El projecte Firezone desenvolupa un servidor VPN per proporcionar accés als amfitrions d'una xarxa interna aïllada des de dispositius d'usuari situats a xarxes externes. El projecte té com a objectiu aconseguir un alt nivell de protecció i simplificar el procés de desplegament de VPN. El codi del projecte està escrit en Elixir i Ruby i es distribueix sota la llicència Apache 2.0.
El projecte està desenvolupat per un enginyer d'automatització de seguretat de Cisco que va intentar crear una solució que automatitzi la configuració de l'amfitrió i elimina els problemes que s'havien de trobar a l'hora d'organitzar l'accés segur a les VPC del núvol. Firezone es pot veure com una alternativa de codi obert a OpenVPN Access Server, construït sobre WireGuard en lloc d'OpenVPN.
Per a la instal·lació, s'ofereixen paquets rpm i deb per a diferents versions de CentOS, Fedora, Ubuntu i Debian, la instal·lació de les quals no requereix dependències externes, ja que totes les dependències necessàries ja s'inclouen mitjançant el kit d'eines Chef Omnibus. Per funcionar, només necessiteu un kit de distribució amb un nucli de Linux no anterior a 4.19 i un mòdul de nucli muntat amb VPN WireGuard. Segons l'autor, iniciar i configurar un servidor VPN es pot fer en pocs minuts. Els components de la interfície web s'executen sota un usuari sense privilegis i l'accés només és possible mitjançant HTTPS.
WireGuard s'utilitza per organitzar canals de comunicació a Firezone. Firezone també té una funcionalitat de tallafoc integrada amb nftables. En la seva forma actual, el tallafoc es limita als mitjans per bloquejar el trànsit de sortida a determinats hosts o subxarxes en xarxes internes o externes. La gestió es realitza mitjançant la interfície web o en mode de línia d'ordres mitjançant la utilitat firezone-ctl. La interfície web es basa en Admin One Bulma.
Actualment, tots els components de Firezone s'executen al mateix servidor, però el projecte es desenvolupa inicialment amb una mirada a la modularitat i en el futur es preveu afegir la possibilitat de distribuir components per a la interfície web, VPN i tallafoc en diferents hosts. Els plans també esmenten la integració d'un bloquejador d'anuncis que funciona a nivell de DNS, suport per a llistes de bloqueig d'amfitrió i subxarxa, la possibilitat d'autenticar-se mitjançant LDAP / SSO i capacitats addicionals de gestió d'usuaris.
Font: opennet.ru