Стартирането на новата версия на Nebula 1.5, която е позиционирана като колекция от инструменти за изграждане на защитени мрежи за наслагване Те могат да свързват от няколко до десетки хиляди географски разделени хостове, образувайки отделна изолирана мрежа върху глобалната мрежа.
Проектът е предназначен за създаване на ваши собствени мрежи за наслагване за всякакви нужди, например за комбиниране на корпоративни компютри в различни офиси, сървъри в различни центрове за данни или виртуални среди от различни облачни доставчици.
Относно мъглявината
Възлите на мрежата Nebula комуникират директно помежду си в P2P режим, тъй като необходимостта от прехвърляне на данни между възлиs създава директни VPN връзки динамично. Идентичността на всеки хост в мрежата се потвърждава от цифров сертификат, а връзката с мрежата изисква удостоверяване; всеки потребител получава сертификат, потвърждаващ IP адреса в мрежата на Nebula, името и членството в хост групите.
Сертификатите се подписват от вътрешен сертифициращ орган, реализиран от създателя на всяка отделна мрежа в техните собствени съоръжения и се използва за удостоверяване на органа на хостове, които имат право да се свързват към конкретна наслагваща мрежа, свързана с сертифициращия орган.
За да създадете удостоверен защитен канал за комуникация, Nebula използва собствен протокол за тунелиране, базиран на протокола за обмен на ключове Diffie-Hellman и AES-256-GCM криптиране. Изпълнението на протокола се основава на готови за използване и тествани примитиви, предоставени от рамката Noise, която също е използван в проекти като WireGuard, Lightning и I2P. Твърди се, че проектът е преминал независим одит на безопасността.
За откриване на други възли и координиране на връзката с мрежата се създават "маячни" възли промоции, чиито глобални IP адреси са фиксирани и известни на участниците в мрежата. Участващите възли нямат връзка към външен IP адрес, те са идентифицирани чрез сертификати. Собствениците на хостове не могат да правят промени в самоподписаните сертификати и за разлика от традиционните IP мрежи, те не могат да се преструват, че са друг хост, просто като променят IP адреса. Когато се създаде тунел, самоличността на хоста се потвърждава срещу индивидуален частен ключ.
На създадената мрежа се присвоява определен диапазон от интранет адреси (например 192.168.10.0/24) и вътрешните адреси са обвързани с хост сертификати. Групи могат да се формират от участници в мрежата с наслагване, например към отделни сървъри и работни станции, към които се прилагат отделни правила за филтриране на трафика. Осигурени са различни механизми за преминаване през адресни транслатори (NAT) и защитни стени. Възможно е да се организира маршрутизиране през мрежата за наслагване на трафик от хостове на трети страни, които не са включени в мрежата на Nebula (несигурен маршрут).
Също, поддържа създаването на защитни стени за разделяне на достъпа и филтриране на трафика между възлите на мрежата на наслагването на мъглявината. ACL, свързани с маркери, се използват за филтриране. Всеки хост в мрежата може да дефинира свои собствени правила за филтриране за мрежови хостове, групи, протоколи и портове. В същото време хостовете не се филтрират по IP адреси, а по цифрово подписани идентификатори на хост, които не могат да бъдат подправени, без да се компрометира сертифициращия център, който координира мрежата.
Кодът е написан на Go и е лицензиран от MIT. Проектът е основан от Slack, който разработва едноименния корпоративен месинджър. Той поддържа Linux, FreeBSD, macOS, Windows, iOS и Android.
Относно промените, които бяха внедрени в новата версия са:
- Добавен е флагът "-raw" към командата print-cert за отпечатване на PEM представянето на сертификата.
- Добавена поддръжка за новата архитектура на Linux riscv64.
- Добавена е експериментална настройка на remote_allow_ranges за свързване на списъци с разрешени хостове към конкретни подмрежи.
- Добавена е опция pki.disconnect_invalid за нулиране на тунели след прекратяване на доверието или изтичане на сертификата.
- Добавена е опция unsafe_routes. .metric, за да зададете теглото за конкретен външен път.
И накрая, ако се интересувате да можете да научите повече за него, можете да се консултирате с подробностите и/или документация в следния линк.