SMS gateway voor monitoring

Na veel zoeken voor een eigen project een half jaar geleden ben ik zelf ook op de SMSEagle uitgekomen, eigenlijk een prima apparaat functioneert perfect en de support is erg goed.

[ Voor 14% gewijzigd door Chrisz op 04-06-2018 13:15 ]

Je wil een doos die *zelf* ziet wanneer het mis gaat én kan alerten?
Ik heb thuis wel een doosje dat de omgeving kan monitoren (temperatuur, etc), weet merk en type ff niet maar dat kan ik opzoeken. Daar zit ook een SMS gateway bij die remote aan te sturen is bijvoorbeeld vanuit je monitoring pakket.

Het idee was daar Zabbix aan te hangen, is er (tot nu toe) niet van gekomen.

Neem aan dat je wel monitoring software op die locatie hebt draaien?

Je kan ook kijken naar een 4G router voor out-of-band netwerk management. De SMS gateway kan wel mooi melden dat de interface down is, maar als je er remote niet bij kan heb je er niet zo veel aan.

Ik ken grote Amerikaanse ISP’s die om die reden nog steeds een US Robotics modem meeleveren.

En van buitenaf de verbinding pingen?
Wellicht heb je iets aan https://www.pingdom.com/free (al weet ik niet of die ook een IP-adres kan pingen, lijkt meer op websites gericht te zijn).

Bl@ckbird schreef op maandag 4 juni 2018 @ 13:24:
Je kan ook kijken naar een 4G router voor out-of-band netwerk management. De SMS gateway kan wel mooi melden dat de interface down is, maar als je er remote niet bij kan heb je er niet zo veel aan.

Ik ken grote Amerikaanse ISP’s die om die reden nog steeds een US Robotics modem meeleveren.

Oneens.
Op het moment dat je gehele infra plat ligt door stroomstoring, netwerkstoring of niet redundant uitgevoerd netwerk. Moet je er in 9/10 gevallen toch heen of je leverancier bellen (stroom / infra / netwerk e.d.) die dan inmiddels al door heeft dat er issues zijn. Als je eigen hardware defect is kun je het remote toch niet oplossen en moet je er ook heen. Ik denk dat je een voldoende goede oplossing hebt als je wel je monitoring binnen krijgt wanneer je een storing hebt welke netwerk issues met zich meebrengt.

ThinkPadd schreef op maandag 4 juni 2018 @ 13:32:
En van buitenaf de verbinding pingen?
Wellicht heb je iets aan https://www.pingdom.com/free (al weet ik niet of die ook een IP-adres kan pingen, lijkt meer op websites gericht te zijn).

Dat is meer of je diensten up zijn niet je hardware.

Wellicht een PRTG probe on-premise met monitoring naar de hardware vanaf de buitenkant.
Probe down >> issues. (maar welke?)
Probe up >> monitoring werkt.

[ Voor 21% gewijzigd door True op 04-06-2018 13:35 ]

Kijk eens naar TiNC Works. zij leveren een kleine appliance die je aansluit op het remote netwerk. Daarmee kan je niet alleen zien of de lijn up is, maar ook krijg je nog wat informatie over de health van de lijn. Dat is even erg simplistisch verwoord, het doet veel meer.

https://www.tinc.works/ en https://www.tinc.works/technologie.html#Monitoring

Het doosje geeft zijn statistieken door aan een webservice die op AWS draait, en daar wordt het verwerkt en gepresenteerd.

Bij een stroomstoring gaat een SMS gateway ook niets sturen als het niet op een UPS zit. Ik ging er van uit dat TS al monitoring oplossing draait. Toegevoegde waarde van een SMS gateway zie ik niet.

Als je zelf nog wat hardware erbij wilt/kunt knutselen dan kun je eventueel kijken naar deze:

http://www.gateway-teleco...?cPath=24&products_id=209

Ik heb deze zelf een aantal jaar op een paar locaties gebruikt icm een alarmsysteem, en dat werkte vrij prettig.

Nadeel is wel dat het niet out-of-the-box geschikt is voor het monitoren van internet verbinding, maar als je er een RPi zou naastzetten die een pin high-low zet en zodoende het toestel triggert zou je er wel moeten geraken.

