Paleidimas nauja versija Nebula 1.5, kuris yra įrankių rinkinys, skirtas saugiems perdangos tinklams kurti Jie gali susieti nuo kelių iki dešimčių tūkstančių geografiškai atskirtų kompiuterių, sudarydami atskirą izoliuotą tinklą pasaulinio tinklo viršuje.
Projektas skirtas sukurti savo perdangos tinklus bet kokiam poreikiui, pavyzdžiui, sujungti įmonių kompiuterius skirtinguose biuruose, serverius skirtinguose duomenų centruose ar virtualias aplinkas iš skirtingų debesų tiekėjų.
Apie ūką
Nebula tinklo mazgai tiesiogiai bendrauja vienas su kitu P2P režimu, kadangi poreikis perkelti duomenis tarp mazgųs dinamiškai sukuria tiesioginius VPN ryšius. Kiekvieno tinklo pagrindinio kompiuterio tapatybė patvirtinama skaitmeniniu sertifikatu, o prisijungimui prie tinklo reikalingas autentifikavimas; kiekvienas vartotojas gauna sertifikatą, patvirtinantį IP adresą Nebula tinkle, pavadinimą ir priklausomybę prieglobos grupėms.
Sertifikatus pasirašo vidinė sertifikavimo institucija, įdiegia kiekvieno atskiro tinklo kūrėjas savo patalpose ir naudoja pagrindinio kompiuterio, turinčio teisę prisijungti prie konkretaus perdangos tinklo, susieto su sertifikatų institucija, autoritetui sertifikuoti.
Norėdami sukurti autentifikuotą saugų ryšio kanalą, Nebula naudoja savo tuneliavimo protokolą, pagrįstą Diffie-Hellman raktų mainų protokolu ir AES-256-GCM šifravimu. Protokolo įgyvendinimas yra pagrįstas naudoti paruoštais ir patikrintais primityvais, kuriuos teikia Noise framework, kuris taip pat yra naudojamas tokiuose projektuose kaip WireGuard, Lightning ir I2P. Teigiama, kad projektas praėjo nepriklausomą saugos auditą.
Norint atrasti kitus mazgus ir koordinuoti ryšį su tinklu, sukuriami „švyturio“ mazgai specialūs pasiūlymai, kurių pasauliniai IP adresai yra fiksuoti ir žinomi tinklo dalyviams. Dalyvaujantys mazgai neturi nuorodos į išorinį IP adresą, jie identifikuojami pagal sertifikatus. Prieglobos savininkai negali patys keisti pasirašytų sertifikatų ir, skirtingai nei tradiciniai IP tinklai, jie negali apsimesti kitu kompiuteriu tiesiog pakeisdami IP adresą. Kai sukuriamas tunelis, pagrindinio kompiuterio tapatybė patvirtinama pagal individualų privatųjį raktą.
Sukurtam tinklui priskiriamas tam tikras intraneto adresų diapazonas (pvz., 192.168.10.0/24) ir vidiniai adresai yra susieti su pagrindinio kompiuterio sertifikatais. Iš perdangos tinklo dalyvių galima formuoti grupes, pavyzdžiui, į atskirus serverius ir darbo vietas, kurioms taikomos atskiros srauto filtravimo taisyklės. Numatyti įvairūs mechanizmai, skirti adresų vertėjams (NAT) ir ugniasienėms pereiti. Galima organizuoti maršrutą per dengiantį srauto tinklą iš trečiųjų šalių prieglobos, kurios nėra įtrauktos į „Nebula“ tinklą (nesaugus maršrutas).
Taip pat palaiko ugniasienių, skirtų atskirti prieigą ir filtruoti srautą, kūrimą tarp perdangos ūko tinklo mazgų. Filtravimui naudojami su žyma susieti ACL. Kiekvienas tinklo kompiuteris gali nustatyti savo filtravimo taisykles tinklo priegloboms, grupėms, protokolams ir prievadams. Tuo pačiu metu kompiuteriai filtruojami ne pagal IP adresus, o pagal skaitmeniniu būdu pasirašytus pagrindinio kompiuterio identifikatorius, kurių negalima suklastoti nepažeidžiant tinklą koordinuojančio sertifikavimo centro.
Kodas parašytas Go ir yra licencijuotas MIT. Projektą įkūrė „Slack“, kurianti to paties pavadinimo korporacinį pasiuntinį. Jis palaiko Linux, FreeBSD, macOS, Windows, iOS ir Android.
Dėl pakeitimai, kurie buvo įgyvendinti naujoje versijoje yra:
- Prie komandos print-cert pridėta vėliavėlė „-raw“, kad būtų atspausdintas sertifikato PEM vaizdas.
- Pridėtas naujos Linux riscv64 architektūros palaikymas.
- Pridėtas eksperimentinis nuotolinio_allow_ranges nustatymas, skirtas susieti leidžiamus prieglobos sąrašus su konkrečiais potinkliais.
- Pridėta pki.disconnect_invalid parinktis, leidžianti iš naujo nustatyti tunelius po pasitikėjimo nutraukimo arba sertifikato galiojimo pabaigos.
- Pridėta unsafe_routes parinktis. .metric, kad nustatytumėte konkretaus išorinio kelio svorį.
Galiausiai, jei jus domina galimybė apie tai sužinoti daugiau, galite susipažinti su jo informacija ir/arba dokumentaciją šioje nuorodoje.