O proxecto Firezone está a desenvolver un servidor VPN para organizar o acceso aos anfitrións nunha rede illada interna desde dispositivos de usuarios situados en redes externas. O proxecto ten como obxectivo acadar un alto nivel de protección e simplificar o proceso de implantación de VPN. O código do proxecto está escrito en Elixir e Ruby, e distribúese baixo a licenza Apache 2.0.
O proxecto está a ser desenvolvido por un enxeñeiro de automatización de seguridade de Cisco, que intentou crear unha solución que automatice o traballo con configuracións de host e elimine os problemas que había que atopar ao organizar o acceso seguro ás VPC na nube. Firezone pódese considerar como unha contraparte de código aberto para OpenVPN Access Server, construído sobre WireGuard en lugar de OpenVPN.
Para a instalación ofrécense paquetes rpm e deb para diferentes versións de CentOS, Fedora, Ubuntu e Debian, cuxa instalación non precisa de dependencias externas, xa que todas as dependencias necesarias xa están incluídas mediante o kit de ferramentas Chef Omnibus. Para funcionar, só necesitas un kit de distribución cun núcleo de Linux non máis antigo que 4.19 e un módulo de núcleo ensamblado con VPN WireGuard. Segundo o autor, o inicio e a configuración dun servidor VPN pódese facer en poucos minutos. Os compoñentes da interface web execútanse baixo un usuario sen privilexios e só se pode acceder a través de HTTPS.
Para organizar as canles de comunicación en Firezone, utilízase WireGuard. Firezone tamén ten unha funcionalidade de firewall incorporada mediante nftables. Na súa forma actual, un firewall limítase a bloquear o tráfico de saída a hosts ou subredes específicos en redes internas ou externas. A xestión realízase a través da interface web ou no modo de liña de comandos mediante a utilidade firezone-ctl. A interface web baséase en Admin One Bulma.
Actualmente, todos os compoñentes de Firezone execútanse nun servidor, pero o proxecto desenvólvese inicialmente con atención á modularidade e no futuro prevese engadir a posibilidade de distribuír compoñentes para a interface web, VPN e firewall en diferentes hosts. Os plans tamén inclúen a integración do bloqueador de anuncios a nivel de DNS, soporte para listas de bloqueo de host e subrede, capacidades de autenticación LDAP/SSO e capacidades adicionais de xestión de usuarios.
Fonte: opennet.ru