❓ Kenapa Brute Force HTTPS/SSH Tidak Muncul di Log IPS FortiGate?

🔹 1. FortiGate tidak bisa inspeksi traffic ke dirinya sendiri

Saat kamu akses Web GUI FortiGate (HTTPS) atau SSH FortiGate, traffic langsung ke control plane, tidak lewat policy firewall. Akibatnya:

Artinya: log tidak tercatat di log security policy / IPS, karena tidak melewati data plane.

Analogi: kamu masuk rumah lewat pintu depan (bukan lewat satpam), jadi tidak dicek dulu.

🔹 2. Brute force ke FortiGate admin tidak melalui IPS engine

Meskipun gagal login berulang kali, event-nya hanya tercatat di system event log, bukan IPS log.

🔧 Cek system event log via CLI:

get system event-log | grep 'admin'

Atau dari GUI:
Log > System Events > Filter: "Action: login failed"

🔹 3. IPS hanya memantau policy-based traffic (forwarded traffic)

IPS hanya aktif untuk traffic antar-interface (misalnya dari LAN ke WAN), bukan untuk traffic lokal ke FortiGate itu sendiri.

✅ Kalau kamu brute force server di belakang FortiGate, dan ada IPS policy aktif ke arah server itu, IPS akan mendeteksi brute force.

🔧 Solusi / Pengujian Lanjut

✅ Untuk Deteksi Brute Force Login ke FortiGate:

Dari GUI:

System > Settings > Password Policy > Lockout after X attempts

Via CLI:

config system global
set admin-lockout-threshold 3
set admin-lockout-duration 60
end

✅ Untuk Uji IPS (misal pakai Hydra):

Brute force ke server internal (contoh: SSH ke 192.168.1.10 dari luar)
Pastikan policy dari WAN → LAN memiliki:
- IPS profile aktif
- Log traffic diaktifkan (All Sessions)

Menu: Policy > IPv4 Policy

Pilih policy WAN → LAN, lalu cek bagian berikut:

Target Brute Force	Terdeteksi di IPS?	Tercatat di Log?
FortiGate Web UI (port 8443)	❌ Tidak	✅ Ya (System Event Logs)
FortiGate SSH (port 22)	❌ Tidak	✅ Ya (System Event Logs)
Server di belakang FortiGate	✅ Ya	✅ Ya (jika IPS + Logging aktif)