Peluncuran versi baru dari Nebula 1.5 yang diposisikan sebagai kumpulan alat untuk membangun jaringan overlay yang aman Mereka dapat menghubungkan dari beberapa hingga puluhan ribu host yang terpisah secara geografis, membentuk jaringan terisolasi yang terpisah di atas jaringan global.
Proyek ini dirancang untuk membuat jaringan overlay Anda sendiri untuk kebutuhan apa pun, misalnya, untuk menggabungkan komputer perusahaan di kantor yang berbeda, server di pusat data yang berbeda, atau lingkungan virtual dari penyedia cloud yang berbeda.
Tentang Nebula
Node jaringan Nebula berkomunikasi langsung satu sama lain dalam mode P2P, karena kebutuhan untuk mentransfer data antar nodes membuat koneksi VPN langsung secara dinamis. Identitas setiap host di jaringan dikonfirmasi oleh sertifikat digital, dan koneksi ke jaringan memerlukan otentikasi; setiap pengguna menerima sertifikat yang mengonfirmasi alamat IP di jaringan Nebula, nama, dan keanggotaan grup host.
Sertifikat ditandatangani oleh otoritas sertifikat internal, diimplementasikan oleh pembuat setiap jaringan individu di fasilitas mereka sendiri, dan digunakan untuk mengesahkan otoritas host yang memiliki hak untuk terhubung ke jaringan overlay tertentu yang terhubung ke otoritas sertifikat.
Untuk membuat saluran komunikasi aman yang diautentikasi, Nebula menggunakan protokol tunneling sendiri berdasarkan protokol pertukaran kunci Diffie-Hellman dan enkripsi AES-256-GCM. Implementasi protokol didasarkan pada primitif siap pakai dan teruji yang disediakan oleh kerangka kerja Noise, yang juga digunakan dalam proyek-proyek seperti WireGuard, Lightning dan I2P. Proyek ini dikatakan telah lulus audit keselamatan independen.
Untuk menemukan node lain dan mengoordinasikan koneksi ke jaringan, node "beacon" dibuat spesial, yang alamat IP globalnya tetap dan diketahui oleh peserta jaringan. Node yang berpartisipasi tidak memiliki tautan ke alamat IP eksternal, mereka diidentifikasi oleh sertifikat. Pemilik host tidak dapat membuat sendiri perubahan pada sertifikat yang ditandatangani, dan tidak seperti jaringan IP tradisional, mereka tidak dapat berpura-pura menjadi host lain hanya dengan mengubah alamat IP. Ketika sebuah terowongan dibuat, identitas host divalidasi terhadap kunci pribadi individu.
Jaringan yang dibuat diberi rentang alamat intranet tertentu (misalnya, 192.168.10.0/24) dan alamat internal terikat dengan sertifikat host. Grup dapat dibentuk dari peserta di jaringan overlay, misalnya untuk memisahkan server dan workstation, yang menerapkan aturan penyaringan lalu lintas yang terpisah. Berbagai mekanisme disediakan untuk melintasi penerjemah alamat (NAT) dan firewall. Dimungkinkan untuk mengatur perutean melalui jaringan overlay lalu lintas dari host pihak ketiga yang tidak termasuk dalam jaringan Nebula (rute tidak aman).
Juga, mendukung pembuatan Firewall untuk memisahkan akses dan memfilter lalu lintas antara node jaringan Nebula overlay. ACL yang terikat tag digunakan untuk memfilter. Setiap host di jaringan dapat menentukan aturan filternya sendiri untuk host jaringan, grup, protokol, dan port. Pada saat yang sama, host tidak difilter berdasarkan alamat IP, tetapi oleh pengidentifikasi host yang ditandatangani secara digital, yang tidak dapat dipalsukan tanpa mengorbankan pusat sertifikasi yang mengoordinasikan jaringan.
Kode ini ditulis dalam Go dan dilisensikan oleh MIT. Proyek ini didirikan oleh Slack, yang mengembangkan utusan perusahaan dengan nama yang sama. Mendukung Linux, FreeBSD, macOS, Windows, iOS dan Android.
Dalam hal perubahan yang diterapkan dalam versi baru adalah:
- Menambahkan flag "-raw" ke perintah print-cert untuk mencetak representasi PEM dari sertifikat.
- Menambahkan dukungan untuk arsitektur riscv64 Linux baru.
- Menambahkan pengaturan remote_allow_ranges eksperimental untuk menautkan daftar host yang diizinkan ke subnet tertentu.
- Menambahkan opsi pki.disconnect_invalid untuk mengatur ulang terowongan setelah penghentian kepercayaan atau kedaluwarsa sertifikat.
- Menambahkan opsi unsafe_routes. .metric untuk menyetel bobot untuk jalur eksternal tertentu.
Terakhir, jika Anda tertarik untuk mengetahuinya lebih lanjut, Anda dapat berkonsultasi dengan detailnya dan / atau dokumentasi di link berikut.