Konfigurowanie IPtables

IPtables to potężne narzędzie, które służy do tworzenia reguł na firewallu jądra Linux® w celu kierowania ruchem.

Informacje o tym zadaniu

Aby skonfigurować IPtables, należy sprawdzić istniejące reguły, zmodyfikować regułę, aby zarejestrować zdarzenie, a następnie przypisać identyfikator dziennika do reguły IPtables , która może być identyfikowana przez produkt IBM® QRadar®. Ten proces jest używany do określania reguł, które są rejestrowane przez produkt QRadar. Produkt QRadar zawiera wszystkie zarejestrowane zdarzenia, które zawierają słowa: akceptowanie, usuwanie, odrzucanie lub odmowa w ładunku zdarzenia.

Procedura

  1. Użyj protokołu SSH, zaloguj się do serwera Linux jako użytkownik root.
  2. Zmodyfikuj plik IPtables w następującym katalogu:

    /etc/iptables.conf

    Uwaga: Plik, który zawiera reguły IPtables , może być różny w zależności od konfigurowanego systemu operacyjnego Linux . Na przykład w systemie Red Hat Enterprise znajduje się plik w katalogu /etc/sysconfig/iptables . Więcej informacji na temat konfigurowania IPtableszawiera dokumentacja systemu operacyjnegoLinux .
  3. Przejrzyj plik, aby określić regułę IPtables , która ma być protokołana.

    Na przykład, jeśli chcesz zarejestrować regułę zdefiniowaną przez wpis, użyj:

    -A INPUT -i eth0 --dport 31337 -j DROP

  4. Przed każdą regułą, która ma być protokołana, należy wstawić regułę dopasowywania bezpośrednio:

    -A INPUT -i eth0 --dport 31337 -j DROP

    -A INPUT -i eth0 --dport 31337 -j DROP

  5. Zaktualizuj element docelowy nowej reguły do dziennika dla każdej reguły, która ma być protokołana, na przykład:

    -A INPUT -i eth0 --dport 31337 -j LOG

    -A INPUT -i eth0 --dport 31337 -j DROP

  6. Ustaw poziom rejestrowania celu LOG na poziom priorytetu SYSLOG, na przykład informacje lub powiadomienie:

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info

    -A INPUT -i eth0 --dport 31337 -j DROP

  7. Skonfiguruj przedrostek dziennika w celu zidentyfikowania zachowania reguły. Ustaw parametr przedrostka dziennika na:

    Q1Target=<rule>

    Gdzie <reguła> jest jednym z następujących działań firewalla IPtable: fw_accept, fw_drop, fw_rejectlub fw_deny.

    Na przykład, jeśli reguła zaprotokołowana przez obiekty docelowe firewalli porzuca zdarzenia, to ustawienie przedrostka dziennika jest następujące:

    Q1Target=fw_drop

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
    Uwaga: Przed zamykaniem znaku cudzysłowu należy mieć spację kończące.
  8. Zapisz i zamknij plik.
  9. Zrestartuj program IPtables za pomocą następującej komendy:

    /etc/init.d/iptables restart

  10. Otwórz plik syslog.conf .
  11. Dodaj następujący wiersz:

    kern.<log level>@<IP address>

    Gdzie:

    • <poziom rejestrowania> to poprzednio ustawiony poziom rejestrowania.
    • <adres IP> to adres IP serwera QRadar.
  12. Zapisz i zamknij plik.
  13. Zrestartuj demon syslog za pomocą następującej komendy:

    /etc/init.d/syslog restart

    Po zrestartowaniu demona syslog zdarzenia są przekazywane do produktu QRadar. Zdarzenia IPtable, które są przekazywane z serwerów Linux , są automatycznie wykrywane i wyświetlane na karcie Działanie rejestrowania w produkcie QRadar.