Hướng dẫn cấu hình Email Alerts trên firewall Fortigate

Để quản trị Firewall một cách hiệu quả, người quản trị cần phải nắm được mọi thông tin về trạng thái của thiết bị một cách chủ động và nhanh chóng nhằm đưa ra những hành động kịp thời. Email Alerts là một tính năng trên firewall Fortigate đáp ứng yêu cầu này. Đây là tính năng được sử dụng để thông báo qua email cho Admin về những sự kiện diễn ra trên Firewall, bao gồm login, logout, thay đổi về cấu hình, lỗi xác thưc, thay dổi trạng thái HA hay những hành động truy cập trạng web trái phép hoặc phát hiện virus,….cho phép admin có những hành động nhanh chóng đối với những vấn đề này

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình tính năng Email Alerts trên Firewall Fortigate.

Kiểm tra trước khi cấu hình 

Trước hết, để cấu hình tính năng này, các bạn cần đảm bảo kết nối internet diễn ra bình thường và kiểm tra cài đăt tài khoản email của mình. Các bạn cần nắm được địa chỉ của Mail Server, tài khoản Email và số port. Những thông tin này nếu các bạn không biết thì có thể liên hệ nhà cung cấp dịch vụ mail để hỏi nhé. Các bạn cũng có thể tự kiểm tra trên các ứng dụng mail thông thường.

Ở đây mình sẽ kiểm tra thông tin email của mình trên phần mềm Outlook, đối với Gmail của Google thì các bạn cũng làm tương tự thôi.

Các bạn vào mục File

Các bạn chọn tiếp vào mục Account Settings ⇒ Server Settings

Trong giao diện cài đặt, các bạn có thể thấy 2 mục là: incoming mail (email được gửi đến) và outgoing mail (email được gửi đi). Chúng ta cần quan tâm đến URL của Mail server và Port bởi vì đây sẽ là thông tin để gửi email cảnh báo trên Fortigate.

Cấu hình trên Fortigate

Thiết lập Email gửi cảnh báo

Sau khi kiểm tra xong thì các bạn bắt đầu truy cập vào Fortigate để cấu hình. Đầu tiên cần thiết lập để email cảnh báo được gửi đi.

Các bạn vào mục System ⇒ Advanced , enable phần Use custom email server lên. Theo mặc định thì Fortigate có một SMTP server là notifications.fortinet.com, được dùng cho các email được gửi bởi Fortigate. Chúng ta cần sử dụng URL của mail server vừa kiểm tra ở bước trên để đảm bảo quá trình gửi mail được thành công đến địa chỉ email của mình.

• SMTP Server : các bạn nhập URL mail server của mình vào.
• Port: tùy vào giao thức đang sử dụng cho mail server mà các bạn nhập số port tương ứng. Ở đây mail server đang sử dụng SMTPS với lớp mã hóa SSL/TLS để gửi thư nên mình sẽ nhập số port là 465. Đối với phương pháp mã hóa STARTTLS thì chúng ta phải nhập port là 587 hoặc SMTP là port 25.
• Default reply to: đây là mục tùy chọn, các bạn có thể không cần nhập ở mục này do đây chỉ là phần chú thích cần phản hồi tới email nào, thực tế chúng ta chỉ cần xem log mà không cần phản hồi lại.

Tiếp theo, các bạn cần xác thực tài khoản email gửi thư với mail server. 

• Username: tài khoản email gửi thư
• Password: mật khẩu của email
• Security mode: Các bạn sử dụng SMTP Server với port là bao nhiêu thì chọn loại bảo mật tương ứng nhé. Ở đây mình chọn SMTPS theo số port là 465 ở trên.

Sau khi thiết lập xong thì các bạn ấn Apply để lưu.

Thiết lập Email nhận cảnh báo

Truy nhập vào phần Log&Report ⇒ Log settings

Tại mục Event logging, các bạn chọn các loại sự kiện mà mình muốn nhận cảnh báo trong mục "Customize", ví dụ như hoạt động của hệ thống, hoạt động của User, VPN hay là sự kiện về HA, hoặc các bạn cũng có thể chọn “all” để lựa chọn tất cả.

