ההשקה של הגרסה החדשה של Nebula 1.5 אשר ממוקמת כאוסף של כלים לבניית רשתות שכבת-על מאובטחות הם יכולים לקשר בין כמה לעשרות אלפי מארחים מופרדים גיאוגרפית, וליצור רשת מבודדת נפרדת על גבי הרשת הגלובלית.
הפרויקט נועד ליצור רשתות שכבות משלכם לכל צורך, למשל, לשלב מחשבים ארגוניים במשרדים שונים, שרתים במרכזי נתונים שונים או סביבות וירטואליות מספקי ענן שונים.
על ערפילית
הצמתים של רשת הערפילית מתקשרים ישירות זה עם זה במצב P2P, מאז הצורך להעביר נתונים בין צמתיםs יוצר חיבורי VPN ישירים באופן דינמי. הזהות של כל מארח ברשת מאושרת על ידי תעודה דיגיטלית, והחיבור לרשת דורש אימות; כל משתמש מקבל תעודה המאשרת את כתובת ה-IP ברשת Nebula, את השם והחברות בקבוצות המארחות.
תעודות חתומות על ידי רשות אישורים פנימית, מיושמות על ידי היוצר של כל רשת בנפרד במתקנים שלו, ומשמשות לאשר את הסמכות של מארחים שיש להם את הזכות להתחבר לרשת שכבת על ספציפית המקושרת לרשות האישורים.
כדי ליצור ערוץ תקשורת מאובטח מאומת, Nebula משתמשת בפרוטוקול מנהור משלה המבוסס על פרוטוקול החלפת מפתחות Diffie-Hellman והצפנת AES-256-GCM. יישום הפרוטוקול מבוסס על פרימיטיבים מוכנים לשימוש ונבדקים המסופקים על ידי מסגרת הרעש, שהיא גם משמש בפרויקטים כמו WireGuard, Lightning ו-I2P. נאמר כי הפרויקט עבר ביקורת בטיחות בלתי תלויה.
כדי לגלות צמתים אחרים ולתאם את החיבור לרשת, נוצרים צמתים "משואות". מבצעים, שכתובות ה-IP העולמיות שלהם קבועות ומוכרות למשתתפי הרשת. לצמתים המשתתפים אין קישור לכתובת IP חיצונית, הם מזוהים על ידי אישורים. בעלי מארחים אינם יכולים לבצע שינויים בתעודות חתומות בעצמם, ובניגוד לרשתות IP מסורתיות, הם לא יכולים להעמיד פנים שהם מארח אחר פשוט על ידי שינוי כתובת ה-IP. כאשר נוצרת מנהרה, זהות המארח מאומתת מול מפתח פרטי בודד.
לרשת שנוצרה מוקצה טווח מסוים של כתובות אינטראנט (לדוגמה, 192.168.10.0/24) וכתובות פנימיות קשורות לאישורי מארח. ניתן ליצור קבוצות ממשתתפים ברשת שכבת-העל, למשל לשרתים נפרדים ותחנות עבודה, עליהם מוחלים כללי סינון תעבורה נפרדים. מנגנונים שונים מסופקים למעבר מתרגמי כתובות (NAT) וחומות אש. אפשר לארגן ניתוב דרך רשת העל של תעבורה ממארחים של צד שלישי שאינם כלולים ברשת Nebula (מסלול לא מאובטח).
גם תומך ביצירת חומות אש להפרדת גישה וסינון תעבורה בין הצמתים של רשת ערפילית העל. רשימות ACL הקשורות לתג משמשות לסינון. כל מארח ברשת יכול להגדיר כללי סינון משלו עבור מארחי רשת, קבוצות, פרוטוקולים ויציאות. יחד עם זאת, המארחים אינם מסוננים על ידי כתובות IP, אלא על ידי מזהי מארח חתומים דיגיטלית, שלא ניתן לזייף מבלי לפגוע במרכז האישורים המרכז את הרשת.
הקוד כתוב ב-Go וברישיון MIT. הפרויקט הוקם על ידי Slack, המפתחת את המסנג'ר הארגוני באותו שם. הוא תומך בלינוקס, FreeBSD, macOS, Windows, iOS ו- Android.
במונחים של השינויים שהוטמעו בגרסה החדשה הם:
- הוסיף את הדגל "-raw" לפקודת print-cert כדי להדפיס את ייצוג ה-PEM של התעודה.
- נוספה תמיכה בארכיטקטורת Linux riscv64 החדשה.
- נוספה הגדרה ניסיונית של remote_allow_ranges כדי לאגד רשימות מארח מותרות לרשתות משנה ספציפיות.
- נוספה אפשרות pki.disconnect_invalid לאיפוס מנהרות לאחר סיום אמון או תפוגה של אישור.
- נוספה אפשרות unsafe_routes. .metric כדי להגדיר את המשקל עבור נתיב חיצוני ספציפי.
לבסוף, אם אתם מעוניינים לדעת יותר עליו, תוכלו לעיין בפרטיו ו/או תיעוד בקישור הבא.