Проектът Firezone разработва VPN сървър за осигуряване на достъп до хостове във вътрешна изолирана мрежа от потребителски устройства, разположени във външни мрежи. Проектът е насочен към постигане на високо ниво на защита и опростяване на процеса на внедряване на VPN. Кодът на проекта е написан на Elixir и Ruby и се разпространява под лиценза Apache 2.0.
Проектът се разработва от инженер по автоматизация на сигурността от Cisco, който се опита да създаде решение, което автоматизира конфигурацията на хоста и елиминира проблемите, с които трябва да се сблъскате при организирането на защитен достъп до облачни VPC. Firezone може да се разглежда като алтернатива с отворен код на OpenVPN Access Server, изграден върху WireGuard вместо OpenVPN.
За инсталация се предлагат пакети rpm и deb за различни версии на CentOS, Fedora, Ubuntu и Debian, чието инсталиране не изисква външни зависимости, тъй като всички необходими зависимости вече са включени с помощта на инструментариума Chef Omnibus. За да работите, имате нужда само от комплект за разпространение с Linux ядро не по-старо от 4.19 и сглобен модул на ядрото с VPN WireGuard. Според автора стартирането и конфигурирането на VPN сървър може да стане само за няколко минути. Компонентите на уеб интерфейса се изпълняват от непривилегирован потребител и достъпът е възможен само през HTTPS.
WireGuard се използва за организиране на комуникационни канали във Firezone. Firezone също има вградена функционалност на защитната стена, използвайки nftables. В настоящата си форма защитната стена е ограничена до средствата за блокиране на изходящия трафик към определени хостове или подмрежи във вътрешни или външни мрежи. Управлението се извършва чрез уеб интерфейса или в режим на команден ред с помощта на помощната програма firezone-ctl. Уеб интерфейсът е базиран на Admin One Bulma.
В момента всички компоненти на Firezone работят на един и същ сървър, но проектът първоначално е разработен с оглед на модулността и в бъдеще се планира да се добави възможност за разпространение на компоненти за уеб интерфейса, VPN и защитната стена на различни хостове. Плановете също така споменават интегрирането на рекламен блокер, който работи на ниво DNS, поддръжка за списъци с блокирани хостове и подмрежи, възможност за удостоверяване чрез LDAP / SSO и допълнителни възможности за управление на потребителите.
Източник: opennet.ru