Hướng dẫn cấu hình cảnh báo qua Email trên firewall Fortigate với FortiOS 7.x

Đối với mỗi quản trị viên hệ thống mạng, việc nhận được cảnh báo từ thiết bị tường lửa kịp thời là điều vô cùng quan trọng giúp phát hiện và xử lý nhanh chóng các vấn đề về an ninh cũng như hiệu suất của hệ thống. Trong đó phương pháp phổ biến nhất là nhận cảnh báo về email. Trong bài viết này, CNTTShop sẽ hướng dẫn các bạn từng bước để cấu hình tính năng gửi cảnh báo Email trên các thiết bị FortiGate chạy FortiOS 7.x nhé.

Mục Lục

Kể từ phiên bản firmware FortiOS 7 trở lên, Fortinet đã thay đổi vị trí và trình tự cấu hình tính năng này nên các bạn sẽ không tìm thấy menu Email setting như ở các phiên bản trước. Để cấu hình tính năng này trên các phiên bản 6.x trở xuống, các bạn có thể tham khảo bài viết này của CNTTShop nhé.

Kiểm tra Email cá nhân

Để nhận được email thì Fortigate cần nhận diện được mail server và các thông tin về tài khoản mail của bạn. Do vậy mình sẽ hướng dẫn cách kiểm tra đối với Gmail của Google và Email có domain riêng nhé:

Đối với Gmail

Mail server: smtp.gmail.com
Port: 465
Username: @gmail.com
Password: mật khẩu gmail của bạn

Lưu ý rằng password này các bạn sẽ dùng để xác thực user với Fortigate. Do vậy nếu các bạn có bât tính năng bảo vệ 2 lớp trong tài khoản gmail của mình thì bắt buộc phải tạo App Password (Mật khẩu ứng dụng) thì mới sử dụng được nhé.

Các bạn chỉ cần vào Google setting tài khoản của mình, chọn menu Bảo mật, tìm từ khóa “Mật khẩu ứng dụng” và đăng nhập tài khoản Gmail của mình

app-pass-1

Tiếp theo các bạn đặt tên tạo một mật khẩu ứng dụng như dưới đây:

app-pass-2

Cuối cùng là copy mật khẩu này lại, nhưng lưu ý cần xóa khoảng trắng giữa các ký tự đi nhé. Chúng ta sẽ sử dụng mật khẩu này trong bước sau:

app-pass-3

Đối với Email khác

Đây thường là các email của doanh nghiệp, tổ chức có domain riêng. Các bạn chỉ cần truy cập vào phần mềm email mà mình sử dụng để check mail server cũng như port là gì. Ví dụ như đối với phần mềm Outlook dưới đây:

pass

Cấu hình trên firewall Fortigate

Cài đặt Email Service

Các bạn truy cập vào menu System => Settings sau đó kéo xuống dưới tìm mục Email Service và enable Use custom settings lên. Tại đây các bạn cần nhập các thông tin như sau:

SMTP Server: chính là mail server mà các bạn vừa check. Ở đây mình sẽ dùng mail server của Gmail.
Port: 465 (Gmail) hoặc giá trị khác theo email của bạn
Authentication: enable
Username: nhập tài khoản mail của bạn
Password: mật khẩu mail của bạn
Security mode: loại mã hóa, thông thường là với port 465 thì là SMTPS (SSL/TLS). Nếu mail server của bạn đang sử dụng loại mã hóa khác thì cần chọn tương ứng.

Sau đó nhấn “Apply” để lưu lại cài đặt

Thiết lập nhận diện sự kiện và cảnh báo

Ở bước này bạn chỉ đơn giản là chọn các loại sự kiện muốn nhận cảnh báo và action tự động mà thôi. Truy cập vào menu Security Fabric => Automation và chọn Create new ở mục Stitch

Tiếp theo đặt tên cho Stitch mà các bạn muốn định nghĩa cảnh báo, ví dụ ở đây mình muốn cảnh báo mỗi khi đăng nhập thất bại => Add Trigger để tao 1 hành động theo dõi. Vì chưa có hành động nào được định nghĩa là “Login fail” nên mình sẽ phải Create

Chọn mục FortiOS Event Log

Tại đây các bạn đặt tên cho Trigger và ấn dấu “+” để thêm event Admin login failed mà Fortigate đã định nghĩa sẵn.

Sau khi tạo xong thì các bạn apply Trigger này lại thôi

Tiếp theo các bạn phải add Action để chọn cảnh báo về mail, cũng tương tự chúng ta sẽ click vào Create

Chọn Email và điền các thông tin cơ bản như dưới đây:

Cuối cùng là Apply nó trở lại và ấn OK để lưu phần cấu hình này lại thôi!

Tương tự mình cũng sẽ tạo 1 Stitch khác để cảnh báo nếu firewall có sự thay đổi cấu hình nhé:

Và ngoài ra bạn cũng có thể tạo các loại cảnh báo khác như là hiệu năng, Virus logs, IPS logs, HA failover, License expired,… tất cả đều có trong mục Trigger nhé.

Kiểm tra

OK sau khi cấu hình xong những thông tin cần thiết, bây giờ mình sẽ test phần đăng nhập trước xem có nhận được email không nhé.

Các bạn có thể thấy ngay sau khi mình login trên tường lửa thất bại thì mình đã nhận được một Gmail thông báo sự kiện này.

Tiếp theo mình sẽ thử thay đổi một chút cấu hình của interface nhé:

Và như vậy là đã có ngay mail cảnh báo thay đổi cấu hình.

Với các bước thực hiện trên thì bạn đã hoàn tất việc cấu hình hệ thống cảnh báo Email trên firewall FortiGate chạy FortiOS 7.x rồi. Bạn sẽ hoàn toàn chủ động được trong việc nắm bắt những gì diễn ra trên thiết bị của mình và có phương án xử lý kịp thời. Nếu có bất cứ thắc mắc nào thì hãy để lại comment bên dưới để được CNTTShop giải đáp nhé. Chúc các bạn thành công!