pfSense gibi profesyonel ortamlara yönelik bir işletim sistemi ile internet bağlantımız olduğunda, sahip olduğumuz VPN sunucularında veya VPN tünellerinde konfigürasyon problemlerini ortadan kaldırmak için internet bağlantısının doğru çalışıp çalışmadığını dışarıdan doğrulamak kesinlikle gereklidir. yapılandırılmış. UptimeRobot sayesinde İnternet bağlantısının iyi çalışıp çalışmadığını uzaktan kontrol edebileceğiz, ancak işletim sisteminin yanlış saldırıları algılamaması için önce pfSense’de çok özel yapılandırmalar yapmamız gerekecek.
UptimeRobot nedir ve bağlantıyı nasıl izleyecek?
UptimeRobot, İnternet bağlantısını uzaktan izlememizi sağlayacak tamamen ücretsiz bir web hizmetidir.Bu hizmetin tüm dünyada TCP, UDP ve hatta ICMP üzerinden bilgisayarımıza bağlanmaya çalışacak ve İnternet bağlantısını kontrol etmek için onlarca sunucusu vardır. düzgün çalışıyor. Ücretsiz sürüm, bir ev ortamı ve küçük ve orta ölçekli işletmeler için yeterli olan 5 dakikalık aralıklarla 50’ye kadar ana bilgisayarı kontrol etmemize olanak tanır, ancak şirketinizde İnternet bağlantısı kesilirse daha hızlı bilmeniz gerekebilir. . Premium sürümü satın alırsanız, İnternet bağlantısının iyi çalışıp çalışmadığını kontrol etmek için bir dakikalık aralıklarla yapılandırabileceksiniz ve tümü aynı hesapta merkezileştirilmiş, izleyecek daha fazla ana makineniz olacak.
RedesZone’da bu hizmeti daha önce derinlemesine tartışmıştık, ancak, yüksek düzeyde yapılandırılabilir ve hizmet reddi saldırılarını ve kaba kuvvet saldırılarını algılayabilen pfSense gibi bir işletim sistemi kullanıyorsak, bu bağlantıları algılaması mümkündür. olası saldırılar ve doğrudan kaynak IP’den gelen iletişimi engeller. Aynı şey, pfSense’in kendisinde bir IDS/IPS yapılandırdıysak da olur, bunu bir tehdit olarak algılaması mümkündür. Kaynak IP adresi işletim sistemi tarafından engellenirse ve UptimeRobot’a “cevap vermezse”, İnternet bağlantısının gerçekten kapalı olduğunu algılayarak bize yanlış bir uyarı verir.
UptimeRobot hakkında gerçekten sevdiğimiz bir özellik, e-posta, Telegram, Twitter, Slack, Microsoft Teams ve daha fazlasıyla bildirim almamıza izin vermesi, böylece bir sorun olduğunda her zaman bir bildirim alacağız. Ayrıca, Android ve iOS için her zaman resmi UptimeRobot uygulamasını yükleyebiliriz:
UptimeRobot’un bizim için yapabileceği her şeyi öğrendikten sonra, yanlış saldırı uyarılarını önlemek için pfSense’i nasıl doğru şekilde yapılandıracağımızı görelim.
UptimeRobot’un engellenmemesi için pfSense’i yapılandırın
UptimeRobot, farklı ana bilgisayarları izlemek ve yanlış pozitiflerden kaçınmak için tüm dünyaya yayılmış birkaç sunucuya sahip olsa da, özellikle pfSense güvenlik duvarımız çok iyi yapılandırılmışsa, çoğu durumda bu yeterli değildir. UptimeRobot tarafından gerçekleştirilen tüm kontroller Dallas-Amerika Birleşik Devletleri’nden gerçekleştirilir, ancak bir düşüş tespit edildiğinde, dünyadaki diğer düğümler bağlantının gerçekten kesilip kesilmediğini kontrol eder. Ancak, RedesZone’da, pfSense kullanıyorsanız bunun yeterli olmadığını doğruladık, çünkü bize sürekli olarak İnternet bağlantısının doğru çalıştığını ve düştüğünü söylediğinden, kontrol her iki durum arasında gidip geliyor.
