Firezone projekt arendab VPN-serverit, et korraldada juurdepääs hostidele sisemises isoleeritud võrgus välisvõrkudes asuvate kasutajaseadmete kaudu. Projekti eesmärk on saavutada kõrge kaitsetase ja lihtsustada VPN-i juurutamise protsessi. Projekti kood on kirjutatud Elixir ja Ruby keeles ning seda levitatakse Apache 2.0 litsentsi all.
Projekti arendab Cisco turbeautomaatika insener, kes püüdis luua lahendust, mis automatiseerib tööd hostikonfiguratsioonidega ja kõrvaldab probleemid, millega tuli kokku puutuda pilve VPC-dele turvalise juurdepääsu korraldamisel. Firezone'i võib pidada OpenVPN Access Serveri avatud lähtekoodiga vasteks, mis on üles ehitatud OpenVPN-i asemel WireGuardile.
Installimiseks pakutakse CentOS-i, Fedora, Ubuntu ja Debiani erinevatele versioonidele pakette rpm ja deb, mille installimine ei nõua väliseid sõltuvusi, kuna kõik vajalikud sõltuvused on juba Chef Omnibusi tööriistakomplekti abil kaasas. Töötamiseks vajate ainult distributsioonikomplekti, mille Linuxi kernel ei ole vanem kui 4.19, ja kokkupandud tuumamoodulit koos VPN WireGuardiga. Autori sõnul saab VPN-serveri käivitamise ja seadistamise teha vaid mõne minutiga. Veebiliidese komponendid töötavad privilegeerimata kasutaja all ja juurdepääs on võimalik ainult HTTPS-i kaudu.
Sidekanalite korraldamiseks Firezone'is kasutatakse WireGuardi. Firezone'il on ka sisseehitatud tulemüüri funktsioon, mis kasutab nftables. Praegusel kujul piirdub tulemüür väljamineva liikluse blokeerimisega sise- või välisvõrkude konkreetsetesse hostidesse või alamvõrkudesse. Haldamine toimub veebiliidese kaudu või käsurearežiimis, kasutades utiliiti firezone-ctl. Veebiliides põhineb Admin One Bulmal.
Praegu jooksevad kõik Firezone komponendid ühes serveris, kuid projekti arendamisel on esialgu silmas peetud modulaarsust ning edaspidi on plaanis lisada ka võimalus jagada veebiliidese, VPN-i ja tulemüüri komponente erinevate hostide vahel. Plaanid hõlmavad ka DNS-taseme reklaamiblokeerijate integreerimist, hosti- ja alamvõrgu blokeerimisloendite tuge, LDAP/SSO autentimisvõimalusi ja täiendavaid kasutajahaldusvõimalusi.
Allikas: opennet.ru