A új verziója Nebula 1.5, amely biztonságos átfedő hálózatok építésére szolgáló eszközök gyűjteményeként van elhelyezve Több tízezer földrajzilag elválasztott gazdagéptől tudnak kapcsolódni, külön izolált hálózatot alkotva a globális hálózat tetején.
A projekt célja, hogy saját átfedő hálózatokat hozzon létre bármilyen igényre, például a különböző irodákban lévő vállalati számítógépek, a különböző adatközpontokban lévő szerverek vagy a különböző felhőszolgáltatók virtuális környezeteinek kombinálására.
A Ködről
A Nebula hálózat csomópontjai közvetlenül kommunikálnak egymással P2P módban, mivel a csomópontok közötti adatátvitel szükségességes közvetlen VPN kapcsolatokat hoz létre dinamikusan. A hálózaton lévő minden gazdagép azonosságát digitális tanúsítvány igazolja, és a hálózathoz való csatlakozás hitelesítést igényel; minden felhasználó kap egy tanúsítványt, amely megerősíti a Nebula hálózatban található IP-címet, a nevet és a gazdagépcsoportok tagságát.
A tanúsítványokat egy belső tanúsító hatóság írja alá, amelyet az egyes hálózatok létrehozója saját létesítményeiben valósít meg, és a hitelesítési hatósághoz kapcsolódó meghatározott overlay hálózathoz csatlakozási joggal rendelkező gazdagépek jogosultságának igazolására szolgál.
Hitelesített biztonságos kommunikációs csatorna létrehozásához A Nebula a Diffie-Hellman kulcscsere protokollon és az AES-256-GCM titkosításon alapuló saját alagútkezelési protokollját használja. A protokoll megvalósítása a Noise keretrendszer által biztosított, használatra kész és tesztelt primitíveken alapul, amely szintén olyan projektekben használják, mint a WireGuard, Lightning és I2P. A projekt állítólag átesett egy független biztonsági auditon.
Más csomópontok felfedezéséhez és a hálózathoz való csatlakozás koordinálásához „beacon” csomópontok jönnek létre különlegességek, amelyek globális IP-címei rögzítettek és ismertek a hálózat résztvevői számára. A résztvevő csomópontok nem rendelkeznek külső IP-címre mutató hivatkozással, tanúsítványok azonosítják őket. Az állomástulajdonosok nem módosíthatják az önaláírt tanúsítványokat, és a hagyományos IP-hálózatokkal ellentétben nem tehetnek úgy, mintha egy másik gazdagépek lennének pusztán az IP-cím megváltoztatásával. Amikor egy alagút jön létre, a gazdagép identitását egy egyéni privát kulccsal ellenőrzik.
A létrehozott hálózathoz egy bizonyos intranetes címtartomány van hozzárendelve (például 192.168.10.0/24) és a belső címek gazdagéptanúsítványokhoz vannak kötve. Az overlay hálózat résztvevőiből csoportok alakíthatók, például külön szerverekké és munkaállomásokká, amelyekre külön forgalomszűrési szabályok vonatkoznak. Különféle mechanizmusok állnak rendelkezésre a címfordítók (NAT) és a tűzfalak bejárására. Lehetőség van a Nebula hálózatban nem szereplő, harmadik féltől származó forgalom átfedési hálózatán keresztül történő útválasztás megszervezésére (nem biztonságos útvonal).
További, támogatja a tűzfalak létrehozását a hozzáférés elválasztására és a forgalom szűrésére az overlay Nebula hálózat csomópontjai között. A címkéhez kötött ACL-eket a szűréshez használják. A hálózat minden állomása meghatározhatja saját szűrőszabályait a hálózati gazdagépekhez, csoportokhoz, protokollokhoz és portokhoz. Ugyanakkor a gazdagépeket nem IP-címek, hanem digitálisan aláírt állomásazonosítók szűrik, amelyeket nem lehet a hálózatot koordináló hitelesítési központ veszélyeztetése nélkül hamisítani.
A kód Go nyelven íródott, és az MIT engedélyével rendelkezik. A projektet a Slack alapította, amely az azonos nevű vállalati messengert fejleszti. Támogatja a Linuxot, a FreeBSD-t, a macOS-t, a Windowst, az iOS-t és az Androidot.
Tekintettel az új verzióban végrehajtott változtatások a következők:
- A "-raw" jelző hozzáadása a print-cert parancshoz a tanúsítvány PEM reprezentációjának kinyomtatásához.
- Támogatás hozzáadva az új Linux riscv64 architektúrához.
- Kísérleti remote_allow_ranges beállítás hozzáadva az engedélyezett gazdagéplisták meghatározott alhálózatokhoz való kötéséhez.
- Hozzáadott pki.disconnect_invalid beállítás az alagutak alaphelyzetbe állításához a bizalom megszűnése vagy a tanúsítvány lejárta után.
- Az unsafe_routes opció hozzáadva. .metric egy adott külső útvonal súlyának beállításához.
Végül, ha többet szeretne megtudni róla, tájékozódjon a részletekről és/vagy dokumentációt az alábbi linken.