Als budget een constraint is kan de RPI + een China receiver een oplossing bieden

Ik maak momenteel gebruik van Zabbix i.c.m. e-mail en/of signal,
als failover m.b.t. de verbinding heb ik een dsl en 1 glasvezel verbinding ter beschikking.

De dsl verbinding wil ik op termijn vervangen door 4g.

Overigens zijn alle critices apparaten aangesloten op een ups

Ik zou ook van buitenaf iets gebruiken. Maar als dat niet kan, dan moet je iets on-premise doen. Wel iets duurder.

Als je fatsoenlijk mobiele dekking hebt zou ik een simpele Mikrotik nemen. Mikrotik HEX is al voldoende, 3G dongletje eraan met een simmetje erin en je kan SMSsen. En kan ook mailen, aangezien je internet hebt via zo'n dongle (mits je een bundeltje hebt).

De Mikrotik kun je eventueel nog voeden via een https://mikrotik.com/product/mups
Daar sluit je een 12V accutje op en je mikrotik draait nog een uur door bij stroomuitval.

Naast een storing van je internetverbinding kun je met een Mikrotik ook een APC UPS uitlezen en SMSjes sturen bij stroomstoring. Dan heb je namelijk nog internet enz, dus merk je een storing pas op als de accu's leeg zijn. Dat ben je dan voor.

Mikrotik HEX: 50 eur (incl btw)
Mikrotik M-UPS: 25 eur (incl btw)
Accutje 12V 7Ah: 25 eur (incl btw)
3G dongletje: 40 eur ofzo (incl btw)

Met 100 eur ben je klaar als je geen aparte ups erbij neemt, met <200 eur draait dat ding ook nog eens volledig standalone

CasGas schreef op maandag 4 juni 2018 @ 18:40:
Vanaf buiten monitoren kan weer niet, omdat dat wegens veiligheidsredenen weer niet mag (ook al kom ik vanaf een 1 plek die in een whitelist staat). Dat soort meuk kan ik dus niet open zetten voor de buitenkant, het is een security technisch moeilijk iets. Enige optie om te melden of er een verbinding down is, is om het via een andere weg dan internet te doen, dus (maar dat is mij eigen idee) kom ik alleen maar bij SMS uit.

Maar zit daar dan niet de oplossing van je probleem?

Als er een firewall staat waarop je kunt whitelisten, kun je toch monitoring draaien vanaf je eigen infra die meteen die lijn in de gaten houd?

Ik neem aan dat je een VPN op zet tussen die 2 locaties, liefst zelfs permanent. Gaat de VPN down, is mogelijk de locatie down. Over die VPN kun je dan meteen monitoring verkeer schieten.

CasGas schreef op dinsdag 5 juni 2018 @ 08:42:
[...]


Dat zou normaal ook de oplossing zijn, maar op deze locatie mag dat niet vanwege de veiligheid.

Oké, er is dus iemand (IT Security Manager) die heeft bepaald dat je niet van buitenaf mag monitoren. Dan is het toch gewoon een risk assessment? Jij geeft aan wat je nodig hebt om te kunnen monitoren, en wat jij daarvoor moet doen (open zetten).

Als de eigenaar (IT Manager/ Business Owner) dan het risico accepteert, is er niets aan de hand. Accepteren ze het risico niet, dan kan je met additionele maatregelen het risico verkleinen totdat ze het wel accepteren. Blijft acceptatie uit, dan tekenen ze ervoor dat jij niet kan monitoren.

CasGas schreef op dinsdag 5 juni 2018 @ 08:42:
[...]
Dat zou normaal ook de oplossing zijn, maar op deze locatie mag dat niet vanwege de veiligheid.

Je geeft zelf aan dat je wél toegang hebt tot die locatie. Hoe rijm je dat met elkaar?

Sowieso ligt er een lijn naar buiten en die lijn moet permanent operationeel zijn, er ís dus al een verbinding die mogelijk gevaar oplevert. Een VPN tunnel over die lijn levert als je het goed in richt, geen wezenlijk groter gevaar op dan het überhaupt aanwezig zijn van die lijn...

unezra schreef op dinsdag 5 juni 2018 @ 10:36:
[...]

