วิธีตรวจสอบการเชื่อมต่ออินเทอร์เน็ต pfSense สำหรับ Drops

March 30, 2021 แมตต์มิลส์ วิธีการ 0

เมื่อเรามีการเชื่อมต่ออินเทอร์เน็ตกับระบบปฏิบัติการที่มุ่งเป้าไปที่สภาพแวดล้อมระดับมืออาชีพเช่น pfSense จำเป็นอย่างยิ่งที่จะต้องตรวจสอบจากภายนอกว่าการเชื่อมต่ออินเทอร์เน็ตทำงานได้อย่างถูกต้องหรือไม่เพื่อขจัดปัญหาการกำหนดค่าใน VPN เซิร์ฟเวอร์หรือในอุโมงค์ VPN ที่เรากำหนดค่าไว้ ขอบคุณ UptimeRobot เราจะสามารถตรวจสอบได้จากระยะไกลว่าการเชื่อมต่ออินเทอร์เน็ตทำงานได้ดีหรือไม่ แต่ก่อนอื่นเราจะต้องทำการกำหนดค่าที่เฉพาะเจาะจงมากใน pfSense เพื่อไม่ให้ระบบปฏิบัติการตรวจพบการโจมตีที่ผิดพลาด

UptimeRobot คืออะไรและจะตรวจสอบการเชื่อมต่ออย่างไร?

UptimeRobot เป็นบริการเว็บฟรีที่จะช่วยให้เราตรวจสอบการเชื่อมต่ออินเทอร์เน็ตจากระยะไกลบริการนี้มีเซิร์ฟเวอร์หลายสิบเครื่องกระจายอยู่ทั่วโลกซึ่งจะพยายามเชื่อมต่อกับทีมของเราผ่าน TCP, UDP และแม้แต่ ICMP เพื่อตรวจสอบว่าอินเทอร์เน็ต การเชื่อมต่อทำงานอย่างถูกต้อง เวอร์ชันฟรีช่วยให้เราตรวจสอบโฮสต์ได้มากถึง 50 โฮสต์ในช่วงเวลา 5 นาทีซึ่งเพียงพอสำหรับสภาพแวดล้อมภายในบ้านและสำหรับ บริษัท ขนาดเล็กและขนาดกลางแม้ว่าจะเป็นไปได้ว่าใน บริษัท ของคุณคุณจำเป็นต้องทราบข้อมูลให้เร็วขึ้นหากการเชื่อมต่ออินเทอร์เน็ตลดลง . หากคุณซื้อเวอร์ชันพรีเมียมคุณสามารถกำหนดช่วงเวลาหนึ่งนาทีเพื่อตรวจสอบว่าการเชื่อมต่ออินเทอร์เน็ตทำงานได้ดีหรือไม่และคุณจะมีโฮสต์ให้ตรวจสอบมากขึ้นโดยทั้งหมดรวมศูนย์ไว้ในบัญชีเดียวกัน

ตรวจสอบการเชื่อมต่ออินเทอร์เน็ต pfSense สำหรับ Drops

ในบทความนี้เราได้พูดถึงบริการนี้ในเชิงลึกก่อนหน้านี้อย่างไรก็ตามหากเราใช้ระบบปฏิบัติการเช่น pfSense ซึ่งสามารถกำหนดค่าได้สูงและสามารถตรวจจับการปฏิเสธการโจมตีบริการและการโจมตีแบบดุร้ายอาจตรวจพบการเชื่อมต่อเหล่านี้ได้ โจมตีและบล็อกการสื่อสารโดยตรงจาก IP ต้นทาง สิ่งเดียวกันนี้จะเกิดขึ้นหากเรามีการกำหนดค่า IDS / IPS ใน pfSense เองก็อาจตรวจพบว่าเป็นภัยคุกคาม หากระบบปฏิบัติการบล็อกที่อยู่ IP ต้นทางและไม่“ ตอบกลับ” ไปยัง UptimeRobot ระบบจะตรวจพบว่าการเชื่อมต่ออินเทอร์เน็ตไม่ทำงานเมื่อเป็นเช่นนั้นจริง ๆ จะแจ้งเตือนเราที่ผิดพลาด

