Dự án Firezone đang phát triển máy chủ VPN để tổ chức quyền truy cập vào các máy chủ trong mạng cách ly nội bộ với các thiết bị người dùng nằm trên mạng bên ngoài. Dự án nhằm mục đích đạt được mức độ bảo vệ cao và đơn giản hóa quá trình triển khai VPN. Mã dự án được viết bằng Elixir và Ruby và được phân phối theo giấy phép Apache 2.0.
Dự án đang được phát triển bởi một kỹ sư tự động hóa bảo mật của Cisco, người đã cố gắng tạo ra một giải pháp tự động hóa công việc với cấu hình máy chủ và loại bỏ các vấn đề phải gặp phải khi tổ chức quyền truy cập an toàn vào VPC đám mây. Firezone có thể được coi là một đối tác nguồn mở của OpenVPN Access Server, được xây dựng dựa trên WireGuard thay vì OpenVPN.
Để cài đặt, các gói vòng/phút và gói gỡ lỗi được cung cấp cho các phiên bản khác nhau của CentOS, Fedora, Ubuntu và Debian, việc cài đặt không yêu cầu phụ thuộc bên ngoài vì tất cả các phụ thuộc cần thiết đã được đưa vào bằng bộ công cụ Chef Omnibus. Để hoạt động, bạn chỉ cần một bộ phân phối có nhân Linux không quá 4.19 và một mô-đun hạt nhân đã được lắp ráp với VPN WireGuard. Theo tác giả, việc khởi chạy và thiết lập máy chủ VPN có thể được thực hiện chỉ trong vài phút. Các thành phần giao diện web chạy dưới quyền của người dùng không có đặc quyền và chỉ có thể truy cập thông qua HTTPS.
Để tổ chức các kênh liên lạc trong Firezone, WireGuard được sử dụng. Firezone cũng có chức năng tường lửa tích hợp bằng cách sử dụng nftables. Ở dạng hiện tại, tường lửa bị giới hạn trong việc chặn lưu lượng đi đến các máy chủ hoặc mạng con cụ thể trên mạng nội bộ hoặc bên ngoài. Việc quản lý được thực hiện thông qua giao diện web hoặc ở chế độ dòng lệnh bằng tiện ích firezone-ctl. Giao diện web dựa trên Admin One Bulma.
Hiện tại, tất cả các thành phần của Firezone đều chạy trên một máy chủ, nhưng dự án ban đầu đang được phát triển với mục đích mô-đun hóa và trong tương lai dự kiến sẽ bổ sung khả năng phân phối các thành phần cho giao diện web, VPN và tường lửa trên các máy chủ khác nhau. Các gói cũng bao gồm tích hợp trình chặn quảng cáo cấp DNS, hỗ trợ danh sách chặn máy chủ và mạng con, khả năng xác thực LDAP/SSO và khả năng quản lý người dùng bổ sung.
Nguồn: opennet.ru