Firezone - WireGuard 기반 VPN 서버 생성 솔루션

Firezone 프로젝트는 외부 네트워크에 있는 사용자 장치에서 내부 격리 네트워크의 호스트에 대한 액세스를 구성하기 위해 VPN 서버를 개발하고 있습니다. 이 프로젝트는 높은 수준의 보호를 달성하고 VPN 배포 프로세스를 단순화하는 것을 목표로 합니다. 프로젝트 코드는 Elixir와 Ruby로 작성되었으며 Apache 2.0 라이선스에 따라 배포됩니다.

이 프로젝트는 호스트 구성 작업을 자동화하고 클라우드 VPC에 대한 보안 액세스를 구성할 때 직면해야 했던 문제를 제거하는 솔루션을 만들려고 시도한 Cisco의 보안 자동화 엔지니어에 의해 개발되고 있습니다. Firezone은 OpenVPN 대신 WireGuard를 기반으로 구축된 OpenVPN 액세스 서버에 대응하는 오픈 소스라고 생각할 수 있습니다.

설치를 위해 CentOS, Fedora, Ubuntu 및 Debian의 다양한 버전에 대해 rpm 및 deb 패키지가 제공되며, 필요한 모든 종속성이 Chef Omnibus 툴킷을 사용하여 이미 포함되어 있으므로 설치에 외부 종속성이 필요하지 않습니다. 작동하려면 4.19 이전의 Linux 커널과 VPN WireGuard가 포함된 조립된 커널 모듈이 포함된 배포 키트만 필요합니다. 저자에 따르면 VPN 서버를 시작하고 설정하는 것은 단 몇 분 안에 완료될 수 있습니다. 웹 인터페이스 구성 요소는 권한이 없는 사용자로 실행되며 액세스는 HTTPS를 통해서만 가능합니다.

Firezone에서 통신 채널을 구성하기 위해 WireGuard가 사용됩니다. Firezone에는 nftables를 사용하는 내장 방화벽 기능도 있습니다. 현재 형태에서 방화벽은 내부 또는 외부 네트워크의 특정 호스트나 서브넷으로 나가는 트래픽을 차단하는 것으로 제한됩니다. 관리는 웹 인터페이스를 통해 수행되거나 firezone-ctl 유틸리티를 사용하여 명령줄 모드에서 수행됩니다. 웹 인터페이스는 Admin One Bulma를 기반으로 합니다.

현재 모든 Firezone 구성 요소는 하나의 서버에서 실행되지만 프로젝트는 처음에는 모듈화를 염두에 두고 개발되었으며 앞으로는 웹 인터페이스, VPN 및 방화벽에 대한 구성 요소를 여러 호스트에 배포하는 기능을 추가할 계획입니다. 계획에는 DNS 수준 광고 차단기 통합, 호스트 및 서브넷 차단 목록 지원, LDAP/SSO 인증 기능, 추가 사용자 관리 기능도 포함됩니다.

출처 : opennet.ru