Pokretanje nova verzija Nebula 1.5 koja je pozicionirana kao zbirka alata za izgradnju sigurnih mreža preklapanja Mogu se povezati od nekoliko do desetaka tisuća geografski odvojenih hostova, tvoreći zasebnu izoliranu mrežu na vrhu globalne mreže.
Projekt je osmišljen za stvaranje vlastitih mreža za preklapanje za bilo koju potrebu, na primjer, za kombiniranje korporativnih računala u različitim uredima, poslužitelja u različitim podatkovnim centrima ili virtualnih okruženja različitih pružatelja usluga u oblaku.
O maglici
Čvorovi mreže Nebula komuniciraju izravno jedni s drugima u P2P načinu, budući da je potrebno prijenos podataka između čvorovas dinamički stvara izravne VPN veze. Identitet svakog hosta na mreži potvrđuje se digitalnim certifikatom, a veza s mrežom zahtijeva autentifikaciju; svaki korisnik dobiva certifikat koji potvrđuje IP adresu u mreži Nebula, naziv i članstvo u host grupama.
Certifikate potpisuje interno certifikacijsko tijelo, koje implementira kreator svake pojedinačne mreže na vlastitim objektima, a koriste se za certificiranje ovlaštenja hostova koji imaju pravo spajanja na određenu preklapajuću mrežu povezanu s certifikacijskim tijelom.
Za stvaranje provjerenog sigurnog komunikacijskog kanala, Nebula koristi vlastiti protokol za tuneliranje temeljen na Diffie-Hellman protokolu za razmjenu ključeva i AES-256-GCM enkripciji. Implementacija protokola temelji se na spremnim za korištenje i testiranim primitivima koje osigurava Noise framework, koji je također koristi se u projektima kao što su WireGuard, Lightning i I2P. Rečeno je da je projekt prošao neovisnu sigurnosnu reviziju.
Za otkrivanje drugih čvorova i koordinaciju veze s mrežom, kreiraju se "beacon" čvorovi akcije, čije su globalne IP adrese fiksne i poznate sudionicima mreže. Čvorovi koji sudjeluju nemaju vezu na vanjsku IP adresu, oni su identificirani certifikatima. Vlasnici hostova ne mogu mijenjati samopotpisane certifikate, a za razliku od tradicionalnih IP mreža, ne mogu se pretvarati da su drugi host jednostavnom promjenom IP adrese. Kada se stvori tunel, identitet hosta se provjerava prema individualnom privatnom ključu.
Stvorenoj mreži dodjeljuje se određeni raspon intranet adresa (na primjer, 192.168.10.0/24) i interne adrese vezane su certifikatima hosta. Grupe se mogu formirati od sudionika u mreži preklapanja, na primjer na odvojene poslužitelje i radne stanice, na koje se primjenjuju posebna pravila filtriranja prometa. Osigurani su različiti mehanizmi za prelazak preko translatora adresa (NAT) i vatrozida. Moguće je organizirati usmjeravanje kroz preklapajuću mrežu prometa s hostova trećih strana koji nisu uključeni u Nebula mrežu (nesigurna ruta).
Osim toga, podržava stvaranje vatrozida za odvajanje pristupa i filtriranja prometa između čvorova prekrivajuće mreže maglica. ACL-ovi vezani uz oznake koriste se za filtriranje. Svaki host na mreži može definirati vlastita pravila filtriranja za mrežne hostove, grupe, protokole i portove. Istodobno, hostovi se ne filtriraju po IP adresama, već po digitalno potpisanim identifikatorima hosta, koji se ne mogu krivotvoriti bez ugrožavanja certifikacijskog centra koji koordinira mrežu.
Kod je napisan u Go i licenciran od strane MIT-a. Projekt je osnovao Slack, koji razvija istoimeni korporativni glasnik. Podržava Linux, FreeBSD, macOS, Windows, iOS i Android.
U pogledu promjene koje su implementirane u novoj verziji Oni su kako slijedi:
- Dodana je oznaka "-raw" naredbi print-cert za ispis PEM prikaza certifikata.
- Dodana podrška za novu arhitekturu Linux riscv64.
- Dodana je eksperimentalna postavka remote_allow_ranges za povezivanje popisa dopuštenih hostova s određenim podmrežama.
- Dodana opcija pki.disconnect_invalid za resetiranje tunela nakon prekida povjerenja ili isteka certifikata.
- Dodana opcija unsafe_routes. .metric za postavljanje težine za određeni vanjski put.
Konačno, ako ste zainteresirani za više informacija o njemu, možete pogledati njegove pojedinosti i/ili dokumentaciju na sljedećoj poveznici.