Το έργο Firezone αναπτύσσει έναν διακομιστή VPN για να οργανώσει την πρόσβαση σε κεντρικούς υπολογιστές σε ένα εσωτερικό απομονωμένο δίκτυο από συσκευές χρηστών που βρίσκονται σε εξωτερικά δίκτυα. Το έργο στοχεύει στην επίτευξη υψηλού επιπέδου προστασίας και στην απλοποίηση της διαδικασίας ανάπτυξης VPN. Ο κώδικας του έργου είναι γραμμένος σε Elixir και Ruby και διανέμεται με την άδεια Apache 2.0.
Το έργο αναπτύσσεται από έναν μηχανικό αυτοματισμού ασφαλείας από τη Cisco, ο οποίος προσπάθησε να δημιουργήσει μια λύση που αυτοματοποιεί την εργασία με διαμορφώσεις κεντρικού υπολογιστή και εξαλείφει τα προβλήματα που έπρεπε να παρουσιαστούν κατά την οργάνωση της ασφαλούς πρόσβασης στα VPC του cloud. Το Firezone μπορεί να θεωρηθεί ως αντίστοιχο ανοιχτού κώδικα του OpenVPN Access Server, χτισμένο πάνω στο WireGuard αντί του OpenVPN.
Για εγκατάσταση, προσφέρονται πακέτα rpm και deb για διαφορετικές εκδόσεις των CentOS, Fedora, Ubuntu και Debian, η εγκατάσταση των οποίων δεν απαιτεί εξωτερικές εξαρτήσεις, καθώς όλες οι απαραίτητες εξαρτήσεις περιλαμβάνονται ήδη χρησιμοποιώντας την εργαλειοθήκη Chef Omnibus. Για να δουλέψετε, χρειάζεστε μόνο ένα κιτ διανομής με πυρήνα Linux όχι παλαιότερο από 4.19 και μια συναρμολογημένη μονάδα πυρήνα με VPN WireGuard. Σύμφωνα με τον συγγραφέα, η εκκίνηση και η εγκατάσταση ενός διακομιστή VPN μπορεί να γίνει σε λίγα μόνο λεπτά. Τα στοιχεία διεπαφής Ιστού εκτελούνται υπό μη προνομιούχο χρήστη και η πρόσβαση είναι δυνατή μόνο μέσω HTTPS.
Για την οργάνωση καναλιών επικοινωνίας στο Firezone, χρησιμοποιείται το WireGuard. Το Firezone έχει επίσης ενσωματωμένη λειτουργία τείχους προστασίας χρησιμοποιώντας nftables. Στην τρέχουσα μορφή του, ένα τείχος προστασίας περιορίζεται στον αποκλεισμό της εξερχόμενης κίνησης σε συγκεκριμένους κεντρικούς υπολογιστές ή υποδίκτυα σε εσωτερικά ή εξωτερικά δίκτυα. Η διαχείριση πραγματοποιείται μέσω της διεπαφής Ιστού ή σε λειτουργία γραμμής εντολών χρησιμοποιώντας το βοηθητικό πρόγραμμα firezone-ctl. Η διεπαφή ιστού βασίζεται στο Admin One Bulma.
Επί του παρόντος, όλα τα στοιχεία του Firezone εκτελούνται σε έναν διακομιστή, αλλά το έργο αναπτύσσεται αρχικά με γνώμονα την αρθρωτή δομή και στο μέλλον σχεδιάζεται να προστεθεί η δυνατότητα διανομής στοιχείων για τη διεπαφή ιστού, το VPN και το τείχος προστασίας σε διαφορετικούς κεντρικούς υπολογιστές. Τα σχέδια περιλαμβάνουν επίσης ενσωμάτωση προγράμματος αποκλεισμού διαφημίσεων σε επίπεδο DNS, υποστήριξη για λίστες αποκλεισμού κεντρικού υπολογιστή και υποδικτύου, δυνατότητες ελέγχου ταυτότητας LDAP/SSO και πρόσθετες δυνατότητες διαχείρισης χρηστών.
Πηγή: opennet.ru