Het Firezone-project ontwikkelt een VPN-server om de toegang tot hosts in een intern geïsoleerd netwerk te organiseren vanaf gebruikersapparaten die zich op externe netwerken bevinden. Het project is gericht op het bereiken van een hoog beschermingsniveau en het vereenvoudigen van het VPN-implementatieproces. De projectcode is geschreven in Elixir en Ruby en wordt gedistribueerd onder de Apache 2.0-licentie.
Het project wordt ontwikkeld door een beveiligingsautomatiseringsingenieur van Cisco, die probeerde een oplossing te creëren die het werk met hostconfiguraties automatiseert en de problemen elimineert die moesten optreden bij het organiseren van veilige toegang tot cloud-VPC's. Firezone kan worden gezien als een open source tegenhanger van OpenVPN Access Server, gebouwd bovenop WireGuard in plaats van OpenVPN.
Voor de installatie worden rpm- en deb-pakketten aangeboden voor verschillende versies van CentOS, Fedora, Ubuntu en Debian, waarvan de installatie geen externe afhankelijkheden vereist, aangezien alle noodzakelijke afhankelijkheden al zijn opgenomen met behulp van de Chef Omnibus-toolkit. Om te werken heb je alleen een distributiekit nodig met een Linux-kernel die niet ouder is dan 4.19 en een samengestelde kernelmodule met VPN WireGuard. Volgens de auteur kan het starten en opzetten van een VPN-server in slechts een paar minuten worden gedaan. Webinterfacecomponenten worden uitgevoerd onder een gebruiker zonder rechten en toegang is alleen mogelijk via HTTPS.
Om communicatiekanalen in Firezone te organiseren, wordt WireGuard gebruikt. Firezone heeft ook ingebouwde firewallfunctionaliteit met behulp van nftables. In zijn huidige vorm is een firewall beperkt tot het blokkeren van uitgaand verkeer naar specifieke hosts of subnetten op interne of externe netwerken. Het beheer wordt uitgevoerd via de webinterface of in de opdrachtregelmodus met behulp van het hulpprogramma firezone-ctl. De webinterface is gebaseerd op Admin One Bulma.
Momenteel draaien alle Firezone-componenten op één server, maar het project wordt in eerste instantie ontwikkeld met het oog op modulariteit en in de toekomst is het de bedoeling om de mogelijkheid toe te voegen om componenten voor de webinterface, VPN en firewall over verschillende hosts te distribueren. De abonnementen omvatten ook advertentieblokkeringsintegratie op DNS-niveau, ondersteuning voor host- en subnetblokkeerlijsten, LDAP/SSO-authenticatiemogelijkheden en aanvullende mogelijkheden voor gebruikersbeheer.
Bron: opennet.ru