...
Een VPN tunnel over die lijn levert als je het goed in richt, geen wezenlijk groter gevaar op dan het überhaupt aanwezig zijn van die lijn...

What is the problem you're trying to solve.. Als het een uitspraak is vanuit het securitybeleid, dan moet je eerst weten wat je probeert op te lossen (wat is het beschreven risico), voordat je met oplossingen (zoals een VPN) gaat gooien.

Ik begrijp je gedachten daarin wel, maar misschien is een Firewall rule op originating IP adres en specifiek protocol/poortnummer al voldoende

CasGas schreef op maandag 4 juni 2018 @ 18:40:
Vanaf buiten monitoren kan weer niet, omdat dat wegens veiligheidsredenen weer niet mag (ook al kom ik vanaf een 1 plek die in een whitelist staat). Dat soort meuk kan ik dus niet open zetten voor de buitenkant, het is een security technisch moeilijk iets. Enige optie om te melden of er een verbinding down is, is om het via een andere weg dan internet te doen, dus (maar dat is mij eigen idee) kom ik alleen maar bij SMS uit.

Vanuit security optiek mag je dus niet van buiten monitoren.
Logisch gezien mag je wel de internet verbinding monitoren (icmp op buitenkant van de router), beperkt tot een enkel IP adres is geen enkel beveiligingsrisico.

Daadwerkelijke monitoring van de omgeving doe je van binnenuit, maar de lijn naar buiten van buitenaf.

Hierover gaat een security officer echt niet steigeren als je het goed uitlegt.

Desgewenst kan je aan de internet kant een receive only monitoring neerzetten, dan doe je een ping van binnenuit naar je 'monitor' (om van binnenuit je verbinding te monitoren), het lijkt me dat er wel tools bestaan die een alarm kunnen genereren wanneer er geen regelmatig verkeer plaatsvind vanaf adres y...

Voor dat soort situaties gebruiken wij zelf RUT950 routertjes met een extra accu
https://teltonika.lt/product/rut950/

En als je aan de sec officer vraagt of je door een VPN mag monitoren? dat gedraagt zich als redelijk lokaal. (tenzij hij/zij het hele internet als lokaal ziet )

edit: ik zie het nu pas; je mag vanwege de veiligheid geen VPN... srry

[ Voor 18% gewijzigd door Kabouterplop01 op 10-06-2018 14:38 ]

Kan je niet monitoren op basis van ping ISP gateway/klant router? Dan weet je gelijk of de verbinding actief is.

Wij gebruiken al jaren een SMSEagle modem icm met PRTG voor monitoring van bepaalde kritieke infra. Is er iets down? Monitoring alert en stuurt een SMS via het modem. Je hebt Nagios draaien, dus daar kan het ook gewoon mee.

Simpel, doeltreffend en goedkoop. Lijkt me een betere methode dan allerlei hobbyoplossingen en je hoeft je ook niet druk te maken over het beleid.

The Realone schreef op zondag 10 juni 2018 @ 00:00:
Wij gebruiken al jaren een SMSEagle modem icm met PRTG voor monitoring van bepaalde kritieke infra. Is er iets down? Monitoring alert en stuurt een SMS via het modem. Je hebt Nagios draaien, dus daar kan het ook gewoon mee.

Simpel, doeltreffend en goedkoop. Lijkt me een betere methode dan allerlei hobbyoplossingen en je hoeft je ook niet druk te maken over het beleid.

Sure, met Zabbix kan het ook. Die hang je ook aan een willekeurige SMS gateway en gaan.
Dat is het probleem niet.

Ik denk dat TS alleen uberhaupt de verkeerde oplossing zoekt. Via SMS kun je maar héél beperkt monitoren en er ís een lijn naar buiten toe die ook nog eens altijd moet werken. VPN d'r overheen en gaan. Gaat de VPN plat, weet je ook dat je moet rijden.

Daarbij is de vraag of SMS wél als veilig word gezien. Ook dat kan onderschept worden. Een VPN zou nog wel eens veiliger kunnen zijn dan SMS...

