Pokretanje nova verzija Nebula 1.5 koja je pozicionirana kao kolekcija alata za izgradnju sigurnih preklapajućih mreža Oni mogu povezati od nekoliko do desetina hiljada geografski odvojenih hostova, formirajući zasebnu izolovanu mrežu na vrhu globalne mreže.
Projekat je dizajniran da kreira sopstvene mreže za preklapanje za bilo koju potrebu, na primer, za kombinovanje korporativnih računara u različitim kancelarijama, servera u različitim data centrima ili virtuelnih okruženja različitih provajdera u oblaku.
O Nebuli
Čvorovi mreže Nebula komuniciraju direktno jedni s drugima u P2P modu, budući da postoji potreba za prijenosom podataka između čvorovas stvara direktne VPN veze dinamički. Identitet svakog hosta na mreži je potvrđen digitalnim certifikatom, a veza s mrežom zahtijeva autentifikaciju; svaki korisnik dobija sertifikat koji potvrđuje IP adresu u mreži Nebula, naziv i članstvo u grupama domaćina.
Certifikate potpisuje interno tijelo za izdavanje certifikata, implementira kreator svake pojedinačne mreže u svojim objektima, a koriste se za certifikaciju ovlaštenja hostova koji imaju pravo da se povežu na određenu mrežu preklapanja koja je povezana sa autoritetom za izdavanje certifikata.
Za kreiranje autentificiranog sigurnog komunikacijskog kanala, Nebula koristi vlastiti protokol tuneliranja baziran na Diffie-Hellman protokolu za razmjenu ključeva i AES-256-GCM enkripciji. Implementacija protokola se zasniva na spremnim za upotrebu i testiranim primitivima koje obezbeđuje Noise framework, koji je takođe koristi se u projektima kao što su WireGuard, Lightning i I2P. Rečeno je da je projekat prošao nezavisnu reviziju sigurnosti.
Za otkrivanje drugih čvorova i koordinaciju veze s mrežom, kreiraju se "beacon" čvorovi akcije, čije su globalne IP adrese fiksne i poznate učesnicima mreže. Čvorovi koji učestvuju nemaju vezu sa eksternom IP adresom, oni su identifikovani sertifikatima. Vlasnici hostova ne mogu sami unositi promjene u potpisane certifikate, a za razliku od tradicionalnih IP mreža, ne mogu se pretvarati da su drugi host jednostavnom promjenom IP adrese. Kada je tunel kreiran, identitet hosta se provjerava prema individualnom privatnom ključu.
Kreiranoj mreži je dodijeljen određeni raspon intranet adresa (na primjer, 192.168.10.0/24) i interne adrese su vezane s host certifikatima. Grupe se mogu formirati od učesnika u mreži preklapanja, na primer na odvojene servere i radne stanice, na koje se primenjuju posebna pravila filtriranja saobraćaja. Predviđeni su različiti mehanizmi za prelazak preko translatora adresa (NAT) i zaštitnih zidova. Moguće je organizirati rutiranje kroz preklapajuću mrežu saobraćaja sa hostova treće strane koji nisu uključeni u Nebula mrežu (nesigurna ruta).
Takođe, podržava stvaranje zaštitnih zidova za odvajanje pristupa i filtriranja saobraćaja između čvorova preklapajuće mreže maglina. ACL-ovi vezani za oznake koriste se za filtriranje. Svaki host na mreži može definirati vlastita pravila filtriranja za mrežne hostove, grupe, protokole i portove. U isto vrijeme, hostovi se ne filtriraju po IP adresama, već po digitalno potpisanim identifikatorima hosta, koji se ne mogu krivotvoriti bez ugrožavanja centra za sertifikaciju koji koordinira mrežu.
Kod je napisan u Go i licenciran od strane MIT-a. Projekat je osnovao Slack, koji razvija istoimeni korporativni glasnik. Podržava Linux, FreeBSD, macOS, Windows, iOS i Android.
Što se tiče promjene koje su implementirane u novoj verziji One su sledeće:
- Dodana je oznaka "-raw" naredbi print-cert za ispis PEM reprezentacije certifikata.
- Dodata podrška za novu arhitekturu Linux riscv64.
- Dodata eksperimentalna postavka remote_allow_ranges za povezivanje lista dozvoljenih hostova za određene podmreže.
- Dodata opcija pki.disconnect_invalid za resetiranje tunela nakon prekida povjerenja ili isteka certifikata.
- Dodata opcija unsafe_routes. .metric za postavljanje težine za određenu eksternu putanju.
Konačno, ako ste zainteresovani da saznate više o njemu, možete pogledati njegove detalje i/ili dokumentaciju na sledećem linku.