S'acaba de donar a conèixer el llançament de la nova versio de Nebula 1.5 que es posiciona com una col·lecció d'eines per construir xarxes superposades segures que poden unir des de diversos fins a desenes de milers de hosts separats geogràficament, formant una xarxa aïllada separada a la part superior de la xarxa global.
El projecte està dissenyat per crear les seves pròpies xarxes superposades per a qualsevol necessitat, per exemple, per combinar ordinadors corporatius a diferents oficines, servidors a diferents centres de dades o entorns virtuals de diferents proveïdors de núvol.
Sobre Nebula
Els nodes de la xarxa Nebula es comuniquen directament entre si en mode P2P, ja que la necessitat de transferir dades entre els nodess crea connexions VPN directes de forma dinàmica. La identitat de cada host a la xarxa es confirma mitjançant un certificat digital, i la connexió a la xarxa requereix autenticació; cada usuari rep un certificat que confirma l'adreça IP a la xarxa Nebula, el nom i la membresía dels grups de hosts.
Els certificats són signats per una autoritat de certificació interna, implementats pel creador de cada xarxa individual a les seves pròpies instal·lacions i utilitzats per certificar l'autoritat dels hosts que tenen dret a connectar-se a una xarxa superposada específica vinculada a l'autoritat de certificació.
Per crear un canal de comunicació segur autenticat, Nebula utilitza el propi protocol de túnel basat en el protocol d'intercanvi de claus Diffie-Hellman i el xifratge AES-256-GCM. La implementació del protocol es basa en primitives llistes per a usar i provades proporcionades pel marc Noise, que també es utilitza en projectes com WireGuard, Lightning i I2P. Es diu que el projecte va passar una auditoria de seguretat independent.
Per descobrir altres nodes i coordinar la connexió a la xarxa, es creen nodes «far» especials, les adreces IP globals del qual són fixes i conegudes pels participants de la xarxa. Els nodes participants no tenen un enllaç a una adreça IP externa, sidentifiquen mitjançant certificats. Els propietaris de hosts no poden fer canvis en els certificats signats per ells mateixos i, a diferència de les xarxes IP tradicionals, no poden pretendre ser un altre host simplement canviant l'adreça IP. Quan creeu un túnel, la identitat del host es valida amb una clau privada individual.
A la xarxa creada se li assigna un cert rang d'adreces d'intranet (per exemple, 192.168.10.0/24) i les adreces internes estan vinculades amb certificats de host. Els grups es poden formar a partir dels participants a la xarxa superposada, per exemple, a servidors i estacions de treball separats, als quals s'apliquen regles de filtratge de trànsit separades. Es proporcionen diversos mecanismes per travessar traductors d'adreces (NAT) i tallafocs. És possible organitzar l'encaminament a través de la xarxa superposada de trànsit de hosts de tercers que no estan inclosos a la xarxa Nebula (ruta insegura).
A més, admet la creació de Firewalls per separar l'accés i filtrar el trànsit entre els nodes de la xarxa superposada Nebula. Les ACL amb enllaç d'etiquetes s'utilitzen per al filtratge. Cada host de la xarxa pot definir les pròpies regles de filtratge per a hosts, grups, protocols i ports de xarxa. Alhora, els hosts no es filtren per adreces IP, sinó per identificadors de host signats digitalment, que no es poden falsificar sense comprometre el centre de certificació que coordina la xarxa.
El codi està escrit a Go i té la llicència MIT. El projecte va ser fundat per Slack, que desenvolupa el missatger corporatiu del mateix nom. Suporta Linux, FreeBSD, macOS, Windows, iOS i Android.
Quant a els canvis que es van implementar a la nova versió són els següents:
- S'ha afegit l'indicador -raw a l'ordre print-cert per imprimir la representació PEM del certificat.
- S'ha afegit suport per a la nova arquitectura de Linux riscv64.
- S'ha afegit la configuració experimental remote_allow_ranges per vincular les llistes de hosts permesos a subxarxes específiques.
- S'ha afegit l'opció pki.disconnect_invalid per restablir els túnels després de la finalització de la confiança o el venciment del certificat.
- S'ha afegit l'opció unsafe_routes. .metric per establir el pes d'una ruta externa específica.
Finalment, si estàs interessat en poder conèixer-ne més, pots consultar-ne els detalls i/o documentació al següent enllaç.