Maar blijft: Die lijn naar buiten is er al en moet actief zijn. Die word niet opeens onveiliger als je d'r een VPN doorheen zet waar je monitoring data overheen stuurt. Een actieve lijn is altijd te hacken, als je maar hard genoeg je best doet.

[ Voor 10% gewijzigd door unezra op 10-06-2018 09:14 ]

Het SMS systeem hoeft niet te monitoren, enkel te alarmeren. Als SwitchX throughput issues heeft (om maar wat te noemen) merkt Nagios dit op en laat dit via SMS weten. Dat is toch verder niet anders dan een mail of push notification?

Ik ben het met je eens dat dit beperkt blijft tot alarmeren, maar dat was ook de wens van de TS. Reactief, niet preventief.

Een VPN is een prima oplossing, maar als die nu niet gewenst is, om wat voor reden dan ook, je het eisenpakket van de klant is niet meer dan "wij willen weten als er wat plat is gegaan" dan zou ik daar niet te moeilijk over doen.

The Realone schreef op zondag 10 juni 2018 @ 10:06:
Het SMS systeem hoeft niet te monitoren, enkel te alarmeren. Als SwitchX throughput issues heeft (om maar wat te noemen) merkt Nagios dit op en laat dit via SMS weten. Dat is toch verder niet anders dan een mail of push notification?

De informatie die je in een SMS kunt zetten is extreem beperkt en voor je het weet krijg je een shitload aan SMSjes als d'r iets staat te klapperen. Je kunt ook niet even inzoomen op het probleem of het makkelijk correleren aan andere zaken.

In een email kun je al meer kwijt, maar email is ook niet heel handig voor alarmering omdat er te veel schakels tussen zitten en email heel goed niet aan kan komen.

Ik snap SMS wel, maar het toepassingsgebied is beperkt dat je het vind ik eigenlijk nooit als enige kunt gebruiken.

Ik ben het met je eens dat dit beperkt blijft tot alarmeren, maar dat was ook de wens van de TS. Reactief, niet preventief.

Enkel reactief is onhandig. TS geeft aan dat áls er mensen terplekke moeten zijn, de internet verbinding 100% moet werken. Het is niet helemaal duidelijk of er ook andere apparatuur staat die moet werken.

Up/down is altijd reactief, maar ik zou als ik TS was zeker verder kijken dan alleen up/down.

Een VPN is een prima oplossing, maar als die nu niet gewenst is, om wat voor reden dan ook, je het eisenpakket van de klant is niet meer dan "wij willen weten als er wat plat is gegaan" dan zou ik daar niet te moeilijk over doen.

Ik vind dat het je rol als ICTer is om de klant goed te informeren en daarin eigenwijs te zijn. Je bent niet enkel een uitvoerend poppeke. Nja, in sommige situaties, bij sommige bedrijven, in sommige functies misschien wel.

Ik wil niet in eens welles/nietes discussie vervallen, maar; De TS vraagt letterlijk om een notificatie als de verbinding wegvalt. Dat is info die je prima in een SMS kwijt kan. Daarnaast kan ik me eigenlijk geen notificatie voorstellen die niet in een SMS/mail kan zolang je de sensoren maar goed en duidelijk inricht. Het is ten slotte een notificatie, je zult toch op onderzoek uit moeten.

Op GoT hebben mensen vaak de neiging om niet de vraag te beantwoorden, maar er liever zo veel mogelijk randzaken bij halen en daar een sausje van eigen mening/inzicht op te leggen. Als de TS wil weten of er wellicht een betere oplossing is had hij dat gewoon kunnen vragen.

The Realone schreef op zondag 10 juni 2018 @ 12:17:
Ik wil niet in eens welles/nietes discussie vervallen, maar; De TS vraagt letterlijk om een notificatie als de verbinding wegvalt. Dat is info die je prima in een SMS kwijt kan. Daarnaast kan ik me eigenlijk geen notificatie voorstellen die niet in een SMS/mail kan zolang je de sensoren maar goed en duidelijk inricht. Het is ten slotte een notificatie, je zult toch op onderzoek uit moeten.

