Firezone projektā tiek izstrādāts VPN serveris, lai organizētu piekļuvi saimniekiem iekšējā izolētā tīklā no lietotāju ierīcēm, kas atrodas ārējos tīklos. Projekta mērķis ir sasniegt augstu aizsardzības līmeni un vienkāršot VPN izvietošanas procesu. Projekta kods ir rakstīts Elixir un Ruby, un tas tiek izplatīts saskaņā ar Apache 2.0 licenci.
Projektu izstrādā drošības automatizācijas inženieris no Cisco, kurš mēģināja izveidot risinājumu, kas automatizē darbu ar resursdatora konfigurācijām un novērš problēmas, ar kurām nācās saskarties, organizējot drošu piekļuvi mākoņa VPC. Firezone var uzskatīt par OpenVPN Access Server atvērtā koda ekvivalentu, kas ir izveidots uz WireGuard, nevis OpenVPN.
Instalēšanai tiek piedāvātas rpm un deb pakotnes dažādām CentOS, Fedora, Ubuntu un Debian versijām, kuru instalēšanai nav nepieciešamas ārējas atkarības, jo visas nepieciešamās atkarības jau ir iekļautas, izmantojot Chef Omnibus rīku komplektu. Lai strādātu, jums ir nepieciešams tikai izplatīšanas komplekts ar Linux kodolu, kas nav vecāks par 4.19, un samontēts kodola modulis ar VPN WireGuard. Pēc autora domām, VPN servera palaišanu un iestatīšanu var veikt tikai dažu minūšu laikā. Tīmekļa interfeisa komponenti darbojas bezpriviliģēta lietotāja vadībā, un piekļuve ir iespējama tikai, izmantojot HTTPS.
Lai organizētu saziņas kanālus Firezone, tiek izmantots WireGuard. Firezone ir arī iebūvēta ugunsmūra funkcionalitāte, izmantojot nftables. Pašreizējā formā ugunsmūris ir ierobežots, lai bloķētu izejošo trafiku uz konkrētiem resursdatoriem vai apakštīkliem iekšējos vai ārējos tīklos. Pārvaldību veic, izmantojot tīmekļa saskarni vai komandrindas režīmā, izmantojot utilītu firezone-ctl. Tīmekļa saskarnes pamatā ir Admin One Bulma.
Šobrīd visi Firezone komponenti darbojas uz viena servera, taču projekts sākotnēji tiek izstrādāts, ievērojot modularitāti, un nākotnē plānots pievienot iespēju sadalīt komponentus tīmekļa saskarnei, VPN un ugunsmūrim pa dažādiem resursdatoriem. Plānos ietilpst arī DNS līmeņa reklāmu bloķētāja integrācija, resursdatora un apakštīkla bloķēšanas sarakstu atbalsts, LDAP/SSO autentifikācijas iespējas un papildu lietotāju pārvaldības iespējas.
Avots: opennet.ru