Projekat Firezone razvija VPN server koji omogućava pristup hostovima na internoj izoliranoj mreži sa korisničkih uređaja koji se nalaze na vanjskim mrežama. Cilj projekta je postizanje visokog nivoa zaštite i pojednostavljenje procesa implementacije VPN-a. Kôd projekta je napisan u Elixir i Ruby i distribuira se pod licencom Apache 2.0.
Projekat razvija inženjer za sigurnosnu automatizaciju iz Cisco-a koji je pokušao da kreira rešenje koje automatizuje konfiguraciju hosta i eliminiše probleme sa kojima se moralo suočiti prilikom organizovanja bezbednog pristupa VPC-ovima u oblaku. Firezone se može smatrati alternativom otvorenog koda OpenVPN Access Serveru, izgrađenom na vrhu WireGuard-a umjesto OpenVPN-a.
Za instalaciju su ponuđeni rpm i deb paketi za različite verzije CentOS-a, Fedora, Ubuntu i Debian, za čiju instalaciju nisu potrebne vanjske ovisnosti, budući da su sve potrebne ovisnosti već uključene pomoću Chef Omnibus alata. Za rad vam je potreban samo distributivni komplet s Linux kernelom ne starijim od 4.19 i sklopljeni modul kernela s VPN WireGuardom. Prema riječima autora, pokretanje i konfiguracija VPN servera može se obaviti za samo nekoliko minuta. Komponente web interfejsa se izvršavaju pod neprivilegovanim korisnikom, a pristup je moguć samo preko HTTPS-a.
WireGuard se koristi za organiziranje komunikacijskih kanala u Firezone. Firezone takođe ima ugrađenu funkciju zaštitnog zida koristeći nftables. U svom trenutnom obliku, zaštitni zid je ograničen na sredstva za blokiranje odlaznog saobraćaja ka određenim hostovima ili podmrežama na internim ili eksternim mrežama. Upravljanje se vrši preko web sučelja ili u načinu komandne linije pomoću uslužnog programa firezone-ctl. Web interfejs je baziran na Admin One Bulma.
Trenutno sve Firezone komponente rade na istom serveru, ali je projekat inicijalno razvijen s pažnjom na modularnost, au budućnosti se planira dodati mogućnost distribucije komponenti za web interfejs, VPN i firewall na različite hostove. U planovima se također spominje integracija blokatora oglasa koji radi na DNS nivou, podrška za liste blokova hostova i subnet, mogućnost autentifikacije putem LDAP/SSO, te dodatne mogućnosti upravljanja korisnicima.
izvor: opennet.ru