Die Firezone-projek ontwikkel 'n VPN-bediener om toegang te bied aan gashere op 'n interne geïsoleerde netwerk vanaf gebruikerstoestelle wat op eksterne netwerke geleë is. Die projek is daarop gemik om 'n hoë vlak van beskerming te bereik en die VPN-ontplooiingsproses te vereenvoudig. Die projekkode is in Elixir en Ruby geskryf en onder die Apache 2.0-lisensie versprei.
Die projek word ontwikkel deur 'n sekuriteitsoutomatiseringsingenieur van Cisco wat probeer het om 'n oplossing te skep wat gasheerkonfigurasie outomatiseer en die probleme uitskakel wat in die gesig gestaar moes word wanneer veilige toegang tot wolk-VPC's georganiseer word. Firezone kan gesien word as 'n oopbron-alternatief vir OpenVPN Access Server, gebou bo-op WireGuard in plaas van OpenVPN.
Vir installasie word rpm- en deb-pakkette aangebied vir verskillende weergawes van CentOS, Fedora, Ubuntu en Debian, waarvan die installasie nie eksterne afhanklikhede vereis nie, aangesien al die nodige afhanklikhede reeds ingesluit is met behulp van die Chef Omnibus-gereedskapstel. Om te werk, benodig jy net 'n verspreidingskit met 'n Linux-kern nie ouer as 4.19 nie en 'n saamgestelde kernmodule met VPN WireGuard. Volgens die skrywer kan die begin en konfigurasie van 'n VPN-bediener binne 'n paar minute gedoen word. Die webkoppelvlakkomponente word uitgevoer onder 'n onbevoorregte gebruiker, en toegang is slegs moontlik via HTTPS.
WireGuard word gebruik om kommunikasiekanale in Firezone te organiseer. Firezone het ook ingeboude firewall-funksies met behulp van nftables. In sy huidige vorm is die firewall beperk tot die manier om uitgaande verkeer na sekere gashere of subnette op interne of eksterne netwerke te blokkeer. Bestuur word uitgevoer deur die webkoppelvlak of in opdragreëlmodus met behulp van die firezone-ctl-nutsding. Die webkoppelvlak is gebaseer op Admin One Bulma.
Tans loop alle Firezone-komponente op dieselfde bediener, maar die projek word aanvanklik ontwikkel met die oog op modulariteit en in die toekoms word beplan om die vermoë by te voeg om komponente vir die webkoppelvlak, VPN en firewall op verskillende gashere te versprei. Die planne noem ook die integrasie van 'n advertensieblokkering wat op die DNS-vlak werk, ondersteuning vir gasheer- en subnetbloklyste, die vermoë om via LDAP / SSO te verifieer, en bykomende gebruikersbestuurvermoëns.
Bron: opennet.ru