Precies. Met goede monitoring zie je veel meer, kun je inzoomen, kun je mogelijk proactief al zaken fixen, etc. Daarbij, zoals aangegeven, ligt er al een actieve internet verbinding. VPN d'r over en klaar ben je. SMS is nuttig in situaties waarin alles is uitgevallen en je dán nog een alert wil kunnen versturen dat de zooi plat ligt. Als last-resort dus. Niet als enige mogelijkheid.

Op GoT hebben mensen vaak de neiging om niet de vraag te beantwoorden, maar er liever zo veel mogelijk randzaken bij halen en daar een sausje van eigen mening/inzicht op te leggen. Als de TS wil weten of er wellicht een betere oplossing is had hij dat gewoon kunnen vragen.

Als ik deze houding naar mijn gebruikers zou hebben, of mijn leveranciers naar mij, doe ik in het eerste geval mijn werk niet goed en in het tweede geval mijn leverancier.

De kunst is JUIST door te vragen naar het achterliggende probleem en meteen oplossingen voor de mogelijk achterliggende problemen te geven, plus na te denken over een betere oplossing voor gegeven probleem van TS.

unezra schreef op zondag 10 juni 2018 @ 12:39:
[...]


Precies. Met goede monitoring zie je veel meer, kun je inzoomen, kun je mogelijk proactief al zaken fixen, etc. Daarbij, zoals aangegeven, ligt er al een actieve internet verbinding. VPN d'r over en klaar ben je.

Blijkbaar heb je nog steeds niet door dat niemand dat niet betwist maar de TS stelde een vraag en heeft daarbij aangegeven wat wel en niet mogelijk is. Waarom wil je zo graag jouw mening verkondigen en doen alsof je alle beter weet? Als TS hulp nodig heeft met zijn manier van werken en besluitvorming zal ie ongetwijfeld een keer bij "deskundigen" als jij aankloppen.

SMS is nuttig in situaties waarin alles is uitgevallen en je dán nog een alert wil kunnen versturen dat de zooi plat ligt. Als last-resort dus. Niet als enige mogelijkheid.je.

Tuurlijk, want een SMS alert op een sensor die aangeeft dat een disk stilaan volloopt is niet mogelijk... Met een rate limit van 1 uur...

Daarnaast, nogmaals, TS vraagt om een alert als er een lijn uit ligt, niet voor alle duizenden andere zaken die je kunt monitoren.

Als ik deze houding naar mijn gebruikers zou hebben, of mijn leveranciers naar mij, doe ik in het eerste geval mijn werk niet goed en in het tweede geval mijn leverancier.

De kunst is JUIST door te vragen naar het achterliggende probleem en meteen oplossingen voor de mogelijk achterliggende problemen te geven, plus na te denken over een betere oplossing voor gegeven probleem van TS.

Ah gelukkig, daar is ie toch. De ware bedoeling van je gedram. Het laten zien hoe goed je wel niet bent in je werk waar alles 100% volgens de schoolboeken, uiteraard is dat ook een exacte reflectie van de werkelijkheid bij elk bedrijf ter wereld. Ik trek me terug uit deze kansloze discussie in de wetenschap dat ik op z'n minst een poging heb gedaan de vraag te beantwoorden.

The Realone schreef op zondag 10 juni 2018 @ 14:34:
[...]


Blijkbaar heb je nog steeds niet door dat niemand dat niet betwist maar de TS stelde een vraag en heeft daarbij aangegeven wat wel en niet mogelijk is. Waarom wil je zo graag jouw mening verkondigen en doen alsof je alle beter weet? Als TS hulp nodig heeft met zijn manier van werken en besluitvorming zal ie ongetwijfeld een keer bij "deskundigen" als jij aankloppen.


[...]


Tuurlijk, want een SMS alert op een sensor die aangeeft dat een disk stilaan volloopt is niet mogelijk... Met een rate limit van 1 uur...

Daarnaast, nogmaals, TS vraagt om een alert als er een lijn uit ligt, niet voor alle duizenden andere zaken die je kunt monitoren.


[...]


