng dụng nhắn tin cùng tên của công ty. Hỗ trợ Linux, FreeBSD, macOS, Windows, iOS và Android.
Các nút trên mạng Nebula giao tiếp trực tiếp với nhau ở chế độ P2P—kết nối VPN trực tiếp được tạo động khi dữ liệu cần được truyền giữa các nút. Danh tính của từng máy chủ trên mạng được xác nhận bằng chứng chỉ kỹ thuật số và việc kết nối với mạng yêu cầu xác thực - mỗi người dùng nhận được chứng chỉ xác nhận địa chỉ IP trong mạng Nebula, tên và tư cách thành viên trong nhóm máy chủ. Chứng chỉ được ký bởi cơ quan chứng nhận nội bộ, được người tạo mạng triển khai tại các cơ sở của mình và được sử dụng để chứng nhận cơ quan có thẩm quyền của các máy chủ có quyền kết nối với mạng lớp phủ.
Để tạo kênh liên lạc an toàn, được xác thực, Nebula sử dụng giao thức đường hầm riêng dựa trên giao thức trao đổi khóa Diffie-Hellman và mật mã AES-256-GCM. Việc triển khai giao thức dựa trên các nguyên mẫu sẵn có và đã được chứng minh do khung Noise cung cấp, khung này cũng được sử dụng trong các dự án như WireGuard, Lightning và I2P. Dự án được cho là đã trải qua một cuộc kiểm toán an ninh độc lập.
Để khám phá các nút khác và phối hợp các kết nối với mạng, các nút “ngọn hải đăng” đặc biệt được tạo ra, địa chỉ IP toàn cầu của chúng được cố định và được những người tham gia mạng biết đến. Các nút tham gia không bị ràng buộc với địa chỉ IP bên ngoài; chúng được xác định bằng chứng chỉ. Chủ sở hữu máy chủ không thể tự mình thực hiện các thay đổi đối với chứng chỉ đã ký và không giống như mạng IP truyền thống, không thể giả vờ là một máy chủ khác chỉ bằng cách thay đổi địa chỉ IP. Khi một đường hầm được tạo, danh tính của máy chủ sẽ được xác minh bằng khóa riêng.
Mạng đã tạo được phân bổ một dải địa chỉ mạng nội bộ nhất định (ví dụ: 192.168.10.0/24) và các địa chỉ nội bộ được liên kết với chứng chỉ máy chủ. Các nhóm có thể được hình thành từ những người tham gia trong mạng lớp phủ, chẳng hạn như để phân tách các máy chủ và máy trạm, nơi áp dụng các quy tắc lọc lưu lượng truy cập riêng biệt. Nhiều cơ chế khác nhau được cung cấp để vượt qua trình dịch địa chỉ (NAT) và tường lửa. Có thể tổ chức định tuyến thông qua mạng lớp phủ lưu lượng truy cập từ máy chủ của bên thứ ba không thuộc mạng Nebula (tuyến đường không an toàn).
Nó hỗ trợ tạo tường lửa để phân tách truy cập và lọc lưu lượng giữa các nút trong mạng lớp phủ Nebula. ACL có liên kết thẻ được sử dụng để lọc. Mỗi máy chủ trên mạng có thể xác định quy tắc lọc riêng dựa trên máy chủ, nhóm, giao thức và cổng mạng. Trong trường hợp này, máy chủ được lọc không phải theo địa chỉ IP mà bằng số nhận dạng máy chủ được ký điện tử, không thể giả mạo mà không ảnh hưởng đến trung tâm chứng nhận điều phối mạng.
Trong bản phát hành mới:
- Đã thêm cờ "-raw" vào lệnh print-cert để in bản trình bày PEM của chứng chỉ.
- Đã thêm hỗ trợ cho kiến trúc Linux mới riscv64.
- Đã thêm cài đặt remote_allow_ranges thử nghiệm để liên kết danh sách máy chủ được phép với các mạng con cụ thể.
- Đã thêm tùy chọn pki.disconnect_invalid để đặt lại đường hầm sau khi chấm dứt tin cậy hoặc hết thời gian tồn tại của chứng chỉ.
- Đã thêm tùy chọn không an toàn_routes. .metric để gán trọng số cho một tuyến đường bên ngoài cụ thể.
Nguồn: opennet.ru