Праектам Firezone развіваецца VPN-сервер для арганізацыі доступу да хастаў ва ўнутранай ізаляванай сетцы з карыстацкіх прылад, змешчаных у вонкавых сетках. Праект нацэлены на дасягненне высокага ўзроўню абароны і спрашчэнне працэсу разгортвання VPN. Код праекту напісаны на мовах Elixir і Ruby, і распаўсюджваецца пад ліцэнзіяй Apache 2.0.
Праект развіваецца інжынерам па аўтаматызацыі бяспекі з кампаніі Cisco, які паспрабаваў стварыць рашэнне, якое аўтаматызуе працу з канфігурацыяй хастоў і выняткоўвалае з'яўленне праблем, з якімі даводзілася сутыкацца пры арганізацыі бяспечнага доступу да хмарных VPC. Firezone можа разглядацца як адчынены аналог OpenVPN Access Server, пабудаваны па-над WireGuard замест OpenVPN.
Для ўсталёўкі прапануюцца rpm- і deb-пакеты для розных версій CentOS, Fedora, Ubuntu і Debian, усталёўка якіх не патрабуе вонкавых залежнасцяў, бо ўсе неабходныя залежнасці ўжо ўключаны пры дапамозе інструментара Chef Omnibus. Для працы патрабуецца толькі дыстрыбутыў з ядром Linux не старэйшыя за 4.19 і сабраны модуль ядра з VPN WireGuard. Па заяве аўтара, запуск і настройка VPN-сервера можа быць ажыццёўлена ўсяго за некалькі хвілін. Кампаненты web-інтэрфейсу выконваюцца пад непрывілеяваным карыстачом, а доступ магчымы толькі праз HTTPS.
Для арганізацыі каналаў сувязі ў Firezone выкарыстоўваецца WireGuard. У Firezone таксама ўбудаваны функцыі міжсеткавага экрана, які выкарыстоўвае nftables. У бягучым выглядзе міжсеткавы экран абмежаваны сродкамі для блакавання выходнага трафіку да пэўных хастаў або падсетак ва ўнутранай або знешняй сетках. Кіраванне вырабляецца праз web-інтэрфейс або ў рэжыме каманднага радка пры дапамозе ўтыліты firezone-ctl. Web-інтэрфейс пабудаваны на базе Admin One Bulma.
У наш час усе кампаненты Firezone запускаюцца на адным серверы, але праект першапачаткова развіваецца з аглядкай на модульнасць і ў будучыні плануецца дадаць магчымасць разнясення кампанентаў для web-інтэрфейсу, VPN і міжсеткавага экрана па розных хастах. У планах таксама згадваецца інтэграцыя блакавальніка рэкламы, які працуе на ўзроўні DNS, падтрымка спісаў блакавання хастоў і падсетак, магчымасць аўтэнтыфікацыі праз LDAP / SSO і дадатковыя магчымасці па кіраванні карыстальнікамі.
Крыніца: opennet.ru