Zahájení nová verze Nebula 1.5, která je umístěna jako kolekce nástrojů pro budování bezpečných překryvných sítí Mohou se propojit od několika až po desítky tisíc geograficky oddělených hostitelů a vytvořit tak samostatnou izolovanou síť na vrcholu globální sítě.
Projekt je navržen tak, aby vytvořil vlastní překryvné sítě pro jakoukoli potřebu, například pro kombinaci podnikových počítačů v různých kancelářích, serverů v různých datových centrech nebo virtuálních prostředí od různých poskytovatelů cloudu.
O mlhovině
Uzly sítě Nebula spolu komunikují přímo v režimu P2P, protože je potřeba přenášet data mezi uzlys dynamicky vytváří přímá připojení VPN. Identita každého hostitele v síti je potvrzena digitálním certifikátem a připojení k síti vyžaduje ověření; každý uživatel obdrží certifikát potvrzující IP adresu v síti Nebula, jméno a příslušnost k hostitelským skupinám.
Certifikáty jsou podepsány interní certifikační autoritou, kterou implementuje tvůrce každé jednotlivé sítě ve svém vlastním zařízení, a používají se k certifikaci autority hostitelů, kteří mají právo se připojit ke konkrétní překryvné síti spojené s certifikační autoritou.
Chcete-li vytvořit ověřený bezpečný komunikační kanál, Nebula používá svůj vlastní tunelovací protokol založený na protokolu výměny klíčů Diffie-Hellman a šifrování AES-256-GCM. Implementace protokolu je založena na připravených a testovaných primitivech poskytovaných rámcem Noise, který je také používá se v projektech jako WireGuard, Lightning a I2P. Projekt prý prošel nezávislým bezpečnostním auditem.
Pro objevování dalších uzlů a koordinaci připojení k síti jsou vytvořeny „majákové“ uzly speciály, jehož globální IP adresy jsou pevné a známé účastníkům sítě. Zúčastněné uzly nemají odkaz na externí IP adresu, jsou identifikovány certifikáty. Vlastníci hostitelů nemohou sami provádět změny podepsaných certifikátů a na rozdíl od tradičních IP sítí nemohou předstírat, že jsou dalším hostitelem, a to pouze změnou IP adresy. Když je vytvořen tunel, identita hostitele je ověřena podle individuálního soukromého klíče.
Vytvořené síti je přiřazen určitý rozsah intranetových adres (například 192.168.10.0/24) a interní adresy jsou svázány s hostitelskými certifikáty. Skupiny mohou být tvořeny z účastníků v překryvné síti, například na samostatné servery a pracovní stanice, na které jsou aplikována samostatná pravidla filtrování provozu. K dispozici jsou různé mechanismy pro translátory adres (NAT) a firewally. Je možné organizovat směrování přes překryvnou síť provozu z hostitelů třetích stran, kteří nejsou zahrnuti v síti Nebula (nezabezpečená trasa).
Také, podporuje vytváření firewallů pro oddělení přístupu a filtrování provozu mezi uzly překryvné sítě mlhovin. K filtrování se používají ACL vázané na značku. Každý hostitel v síti může definovat svá vlastní pravidla filtrování pro síťové hostitele, skupiny, protokoly a porty. Hostitelé přitom nejsou filtrováni podle IP adres, ale podle digitálně podepsaných identifikátorů hostitele, které nelze zfalšovat bez ohrožení certifikačního centra, které koordinuje síť.
Kód je napsán v Go a je licencován MIT. Projekt založila společnost Slack, která vyvíjí stejnojmenný firemní messenger. Podporuje Linux, FreeBSD, macOS, Windows, iOS a Android.
Týkající se změny, které byly implementovány v nové verzi Jsou následující:
- Do příkazu print-cert byl přidán příznak "-raw", aby se vytiskla reprezentace certifikátu PEM.
- Přidána podpora pro novou architekturu Linux riscv64.
- Přidáno experimentální nastavení remote_allow_ranges pro svázání seznamů povolených hostitelů s konkrétními podsítěmi.
- Přidána možnost pki.disconnect_invalid pro resetování tunelů po ukončení důvěryhodnosti nebo vypršení platnosti certifikátu.
- Přidána možnost unsafe_routes. .metric pro nastavení hmotnosti pro konkrétní externí cestu.
A konečně, pokud máte zájem dozvědět se o něm více, můžete se podívat na jeho podrobnosti a / nebo dokumentaci na následujícím odkazu.