Fortigate Login登入 LINE 訊息通知

在設定 Fortigate 50E 的時候,曾想過,之前都會遇到一些無聊的攻擊行為,像是嘗試帳號,或是試密碼等這一些行為,有沒有可能 FG50E 當有些狀況的時候,發出告警,提醒身為管理者的我(?),再多多關注目前設備的狀況~

像是下圖這樣,一有登入失敗的狀況就可讓 LINE 收到些通知
Login failed LINE message

倘若要做到上述的 Line 訊息通知的情境,需要先準備兩件事情
1. 首先要有 IFTTT 的帳號,目前 IFTTT 免費的帳號就能做到這些事情!
2. 就是要有 LINE 帳號,稍後會在 IFTTT 上與 LINE 連動,才能夠過 IFTTT 將訊息透過 LINE 平台讓我們可收到 LINE 訊息
接下來先說明整個流程及預計的行為,首先是 Fortigate 本身有 automation 功能(FortiOS 6.0 以後才有,正好手邊的 FG50E 是 6.2.x,是有支援的),然後透過 automation,讓 Fortigate 在一些形況下觸發一些行為,像是 事件觸發後發出 E-mail 這類的,而我是會讓 FG50E 事件觸發後,將一些訊息丟至 IFTTT 上的 webhooks,進而再透過 IFTTT 上與 LINE 的連動,讓我可以收到事件通知的 LINE 訊息。了解流程後,就立刻開始吧~~

首先先前往 IFTTT 網站,IFTTT 雖然都是英文的,但不會太複雜,申請帳號的部分,很直覺就輸入 Email 電子郵件信箱及密碼後,之後再去收信來啟動帳號就完成,登入帳號之後,第一個畫面就下圖這樣子沒有任何專案!點選右上角的 ”Create” 來新增一個應用(Applet)
IFTTT create New applet

接下來可以看到 IFTTT 主要用意(If This… Then that),先來新增一個 IF This,點選右邊的 “Add”
IFTTT ceate applet add

在搜尋列輸入 “webhooks”,可以看到 “Webhooks”,點選 “Webhooks”
IFTTT add webhooks

Webhooks 的觸發選擇 “Recevice a web request” 的方式即可

接下來需要與 Webhooks 服務連線,點選 “Connect” 繼續
IFTTT webhooks connect

接下我們要為 Event 命名,取個自己看得懂即可,像是我就直接使用 “fortigate”,確認名稱無誤後,點選 “Create trigger” 繼續
IFTTT add webhooks trigger

接下來要來設定 “Then That” 的後續行為,點選 “Add” 來新增
IFTTT add Then This

服務這邊我們輸入 Line 來搜尋,第一個 LINE 就是了!
IFTTT add LINE service

LINE這就是要送訊息出來,點選 “Send message”
IFTTT LINE send message

接下來 IFTTT 會需要與 LINE 連動,點選 “Connect” 繼續
IFTTT LINE connect

這邊應該會另外開一個視窗,我們輸入 LINE 的帳號及密碼登入,或用手機可直接使用 “透過行動條碼登入”,倘若是點選 “透過行動條碼登入”,會出現一個 QR code 的視窗畫面,手機開啟 LINE 直接掃描,後續再完成驗證碼的驗證後就能下一步
IFTTT LINE login

IFTTT 會 LINE 連動,點擊 “同意並連動”
IFTTT LINE login connect

接著要設定 LINE訊息相關的欄位,Recipient 選擇 1 對 1 聊天接收,Message 保留就 Value1 就好,一個 Value 1 就可以接收所有訊息,確認完就 “Create action”
IFTTT LINE action fields

接下來會回到建立應用,點選 “Continue”
IFTTT applet continue

確認整體應用完成後,點選 “Finish“
IFTTT applet finish

點選 ”Webhooks“ 圖示,進入 webhooks 相關設定
IFTTT edit webhooks

點選中間的 “Documentation”,來獲取 web request 的 URL 相關設
IFTTT webhooks Documentation

其中 Your Key,是非常重要的,而底下有一個 “Test It” 測試,中間有個 {event} 改成剛剛輸入的 Event Name,如我剛剛設定的 fortigate,並按下 “Test It”
IFTTT webhooks key test

