Spustenie nová verzia Nebula 1.5, ktorá je umiestnená ako zbierka nástrojov na budovanie bezpečných prekryvných sietí Môžu sa spájať s niekoľkými až desiatkami tisíc geograficky oddelených hostiteľov, čím vytvárajú samostatnú izolovanú sieť na vrchole globálnej siete.
Projekt je navrhnutý tak, aby vytvoril vaše vlastné prekryvné siete pre akúkoľvek potrebu, napríklad kombinovať firemné počítače v rôznych kanceláriách, servery v rôznych dátových centrách alebo virtuálne prostredia od rôznych poskytovateľov cloudu.
O hmlovine
Uzly siete Nebula spolu komunikujú priamo v režime P2P, pretože je potrebné prenášať dáta medzi uzlamis dynamicky vytvára priame pripojenia VPN. Identita každého hostiteľa v sieti je potvrdená digitálnym certifikátom a pripojenie k sieti vyžaduje autentifikáciu; každý používateľ dostane certifikát potvrdzujúci IP adresu v sieti Nebula, názov a členstvo v hostiteľských skupinách.
Certifikáty sú podpísané internou certifikačnou autoritou, implementované tvorcom každej jednotlivej siete v ich vlastných zariadeniach a používané na certifikáciu autority hostiteľov, ktorí majú právo pripojiť sa ku konkrétnej prekryvnej sieti prepojenej s certifikačnou autoritou.
Ak chcete vytvoriť overený bezpečný komunikačný kanál, Nebula používa svoj vlastný tunelovací protokol založený na protokole výmeny kľúčov Diffie-Hellman a šifrovaní AES-256-GCM. Implementácia protokolu je založená na pripravených a testovaných primitívach poskytovaných rámcom Noise, ktorý je tiež používané v projektoch ako WireGuard, Lightning a I2P. Projekt vraj prešiel nezávislým bezpečnostným auditom.
Na objavenie ďalších uzlov a koordináciu pripojenia k sieti sa vytvoria „majákové“ uzly špeciály, ktorých globálne IP adresy sú pevné a známe účastníkom siete. Zúčastnené uzly nemajú prepojenie na externú IP adresu, sú identifikované certifikátmi. Vlastníci hostiteľov nemôžu vykonávať zmeny v certifikátoch s vlastným podpisom a na rozdiel od tradičných sietí IP nemôžu predstierať, že sú iným hostiteľom jednoduchou zmenou adresy IP. Keď sa vytvorí tunel, identita hostiteľa sa overí podľa individuálneho súkromného kľúča.
Vytvorenej sieti je priradený určitý rozsah intranetových adries (napríklad 192.168.10.0/24) a interné adresy sú spojené s certifikátmi hostiteľa. Skupiny môžu byť vytvorené z účastníkov v prekryvnej sieti, napríklad do samostatných serverov a pracovných staníc, na ktoré sa vzťahujú samostatné pravidlá filtrovania návštevnosti. Pre prekladače adries (NAT) a firewally sú k dispozícii rôzne mechanizmy. Je možné organizovať smerovanie cez prekrývajúcu sieť prenosu z hostiteľov tretích strán, ktorí nie sú súčasťou siete Nebula (nezabezpečená trasa).
Okrem toho, podporuje vytváranie brán firewall na oddelenie prístupu a filtrovania prevádzky medzi uzlami prekryvnej siete hmloviny. Na filtrovanie sa používajú zoznamy ACL viazané na značku. Každý hostiteľ v sieti môže definovať svoje vlastné pravidlá filtrovania pre sieťových hostiteľov, skupiny, protokoly a porty. Hostitelia zároveň nie sú filtrovaní podľa IP adries, ale podľa digitálne podpísaných identifikátorov hostiteľa, ktoré nemožno sfalšovať bez ohrozenia certifikačného centra, ktoré koordinuje sieť.
Kód je napísaný v Go a je licencovaný MIT. Projekt založila spoločnosť Slack, ktorá vyvíja rovnomenného firemného messengera. Podporuje Linux, FreeBSD, macOS, Windows, iOS a Android.
Týkajúce sa zmeny, ktoré boli implementované v novej verzii sú:
- Do príkazu print-cert bol pridaný príznak „-raw“, aby sa vytlačila reprezentácia certifikátu PEM.
- Pridaná podpora pre novú architektúru Linux riscv64.
- Pridané experimentálne nastavenie remote_allow_ranges na viazanie zoznamov povolených hostiteľov na konkrétne podsiete.
- Pridaná možnosť pki.disconnect_invalid na resetovanie tunelov po ukončení dôvery alebo vypršaní platnosti certifikátu.
- Pridaná možnosť unsafe_routes. .metric pre nastavenie hmotnosti pre konkrétnu externú cestu.
Nakoniec, ak máte záujem dozvedieť sa o nej viac, môžete si prekonzultovať jej podrobnosti a/alebo dokumentáciu na nasledujúcom odkaze.