Firezone-prosjektet utvikler en VPN-server for å organisere tilgang til verter i et internt isolert nettverk fra brukerenheter plassert på eksterne nettverk. Prosjektet er rettet mot å oppnå et høyt beskyttelsesnivå og forenkle VPN-distribusjonsprosessen. Prosjektkoden er skrevet i Elixir og Ruby, og distribueres under Apache 2.0-lisensen.
Prosjektet utvikles av en sikkerhetsautomatiseringsingeniør fra Cisco, som prøvde å lage en løsning som automatiserer arbeid med vertskonfigurasjoner og eliminerer problemene som måtte oppstå ved organisering av sikker tilgang til sky-VPCer. Firezone kan tenkes på som en åpen kildekode-motpart til OpenVPN Access Server, bygget på toppen av WireGuard i stedet for OpenVPN.
For installasjon tilbys rpm- og deb-pakker for forskjellige versjoner av CentOS, Fedora, Ubuntu og Debian, hvor installasjonen ikke krever eksterne avhengigheter, siden alle nødvendige avhengigheter allerede er inkludert ved å bruke Chef Omnibus-verktøysettet. For å fungere trenger du bare et distribusjonssett med en Linux-kjerne ikke eldre enn 4.19 og en sammensatt kjernemodul med VPN WireGuard. I følge forfatteren kan oppstart og oppsett av en VPN-server gjøres på bare noen få minutter. Webgrensesnittkomponenter kjøres under en uprivilegert bruker, og tilgang er kun mulig via HTTPS.
For å organisere kommunikasjonskanaler i Firezone brukes WireGuard. Firezone har også innebygd brannmurfunksjonalitet ved hjelp av nftables. I sin nåværende form er en brannmur begrenset til å blokkere utgående trafikk til bestemte verter eller undernett på interne eller eksterne nettverk. Behandlingen utføres via nettgrensesnittet eller i kommandolinjemodus ved å bruke firezone-ctl-verktøyet. Nettgrensesnittet er basert på Admin One Bulma.
Foreløpig kjører alle Firezone-komponenter på én server, men prosjektet utvikles i første omgang med tanke på modularitet og i fremtiden planlegges det å legge til muligheten til å distribuere komponenter for nettgrensesnitt, VPN og brannmur på tvers av ulike verter. Planene inkluderer også annonseblokkeringsintegrasjon på DNS-nivå, støtte for blokkeringslister for verts- og undernett, LDAP/SSO-autentiseringsfunksjoner og tilleggsfunksjoner for brukeradministrasjon.
Kilde: opennet.ru