Bizim durumumuzda, İnternet bağlantısının kurulu olup olmadığının doğrulanması, etkinleştirmemiz gereken pfSense işletim sisteminin SSH sunucusunda bazı “kontroller” ile gerçekleştiriyoruz. Yalnızca SSH sunucusunu etkinleştirmemiz ve belirli bir dinleme TCP bağlantı noktası, örneğin SSH için 2222 bağlantı noktası yapılandırmamız gerekecek. İşletim sistemini her yerden yönetmek için bu bağlantı noktasına herhangi bir kaynaktan İnternet üzerinden erişilebilir olacaktır.
Yanlış pozitif sorunu düzeltmek için pfSense OS yapılandırma web arayüzüne girmemiz gerekiyor:
SSH bölümüne gidiyoruz ve etkin olduğundan ve 2222 numaralı bağlantı noktasında veya başka bir bağlantı noktasında dinlediğinden emin oluyoruz.
“Oturum açma koruması” bölümünde, UptimeRobot’un menşe ağlarının ve IP adreslerinin her birini eklemeliyiz. Bu “geçiş listesinde”, yapılandırdığımız “oturum açma koruması” kısıtlamalarını atlayarak HTTPS web sunucusuna veya yapılandırılmış SSH sunucusuna karşı “kontroller” gerçekleştirebilen tüm kaynak IP adreslerinin listesine sahip olacağız.
İçinde UptimeRobot resmi web sitesinde tüm kaynak IP adreslerinin listesine sahibiz kullandıklarına göre, sadece aralığa göre aralığı veya IP adresini IP adresine göre girmemiz gerekecek. İnternete erişmek için IPv6’nız olması durumunda, kullandıkları IPv6 adreslerine de sahibiz. Son olarak, onlar da bize bir tüm IP adreslerinin listesini içeren robots.txt dosyası güvenlik duvarlarının konfigürasyonunu kolaylaştırmak için.
pfSense’de SSH sunucusunu etkinleştirdiğimizde, herhangi bir kaynak IP adresi ile İnternet’ten erişmelerini istiyorsak, « içinde bir kural oluşturmamız gerekecek.Güvenlik Duvarı / Kurallar«, bu kurala şunu koymalıyız:
- Eylem: geçmek
- arayüz: WAN
- Adres Ailesi: IPv4 ve/veya IPv6.
- Protokol: TCP
- Kaynak: herhangi
- Hedef: WAN Adresi
- Hedef Port Aralığı: SSH sunucusunun dinlediği port, bizim durumumuzda 2222.
Ayrıca güvenlik duvarının aldığı tüm paketleri “Bu kural tarafından işlenen paketleri günlüğe kaydet” seçeneğini etkinleştirerek kaydetmenizi öneririz, son olarak bir açıklama vereceğiz ve kaydet’e tıklayacağız.
Bitirmeden önce önemli bir detay ise WAN bölümündeki pfSense kuralını doğru sırada yerleştirmenizdir çünkü bu özel kuralın üstünde genel bir red tüm kuralımız varsa trafiği bloke etmiş olursunuz ve dışarıdan çalışmaz. .
İşletim sistemi günlüklerini görüntülerseniz, UptimeRobot’un kullandığı kaynak IP adresini ve ayrıca hedef IP adresini ve bağlantı noktasını (bize) görebileceksiniz. Buradan, her 5 dakikada bir İnternet bağlantısının düzgün çalışıp çalışmadığını veya daha doğrusu pfSense SSH sunucusuna İnternet üzerinden erişilebilir olup olmadığını kontrol ettiğini doğrulayabileceksiniz.
pfSense’i nasıl doğru bir şekilde yapılandıracağımızı gördükten sonra, pfSense’imizi izlemek için UptimeRobot’ta kuralı nasıl oluşturacağımızı hatırlayalım.