這時,Line 就會收到訊息了~
IFTTT LINE message

接下來,我們回到 Fortigate 的 GUI 上,Security Fabric > Automation,目前底下都是空的,點選上方的 “Create New” 來建立一條新的規則
Fortigate security fabric automation

Name:這邊輸入自己容易辨識的名稱
Trigger:選擇 FortiOS Event Log,底下的 Event 選擇 Admin login failed
Action:選擇 Webhook
fortigate automation trigger fortiOS event log, admin login failed

往下繼續設定 Webhook 相關的設定,
Name:輸入自己看得懂的名稱,如:Webhook_to_Line
Protocol:選擇 HTTPS
Method:選擇 POST
URI:輸入剛剛在 IFTTT 中 webhooks 的 Documentation 的 超連結網址,輸入 https:// 之後的,最後記得再補上一個 ?
HTTP body:可參考 Fortigate 6.2.15 Log Message Refernece 文件,以下是我使用的範例

value1=

FG50E 登入失敗通知
日期:%%log.date%%
時間:%%log.time%%
帳號:%%log.user%%
來源 IP:%%log.srcip%%
目的 IP:%%log.dstip%%
方式:%%log.method%%
狀態:%%log.status%%
動作:%%log.action%%
訊息:%%log.msg%%
fortigate automation trigger fortiOS event log, scrip, dstip, logmsg

接下來便可來測試是否 Work,我新增了兩個 Automation 的規則,登入失敗是一個規則,登入成功是另一個規;不論是登入失敗或登入成功,我的 Line 訊息都會收相關的通知
fortigate login log LINE message

透過 Fortigate 上的 Automation,能把這些 Login 的紀錄撈出來,後送給 IFTTT 的 webhooks 來執行,再進而達到即時通知的 LINE 訊息通知,這只是其中的一種應用,倘若還有什麼應用也可來集思廣益下,也希望大家的網路順暢~

這個網誌中的熱門文章

線上看 CAD 圖檔 DWG, DWF 的網站

圖片
偶爾需要看 AutoCAD 圖檔,但又不想要裝 DWG Viewer 尤其 AutoDesk 自己的 DWG TrueView 目前只有支援 Windwos 系統 尚未看到有支援的,免費的 MAC版的 CAD Viewer 軟體   這個 AutoDesk 自己的 Online Viewer ,就是一個很簡單操作的線上觀看 CAD 圖檔的網站 用 Chrome 去 Online Viewer 的時候,遇到一些問題,網站提示 需要啟動 WebGL 的技術 從 chrome://flags 找到了 WebGL 技術 有的,我的 Chrome 瀏覽器的設定是有啟動 WebGL 的... 奇怪!為什麼還是出現那個訊息? 後來找到原因了,是因為我把 Chrome 設定中的"硬體加速"給關閉了 在 chrome://settings/ 中的 "進階設定" 中,勾選"硬體加速",並重新啟動後就可以使用了... 整體的操作介面看起來就非常簡單, 右上角還可以直接作快照,直接下載成為 圖片檔。 但這套也有幾個缺點 1. 上傳之後,系統會寄檔案的連結給你,之後要看檔案必須要記得這個連結。 2. 既然只有檔案連結,無法管理你上傳之後的 CAD圖檔。檔案存活的時間 30天! 3. 沒有轉檔的功能,例如轉成 PDF,沒有!只有擷取畫面並直接下載! 另外,還有一套線上觀看的 AutoCAD 360,看起來好像比較專業一點,整體介面跟 AutoCAD 類似,還可以管理你上傳的 CAD圖檔,付費之後,還可以編輯 CAD圖檔! 如果需求只是看看 CAD圖檔而已,相信 Online Viewer 應該很足夠了!
閱讀完整內容

