Доступен выпуск проекта Nebula 1.5, предлагающего инструментарий для построения защищённых оверлейных сетей. Сеть может объединять от нескольких до десятков тысяч территориально разделённых хостов, размещённых у разных провайдеров, формируя отдельную изолированную сеть поверх глобальной сети. Проект написан на языке Go и распространяется под лицензией MIT. Проект основан компанией Slack, развивающей одноимённый корпоративный мессенджер. Поддерживается работа в Linux, FreeBSD, macOS, Windows, iOS và Android.
Các nút trong mạng Nebula tương tác trực tiếp với nhau ở chế độ P2P - khi cần truyền dữ liệu giữa các nút, các kết nối trực tiếp sẽ được tạo động. VPN- Kết nối. Danh tính của mỗi máy chủ trên mạng được xác nhận bằng chứng chỉ số, và việc kết nối với mạng yêu cầu xác thực—mỗi người dùng nhận được một chứng chỉ xác nhận địa chỉ IP của họ trên mạng Nebula, tên của họ và tư cách thành viên nhóm máy chủ của họ. Các chứng chỉ được ký bởi một cơ quan cấp chứng chỉ nội bộ, được nhà cung cấp mạng triển khai tại cơ sở của họ và được sử dụng để xác minh quyền hạn của các máy chủ được ủy quyền kết nối với mạng lớp phủ.
Để tạo ra một kênh liên lạc được xác thực và bảo mật, Nebula sử dụng một giao thức đường hầm độc quyền dựa trên giao thức trao đổi khóa Diffie-Hellman và thuật toán mã hóa AES-256-GCM. Việc triển khai giao thức dựa trên các thành phần cơ bản đã được kiểm thử và có sẵn do khung Noise cung cấp, cũng được sử dụng trong các dự án như... WireGuard, Lightning và I2P. Dự án được cho là đã vượt qua cuộc kiểm tra an ninh độc lập.
Để phát hiện các nút khác và điều phối các kết nối với mạng, các nút "hải đăng" đặc biệt được tạo ra, có địa chỉ IP toàn cầu cố định và được các thành viên mạng biết đến. Các nút tham gia không bị ràng buộc với bên ngoài. địa chỉ IPChúng được xác định bằng chứng chỉ. Chủ sở hữu máy chủ không thể tự ý sửa đổi các chứng chỉ đã ký và, không giống như các mạng IP truyền thống, không thể mạo danh máy chủ khác bằng cách chỉ đơn giản thay đổi địa chỉ IP. Khi thiết lập đường hầm, danh tính của máy chủ được xác nhận bằng khóa riêng của nó.
Mạng đã tạo được phân bổ một dải địa chỉ mạng nội bộ nhất định (ví dụ: 192.168.10.0/24) và các địa chỉ nội bộ được liên kết với chứng chỉ máy chủ. Các nhóm có thể được hình thành từ những người tham gia trong mạng lớp phủ, chẳng hạn như để phân tách các máy chủ và máy trạm, nơi áp dụng các quy tắc lọc lưu lượng truy cập riêng biệt. Nhiều cơ chế khác nhau được cung cấp để vượt qua trình dịch địa chỉ (NAT) và tường lửa. Có thể tổ chức định tuyến thông qua mạng lớp phủ lưu lượng truy cập từ máy chủ của bên thứ ba không thuộc mạng Nebula (tuyến đường không an toàn).
Nó hỗ trợ tạo tường lửa để phân tách truy cập và lọc lưu lượng giữa các nút trong mạng lớp phủ Nebula. ACL có liên kết thẻ được sử dụng để lọc. Mỗi máy chủ trên mạng có thể xác định quy tắc lọc riêng dựa trên máy chủ, nhóm, giao thức và cổng mạng. Trong trường hợp này, máy chủ được lọc không phải theo địa chỉ IP mà bằng số nhận dạng máy chủ được ký điện tử, không thể giả mạo mà không ảnh hưởng đến trung tâm chứng nhận điều phối mạng.
Trong bản phát hành mới:
- Đã thêm cờ "-raw" vào lệnh print-cert để in bản trình bày PEM của chứng chỉ.
- Добавлена поддержка новой архитектуры Linux riscv64.
- Đã thêm cài đặt remote_allow_ranges thử nghiệm để liên kết danh sách máy chủ được phép với các mạng con cụ thể.
- Đã thêm tùy chọn pki.disconnect_invalid để đặt lại đường hầm sau khi chấm dứt tin cậy hoặc hết thời gian tồn tại của chứng chỉ.
- Đã thêm tùy chọn không an toàn_routes. .metric để gán trọng số cho một tuyến đường bên ngoài cụ thể.
Nguồn: opennet.ru
