Firezone-projektet utvecklar en VPN-server för att organisera åtkomst till värdar i ett internt isolerat nätverk från användarenheter som finns på externa nätverk. Projektet syftar till att uppnå en hög skyddsnivå och förenkla VPN-distributionsprocessen. Projektkoden är skriven i Elixir och Ruby och distribueras under Apache 2.0-licensen.
Projektet utvecklas av en säkerhetsautomationsingenjör från Cisco, som försökte skapa en lösning som automatiserar arbetet med värdkonfigurationer och eliminerar de problem som måste uppstå när man organiserar säker åtkomst till moln-VPC:er. Firezone kan ses som en öppen källkodsmotsvarighet till OpenVPN Access Server, byggd ovanpå WireGuard istället för OpenVPN.
För installation erbjuds rpm- och deb-paket för olika versioner av CentOS, Fedora, Ubuntu och Debian, vars installation inte kräver externa beroenden, eftersom alla nödvändiga beroenden redan är inkluderade med hjälp av Chef Omnibus-verktygslådan. För att fungera behöver du bara ett distributionskit med en Linux-kärna som inte är äldre än 4.19 och en sammansatt kärnmodul med VPN WireGuard. Enligt författaren kan start och installation av en VPN-server göras på bara några minuter. Webbgränssnittskomponenter körs under en oprivilegierad användare, och åtkomst är endast möjlig via HTTPS.
För att organisera kommunikationskanaler i Firezone används WireGuard. Firezone har också inbyggd brandväggsfunktion med nftables. I sin nuvarande form är en brandvägg begränsad till att blockera utgående trafik till specifika värdar eller undernät på interna eller externa nätverk. Hantering utförs via webbgränssnittet eller i kommandoradsläge med hjälp av verktyget firezone-ctl. Webbgränssnittet är baserat på Admin One Bulma.
För närvarande körs alla Firezone-komponenter på en server, men projektet utvecklas initialt med sikte på modularitet och i framtiden planeras det att lägga till möjligheten att distribuera komponenter för webbgränssnitt, VPN och brandvägg över olika värdar. Planerna inkluderar också annonsblockerare på DNS-nivå, stöd för värd- och subnätblockeringslistor, LDAP/SSO-autentiseringsmöjligheter och ytterligare funktioner för användarhantering.
Källa: opennet.ru