Co to jest UptimeRobot i jak będzie monitorować połączenie?
UptimeRobot to całkowicie darmowa usługa internetowa, która pozwoli nam zdalnie monitorować twoje połączenie internetowe, ta usługa ma dziesiątki serwerów rozsianych po całym świecie, które będą próbowały połączyć się z naszym zespołem za pomocą TCP, UDP lub nawet ICMP, aby zweryfikować, czy twoje połączenie internetowe jest działa prawidłowo. Darmowa wersja pozwala nam kontrolować do 50 hostów w 5-minutowych odstępach, co jest wystarczające dla środowiska domowego i mediów, chociaż Twoja firma może potrzebować szybszej informacji o utracie połączenia internetowego. Jeśli kupisz wersję premium, możesz ustawić jednominutowe interwały, aby sprawdzić, czy połączenie internetowe działa prawidłowo i będziesz mieć więcej serwerów do oglądania, wszystkie na tym samym koncie.
Omówiliśmy już tę usługę dogłębnie w RedesZone, jednak jeśli użyjemy systemu operacyjnego, takiego jak pfSense, który jest wysoce konfigurowalny i zdolny do wykrywania odmowy usługi i przemocy, może wykryć te połączenia. jako możliwe ataki i blokować komunikację bezpośrednio ze źródła IP. To samo dzieje się, jeśli w samym pfSense skonfigurowaliśmy IDS/IPS, może wykryć to jako zagrożenie. Jeśli system operacyjny zablokuje źródłowy adres IP i nie „odpowiada” na UptimeRobot, wykryje, że połączenie internetowe nie działa w rzeczywistości, dając nam fałszywy alert.
Bardzo podobała nam się funkcja UptimeRobot, która pozwala nam otrzymywać powiadomienia za pośrednictwem poczty e-mail, Telegramu, Twittera, Slacka, Microsoft Teams i innych, dzięki czemu zawsze będziemy powiadamiani, jeśli coś pójdzie nie tak. Dodatkowo możemy również zainstalować oficjalną aplikację UptimeRobot na Androida i iOS:
UptimeRobot: Oglądaj wszystko!
Programista: UptimeRobot
UptimeRobot: Oglądaj wszystko!
Programista: nieskończoność
Gdy już wiemy, co UptimeRobot może dla nas zrobić, przyjrzyjmy się, jak prawidłowo skonfigurować pfSense, aby uniknąć fałszywych alertów o atakach.
Skonfiguruj pfSense tak, aby UptimeRobot nie był blokowany
Chociaż UptimeRobot ma wiele serwerów na całym świecie, aby monitorować różne serwery i unikać fałszywych alarmów, w wielu przypadkach to nie wystarczy, zwłaszcza jeśli mamy bardzo dobrze skonfigurowaną zaporę sieciową pfSense. Wszystkie kontrole wykonywane przez UptimeRobot są wykonywane przez Dallas-USA, jednak gdy zostanie wykryty spadek, pozostałe węzły na całym świecie sprawdzą, czy połączenie jest faktycznie rozłączone, czy nie. Jednak w RedesZone sprawdziliśmy, że to nie wystarczy, jeśli korzystasz z pfSense, ponieważ mówi nam, że Twoje połączenie internetowe działa prawidłowo i nie działa, kontrola waha się między dwoma trybami.
W naszym przypadku weryfikacja poprawności działania połączenia internetowego odbywa się za pomocą kilku „sprawdzeń” na serwerze SSH systemu operacyjnego pfSense, które musimy włączyć. Będziemy musieli tylko włączyć serwer SSH i skonfigurować określony port nasłuchiwania TCP, na przykład port 2222 dla SSH. Port ten będzie dostępny przez Internet z dowolnego źródła, w celu zarządzania systemem operacyjnym z dowolnego miejsca.
Aby rozwiązać problem fałszywych alarmów, musimy wprowadzić konfiguracyjny interfejs sieciowy pfSense OS:
Przejdź do sekcji SSH i upewnij się, że jest włączony i nasłuchuje na porcie 2222 lub dowolnym innym porcie.
W sekcji „Ochrona połączenia” musimy dodać każdą z sieci źródłowych UptimeRobot i adresy IP. Na tej „liście przejść” będziemy mieli listę wszystkich źródłowych adresów IP, które mogą „sprawdzić” z serwerem WWW HTTPS lub skonfigurowanym serwerem SSH, z pominięciem skonfigurowanych przez nas ograniczeń „ochrony połączeń”.
Na Oficjalna strona UptimeRobot, mamy listę wszystkich źródłowych adresów IP wystarczy wprowadzić jedną przepustowość lub jeden adres IP na adres IP. Mamy również adresy IPv6, których używają w przypadku, gdy masz dostęp do Internetu IPv6. Wreszcie dostarczają nam również txt, który zawiera listę wszystkich adresów IP w celu ułatwienia konfiguracji zapory.
