Nisja e versioni i ri i Mjegullnaja 1.5 e cila pozicionohet si një koleksion mjetesh për të ndërtuar rrjete të sigurta të mbivendosjes Ata mund të lidhin nga disa deri në dhjetëra mijëra hoste të ndarë gjeografikisht, duke formuar një rrjet të veçantë të izoluar në krye të rrjetit global.
Projekti është krijuar për të krijuar rrjetet tuaja të mbivendosjes për çdo nevojë, për shembull, për të kombinuar kompjuterë të korporatës në zyra të ndryshme, serverë në qendra të ndryshme të dhënash ose mjedise virtuale nga ofrues të ndryshëm cloud.
Rreth Nebulës
Nyjet e rrjetit Nebula komunikojnë drejtpërdrejt me njëri-tjetrin në modalitetin P2P, meqenëse nevoja për transferimin e të dhënave ndërmjet nyjeves krijon lidhje direkte VPN në mënyrë dinamike. Identiteti i çdo hosti në rrjet konfirmohet nga një certifikatë dixhitale dhe lidhja me rrjetin kërkon vërtetim; çdo përdorues merr një certifikatë që konfirmon adresën IP në rrjetin Nebula, emrin dhe anëtarësimin e grupeve pritës.
Certifikatat nënshkruhen nga një autoritet i brendshëm certifikues, i zbatuar nga krijuesi i secilit rrjet individual në objektet e veta dhe përdoren për të certifikuar autoritetin e hosteve që kanë të drejtën të lidhen me një rrjet specifik mbivendosjeje të lidhur me autoritetin e certifikatës.
Për të krijuar një kanal komunikimi të sigurt të vërtetuar, Nebula përdor protokollin e vet të tunelit bazuar në protokollin e shkëmbimit të çelësave Diffie-Hellman dhe enkriptimin AES-256-GCM. Zbatimi i protokollit bazohet në primitivë të gatshëm për përdorim dhe të testuar të ofruar nga kuadri Noise, i cili është gjithashtu përdoret në projekte si WireGuard, Lightning dhe I2P. Projekti thuhet se ka kaluar një auditim të pavarur të sigurisë.
Për të zbuluar nyje të tjera dhe për të koordinuar lidhjen me rrjetin, krijohen nyjet "beacon". speciale, adresat IP globale të të cilave janë fikse dhe të njohura për pjesëmarrësit në rrjet. Nyjet pjesëmarrëse nuk kanë një lidhje me një adresë IP të jashtme, ato identifikohen nga certifikatat. Pronarët e hostit nuk mund të bëjnë ndryshime në certifikatat e vetë-nënshkruara dhe ndryshe nga rrjetet tradicionale IP, ata nuk mund të pretendojnë të jenë një host tjetër thjesht duke ndryshuar adresën IP. Kur krijohet një tunel, identiteti i hostit vërtetohet kundrejt një çelësi privat individual.
Rrjetit të krijuar i është caktuar një gamë e caktuar adresash intranet (për shembull, 192.168.10.0/24) dhe adresat e brendshme janë të lidhura me certifikatat e hostit. Grupet mund të formohen nga pjesëmarrësit në rrjetin e mbivendosjes, për shembull për serverë dhe stacione pune të veçanta, për të cilat zbatohen rregulla të veçanta të filtrimit të trafikut. Parashikohen mekanizma të ndryshëm për kalimin e përkthyesve të adresave (NAT) dhe mureve të zjarrit. Është e mundur të organizohet drejtimi përmes rrjetit të mbivendosur të trafikut nga hostet e palëve të treta që nuk përfshihen në rrjetin Nebula (rrugë e pasigurt).
Përveç kësaj, mbështet krijimin e Firewall-eve për të ndarë aksesin dhe filtrimin e trafikut ndërmjet nyjeve të rrjetit të Mjegullnajës së mbivendosur. ACL-të e lidhura me etiketa përdoren për filtrim. Çdo host në rrjet mund të përcaktojë rregullat e veta të filtrit për hostet e rrjetit, grupet, protokollet dhe portet. Në të njëjtën kohë, hostet nuk filtrohen nga adresat IP, por nga identifikuesit e hostit të nënshkruar në mënyrë dixhitale, të cilët nuk mund të falsifikohen pa kompromentuar qendrën e certifikimit që koordinon rrjetin.
Kodi është shkruar në Go dhe është i licencuar nga MIT. Projekti u themelua nga Slack, i cili zhvillon lajmëtarin e korporatës me të njëjtin emër. Ai mbështet Linux, FreeBSD, macOS, Windows, iOS dhe Android.
Sa për ndryshimet që janë zbatuar në versionin e ri janë:
- Shtoi flamurin "-raw" në komandën print-cert për të printuar përfaqësimin PEM të certifikatës.
- Mbështetje e shtuar për arkitekturën e re Linux riscv64.
- U shtua cilësimi eksperimental i remote_allow_ranges për të lidhur listat e lejuara të hosteve me nënrrjeta specifike.
- U shtua opsioni pki.disconnect_invalid për të rivendosur tunelet pas përfundimit të besimit ose skadimit të certifikatës.
- U shtua opsioni unsafe_routes. .metrik për të vendosur peshën për një shteg të jashtëm specifik.
Së fundi, nëse jeni të interesuar të dini më shumë rreth tij, mund të konsultoni detajet e tij dhe/ose dokumentacionin në linkun e mëposhtëm.