Projekt Firezone opracowuje serwer VPN w celu organizowania dostępu do hostów w wewnętrznej, izolowanej sieci z urządzeń użytkowników znajdujących się w sieciach zewnętrznych. Projekt ma na celu osiągnięcie wysokiego poziomu ochrony i uproszczenie procesu wdrażania VPN. Kod projektu napisany jest w językach Elixir i Ruby i jest rozpowszechniany na licencji Apache 2.0.
Projekt rozwijany jest przez inżyniera automatyzacji bezpieczeństwa z Cisco, który próbował stworzyć rozwiązanie automatyzujące pracę z konfiguracjami hostów i eliminujące problemy, które trzeba było napotkać przy organizacji bezpiecznego dostępu do chmurowych VPC. Firezone można uważać za odpowiednik OpenVPN Access Server o otwartym kodzie źródłowym, zbudowany na bazie WireGuard zamiast OpenVPN.
Do instalacji oferowane są pakiety RPM i deb dla różnych wersji CentOS, Fedory, Ubuntu i Debiana, których instalacja nie wymaga zewnętrznych zależności, ponieważ wszystkie niezbędne zależności są już uwzględnione przy użyciu zestawu narzędzi Chef Omnibus. Do pracy potrzebujesz jedynie zestawu dystrybucyjnego z jądrem Linux nie starszym niż 4.19 i zmontowanym modułem jądra z VPN WireGuard. Według autora uruchomienie i skonfigurowanie serwera VPN można wykonać w ciągu zaledwie kilku minut. Komponenty interfejsu sieciowego działają pod kontrolą nieuprzywilejowanego użytkownika, a dostęp jest możliwy wyłącznie poprzez protokół HTTPS.
Do organizacji kanałów komunikacji w Firezone służy WireGuard. Firezone ma również wbudowaną funkcję zapory sieciowej wykorzystującej nftables. W swojej obecnej formie zapora sieciowa ogranicza się do blokowania ruchu wychodzącego do określonych hostów lub podsieci w sieciach wewnętrznych lub zewnętrznych. Zarządzanie odbywa się poprzez interfejs sieciowy lub w trybie wiersza poleceń za pomocą narzędzia firezone-ctl. Interfejs sieciowy oparty jest na Admin One Bulma.
Obecnie wszystkie komponenty Firezone działają na jednym serwerze, ale projekt jest początkowo rozwijany z myślą o modułowości, a w przyszłości planowane jest dodanie możliwości dystrybucji komponentów interfejsu sieciowego, VPN i zapory ogniowej pomiędzy różnymi hostami. Plany obejmują także integrację blokowania reklam na poziomie DNS, obsługę list blokowania hostów i podsieci, możliwości uwierzytelniania LDAP/SSO oraz dodatkowe możliwości zarządzania użytkownikami.
Źródło: opennet.ru