Projekt Firezone vyvíjí server VPN, který poskytuje přístup k hostitelům v interní izolované síti z uživatelských zařízení umístěných v externích sítích. Projekt je zaměřen na dosažení vysoké úrovně ochrany a zjednodušení procesu nasazení VPN. Kód projektu je napsán v Elixir a Ruby a distribuován pod licencí Apache 2.0.
Projekt je vyvíjen technikem bezpečnostní automatizace ze společnosti Cisco, který se pokusil vytvořit řešení, které automatizuje konfiguraci hostitele a odstraňuje problémy, kterým bylo nutné čelit při organizování zabezpečeného přístupu ke cloudovým VPC. Firezone lze považovat za open source alternativu k OpenVPN Access Server, postavenou na WireGuard místo OpenVPN.
Pro instalaci jsou nabízeny balíčky rpm a deb pro různé verze CentOS, Fedora, Ubuntu a Debian, jejichž instalace nevyžaduje externí závislosti, protože všechny potřebné závislosti jsou již zahrnuty pomocí sady nástrojů Chef Omnibus. K práci potřebujete pouze distribuční sadu s linuxovým jádrem ne starším než 4.19 a sestaveným modulem jádra s VPN WireGuard. Podle autora lze spuštění a konfiguraci serveru VPN provést během několika minut. Komponenty webového rozhraní jsou spouštěny pod neprivilegovaným uživatelem a přístup je možný pouze přes HTTPS.
WireGuard se používá k organizaci komunikačních kanálů ve Firezone. Firezone má také vestavěnou funkci firewallu pomocí nftables. Ve své současné podobě je firewall omezen na prostředky k blokování odchozího provozu na určité hostitele nebo podsítě v interních nebo externích sítích. Správa se provádí přes webové rozhraní nebo v režimu příkazového řádku pomocí utility firezone-ctl. Webové rozhraní je založeno na Admin One Bulma.
V současné době běží všechny komponenty Firezone na stejném serveru, ale projekt je zpočátku vyvíjen s ohledem na modularitu a v budoucnu se plánuje přidat možnost distribuovat komponenty pro webové rozhraní, VPN a firewall na různé hostitele. Plány také zmiňují integraci blokovače reklam, který funguje na úrovni DNS, podporu seznamů blokovaných hostitelů a podsítí, možnost autentizace přes LDAP / SSO a další možnosti správy uživatelů.
Zdroj: opennet.ru