發表文章

Fortigate 管理者&VPN 登入啟用 雙因素(二階段)認證

圖片
既然完成了 Fortigate 設定 SMTP 為 Gamil 的設定後,郵件測試也都可收到測試郵件,接下來要啟用雙因素認證(也有人稱二階段認證),先來設定管理者登入的雙因素認證與 Fortitoken 的綁定。 Fortigate WebUI > 系統管理 > 系統管理員 > 欲開啟 Fortitoken 的管理者帳號 > 編輯 勾選 ”雙因素認證” Token 選擇其中一個 未使用的即可 送出啟用碼:啟用,並選擇 ”電子郵件”,確認都無誤後 > “確定” 之後,回到 Gamil 中,便會看到 Fortigate 寄過來的郵件,會有附加一個圖檔,此圖檔為 QR Code 的圖片檔,可先打開此圖檔,等等用 app 內的相機掃描讀取即可。 於手機中開啟 FortiToken app,畫面中的右上角的 “+” 來新增一個 FortiToken 下方有個 “Scan Barcode” 按鈕,便會開啟相機,便可掃描該 QR Code App 會自動增加這個 token,點選 “>”,可幫該 token 重新命名,可以改成自己看得懂名稱,方便日後識別,像是我改成 “FG50E-D1B7” 這時,回到 Fortigate WebUI > 用戶與設備 > FortiToken,可看到 D1B7 結尾的 token 狀態成為 “已分配”,同時分配給 wangjia 這個帳號! 之後,重新開一個 Fortigate Web 登入畫面,再敲入帳號密碼之後,就會出現 Token 欄位~ 這時,回到手機上 FortiToken app 上,就會顯示 token 六位數字代碼,正確的輸入到 Token 欄位就能完成登入了! 恭喜!這時就完成了 雙因素認證了!只是每次登入都要再查看手機,然後點開 FortiToken app,再回到電腦前面輸入 token 代碼,這樣的過程是否可再簡化呢? 有的!!繼續看下去吧~~ 接下來,再從 Fortigate 上調整新增幾個參數,等等雙因素認證使用起來會更為便利!打開 Fortigate 的 CLI 方式,輸入以下的指令(只能從 CLI 啟用) config system ftm-push set server-ip < 你的WAN-IP > s

Fortigate 設定 SMTP 為 Gmail

圖片
這幾天突然想到,FG50E 內建有兩個 Fortitoken,一個拿來做管理者登入的 二階段認證 。另一個應該可以拿去做 SSLVPN 登入的 二階段認證 。這點子真不錯,但要實作 FortiKoten 的話,必須要先設定 SMTP server,想想那就直接用 Google Gmail 好了,很高興地直接設定上去~~ 然後使用以下指令,發現我根本都沒有收到任何信件阿…… 🤣 🤣 🤣 diagnose log alertmail test 突然想到,現在 Google 都強制要做二階段認證了,是不是這個部分導致無法直接把帳號密碼敲到 FortiGate 設定上?果然, Fortinet 的 KB 就有這樣的說明了。底下就依照 Fortinet 的 KB 繼續做下去吧~ 首先要先到 Google 應用程式密碼 網站(要確認自己登入的 Google 帳號,且是已啟動二階段認證的帳號) 應用程式名稱:打個自己看得懂的,然後無誤之後,點選”建立” 這時,產生的密碼請記好!倘若忘記了/不見了,就只能重新產生另組的密碼! 將上一步驟得到的 Google應用程式密碼,貼上在密碼欄位(預設只有 16 個字元,直接複製的記得刪除多餘的空白字元!) 安全模式:選擇 “ STARTTLS ”,確認都無誤後,點選”套用” 再使用 diagnose log alertmail test 指令測試一下,這時就會看到確實有收到 測試的告警信件! 這樣就完成了 FortiGate 上 SMTP 的設定了!後續需要在 管理介面或 VPN登入時,就可直接啟用 二階段認證 了!