UptimeRobot’ta izleme kuralı oluşturun
UptimeRobot’ta kimlik bilgilerimizle oturum açıyoruz, bu aracı hiç kullanmadıysanız, “Ücretsiz” sürümüne kaydolmanız gerekecek. Ana menüde sol kısımda oluşturulan tüm izleme kurallarını görebiliriz, « üzerine tıklayın.Yeni Monitör Ekle» yeni bir kural oluşturmak için.
Kullanmanız gereken monitör tipi «Port», açıklayıcı bir isim veriyoruz, yeni yapılandırdığımız SSH sunucusunun 2222 portunu ve izleme aralığını koymak için «Port: Custom Port» koyuyoruz. UptimeRobot’un ücretsiz sürümünde bize en az 5 dakikalık bir aralık bırakacak, mantıksal olarak, ne kadar çok kontrol yaparsa, İnternet bağlantısında bir sorun olduğunu bize bildirecektir, ancak bu sadece ücretli sürümde mevcuttur.
Gönderilecek uyarıları seçmeyi unutmamalısınız, önceden kaydolduğunuz sürece e-posta, Telegram veya başka bir hizmet yoluyla uyarı alabiliriz.
Bitirdikten sonra, “Monitor Oluştur” a tıklayın ve UptimeRobot’u çalıştıracağız. Şimdi paketi doğru alıp almadığınızı pfSense’te kontrol etmelisiniz, WAN bölümündeki güvenlik duvarı loglarını kontrol edin, SSH portu olan hedef port 2222’yi koyarak logları filtreleyebilirsiniz, ayrıca kaynak IP adresinin olup olmadığını kontrol edebilirsiniz. Daha önce belirttiğimiz IP adresleri aralığında.
SSH bağlantılarını yalnızca UptimeRobot ile sınırlayabilir miyim?
SSH sunucusunu sadece UptimeRobot adresleri için etkinleştirmek istiyorsanız, İnternet bağlantısının düzgün çalışıp çalışmadığını kontrol etmek için güvenlik duvarındaki kural üzerinden SSH bağlantılarını sınırlayabilirsiniz. « ye gidersekGüvenlik Duvarı / Takma Adlar» kuralın yapılandırılmasını büyük ölçüde kolaylaştırmak için tüm UptimeRobot kaynak IP adresleriyle bir takma ad oluşturabileceksiniz. URL’yi daha önce sağladığımız metin dosyasıyla koyabiliriz ve onu doğrudan URL Takma adlarına (IP) koyarız:
Bu sayede, yapılandırmayı büyük ölçüde kolaylaştırmak için tüm IPv4 ve IPv6 adreslerini tek tek gitmek zorunda kalmadan otomatik olarak dahil edebileceğiz. Gördüğünüz gibi, Takma Adlar / URL’ler bölümünde, UptimeRobot tarafından kullanılan bu genel IP adresleri zaten yüklenmiş olarak görünecektir:
Şimdi SSH kuralını düzenlememiz ve tanımlamamız gerekecek:
- Adres Ailesi: IPv6 adreslerini de kapsayacak şekilde IPv4 ve IPv6.
- Kaynak – Tek ana bilgisayar veya diğer ad: IP_UptimeRobot
Ve “Kaydet”e tıklayın ve değişiklikleri uygulayın. Şu anda sadece UptimeRobot’un IP adreslerine karşılık gelen takma adlarda tanımlanan kaynak IP adresleri, SSH sunucusunu herkese açık bırakmamak için SSH sunucusuna erişebilecekti.
UptimeRobot ve yanlış pozitifleri önlemek için pfSense’deki iyi bir yapılandırma sayesinde, İnternet bağlantısının doğru çalıştığını ve bir sorun yaşamadığınızı doğrulayabileceksiniz. Elbette dinamik DNS etki alanını UptimeRobot’un kendisine yerleştirmek en iyisidir, çünkü dinamik bir genel IP’niz varsa, zaman zaman değişir ve bağlantı kaybıyla ilgili yanlış pozitif sonuçlar alabilirsiniz.
PfSense İnternet bağlantısının iyi çalıştığını izleyin makalesi RedesZone’da yayınlandı.
Orijinal kaynağı kontrol edin
Bunu severim:
Yükleniyor…
