Breaking

Selasa, 22 Juli 2025

Home / fortigate / Kenapa Brute Force HTTPS/SSH Tidak Muncul di Log IPS FortiGate?

Kenapa Brute Force HTTPS/SSH Tidak Muncul di Log IPS FortiGate?

by on in

❓ Kenapa Brute Force HTTPS/SSH Tidak Muncul di Log IPS FortiGate?

🔹 1. FortiGate tidak bisa inspeksi traffic ke dirinya sendiri

Saat kamu akses Web GUI FortiGate (HTTPS) atau SSH FortiGate, traffic langsung ke control plane, tidak lewat policy firewall. Akibatnya:

  • IPS, DoS policy, application control, web filter, dll tidak ikut campur.

Artinya: log tidak tercatat di log security policy / IPS, karena tidak melewati data plane.

Analogi: kamu masuk rumah lewat pintu depan (bukan lewat satpam), jadi tidak dicek dulu.

🔹 2. Brute force ke FortiGate admin tidak melalui IPS engine

Meskipun gagal login berulang kali, event-nya hanya tercatat di system event log, bukan IPS log.

🔧 Cek system event log via CLI:

get system event-log | grep 'admin'

Atau dari GUI:
Log > System Events > Filter: "Action: login failed"

🔹 3. IPS hanya memantau policy-based traffic (forwarded traffic)

IPS hanya aktif untuk traffic antar-interface (misalnya dari LAN ke WAN), bukan untuk traffic lokal ke FortiGate itu sendiri.

✅ Kalau kamu brute force server di belakang FortiGate, dan ada IPS policy aktif ke arah server itu, IPS akan mendeteksi brute force.

🔧 Solusi / Pengujian Lanjut

Untuk Deteksi Brute Force Login ke FortiGate:

  • Gunakan system event log, bukan log IPS
  • Aktifkan fitur account lockout:

Dari GUI:

System > Settings > Password Policy > Lockout after X attempts

Via CLI:

config system global
set admin-lockout-threshold 3
set admin-lockout-duration 60
end

Untuk Uji IPS (misal pakai Hydra):

  • Brute force ke server internal (contoh: SSH ke 192.168.1.10 dari luar)
  • Pastikan policy dari WAN → LAN memiliki:
    • IPS profile aktif
    • Log traffic diaktifkan (All Sessions)

🔍 Cara Cek IPS Aktif di Policy

Menu: Policy > IPv4 Policy

Pilih policy WAN → LAN, lalu cek bagian berikut:

  • Security Profiles > IPS → harus aktif
  • Log traffic → All Sessions

🔚 Ringkasan

Target Brute Force Terdeteksi di IPS? Tercatat di Log?
FortiGate Web UI (port 8443) ❌ Tidak ✅ Ya (System Event Logs)
FortiGate SSH (port 22) ❌ Tidak ✅ Ya (System Event Logs)
Server di belakang FortiGate ✅ Ya ✅ Ya (jika IPS + Logging aktif)
Author Image

About Moderator
Halo! Saya Fadhil, Seorang penggemar teknologi dan blogger yang suka membagikan tutorial praktis, tips SEO, serta solusi mudah seputar dunia komputer dan internet. Terima kasih sudah berkunjung ke blog ini! Jangan lupa follow untuk update artikel terbaru.

Related Posts:
By di
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)