En este artículo, abordamos cómo gestionar alertas por correo electrónico para cambios de dirección IP en interfaces operando en modo DHCP o PPPoE en dispositivos FortiGate. Es crucial mantenerse informado sobre estos cambios, ya que pueden afectar la conectividad y la seguridad de su red. A continuación, le proporcionaremos un diagnóstico paso a paso y soluciones recomendadas para implementar estas alertas automáticamente.
Índice
Descripción del problema
El requerimiento es recibir notificaciones por correo electrónico cuando una interfaz FortiGate que opera en modo DHCP o PPPoE cambia su dirección IP, lo cual puede suceder incluso si se está utilizando FortiDDNS. Sin un sistema automatizado de alertas, uno puede perder información crítica sobre la conectividad de la red.
Alcance
Este artículo es aplicable a dispositivos FortiGate configurados para operar en los modos mencionados.
Diagnóstico paso a paso
Para interfaces en modo DHCP:
Primero, se debe crear un disparador de automatización que se active cuando se cumplan dos condiciones: se genere un evento con el logid 26004 en el firewall y el contenido del campo msg contenga el valor ‘*interface wan1 gets a DHCP lease*‘.
config system automation-trigger
edit "interface_event_wan1"
set event-type event-log
set logid 26004
config fields
edit 1
set name "msg"
set value "*interface wan1 gets a DHCP lease*"
next
end
next
endEl segundo paso es crear la acción de automatización, que es el procedimiento que se ejecutará cuando se active el disparador. En este caso, se enviará una alerta por correo electrónico cuyo cuerpo contendrá el contenido del campo msg (%%log.msg%%) del log generado por el firewall.
config system automation-action
edit "action_email_wan"
set action-type email
set email-to "[email protected]"
set email-from "[email protected]"
set email-subject "El IP de la WAN ha cambiado"
set message "%%log.msg%%"
next
endEjemplo de un log con el ID de evento 26004 (Arrendamiento concedido al cliente DHCP):
date=2024-11-07 time=18:00:33 eventtime=1730995233928995461 tz="+0200" logid="0100026004" type="event" subtype="system" level="information" vd="root" logdesc="Arrendamiento concedido al cliente DHCP" msg="interface wan1 gets a DHCP lease, ip:192.168.24.2, mask:255.255.255.0, gateway:192.168.24.1, lease expires:Thu Nov 7 18:05:29 2024"El último paso es agregar estos dos componentes (disparador de automatización y acción de automatización) juntos. En este ejemplo, cuando se activa el disparador ‘interface_event_wan1‘, se ejecuta la acción ‘action_email_wan‘, enviando un correo electrónico de alerta con la nueva IP en el cuerpo del mensaje.
config system automation-stitch
edit "Interface_change_stitch_wan1"
set trigger "interface_event_wan1"
config actions
edit 1
set action "action_email_wan"
set required enable
next
end
next
endPara interfaces en modo PPPoE:
Cree el disparador de automatización que se active cuando se cumple lo siguiente: se genera un evento con el logid 29010 en el firewall y el contenido del campo value contiene el valor ‘Informe de estado de PPPoE‘.
config system automation-trigger
edit "interface_event_pppoe"
set event-type event-log
set logid 29010
config fields
edit 1
set name "msg"
set value "PPPoE status report"
next
end
next
endEl segundo paso es crear la antigua acción de automatización que se ejecutará cuando se active el disparador de PPPoE. En este caso, el cuerpo del correo electrónico (mensaje) contendrá el contenido del campo assigned (%%log.assigned%%) del log generado por el firewall.
config system automation-action
edit "action_email_pppoe"
set action-type email
set email-to "[email protected]"
set email-from "[email protected]"
set email-subject "El IP de PPPoE ha cambiado"
set message "La nueva IP es %%log.assigned%%"
next
endEjemplo de un log con el ID de evento 29010 (Informe de estado de PPPoE):
date=2024-11-07 time=18:00:50 eventtime=1730995250378746881 tz="+0200" logid="0100029010" type="event" subtype="system" level="notice" vd="root" logdesc="Informe de estado de PPPoE" gateway=172.31.176.254 assigned=172.31.176.18 mtu=1492 msg="Informe de estado de PPPoE"Finalmente, agregue estos dos componentes (disparador de automatización y acción de automatización) juntos. En este caso, cuando se activa el disparador ‘interface_event_pppoe‘, se ejecuta la acción ‘action_email_pppoe‘, enviando un correo electrónico de alerta con la nueva IP en el cuerpo del mensaje.
config system automation-stitch
edit "Interface_change_stitch_pppoe"
set trigger "interface_event_pppoe"
config actions
edit 1
set action "action_email_pppoe"
set required enable
next
end
next
endSolución recomendada
Siguiendo los pasos descritos, podrá recibir correos electrónicos automáticos notificándole sobre cambios de IP en sus interfaces FortiGate, mejorando así la gestión y el monitoreo de su red.
Comandos CLI utilizados
Esta sección incluye todos los comandos CLI mencionados anteriormente para referencia rápida:
config system automation-trigger
config system automation-action
config system automation-stitchBuenas prácticas y recomendaciones
Para asegurar la eficiencia en la gestión de alertas:
- Verifique que las direcciones de correo electrónico de envío y recepción son correctas.
- Realice pruebas después de la configuración para confirmar que se envían las alertas adecuadamente.
- Mantenga actualizados los logs y revise regularmente los registros de eventos del firewall.
Notas adicionales
Asegúrese de que su configuración de red permite la salida de correos electrónicos y que no hay restricciones que puedan bloquear estas notificaciones.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!