A Firezone projekt egy VPN-kiszolgálót fejleszt, amely megszervezi a külső hálózatokon elhelyezett felhasználói eszközökről a belső, elszigetelt hálózaton lévő gazdagépekhez való hozzáférést. A projekt célja a magas szintű védelem elérése és a VPN-telepítési folyamat egyszerűsítése. A projekt kódja Elixir és Ruby nyelven íródott, és az Apache 2.0 licenc alatt kerül terjesztésre.
A projektet a Cisco biztonsági automatizálási mérnöke fejleszti, aki olyan megoldást próbált létrehozni, amely automatizálja a gazdagép konfigurációkkal való munkát, és kiküszöböli azokat a problémákat, amelyekkel a felhő VPC-k biztonságos hozzáférésének megszervezése során kellett találkozni. A Firezone az OpenVPN Access Server nyílt forráskódú megfelelőjének tekinthető, amely az OpenVPN helyett a WireGuardra épül.
A telepítéshez rpm és deb csomagokat kínálnak a CentOS, Fedora, Ubuntu és Debian különböző verzióihoz, amelyek telepítéséhez nincs szükség külső függőségekre, mivel az összes szükséges függőséget a Chef Omnibus eszközkészlettel már tartalmazza. A munkához csak egy 4.19-nél nem régebbi Linux-kernellel és egy VPN WireGuarddal ellátott összeszerelt kernelmodulra van szüksége. A szerző szerint a VPN szerver elindítása és beállítása mindössze néhány perc alatt elvégezhető. A webes felület összetevői nem jogosult felhasználó alatt futnak, és a hozzáférés csak HTTPS-en keresztül lehetséges.
A Firezone kommunikációs csatornáinak megszervezéséhez a WireGuard szolgál. A Firezone beépített tűzfal funkcióval is rendelkezik az nftables használatával. Jelenlegi formájában a tűzfal arra korlátozódik, hogy blokkolja a kimenő forgalmat bizonyos gazdagépekre vagy alhálózatokra a belső vagy külső hálózatokon. A kezelés a webes felületen vagy parancssori módban történik a firezone-ctl segédprogrammal. A webes felület az Admin One Bulmán alapul.
Jelenleg az összes Firezone komponens egy szerveren fut, de a projekt fejlesztése kezdetben a modularitás szem előtt tartásával zajlik, és a jövőben a tervek szerint a webes felület, a VPN és a tűzfal összetevőinek különböző gazdagépeken való szétosztásának lehetőségével is bővül. A tervek tartalmazzák továbbá a DNS-szintű hirdetésblokkoló integrációt, a gazdagép- és alhálózati blokklisták támogatását, az LDAP/SSO hitelesítési képességeket és további felhasználókezelési lehetőségeket.
Forrás: opennet.ru