คุณลักษณะหนึ่งที่เราชอบมากเกี่ยวกับ UptimeRobot คือมันจะช่วยให้เราสามารถรับการแจ้งเตือนโดย อีเมล, โทรเลข, Twitter, หย่อน, ไมโครซอฟท์ ทีมและอื่น ๆ ดังนั้นเราจะมีการแจ้งเตือนเสมอหากมีปัญหา นอกจากนี้เราสามารถติดตั้งแอป UptimeRobot อย่างเป็นทางการสำหรับ Android และ iOS:

UptimeRobot: ตรวจสอบอะไรก็ได้!
ผู้พัฒนา: UptimeRobot
UptimeRobot: ตรวจสอบอะไรก็ได้!
ผู้พัฒนา: อิทรินิตี้

เมื่อเรารู้ทุกสิ่งที่ UptimeRobot สามารถทำเพื่อเราได้แล้วเรามาดูวิธีกำหนดค่า pfSense อย่างถูกต้องเพื่อหลีกเลี่ยงการแจ้งเตือนการโจมตีที่ผิดพลาด

กำหนดค่า pfSense เพื่อไม่ให้ UptimeRobot ถูกบล็อก

แม้ว่า UptimeRobot จะมีเซิร์ฟเวอร์หลายเครื่องที่กระจายอยู่ทั่วโลกเพื่อตรวจสอบโฮสต์ที่แตกต่างกันและหลีกเลี่ยงผลบวกที่ผิดพลาดในหลาย ๆ กรณีสิ่งนี้ไม่เพียงพอโดยเฉพาะอย่างยิ่งหากเรามี pfSense ของเรา ไฟร์วอลล์ กำหนดค่าได้ดีมาก การตรวจสอบทั้งหมดที่ดำเนินการโดย UptimeRobot ดำเนินการจากดัลลัส - สหรัฐอเมริกาอย่างไรก็ตามเมื่อตรวจพบการตกโหนดที่เหลือทั่วโลกจะตรวจสอบว่าการเชื่อมต่อหลุดจริงๆหรือไม่ อย่างไรก็ตามในบทความนี้เราได้ตรวจสอบแล้วว่าสิ่งนี้ไม่เพียงพอหากคุณใช้ pfSense เนื่องจากมีการแจ้งให้เราทราบอย่างต่อเนื่องว่าการเชื่อมต่ออินเทอร์เน็ตทำงานได้อย่างถูกต้องและมีการหลุดการตรวจสอบจะสั่นระหว่างทั้งสองสถานะ

ในกรณีของเราการตรวจสอบว่าการเชื่อมต่ออินเทอร์เน็ตใช้งานได้หรือไม่โดยมีการ«ตรวจสอบ»บนเซิร์ฟเวอร์ SSH ของระบบปฏิบัติการ pfSense ซึ่งเราต้องเปิดใช้งาน เราจะต้องเปิดใช้งานเซิร์ฟเวอร์ SSH และกำหนดค่าพอร์ต TCP สำหรับการฟังเฉพาะเช่นพอร์ต 2222 สำหรับ SSH พอร์ตนี้จะสามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตจากแหล่งใดก็ได้โดยมีจุดประสงค์เพื่อจัดการระบบปฏิบัติการได้จากทุกที่

ในการแก้ปัญหาผลบวกปลอมเราต้องเข้าสู่เว็บอินเตอร์เฟสการกำหนดค่าระบบปฏิบัติการ pfSense:

ไปที่ส่วน SSH และตรวจสอบให้แน่ใจว่าได้เปิดใช้งานแล้วและกำลังฟังอยู่บนพอร์ต 2222 หรือบนพอร์ตอื่น ๆ

ในส่วน“ การป้องกันการเข้าสู่ระบบ” เราต้องเพิ่มเครือข่ายต้นทางและที่อยู่ IP ของ UptimeRobot แต่ละเครือข่าย ใน«รายการผ่าน»นี้เราจะมีรายชื่อของที่อยู่ IP ต้นทางทั้งหมดที่สามารถทำการ«ตรวจสอบ»กับเว็บเซิร์ฟเวอร์ HTTPS หรือเซิร์ฟเวอร์ SSH ที่กำหนดค่าไว้โดยข้ามข้อ จำกัด ของ«การป้องกันการเข้าสู่ระบบ»ที่เราได้กำหนดค่าไว้