Gdy włączymy serwer SSH w pfSense, jeśli chcemy uzyskać dostęp do Internetu z dowolnego źródłowego adresu IP, musimy utworzyć regułę w sekcji ” Zapora / Zasady „, W tej regule musimy uwzględnić:
- Akcja: Przejdź przez
- Interfejs: WAN
- Rodzina adresów: IPv4 i/lub IPv6.
- Protokół: TCP
- Źródło: Any
- Miejsce docelowe: adres WAN
- Zakres portów docelowych: Port nasłuchiwania serwera SSH, w naszym przypadku 2222.
Zalecamy również, aby rejestrować wszystkie pakiety, które odbiera firewall, aktywując opcję „Loguj pakiety zarządzane przez tę regułę”, na końcu podamy opis i klikniemy zapisz.
Zanim skończymy, ważnym szczegółem jest umieszczenie reguły pfSense w sekcji WAN w odpowiedniej kolejności, ponieważ jeśli mamy ogólną regułę odmowy dla tej konkretnej reguły, zablokujesz ruch i nie wyczerpie się.
Jeśli przeglądasz dzienniki systemu operacyjnego, zobaczysz źródłowy adres IP używany przez UptimeRobot, a także adres IP i port docelowy (nas). Stamtąd możesz sprawdzić, czy co 5 minut sprawdza, czy połączenie internetowe działa prawidłowo, czy raczej czy serwer pfSense SSH jest dostępny przez Internet.
Gdy zobaczymy, jak poprawnie skonfigurować pfSense, przypomnimy sobie, jak stworzyć regułę w UptimeRobot do monitorowania pfSense.
Utwórz regułę śledzenia w UptimeRobot
Łączymy się z UptimeRobot za pomocą naszych danych uwierzytelniających, jeśli nigdy nie korzystałeś z tego narzędzia, musisz zarejestrować się w wersji „Bezpłatnej”. W menu głównym możemy zobaczyć wszystkie reguły monitorowania utworzone w lewej sekcji, kliknij „ Dodaj nowy ekran „Aby stworzyć nową regułę.
Typ ekranu, którego potrzebujesz, to „Port”, nadaj mu opisową nazwę, wpisz „Port: Port niestandardowy”, aby wstawić właśnie skonfigurowany port serwera SSH 2222 i interwał monitorowania. W darmowej wersji UptimeRobot pozwoli nam to na minimum 5 minut, oczywiście większość sprawdzeń jest wykonywana zanim ostrzeże nas o problemie z połączeniem internetowym, ale jest to dostępne nie tylko w wersji płatnej.
Nie zapomnij wybrać powiadomień do wysłania, możemy otrzymać powiadomienie za pośrednictwem poczty elektronicznej, Telegramu lub innej usługi, jeśli zarejestrowałeś ją wcześniej.
Po zakończeniu kliknij „Utwórz ekran” i uruchom UptimeRobot. Teraz musisz sprawdzić pfSense, czy pakiet został odebrany poprawnie, sprawdzając logi zapory w sekcji WAN, możesz filtrować logi wpisując port docelowy 2222, który jest portem SSH, możesz również sprawdzić, czy źródłowy adres IP jest w środku obszar adresu IP, który określiliśmy wcześniej.
Czy mogę ograniczyć połączenia SSH tylko do UptimeRobot?
Jeśli chcesz włączyć serwer SSH tylko dla adresów UptimeRobot, aby sprawdzić, czy połączenie internetowe działa poprawnie, możesz ograniczyć połączenia SSH za pomocą reguły zapory. Jeśli wpiszemy „ Zapora / aliasy „Możemy utworzyć alias ze wszystkimi źródłowymi adresami IP UptimeRobot, aby znacznie ułatwić konfigurację reguły. Możemy wpisać adres URL z podanym wcześniej plikiem tekstowym i wpisać go bezpośrednio w adres URL (IP):
W ten sposób będziemy mogli aktywować wszystkie adresy IPv4 i IPv6 automatycznie i bez konieczności przechodzenia przez nie jeden po drugim, co znacznie ułatwi konfigurację. Jak widać, w sekcji alias / URL te początkowe publiczne adresy IP używane przez UptimeRobot pojawią się już załadowane:
Musimy teraz edytować regułę SSH i zdefiniować:
- Rodzina adresów: IPv4 i IPv6, w tym adresy IPv6.
- Źródło — indywidualny host lub alias: IP_UptimeRobot
I klikamy „Zapisz” i stosujemy zmiany. Obecnie tylko źródłowe adresy IP zdefiniowane w aliasach, które pasują do adresów IP UptimeRobot, będą mogły uzyskać dostęp tylko do serwera SSH, dzięki czemu serwer SSH nie zostanie naruszony dla wszystkich.
Dzięki UptimeRobot i dobrej konfiguracji w pfSense, aby uniknąć fałszywych alarmów, będziesz mógł sprawdzić, czy Twoje połączenie internetowe działa poprawnie i czy nie masz żadnych problemów. Oczywiście lepiej jest umieścić dynamiczną domenę DNS w samym UptimeRobot, ponieważ jeśli masz dynamiczny publiczny adres IP, będzie się on od czasu do czasu zmieniał i możesz otrzymywać fałszywe alarmy o utracie łączności.