Cuối cùng chọn Apply để lưu lại nhé.

Sau khi thiết lập các sự kiện cảnh báo, bây giờ các bạn cần chỉ định email để nhận những cảnh báo ấy.

Cũng trong phần Log&Report, các bạn vào mục Email Alert Setting và enable nó lên.

• From và to: Các bạn đều để địa chỉ email của mình. Ngoài ra cũng có thể ấn dấu “+” để thêm 1 địa chỉ email nhận cảnh báo khác.

Trong mục “Alert parameter” chúng ta có 2 option: Nếu các bạn chọn event thì chúng ta sẽ nhận được tất cả các cảnh báo theo sự kiện mà chúng ta chọn trong phần Log settings. Còn nếu các bạn chọn Severity thì Fortigate sẽ gửi cảnh báo theo các mức level tối thiểu. Để xem chi tiết về các mức level này, các bạn có thể tham khảo theo link sau: https://docs.fortinet.com/document/fortigate/7.6.0/fortios-log-message-reference/446022/

Ở đây mình sẽ chọn gửi cảnh báo theo event.

Tiếp theo, chúng ta có mục Interval, ví dụ ở đây mình để là 1 phút thì sau mỗi 1 phút sẽ gửi mail cảnh báo 1 lần.

Tiếp theo bên dưới là các mục cảnh báo cụ thể hơn về những sự kiện mà chúng ta vừa thiết lập trong phần Log Settings. Gồm có các mục an ninh như phát hiện xâm nhập để các bạn nhận biết được nếu có người lạ truy nhập vào firewall; phát hiện virus, lọc trang web để phát hiện truy cập vào những trang web không cho phép cũng như là chặn lưu lượng theo policy.

Chúng ta còn có thông báo về tính quản trị như là phát hiện dung lượng bộ nhớ sắp hết: ví dụ như mình đặt là 80% thì nếu ổ đĩa đạt đến ngưỡng này thì mình sẽ biết được để có những biện pháp cải thiện; login/log out để thông báo cụ thể về trạng thái truy nhập vào firewall, thay đổi cấu hình: giúp chúng ta kiểm soát được cụ thể lịch sử cấu hình trên firewall, cũng như là các phát hiện lỗi về VPN. Các bạn muốn nhận cảnh báo nào thì bật nó lên nhé.

Sau khi lựa chọn xong thì các bạn nhấn Apply để lưu.

Như trên đây thì mình đã bật cảnh báo về trạng thái login/log out. Bây giờ mình sẽ thử log out ra và đăng nhập lại để xem email gửi về thế nào nhé!

Ở đây mình đã thấy có thông báo email, bên trong có phần tiêu đề và chứa một số thông tin như thời gian, tên thiết bị, loại sự kiện của system, level cảnh báo là information, mô tả log là “Admin login successful với user là admin và thiết bị đăng nhập của mình có địa chỉ là như ở đây với phương thức HTTPS.

Debug

Nếu sau một lúc mà các bạn vẫn chưa nhận được email thì chúng ta có thể debug trong giao diện dòng lệnh (CLI) để xem đang có sự cố gì. Các bạn nhập lần lượt những lệnh sau để enable debug:

Sau khi enable debug, các bạn nhập câu lệnh sau:

câu lệnh này sẽ gửi một email test để truy vấn các thông tin. Trên đây các bạn có thể thấy from: mail server, địa chỉ email gửi và nhận, SSL đã kết nối và trạng thái gửi mail thành công. 

Có thể thấy, quá trình gửi mail của mình không có lỗi gì. Nếu các bạn đang gặp lỗi chưa thể gửi mail thành công được thì hãy kiểm tra lại những thông tin đã cấu hình ở phần cài đặt vừa rồi nhé.

Như vậy là mình đã hướng dẫn các bạn cấu hình chức năng Email Alert để gửi thông báo về các sự kiện trên Firewall Fortigate. Nếu các bạn có thắc mắc thì hãy để lại comment bên dưới để mọi người cùng trao đổi nhé.