Das Firezone-Projekt entwickelt einen VPN-Server, um den Zugriff auf Hosts in einem internen isolierten Netzwerk von Benutzergeräten in externen Netzwerken zu organisieren. Ziel des Projekts ist es, ein hohes Schutzniveau zu erreichen und den VPN-Bereitstellungsprozess zu vereinfachen. Der Projektcode ist in Elixir und Ruby geschrieben und wird unter der Apache 2.0-Lizenz vertrieben.
Das Projekt wird von einem Sicherheitsautomatisierungsingenieur von Cisco entwickelt, der versucht hat, eine Lösung zu entwickeln, die die Arbeit mit Hostkonfigurationen automatisiert und die Probleme beseitigt, die bei der Organisation des sicheren Zugriffs auf Cloud-VPCs auftreten mussten. Firezone kann als Open-Source-Gegenstück zu OpenVPN Access Server betrachtet werden, das auf WireGuard anstelle von OpenVPN aufbaut.
Zur Installation werden rpm- und deb-Pakete für verschiedene Versionen von CentOS, Fedora, Ubuntu und Debian angeboten, deren Installation keine externen Abhängigkeiten erfordert, da alle notwendigen Abhängigkeiten bereits über das Chef Omnibus-Toolkit enthalten sind. Zum Funktionieren benötigen Sie lediglich ein Distributionskit mit einem Linux-Kernel, der nicht älter als 4.19 ist, und ein zusammengestelltes Kernelmodul mit VPN WireGuard. Laut Autor ist der Start und die Einrichtung eines VPN-Servers in wenigen Minuten erledigt. Webinterface-Komponenten laufen unter einem unprivilegierten Benutzer und der Zugriff ist nur über HTTPS möglich.
Um Kommunikationskanäle in Firezone zu organisieren, wird WireGuard verwendet. Firezone verfügt außerdem über eine integrierte Firewall-Funktionalität, die nftables verwendet. In ihrer aktuellen Form ist eine Firewall darauf beschränkt, ausgehenden Datenverkehr zu bestimmten Hosts oder Subnetzen in internen oder externen Netzwerken zu blockieren. Die Verwaltung erfolgt über die Weboberfläche oder im Befehlszeilenmodus mit dem Dienstprogramm firezone-ctl. Die Weboberfläche basiert auf Admin One Bulma.
Derzeit laufen alle Firezone-Komponenten auf einem Server, das Projekt wird jedoch zunächst mit Blick auf Modularität entwickelt und soll in Zukunft die Möglichkeit bieten, Komponenten für Webinterface, VPN und Firewall auf verschiedene Hosts zu verteilen. Zu den Plänen gehören außerdem die Integration von Werbeblockern auf DNS-Ebene, die Unterstützung von Host- und Subnetz-Blockierungslisten, LDAP/SSO-Authentifizierungsfunktionen und zusätzliche Benutzerverwaltungsfunktionen.
Source: opennet.ru