Ah gelukkig, daar is ie toch. De ware bedoeling van je gedram. Het laten zien hoe goed je wel niet bent in je werk waar alles 100% volgens de schoolboeken, uiteraard is dat ook een exacte reflectie van de werkelijkheid bij elk bedrijf ter wereld. Ik trek me terug uit deze kansloze discussie in de wetenschap dat ik op z'n minst een poging heb gedaan de vraag te beantwoorden.

Er is maar één reden waarom ik zeg wat ik zeg: Een betere oplossing voor TS bedenken dan 'ie zelf aan heeft gedacht. (En eventuele bezwaren van de security officers wegnemen.)

Ik doe precies datgene wat er van mij op mijn werk van me word verwacht én wat ik van mijn leveranciers verwacht.

Heeft TS meer aan dan aan reacties als deze.

bigfoot1942 schreef op vrijdag 8 juni 2018 @ 23:54:
[...]

Vanuit security optiek mag je dus niet van buiten monitoren.
Logisch gezien mag je wel de internet verbinding monitoren (icmp op buitenkant van de router), beperkt tot een enkel IP adres is geen enkel beveiligingsrisico.

Daadwerkelijke monitoring van de omgeving doe je van binnenuit, maar de lijn naar buiten van buitenaf.

Hierover gaat een security officer echt niet steigeren als je het goed uitlegt.

Desgewenst kan je aan de internet kant een receive only monitoring neerzetten, dan doe je een ping van binnenuit naar je 'monitor' (om van binnenuit je verbinding te monitoren), het lijkt me dat er wel tools bestaan die een alarm kunnen genereren wanneer er geen regelmatig verkeer plaatsvind vanaf adres y...

Dit zou ook mijn insteek zijn.

Ik had ooit voor zoiets een managed lijn afgenomen bij een club. Die hielden de lijn zelf in de gaten en wij kregen de alerts ter info. Acties zetten ze zelf uit.
Was 2x zo duur als de lijn die er lag maar we hadden er totaal geen omkijken naar.

Als je wel onbeperkt naar "het internet" kan verbinden is een optie natuurlijk ook van binnenuit elke 10-15 seconden een UDP-pakket extern naar een (aantal) gelogde poort(en) te sturen. Misschien security-wise niet helemaal netjes, maar je kan daarmee bijvoorbeeld ook een uptime-metriek van je beide verbindingen opleveren aan je klant.

Deze methode heb ik eens gebruikt om erachter te komen wat het nieuwe dynamische IP-adres was van een internetverbinding na een providerswitch

@Equator die dienst ziet er goed uit, maar slaat zo te zien data op in een clouddienst dus dat ga ik ook niet voor elkaar krijgen.


We hebben bij het ontwerpen van de dienst er voor gekozen om het AWS te draaien. Enerzijds omdat ze altijd bij standaard een uptime van 99,999 geven. En in ons geval nog meer om dat ons platform voor 98% uit serverless componenten bestaan.
Mag ik zo vrij zijn om te vragen of ik een keer mag bellen met je over de werken van TiNC Works.


Marco

The Realone schreef op zondag 10 juni 2018 @ 00:00:
Wij gebruiken al jaren een SMSEagle modem icm met PRTG voor monitoring van bepaalde kritieke infra. Is er iets down? Monitoring alert en stuurt een SMS via het modem. Je hebt Nagios draaien, dus daar kan het ook gewoon mee.

Simpel, doeltreffend en goedkoop. Lijkt me een betere methode dan allerlei hobbyoplossingen en je hoeft je ook niet druk te maken over het beleid.

WIj hebben 'm ook getest op aanraden van een leverancier, maar ik heb 'm na 2 weken terug gestuurd. De webinterface is kansloos traag, wat een direct invloed heeft op het versturen van de SMSjes. Bij het uitsturen van 20+ stuks in een minuut loopt de latency zo erg op dat PRTG timeouts krijgt op de API-request

Wel leuk, met PRTG de webinterface monitoren, en standaard een latency van boven de 2 seconden op de inlogpagina. Thanks, but no thanks. Gelukkig is alles nu zo dubbel uitgevoerd dat als er iets in de keten naar MessageBird uitvalt, er alsnog een ander pad beschikbaar is .