Firezone プロジェクトは、外部ネットワークにあるユーザー デバイスから内部の隔離されたネットワーク内のホストへのアクセスを整理する VPN サーバーを開発しています。 このプロジェクトは、高レベルの保護を実現し、VPN 導入プロセスを簡素化することを目的としています。 プロジェクト コードは Elixir と Ruby で書かれており、Apache 2.0 ライセンスに基づいて配布されます。
このプロジェクトはシスコのセキュリティ自動化エンジニアによって開発されており、ホスト構成の作業を自動化し、クラウド VPC への安全なアクセスを組織する際に発生しなければならなかった問題を排除するソリューションの作成を試みました。 Firezone は、OpenVPN ではなく WireGuard 上に構築された、OpenVPN Access Server に相当するオープン ソースのサービスと考えることができます。
インストールには、CentOS、Fedora、Ubuntu、Debian のさまざまなバージョンに対応した rpm および deb パッケージが提供されています。必要な依存関係はすべて Chef Omnibus ツールキットを使用してすでに含まれているため、インストールには外部依存関係は必要ありません。 動作するには、4.19 以前の Linux カーネルを含む配布キットと、VPN WireGuard を備えた組み立てられたカーネル モジュールのみが必要です。 著者によれば、VPN サーバーの起動と設定はわずか数分で完了するとのこと。 Web インターフェイス コンポーネントは特権のないユーザーで実行され、アクセスは HTTPS 経由でのみ可能です。
Firezone で通信チャネルを整理するには、WireGuard が使用されます。 Firezone には、nftables を使用したファイアウォール機能も組み込まれています。 現在の形式では、ファイアウォールは、内部または外部ネットワーク上の特定のホストまたはサブネットへの発信トラフィックのブロックに限定されています。 管理は、Web インターフェイス経由、または firezone-ctl ユーティリティを使用したコマンド ライン モードで実行されます。 Web インターフェイスは Admin One Bulma に基づいています。
現在、すべての Firezone コンポーネントは XNUMX 台のサーバー上で実行されますが、このプロジェクトは当初モジュール化を念頭に置いて開発されており、将来的には Web インターフェイス、VPN、ファイアウォールのコンポーネントを異なるホストに分散する機能を追加する予定です。 計画には、DNS レベルの広告ブロッカーの統合、ホストおよびサブネットのブロック リストのサポート、LDAP/SSO 認証機能、追加のユーザー管理機能も含まれています。
出所: オープンネット.ru