El proyecto Firezone está desarrollando un servidor VPN para organizar el acceso a hosts en una red interna aislada desde dispositivos de usuario ubicados en redes externas. El proyecto tiene como objetivo lograr un alto nivel de protección y simplificar el proceso de implementación de VPN. El código del proyecto está escrito en Elixir y Ruby y se distribuye bajo la licencia Apache 2.0.
El proyecto está siendo desarrollado por un ingeniero de automatización de seguridad de Cisco, que intentó crear una solución que automatice el trabajo con las configuraciones del host y elimine los problemas que surgieron al organizar el acceso seguro a las VPC en la nube. Se puede considerar a Firezone como una contraparte de código abierto de OpenVPN Access Server, construido sobre WireGuard en lugar de OpenVPN.
Para la instalación se ofrecen paquetes rpm y deb para diferentes versiones de CentOS, Fedora, Ubuntu y Debian, cuya instalación no requiere dependencias externas, ya que todas las dependencias necesarias ya están incluidas utilizando el kit de herramientas Chef Omnibus. Para funcionar, solo necesita un kit de distribución con un kernel de Linux no anterior a 4.19 y un módulo de kernel ensamblado con VPN WireGuard. Según el autor, iniciar y configurar un servidor VPN se puede realizar en sólo unos minutos. Los componentes de la interfaz web se ejecutan bajo un usuario sin privilegios y el acceso solo es posible a través de HTTPS.
Para organizar los canales de comunicación en Firezone, se utiliza WireGuard. Firezone también tiene una funcionalidad de firewall incorporada que utiliza nftables. En su forma actual, un firewall se limita a bloquear el tráfico saliente a hosts o subredes específicos en redes internas o externas. La administración se realiza a través de la interfaz web o en modo de línea de comando utilizando la utilidad firezone-ctl. La interfaz web está basada en Admin One Bulma.
Actualmente, todos los componentes de Firezone se ejecutan en un servidor, pero el proyecto se está desarrollando inicialmente teniendo en cuenta la modularidad y en el futuro está previsto agregar la capacidad de distribuir componentes para la interfaz web, VPN y firewall entre diferentes hosts. Los planes también incluyen integración de bloqueadores de anuncios a nivel DNS, soporte para listas de bloqueo de hosts y subredes, capacidades de autenticación LDAP/SSO y capacidades adicionales de administración de usuarios.
Fuente: opennet.ru