เกี่ยวกับเว็บไซต์อย่างเป็นทางการของ UptimeRobot เรามีรายการที่อยู่ IP ต้นทางทั้งหมด ที่พวกเขาใช้เราจะต้องป้อนช่วงตามช่วงหรือที่อยู่ IP ตามที่อยู่ IP นอกจากนี้เรายังมีที่อยู่ IPv6 ที่พวกเขาใช้ในกรณีของคุณคุณมี IPv6 เพื่อเข้าถึงอินเทอร์เน็ต สุดท้ายพวกเขายังให้ไฟล์ txt พร้อมรายการที่อยู่ IP ทั้งหมด เพื่ออำนวยความสะดวกในการกำหนดค่าไฟร์วอลล์

เมื่อเราเปิดใช้งานเซิร์ฟเวอร์ SSH ใน pfSense หากเราต้องการให้พวกเขาเข้าถึงจากอินเทอร์เน็ตด้วยที่อยู่ IP ต้นทางใด ๆ เราจะต้องสร้างกฎใน " ไฟร์วอลล์ / กฎ ” ในกฎนี้เราต้องใส่:

  • การดำเนินการ: ผ่าน
  • อินเทอร์เฟซ: WAN
  • ที่อยู่ตระกูล: IPv4 และ / หรือ IPv6
  • พิธีสาร: TCP
  • ที่มา: any
  • ปลายทาง: ที่อยู่ WAN
  • ช่วงพอร์ตปลายทาง: พอร์ตของเซิร์ฟเวอร์ SSH ที่รับฟังในกรณีของเราคือ 2222

นอกจากนี้เราขอแนะนำให้บันทึกแพ็กเก็ตทั้งหมดที่ไฟร์วอลล์ได้รับเปิดใช้งานตัวเลือก "ล็อกแพ็กเก็ตที่จัดการโดยกฎนี้" ในที่สุดเราจะให้คำอธิบายและคลิกที่บันทึก

ก่อนที่จะเสร็จสิ้นรายละเอียดที่สำคัญคือคุณวางกฎ pfSense ในส่วน WAN ตามลำดับที่ถูกต้องเพราะถ้าเรามีกฎทั่วไปปฏิเสธทั้งหมดอยู่เหนือกฎเฉพาะนี้คุณจะปิดกั้นการรับส่งข้อมูลและจะไม่ทำงานจากภายนอก .

หากคุณดูบันทึกของระบบปฏิบัติการคุณจะสามารถเห็นที่อยู่ IP ต้นทางที่ UptimeRobot ใช้อยู่ตลอดจนที่อยู่ IP ปลายทางและพอร์ต (เรา) จากตรงนี้คุณสามารถตรวจสอบได้ว่าทุกๆ 5 นาทีกำลังตรวจสอบว่าการเชื่อมต่ออินเทอร์เน็ตทำงานได้อย่างถูกต้องหรือไม่หรือมากกว่านั้นหากเซิร์ฟเวอร์ pfSense SSH สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต

เมื่อเราได้เห็นวิธีกำหนดค่า pfSense อย่างถูกต้องแล้วเราจะจำวิธีสร้างกฎใน UptimeRobot เพื่อตรวจสอบ pfSense ของเรา

สร้างกฎการตรวจสอบใน UptimeRobot

เราเข้าสู่ระบบ UptimeRobot ด้วยข้อมูลประจำตัวของเราหากคุณไม่เคยใช้เครื่องมือนี้คุณจะต้องลงทะเบียนสำหรับเวอร์ชัน "ฟรี" ในเมนูหลักเราจะเห็นกฎการตรวจสอบทั้งหมดที่สร้างขึ้นในส่วนด้านซ้ายคลิกที่ " เพิ่มจอภาพใหม่ ” เพื่อสร้างกฎใหม่

ประเภทของจอภาพที่คุณควรใช้คือ "พอร์ต" เราตั้งชื่อที่สื่อความหมายเราใส่ "พอร์ต: พอร์ตที่กำหนดเอง" เพื่อใส่พอร์ต 2222 ของเซิร์ฟเวอร์ SSH ที่เราเพิ่งกำหนดค่าและช่วงเวลาการตรวจสอบ ใน UptimeRobot เวอร์ชันฟรีจะอนุญาตให้เรามีช่วงเวลาขั้นต่ำ 5 นาทีตามหลักเหตุผลยิ่งมีการตรวจสอบมากขึ้นก่อนที่จะแจ้งให้เราทราบว่ามีปัญหากับการเชื่อมต่ออินเทอร์เน็ต แต่จะมีให้เฉพาะในเวอร์ชันที่ต้องชำระเงินเท่านั้น

