„Firezone“ projektas kuria VPN serverį, kad būtų galima organizuoti prieigą prie pagrindinių kompiuterių vidiniame izoliuotame tinkle iš išoriniuose tinkluose esančių vartotojo įrenginių. Projektu siekiama aukšto lygio apsaugos ir supaprastinti VPN diegimo procesą. Projekto kodas parašytas Elixir ir Ruby kalbomis ir platinamas pagal Apache 2.0 licenciją.
Projektą kuria saugumo automatizavimo inžinierius iš Cisco, kuris bandė sukurti sprendimą, kuris automatizuoja darbą su pagrindinio kompiuterio konfigūracijomis ir pašalina problemas, su kuriomis teko susidurti organizuojant saugią prieigą prie debesies VPC. „Firezone“ gali būti laikoma atvirojo kodo „OpenVPN Access Server“ atitikmeniu, pastatytu ant „WireGuard“, o ne „OpenVPN“.
Diegimui siūlomi rpm ir deb paketai skirtingoms CentOS, Fedora, Ubuntu ir Debian versijoms, kurių įdiegimui nereikia išorinių priklausomybių, nes visos reikalingos priklausomybės jau įtrauktos naudojant Chef Omnibus įrankių rinkinį. Norint dirbti, jums reikia tik platinimo rinkinio su ne senesniu nei 4.19 Linux branduoliu ir surinkto branduolio modulio su VPN WireGuard. Pasak autoriaus, VPN serverio paleidimas ir nustatymas gali būti atliktas vos per kelias minutes. Žiniatinklio sąsajos komponentus veikia neprivilegijuotas vartotojas, o prieiga galima tik per HTTPS.
Norint organizuoti ryšio kanalus Firezone, naudojama WireGuard. „Firezone“ taip pat turi integruotą ugniasienės funkciją naudojant „nftables“. Dabartinėje formoje ugniasienė apsiriboja išeinančio srauto blokavimu į konkrečius pagrindinius kompiuterius arba potinklius vidiniuose ar išoriniuose tinkluose. Valdymas atliekamas naudojant žiniatinklio sąsają arba komandinės eilutės režimu, naudojant Firezone-ctl įrankį. Žiniatinklio sąsaja yra pagrįsta „Admin One Bulma“.
Šiuo metu visi „Firezone“ komponentai veikia viename serveryje, tačiau projektas iš pradžių kuriamas atsižvelgiant į moduliškumą, o ateityje planuojama pridėti galimybę paskirstyti žiniatinklio sąsajos, VPN ir ugniasienės komponentus skirtinguose kompiuteriuose. Į planus taip pat įtrauktas DNS lygio skelbimų blokavimo priemonių integravimas, pagrindinio kompiuterio ir potinklio blokų sąrašų palaikymas, LDAP/SSO autentifikavimo galimybės ir papildomos vartotojų valdymo galimybės.
Šaltinis: opennet.ru