Firezone жобасы сыртқы желілерде орналасқан пайдаланушы құрылғыларынан ішкі оқшауланған желідегі хосттарға кіруді ұйымдастыру үшін VPN серверін әзірлеуде. Жоба қорғаудың жоғары деңгейіне қол жеткізуге және VPN орналастыру процесін жеңілдетуге бағытталған. Жоба коды Elixir және Ruby тілінде жазылған және Apache 2.0 лицензиясы бойынша таратылады.
Жобаны Cisco компаниясының қауіпсіздікті автоматтандыру инженері әзірлеп жатыр, ол хост конфигурацияларымен жұмысты автоматтандыратын және бұлттық VPC-ге қауіпсіз қол жеткізуді ұйымдастыру кезінде туындауы тиіс мәселелерді жоятын шешім жасауға тырысты. Firezone OpenVPN орнына WireGuard үстіне салынған OpenVPN қол жеткізу серверінің ашық бастапқы коды ретінде қарастырылуы мүмкін.
Орнату үшін CentOS, Fedora, Ubuntu және Debian-ның әртүрлі нұсқалары үшін rpm және deb пакеттері ұсынылады, оларды орнату сыртқы тәуелділікті қажет етпейді, өйткені барлық қажетті тәуелділіктер Chef Omnibus құралдар жинағы арқылы енгізілген. Жұмыс істеу үшін сізге тек 4.19 ескі емес Linux ядросы бар тарату жинағы және VPN WireGuard орнатылған ядро модулі қажет. Автордың айтуынша, VPN серверін іске қосу және орнату бірнеше минут ішінде жүзеге асады. Веб-интерфейс құрамдастары артықшылықсыз пайдаланушы астында жұмыс істейді және кіру тек HTTPS арқылы мүмкін болады.
Firezone жүйесінде байланыс арналарын ұйымдастыру үшін WireGuard пайдаланылады. Firezone сонымен қатар nftables көмегімен кіріктірілген брандмауэр функциясына ие. Ағымдағы пішінде брандмауэр ішкі немесе сыртқы желілердегі белгілі бір хосттарға немесе ішкі желілерге шығатын трафикті блоктаумен шектеледі. Басқару веб-интерфейс арқылы немесе пәрмен жолы режимінде firezone-ctl утилитасын пайдаланып жүзеге асырылады. Веб-интерфейс Admin One Bulma негізінде жасалған.
Қазіргі уақытта барлық Firezone компоненттері бір серверде жұмыс істейді, бірақ жоба бастапқыда модульдікке назар аудара отырып әзірленуде және болашақта веб-интерфейс, VPN және брандмауэр үшін компоненттерді әртүрлі хосттарда тарату мүмкіндігін қосу жоспарлануда. Жоспарларға сонымен қатар DNS деңгейіндегі жарнама блокаторын біріктіру, хост және ішкі желі блоктау тізімдерін қолдау, LDAP/SSO аутентификация мүмкіндіктері және пайдаланушыны басқарудың қосымша мүмкіндіктері кіреді.
Ақпарат көзі: opennet.ru