คุณต้องไม่ลืมเลือกการแจ้งเตือนที่จะส่งเราสามารถรับการแจ้งเตือนทางอีเมลโทรเลขหรือบริการอื่น ๆ ได้ตราบเท่าที่คุณได้ลงทะเบียนไว้ก่อนหน้านี้

เมื่อเสร็จแล้วให้คลิกที่« Create Monitor »และเราจะให้ UptimeRobot ทำงาน ตอนนี้คุณต้องตรวจสอบใน pfSense ว่าคุณได้รับแพ็กเก็ตอย่างถูกต้องตรวจสอบบันทึกไฟร์วอลล์ในส่วน WAN คุณสามารถกรองบันทึกโดยใส่พอร์ตปลายทาง 2222 ซึ่งเป็นพอร์ต SSH คุณสามารถตรวจสอบว่าที่อยู่ IP ต้นทางคือ ภายในช่วงของที่อยู่ IP ที่เราได้ระบุไว้ก่อนหน้านี้

ฉันสามารถ จำกัด การเชื่อมต่อ SSH เฉพาะ UptimeRobot ได้หรือไม่?

หากคุณต้องการเปิดใช้งานเซิร์ฟเวอร์ SSH สำหรับที่อยู่ UptimeRobot เท่านั้นเพื่อตรวจสอบว่าการเชื่อมต่ออินเทอร์เน็ตทำงานได้ดีหรือไม่คุณสามารถ จำกัด การเชื่อมต่อ SSH ผ่านกฎในไฟร์วอลล์ ถ้าเราไปที่ " ไฟร์วอลล์ / นามแฝง ” คุณสามารถสร้างนามแฝงด้วยที่อยู่ IP ต้นทางทั้งหมดของ UptimeRobot เพื่ออำนวยความสะดวกในการกำหนดค่ากฎ เราสามารถใส่ URL ด้วยไฟล์ข้อความที่เราได้ให้ไว้ก่อนหน้านี้และเราใส่ไว้ใน URL Aliases (IP) โดยตรง:

ด้วยเหตุนี้เราจึงสามารถรวมที่อยู่ IPv4 และ IPv6 ทั้งหมดโดยอัตโนมัติและไม่ต้องไปทีละรายการเพื่ออำนวยความสะดวกในการกำหนดค่าอย่างมาก ดังที่คุณเห็นในส่วนนามแฝง / URL ที่อยู่ IP สาธารณะของต้นทางที่ใช้โดย UptimeRobot จะปรากฏขึ้นแล้ว:

ตอนนี้เราจะต้องแก้ไขกฎ SSH และกำหนด:

  • ตระกูลที่อยู่: IPv4 และ IPv6 เพื่อให้ครอบคลุมที่อยู่ IPv6 ด้วย
  • ที่มา - โฮสต์เดี่ยวหรือนามแฝง: IP_UptimeRobot

และเราคลิกที่ "บันทึก" และใช้การเปลี่ยนแปลง ตอนนี้เฉพาะที่อยู่ IP ต้นทางที่กำหนดไว้ในนามแฝงซึ่งตรงกับที่อยู่ IP UptimeRobot เท่านั้นที่จะสามารถเข้าถึงเซิร์ฟเวอร์ SSH ได้เพื่อไม่ให้เซิร์ฟเวอร์ SSH เปิดเผยต่อทุกคน

ขอบคุณ UptimeRobot และการกำหนดค่าที่ดีใน pfSense เพื่อหลีกเลี่ยงผลบวกที่ผิดพลาดคุณจะสามารถตรวจสอบได้ว่าการเชื่อมต่ออินเทอร์เน็ตทำงานได้อย่างถูกต้องและคุณไม่มีเหตุการณ์ใด ๆ เกิดขึ้น แน่นอนสิ่งที่แนะนำที่สุดคือการใส่ไดนามิก DNS โดเมนใน UptimeRobot เองเพราะถ้าคุณมีไดนามิกสาธารณะ IP จะเปลี่ยนเป็นครั้งคราวและคุณอาจได้รับผลบวกที่ผิดพลาดจากการสูญเสียการเชื่อมต่อ