Fortigate使用email啟用帳號二階段驗證(MFA)

 1.首先設定Fortigate的SMTP

config system email-server

       set reply-to {Sender_email_address}

       set server {SMTP_server_FQDN/IP}

       set port {SMTP_server_port_number}

       set authenticate {enable | disable}

       set username {username}

       set password {password_string}

       set security {none | starttls | smtps}

end

2.設定使用者啟用二階段驗證，以及驗證碼寄到哪個信箱。

這個設定只能使用CLI，GUI畫面只有Fortitoken cloud與Fortitoken選項

config user local

    edit {username}

       set type password

       set two-factor email

       set email-to {user_email_address}

       set passwd {password}

    next

end

config system admin

    edit "admin"

       set type password

       set two-factor email

       set email-to user_email_address

       set passwd password

    next

end

參考官方KB：

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Email-Two-Factor-Authentication-on-FortiGate/ta-p/194890

android 11手機無法連上Cisco的無線網路(Cisco/Aironet)

 從Cisco官方論壇有人回答是CSCvu24770這個BUG。

CSCvu24770提到是android 10，但此篇文章也有提到android 11也會遇到。

解決方式就是在WLAN→選擇要調整的SSID→Security→Layer 2

Fast Transition的選項從 Adaptive改成enable。

應該是雙方設備協商會失敗導致，強制啟用Fast Transition，也就是802.11r。

如何將Fortianalyzer的raw data log，過濾出想要的資訊後拋出

我的Router/Switch的syslog是拋到Fortianalyzer作保存。

最近有需求想對關鍵字的log轉拋或是告警，找了老半天終於查到如何去過濾。

如下圖

是用 " ~ " 代表包含.....

參考官方KB

https://community.fortinet.com/t5/FortiAnalyzer/Technical-Note-Use-of-Operators-in-Event-Handler-General-Filter/ta-p/198194?externalID=FD36097

Fortigate發送訊息到Line

 Fortigate如何訊息(比如管理員登出登入、VPN登出登入)透過LINE發送？

基本上就是兩項事情

1.IFTTT

2.Webhook

首先先到IFTTT註冊帳號，並關聯Line服務以及webhook

底下是參考截圖

Line Notify 提供三個 Vaule： Value1、Value2 、 Value3

Recipient 下拉選單可以看到自己的 Line 群組清單，所以可以指定發送訊息到什麼群組內

網址後馬賽克的內容就是金鑰，請不要外流，外流的話就可以透過你的 LINE Notify 發訊息給你(好像也還好XD)

底下是Fortigate的設定部分

Security Fabric > Automation >

URL就是Webhook給你的那一串網址

上圖就是結果~~~

還有注意一點，如果有設定alertmail的，請記得拿掉告警等級，這個會影響Automation

這個也是跟原廠Support找好久才找到原因.....

config alertemail setting
set username "XXX@twca.com.tw"
set mailto1 "XX@twca.com.tw"
set filter-mode threshold
set severity critical
end

Fortianalyzer沒有像Fortigate這種設定方式....希望未來可以支援~

Fortigate 有連線到208.91.112.55的阻擋紀錄

 最近檢查Fortigate的IPS log，發現到有主機連線到208.91.112.55的阻擋紀錄。

查詢208.91.112.55，發現是屬於Fortinet的。

實際瀏覽器連，結果跳出Fortigate的Block頁面(非Fortigate設備上的，而是Fortinet架設在Internet上)。

Goolge得知，原來這個是Fortigate DNS filter 的功能，有問題的就Redirect Portal。

回來檢查DNS filter的Log，的確有看到redirect的紀錄。

其實在DNS filter的設定就可以看到208.91.112.55這個IP了。

最後總結，當用戶端想被植入可疑檔案後，想要連線到特定域名，需要問詢問DNS取得IP。

這個時候，如果有啟用DNS filter就會被Fortigate redirect到208.91.112.55。

可疑檔案取得解析後IP，就會連線到208.91.112.55，而這個連線行為，就被Fortigate的IPS偵測到有問題，最後被阻擋。

才會有連線到Fortinet的IP，結果被自己家的IPS阻擋的狀況.....。

為什麼DNS filter不是阻擋而是用redirect的做法改天來問問廠商......

Cisco WLC Client Exclusion Policies

最近在配置Cisco WLC的MAC Filtering遇到個問題。

user網卡在SSID-1有在白名單內，而SSID-2沒有。

如果user先連到SSID-2，會無法連線，這是正常行為。

然後user在連線到SSID-1，會發生無法連線狀況。

要請user等一段時間再連SSID-1，或是管理者在WLC GUI的client，

把該網卡後給remove，這邊會看到網卡號連到SSID為SSID-2，IP為0.0.0.0。


目前找到的解法是，到Security→Wireless Protection Policies→Client Exclusion Policies
Excessive 802.11 Association Failures
Excessive 802.11 Authentication Failures
Excessive 802.1X Authentication Failures
把這三個取消

F5 BIGIP I2000開機

紀錄一下
F5 BIGIP I2000開機不像之前機型插電就好。
還要到LCD，System>Power on，才會開機正常。