VirtualBox 橋接介面卡 未選取/無法選取 故障排除

圖片
之前在尋找 Android 模擬器的時候,除了測試過 MOMO 模擬器 之外,也有測試過 夜神模擬器 MOMO模擬器安裝完後,測試 VirtualBox 中的 VM 確實是可以跑的,沒有什麼狀況 但在測試夜神模擬器之後,VirtualBox 中的 VM 就出現狀況了,竟然無法啟動 VM 嘗試過把 VirtualBox 重新安裝或修復,仍然無法解決問題,一樣會出現這樣的畫面!! 打開 VM 的設定,發現 "網路" 中的橋接介面卡,都無法選取任何的網路卡,可以確定的是實體的網路卡是沒有問題的,因為這台電腦仍舊可以上網! 後來找到原因,是因為這張網路卡中,Virtual 橋接用的服務消失了,導致 VirtualBox 無法正常的使用這張網路卡,依照以下的方式將所缺的服務增加到網路卡介面中。 打開 "控制台" > "網路和網際網路" > “網路和共用中心" > "變更介面卡設定" ,找到 VM 中使用的網路卡,阿嘉的電腦是使用 "乙太網路",對著 "乙太網路" 右鍵 > "內容" 如果 "這個連線使用下列項目" 中,沒有看到 "VirtualBox Bridge Network" 等字眼的項目的話,就是缺少了!點選 "安裝" 選擇 "服務" > "新增" 點選 "從磁片安裝" VirtualBox 的目錄底下會有個 driver 的目錄,裡面會有橋接網路介面卡的驅動程式,像是阿嘉用預設的 VirtualBox 安裝路徑,C:\Program Files\Oracle\VirtualBox\drivers\network\netlwf 的目錄中,會有個 VBoxNetLwf.inf 檔案,這個就是 VirtualBox 使用網路橋接介面卡的驅動程式 找到這個 VBoxNetLwf.inf 檔案,點選 "開啟" 這時會看到,要新增一個 "VirtualBox …Bridged Networking…” 的服務,點選 "確定" 來新增吧
閱讀完整內容

Windows 10 網路磁碟機 網路芳鄰 無法存取...

圖片
同事的新電腦發生了一個很怪的情況 明明網路都是正常,也都可以使用,想使用"網路磁碟機"的方式連線到"NAS" 卻一直出現錯誤訊息: 無法存取\\xx.xx.xx.xx。您可能沒有使用這個網路資源的權限。請連絡這個伺服器的系統管理員,了解您是否有存取權限。 指定的登入工作階段不存在,可能已被終止。 找到網路上的一篇文章  網路芳鄰 簡易修復3步驟 依照做了三個步驟 1.在我的電腦上按右鍵,選擇 "管理"。 2.開啟電腦管理後從左邊選擇 "服務及應用程式"-> "服務"。 3.接下來就會看到右邊有一列服務清單,依序找出下列三項 "Server"、"Workstation"、"Computer Browser",點選後會開啟設定頁面, 設定 "啟動類型"為 "自動",並且在 "服務狀態"點選 "啟動"。 上面三項若都設定完成就可以使用網芳了。 "無法存取\\xxx.xxx.xxx.xxx。您可能沒有使用這個網路資源的權限。 請聯絡這個伺服器的系統管理員,暸解您是否有存取權限。 網路不存在或尚未啟動。" 可能是錯誤訊息不太一樣,所以無法解決這個問題! 同事的新電腦是正版的Windows 10阿!也都可以上網阿 檔案總管 > 網路 也都可以看到其他同事的電腦,甚至也可以看到NAS 嘗試更新到目前最新版本 1607更新包,14393版本 也都沒用... 後來猜測是"非本機帳戶"的問題 同事是使用 outlook.com 的帳戶作為登入Windows10的 經過"改為使用本機帳戶登入"後。就可以正常連線到"NAS"了 開始 > 設定 > 使用者帳戶 看到中間有個"改為使用本機帳戶登入"的設定   跟著精靈設定一下,並且重開機器後,就可以連上"網路磁碟機"使用了!
閱讀完整內容