Fortigate Login登入 LINE 訊息通知

圖片
在設定 Fortigate 50E 的時候,曾想過,之前都會遇到一些無聊的攻擊行為,像是嘗試帳號,或是試密碼等這一些行為,有沒有可能 FG50E 當有些狀況的時候,發出告警,提醒身為管理者的我(?),再多多關注目前設備的狀況~ 像是下圖這樣,一有登入失敗的狀況就可讓 LINE 收到些通知 倘若要做到上述的 Line 訊息通知的情境,需要先準備兩件事情 1. 首先要有 IFTTT 的帳號,目前 IFTTT 免費的帳號就能做到這些事情! 2. 就是要有 LINE 帳號,稍後會在 IFTTT 上與 LINE 連動,才能夠過 IFTTT 將訊息透過 LINE 平台讓我們可收到 LINE 訊息 接下來先說明整個流程及預計的行為,首先是 Fortigate 本身有 automation 功能(FortiOS 6.0 以後才有,正好手邊的 FG50E 是 6.2.x,是有支援的),然後透過 automation,讓 Fortigate 在一些形況下觸發一些行為,像是 事件觸發後發出 E-mail 這類的,而我是會讓 FG50E 事件觸發後,將一些訊息丟至 IFTTT 上的 webhooks,進而再透過 IFTTT 上與 LINE 的連動,讓我可以收到事件通知的 LINE 訊息。了解流程後,就立刻開始吧~~ 首先先前往 IFTTT 網站 ,IFTTT 雖然都是英文的,但不會太複雜,申請帳號的部分,很直覺就輸入 Email 電子郵件信箱及密碼後,之後再去收信來啟動帳號就完成,登入帳號之後,第一個畫面就下圖這樣子沒有任何專案!點選右上角的 ”Create” 來新增一個應用(Applet) 接下來可以看到 IFTTT 主要用意(If This… Then that),先來新增一個 IF This,點選右邊的 “Add” 在搜尋列輸入 “webhooks”,可以看到 “Webhooks”,點選 “Webhooks” Webhooks 的觸發選擇 “Recevice a web request” 的方式即可 接下來需要與 Webhooks 服務連線,點選 “Connect” 繼續 接下我們要為 Event 命名,取個自己看得懂即可,像是我就直接使用 “fortigate”,確認名稱無誤後,點選 “Create trigger” 繼續 接下來要來設定 “T

[MacOS App] 免費的視窗管理 Rectangle app

圖片
Macbook 在辦公室使用時,會外接螢幕,有些時候,會有需要視窗左邊一個,右邊一個的方式來瀏覽,偏偏 MacOS 好像沒有這功能,在之前都是用 BetterTouchTool 內建的視窗管理,只是最近將一個螢幕直立起來後,發現我需要快速上下分割的方式,這套 BetterTouchTool 無法做到。本來預計要購買 Magnet 這套 app的,後來卻看到這一套 Rectangle app。 在仔細查看了 Rectangle 之後,除了是一套免費的 app,前身也是 Spectacle app,這套 Spectacle app 在論壇上有看過滿多人推的。 從 Rectangle官網 下載下來後,直接打開把 app 拖入應用程式內就可以開始來使用了。 像這樣要把 Chrome 拖去最左邊就會有灰色的預覽框框,放開之後 Chrome 就會靠左了 想要把視窗調整成某個樣子,但不知道快捷鍵也沒關係,點選狀態列上的小圖示後,會有選單,直接點選之後,畫面就會調整想要的樣子 設定中也可以直接修改快捷鍵,調整成想要或自己喜歡的方式 還有其他設定可以調整,例如”在登入時打開” 這一定要開的~ 像這樣直立的畫面,我就可以上下分割來觀看不同的視窗 這個 app 還有 pro 版的 Rectangle Pro ,上面有提到會比較省資源省電之類的,有空再來嘗試看看~