Firezone-projektet udvikler en VPN-server til at give adgang til værter på et internt isoleret netværk fra brugerenheder placeret på eksterne netværk. Projektet er rettet mod at opnå et højt niveau af beskyttelse og forenkle VPN-implementeringsprocessen. Projektkoden er skrevet i Elixir og Ruby og distribueret under Apache 2.0-licensen.
Projektet udvikles af en sikkerhedsautomatiseringsingeniør fra Cisco, som forsøgte at skabe en løsning, der automatiserer værtskonfiguration og eliminerer de problemer, der skulle stå over for, når man organiserede sikker adgang til cloud-VPC'er. Firezone kan ses som et open source-alternativ til OpenVPN Access Server, bygget oven på WireGuard i stedet for OpenVPN.
Til installation tilbydes rpm- og deb-pakker til forskellige versioner af CentOS, Fedora, Ubuntu og Debian, hvis installation ikke kræver eksterne afhængigheder, da alle de nødvendige afhængigheder allerede er inkluderet ved hjælp af Chef Omnibus-værktøjssættet. For at fungere behøver du kun et distributionssæt med en Linux-kerne, der ikke er ældre end 4.19, og et samlet kernemodul med VPN WireGuard. Ifølge forfatteren kan start og konfiguration af en VPN-server gøres på blot et par minutter. Webgrænsefladekomponenterne udføres under en uprivilegeret bruger, og adgang er kun mulig via HTTPS.
WireGuard bruges til at organisere kommunikationskanaler i Firezone. Firezone har også indbygget firewall-funktionalitet ved hjælp af nftables. I sin nuværende form er firewallen begrænset til midlerne til at blokere udgående trafik til visse værter eller undernet på interne eller eksterne netværk. Administration udføres via webgrænsefladen eller i kommandolinjetilstand ved hjælp af firezone-ctl-værktøjet. Webgrænsefladen er baseret på Admin One Bulma.
I øjeblikket kører alle Firezone-komponenter på samme server, men projektet er i første omgang udviklet med øje for modularitet og i fremtiden er det planen at tilføje muligheden for at distribuere komponenter til webgrænsefladen, VPN og firewall på forskellige værter. Planerne nævner også integrationen af en annonceblokering, der fungerer på DNS-niveau, understøttelse af værts- og undernetblokeringslister, muligheden for at autentificere via LDAP/SSO og yderligere brugerstyringsfunktioner.
Kilde: opennet.ru