Εάν θέλετε να δημιουργήσετε έναν διακομιστή VPN, επιτρέψτε μου να σας πω ότι υπάρχει μια εξαιρετική επιλογή από την οποία μπορείτε να υποστηρίξετε τον εαυτό σας για να επιτύχετε την αποστολή σας και αυτό είναι ότι το έργο Το Firezone αναπτύσσει έναν διακομιστή VPN σελΓια να οργανώσετε την πρόσβαση σε κεντρικούς υπολογιστές σε εσωτερικό δίκτυο απομονωμένο από συσκευές χρηστών που βρίσκονται σε εξωτερικά δίκτυα.
Το έργο στοχεύει στην επίτευξη υψηλού επιπέδου ασφάλειας και απλοποιήστε τη διαδικασία υλοποίησης του VPN.
Σχετικά με το Firezone
Το έργο αναπτύσσεται από έναν μηχανικό αυτοματοποίησης ασφαλείας της Cisco, ο οποίος προσπάθησε να δημιουργήσει μια λύση που αυτοματοποιεί τη λειτουργία με τη διαμόρφωση κεντρικού υπολογιστή και εξαλείφει την ταλαιπωρία που αντιμετώπισαν κατά την οργάνωση ασφαλούς πρόσβασης σε VPC στο cloud.
ζώνη φωτιάς λειτουργεί ως διεπαφή και για τη μονάδα πυρήνα WireGuard όσο για το υποσύστημα πυρήνα netfilter. Δημιουργήστε μια διεπαφή WireGuard (που ονομάζεται wg-firezone από προεπιλογή) και έναν πίνακα netfilter και προσθέστε τις κατάλληλες διαδρομές στον πίνακα δρομολόγησης. Άλλα προγράμματα που τροποποιούν τον πίνακα δρομολόγησης Linux ή το τείχος προστασίας netfilter μπορεί να επηρεάσουν τη λειτουργία του Firezone.
Το Firezone μπορεί να θεωρηθεί ως αντίστοιχο ανοιχτού κώδικα στον διακομιστή πρόσβασης OpenVPN, που είναι χτισμένο πάνω από το WireGuard αντί για το OpenVPN.
Το WireGuard χρησιμοποιείται για την οργάνωση καναλιών επικοινωνίας στο FirezoneΤο Το Firezone διαθέτει επίσης μια ενσωματωμένη λειτουργικότητα τείχους προστασίας που χρησιμοποιεί nftables.
Στην τρέχουσα μορφή του, το τείχος προστασίας περιορίζεται αποκλείοντας την εξερχόμενη κίνηση σε συγκεκριμένους κεντρικούς υπολογιστές ή υποδίκτυα Σε εσωτερικά ή εξωτερικά δίκτυα, αυτό οφείλεται στο γεγονός ότι το Firezone είναι ένα λογισμικό beta, για το οποίο αυτή τη στιγμή συνιστάται η χρήση του μόνο περιορίζοντας την πρόσβαση του δικτύου στη διεπαφή χρήστη του ιστού για να αποφύγετε την έκθεσή του στο δημόσιο Διαδίκτυο.
Το Firezone απαιτεί ένα έγκυρο πιστοποιητικό SSL και μια αντίστοιχη εγγραφή DNS για εκτέλεση, τα οποία μπορούν να δημιουργηθούν και να διαχειριστούν από το εργαλείο Let's Encrypt για να δημιουργήσουν ένα δωρεάν πιστοποιητικό SSL.
Εκ μέρους κάποιου διαχείρισης, αναφέρεται ότι αυτό γίνεται μέσω της διεπαφής ιστού ή σε λειτουργία γραμμής εντολών χρησιμοποιώντας το βοηθητικό πρόγραμμα firezone-ctl. Η διεπαφή ιστού είναι χτισμένη με βάση το Admin One Bulma.
Επί του παρόντος, όλα τα στοιχεία Firezone εκτελούνται στον ίδιο διακομιστή, Αλλά το έργο αναπτύχθηκε αρχικά με το βλέμμα στην αρθρωτότητα και στο μέλλον προγραμματίζεται να προσθέσει τη δυνατότητα διανομής στοιχείων για τη διεπαφή ιστού, το VPN και το τείχος προστασίας σε διαφορετικούς κεντρικούς υπολογιστές.
Τα σχέδια αναφέρουν επίσης την ενσωμάτωση ενός αποκλεισμού διαφημίσεων που βασίζεται σε DNS, υποστήριξη για λίστες αποκλεισμού κεντρικού υπολογιστή και υποδικτύου, τη δυνατότητα ελέγχου ταυτότητας μέσω LDAP / SSO και πρόσθετες δυνατότητες διαχείρισης χρηστών.
Από τα αναφερόμενα χαρακτηριστικά του Firezone:
- Γρήγορο: χρησιμοποιήστε το WireGuard για να είναι 3-4 φορές πιο γρήγορο από το OpenVPN.
- Χωρίς εξαρτήσεις: όλες οι εξαρτήσεις ομαδοποιούνται χάρη στον Chef Omnibus.
- Απλό: χρειάζεται λίγα λεπτά για να ρυθμιστεί. Διαχειριστείτε μέσω ενός απλού CLI API.
- Ασφαλές: λειτουργεί χωρίς προνόμια. Εφαρμόστηκε HTTPS.
- Κρυπτογραφημένα cookie.
- Περιλαμβάνεται τείχος προστασίας - Χρησιμοποιεί Linux nftables για να αποκλείσει ανεπιθύμητη εξερχόμενη κίνηση.
Για εγκατάσταση, προσφέρονται πακέτα rpm και deb για διαφορετικές εκδόσεις των CentOS, Fedora, Ubuntu και Debian, των οποίων η εγκατάσταση δεν απαιτεί εξωτερικές εξαρτήσεις, αφού όλες οι απαραίτητες εξαρτήσεις περιλαμβάνονται ήδη χρησιμοποιώντας την εργαλειοθήκη Chef Omnibus.
Για να δουλέψω, χρειάζεστε μόνο μια διανομή Linux που έχει πυρήνα Linux όχι νωρίτερα από 4.19 και μια μονάδα πυρήνα μεταγλωττισμένη με VPN WireGuardΤο Σύμφωνα με τον συγγραφέα, η εκκίνηση και η διαμόρφωση ενός διακομιστή VPN μπορεί να γίνει σε λίγα μόνο λεπτά. Τα στοιχεία της διεπαφής ιστού εκτελούνται υπό μη προνομιούχο χρήστη και η πρόσβαση είναι δυνατή μόνο μέσω HTTPS.
Το Firezone αποτελείται από ένα ενιαίο διανεμόμενο πακέτο Linux που μπορεί να εγκατασταθεί και να διαχειριστεί ο χρήστης. Ο κώδικας του έργου είναι γραμμένος σε Elixir και Ruby και διανέμεται με την άδεια Apache 2.0.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό ή θέλετε να ακολουθήσετε τις οδηγίες εγκατάστασης, μπορείτε να το κάνετε από τον ακόλουθο σύνδεσμο.