đŸ§± EsettanulmĂĄny: CrowdSec + pfSense + Guacamole – VĂ©dett tĂĄvoli rendszergazdai belĂ©pĂ©s kompromisszumok nĂ©lkĂŒl

🎯 CĂ©lkitƱzĂ©s

A cĂ©l: egy tĂĄvoli hozzĂĄfĂ©rĂ©st biztosĂ­tĂł adminfelĂŒlet lĂ©trehozĂĄsa, amely:

  • biztonsĂĄgos, többfaktoros, naplĂłzott
  • nem publikus
  • Ă©s automatikusan reagĂĄl a tĂĄmadĂĄsokra

Az ĂŒgyfĂ©l – egy kis IT-cĂ©g – sajĂĄt szervereket, VM-eket Ă©s tƱzfalakat kezel, tĂĄvolrĂłl. A cĂ©l az volt, hogy az adminisztrĂĄciĂł egyetlen felĂŒleten törtĂ©njen, VPN mögött, Ă©s csak azoknak legyen esĂ©lye bejutni, akik valĂłban odavalĂłk.

đŸ§© FelhasznĂĄlt technolĂłgiĂĄk

  • pfSense: hĂĄlĂłzati gateway, VPN, NAT, tƱzfalszabĂĄlyok
  • Apache Guacamole: webes tĂĄvoli asztal Ă©s terminĂĄl elĂ©rĂ©s (RDP, SSH, VNC egy böngĂ©szƑben)
  • CrowdSec: IDS Ă©s közössĂ©gi IP-blokkolĂł
  • OpenVPN: titkosĂ­tott kapcsolat a Guacamole elĂ©rĂ©sĂ©hez
  • 2FA: Guacamole Ă©s VPN oldalon is aktivĂĄlva
  • Let’s Encrypt: HTTPS vĂ©delem

🔐 MegvalĂłsĂ­tĂĄsi architektĂșra

plaintextMåsolåsSzerkesztésInternet
   │
[pfSense + OpenVPN Server]
   │   (VPN)
[LAN interface]
   │
[Debian szerver + Guacamole]
   │
CrowdSec figyeli a logokat (VPN, Guacamole, rendszer)
   │
Bouncer tiltja az IP-ket, pfSense is logol

⚙ RĂ©szletes lĂ©pĂ©sek

1ïžâƒŁ pfSense – a hĂĄlĂłzat kapuja

  • WAN oldalon csak az OpenVPN port elĂ©rhetƑ
  • VPN bejelentkezĂ©shez user+pass + OTP
  • GeoIP + Port filter a WAN oldalon (csak magyar IP-k lĂ©phetnek kapcsolatba a VPN-szerverrel)

2ïžâƒŁ OpenVPN – a belĂ©pĂ©si pont

  • SzĂŒksĂ©g van:
    • hitelesĂ­tett kliens tanĂșsĂ­tvĂĄnyra,
    • felhasznĂĄlĂłi nĂ©v/jelszĂł pĂĄrosra,
    • Google Authenticator 2FA-ra
  • Sikertelen belĂ©pĂ©sek naplĂłzĂĄsa: /var/log/openvpn.log – CrowdSec figyeli

3ïžâƒŁ Guacamole – webes admin felĂŒlet

  • Csak VPN-en belĂŒl Ă©rhetƑ el
  • SajĂĄt 2FA vĂ©delemmel
  • RDP, SSH, VNC hozzĂĄfĂ©rĂ©sek centralizĂĄlt kezelĂ©se
  • Crowdszek figyeli a guacd Ă©s tomcat logokat is

4ïžâƒŁ CrowdSec – intelligens vĂ©delem

  • Megfigyel:
    • VPN login naplĂłk
    • Guacamole hibĂĄs prĂłbĂĄlkozĂĄsok
    • Linux auth.log
  • Automatikusan:
    • Tiltja az IP-t (iptables-nft bouncerrel)
    • ÉrtesĂ­tĂ©st kĂŒld (e-mail webhook opciĂłval)
    • Feltölti az IP-t a globĂĄlis CrowdSec API-ba (ha jogosnak Ă­tĂ©li)
  • Csak magyar IP-k prĂłbĂĄlkozhatnak, de dinamikus whitelist biztosĂ­t helyet a partneri VPN-szolgĂĄltatĂĄsoknak is

🔍 Mit nyertĂŒnk?

  • KĂŒlsƑ tĂĄmadĂĄsok blokkolva mĂĄr a VPN-kapcsolati prĂłbĂĄlkozĂĄsnĂĄl
  • Sikertelen bejelentkezĂ©sek nem csak naplĂłzĂłdnak – hanem le is tiltĂłdnak
  • Nincs nyitott RDP-port, SSH-port vagy VNC
  • A teljes infrastruktĂșra egyetlen Guacamole webfelĂŒleten keresztĂŒl elĂ©rhetƑ – de csak VPN-bƑl
  • A Guacamole oldal is kĂ©tfaktoros Ă©s naplĂłzott – Ă­gy a felhasznĂĄlĂłk sem megkerĂŒlhetik a vĂ©delmet

🧠 Tapasztalat

  • A rendszer erƑsen skĂĄlĂĄzhatĂł – Ășj adminisztrĂĄtort hozzĂĄadni pĂĄr perc, nincs szĂŒksĂ©g Ășj portnyitĂĄsra
  • A CrowdSec a mĂĄsodik hĂ©ttƑl kezdve jelentƑsen csökkentette a prĂłbĂĄlkozĂĄsok szĂĄmĂĄt
  • Az ĂŒgyfĂ©l visszajelzĂ©se alapjĂĄn: „Eddig is VPN-nel dolgoztunk, de most vĂ©gre nyugodt vagyok, hogy ha valaki prĂłbĂĄlkozik, meg is kapja Ă©rte
”

✹ LehetsĂ©ges bƑvĂ­tĂ©sek

  • CrowdSec központi dashboard + SIEM integrĂĄciĂł
  • Guacamole auditnaplĂłk tovĂĄbbĂ­tĂĄsa Graylogba vagy Wazuh-ba
  • CrowdSec log forwarding a pfSense naplĂłkba is – SNMP vagy Syslog alapjĂĄn
  • SajĂĄt bouncer pfSense felĂ©, ha natĂ­v blokkolĂĄs is kell a tƱzfalon

📞 Hasonló megoldáson gondolkodsz?
Mi szĂ­vesen segĂ­tĂŒnk megtervezni Ă©s kivitelezni.
Modern rendszeradminisztrĂĄciĂł – biztonsĂĄgosan, központilag, tĂĄvolrĂłl.