Firezone, odlična možnost za ustvarjanje VPN -jev na osnovi WireGuarda

Če želite ustvariti strežnik VPN, naj vam povem, da obstaja odlična možnost, s katero se lahko podprete za dosego svojega poslanstva in to je, da projekt Firezone razvija strežnik VPN strZa organizacijo dostopa do gostiteljev v notranjem omrežju, izoliranem od uporabniških naprav, ki se nahajajo v zunanjih omrežjih.

Projekt želi doseči visoko raven varnosti in poenostavite postopek implementacije VPN.

O Firezone

Projekt razvija Ciscov inženir za varnostno avtomatizacijo, ki je poskušal ustvariti rešitev, ki avtomatizira delo s konfiguracijo gostitelja in odpravi težave, s katerimi so se morali soočiti pri organizaciji varnega dostopa do VPC-jev v oblaku.

Požarno območje deluje kot vmesnik za oba modula jedra WireGuard kot za podsistem jedra netfilter. Ustvarite vmesnik WireGuard (privzeto imenovan wg-firezone) in tabelo netfilter ter dodajte ustrezne poti v usmerjevalno tabelo. Drugi programi, ki spreminjajo usmerjevalno tabelo Linuxa ali požarni zid netfilter, lahko motijo ​​delovanje Firezone.

Firezone si lahko predstavljamo kot odprtokodni dvojnik OpenVPN Access Server, ki je zgrajen na vrhu WireGuard namesto OpenVPN.

WireGuard se uporablja za organizacijo komunikacijskih kanalov v Firezone. Firezone ima tudi vgrajeno funkcijo požarnega zidu, ki uporablja nftables.

V sedanji obliki požarni zid je omejen z blokiranjem odhodnega prometa na določene gostitelje ali podomrežja V notranjih ali zunanjih omrežjih je to posledica dejstva, da je Firezone beta programska oprema, zato je zaenkrat njegova uporaba priporočljiva le z omejevanjem dostopa omrežja do spletnega uporabniškega vmesnika, da ne bi bilo izpostavljeno javnemu internetu.

Firezone za delovanje v produkciji zahteva veljavno potrdilo SSL in ustrezen zapis DNS, ki ga je mogoče ustvariti in upravljati z orodjem Let's Encrypt za ustvarjanje brezplačnega potrdila SSL.

S strani administracije, je omenjeno, da se to izvaja prek spletnega vmesnika ali v načinu ukazne vrstice z uporabo pripomočka firezone-ctl. Spletni vmesnik je zgrajen na osnovi Admin One Bulma.

Trenutno vse komponente Firezone delujejo na istem strežniku, Toda projekt je bil sprva razvit s pogledom na modularnost, v prihodnosti pa se načrtuje dodajanje možnosti distribucije komponent za spletni vmesnik, VPN in požarni zid na različnih gostiteljih.

Načrti omenjajo tudi integracijo blokatorja oglasov, ki temelji na DNS, podporo za sezname blokov gostiteljev in podomrežja, možnost preverjanja pristnosti prek LDAP/SSO in dodatne zmogljivosti upravljanja uporabnikov.

Od omenjenih lastnosti Firezone:

  • Hitro: uporabite WireGuard, da boste 3-4 krat hitrejši od OpenVPN.
  • Brez odvisnosti: vse odvisnosti so združene po zaslugi Chef Omnibusa.
  • Preprosto: nastavitev traja nekaj minut. Upravljajte prek preprostega API-ja CLI.
  • Varno: deluje brez privilegijev. Uporabljen je HTTPS.
  • Šifrirani piškotki.
  • Vključen požarni zid - uporablja Linuxove nftables za blokiranje neželenega odhodnega prometa.

Za namestitev so na voljo paketi rpm in deb za različne različice CentOS, Fedora, Ubuntu in Debian, katerih namestitev ne zahteva zunanjih odvisnosti, saj so vse potrebne odvisnosti že vključene s pomočjo kompleta orodij Chef Omnibus.

Delati, potrebujete samo distribucijo Linuxa, ki ima jedro Linuxa ne prej kot 4.19 in modul jedra, preveden z WireGuard VPN. Po mnenju avtorja je mogoče zagon in konfiguracijo strežnika VPN opraviti v le nekaj minutah. Komponente spletnega vmesnika se izvajajo pod neprivilegiranim uporabnikom in dostop je možen samo prek HTTPS.

Firezone je sestavljen iz enega samega razširljivega paketa Linux, ki ga lahko namesti in upravlja uporabnik. Koda projekta je napisana v Elixir in Ruby ter se distribuira pod licenco Apache 2.0.

Končno če vas zanima več o tem ali če želite slediti navodilom za namestitev, lahko to storite iz naslednjo povezavo.


Vsebina članka je v skladu z našimi načeli uredniška etika. Če želite prijaviti napako, kliknite tukaj.

Bodite prvi komentar

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.