Le projet Firezone développe un serveur VPN pour organiser l'accès aux hôtes d'un réseau interne isolé à partir des appareils utilisateurs situés sur des réseaux externes. Le projet vise à atteindre un niveau élevé de protection et à simplifier le processus de déploiement VPN. Le code du projet est écrit en Elixir et Ruby et est distribué sous la licence Apache 2.0.
Le projet est développé par un ingénieur en automatisation de la sécurité de Cisco, qui a tenté de créer une solution qui automatise le travail avec les configurations hôtes et élimine les problèmes rencontrés lors de l'organisation d'un accès sécurisé aux VPC cloud. Firezone peut être considéré comme un homologue open source d'OpenVPN Access Server, construit sur WireGuard au lieu d'OpenVPN.
Pour l'installation, des packages rpm et deb sont proposés pour différentes versions de CentOS, Fedora, Ubuntu et Debian, dont l'installation ne nécessite pas de dépendances externes, puisque toutes les dépendances nécessaires sont déjà incluses à l'aide de la boîte à outils Chef Omnibus. Pour fonctionner, vous n'avez besoin que d'un kit de distribution avec un noyau Linux ne datant pas de plus de 4.19 et d'un module de noyau assemblé avec VPN WireGuard. Selon l’auteur, le lancement et la configuration d’un serveur VPN peuvent se faire en quelques minutes seulement. Les composants de l'interface Web s'exécutent sous un utilisateur non privilégié et l'accès n'est possible que via HTTPS.
Pour organiser les canaux de communication dans Firezone, WireGuard est utilisé. Firezone dispose également d'une fonctionnalité de pare-feu intégrée utilisant nftables. Dans sa forme actuelle, un pare-feu se limite à bloquer le trafic sortant vers des hôtes ou sous-réseaux spécifiques sur des réseaux internes ou externes. La gestion s'effectue via l'interface web ou en mode ligne de commande à l'aide de l'utilitaire firezone-ctl. L'interface web est basée sur Admin One Bulma.
Actuellement, tous les composants Firezone fonctionnent sur un seul serveur, mais le projet est initialement développé dans un souci de modularité et, à l'avenir, il est prévu d'ajouter la possibilité de distribuer des composants pour l'interface Web, le VPN et le pare-feu sur différents hôtes. Les plans incluent également l'intégration d'un bloqueur de publicités au niveau DNS, la prise en charge des listes de blocage d'hôtes et de sous-réseaux, des capacités d'authentification LDAP/SSO et des capacités supplémentaires de gestion des utilisateurs.
Source: opennet.ru