Firezone projesi, harici ağlarda bulunan kullanıcı cihazlarından dahili olarak yalıtılmış bir ağdaki ana bilgisayarlara erişimi düzenlemek için bir VPN sunucusu geliştiriyor. Proje, yüksek düzeyde koruma sağlamayı ve VPN dağıtım sürecini basitleştirmeyi amaçlıyor. Proje kodu Elixir ve Ruby'de yazılmıştır ve Apache 2.0 lisansı altında dağıtılmaktadır.
Proje, ana bilgisayar yapılandırmalarıyla çalışmayı otomatikleştiren ve bulut VPC'lere güvenli erişimi organize ederken karşılaşılması gereken sorunları ortadan kaldıran bir çözüm oluşturmaya çalışan Cisco'dan bir güvenlik otomasyon mühendisi tarafından geliştiriliyor. Firezone, OpenVPN yerine WireGuard üzerine kurulu OpenVPN Erişim Sunucusunun açık kaynaklı bir karşılığı olarak düşünülebilir.
Kurulum için CentOS, Fedora, Ubuntu ve Debian'ın farklı sürümleri için rpm ve deb paketleri sunulmaktadır; bunların kurulumu harici bağımlılık gerektirmez, çünkü gerekli tüm bağımlılıklar Chef Omnibus araç seti kullanılarak zaten dahil edilmiştir. Çalışmak için yalnızca 4.19'dan eski olmayan Linux çekirdeğine sahip bir dağıtım kitine ve VPN WireGuard'lı birleştirilmiş çekirdek modülüne ihtiyacınız var. Yazara göre, bir VPN sunucusunun başlatılması ve kurulması yalnızca birkaç dakika içinde yapılabilir. Web arayüzü bileşenleri ayrıcalıksız bir kullanıcı altında çalışır ve erişim yalnızca HTTPS aracılığıyla mümkündür.
Firezone'da iletişim kanallarını düzenlemek için WireGuard kullanılır. Firezone ayrıca nftables kullanan yerleşik güvenlik duvarı işlevine de sahiptir. Mevcut haliyle, bir güvenlik duvarı, iç veya dış ağlardaki belirli ana bilgisayarlara veya alt ağlara giden trafiği engellemekle sınırlıdır. Yönetim, web arayüzü aracılığıyla veya firezone-ctl yardımcı programı kullanılarak komut satırı modunda gerçekleştirilir. Web arayüzü Admin One Bulma'yı temel alır.
Şu anda tüm Firezone bileşenleri tek bir sunucuda çalışıyor ancak proje başlangıçta modülerlik göz önünde bulundurularak geliştiriliyor ve gelecekte web arayüzü, VPN ve güvenlik duvarı bileşenlerini farklı ana bilgisayarlar arasında dağıtma yeteneğinin eklenmesi planlanıyor. Planlar ayrıca DNS düzeyinde reklam engelleyici entegrasyonunu, ana bilgisayar ve alt ağ engelleme listeleri desteğini, LDAP/SSO kimlik doğrulama yeteneklerini ve ek kullanıcı yönetimi yeteneklerini de içerir.
Kaynak: opennet.ru