IPtables konfigurieren

Nokia-Firewalls erfordern eine TCP-Zurücksetzung (rst) oder eine TCP-Bestätigung (ack) ab IBM QRadar an Port 256, bevor Syslog-Ereignisse weitergeleitet werden.

Informationen zu dieser Task

Die TCP-Anforderung der Nokia-Firewall ist eine Onlinestatus-Anforderung, mit der sichergestellt wird, dass QRadar online ist und Syslog-Ereignisse empfangen kann. Wenn eine gültige Rücksetzung oder Bestätigung von QRadarempfangen wird, beginnt die Nokia-Firewall mit der Weiterleitung von Ereignissen an QRadar an UDP-Port 514. Standardmäßig antwortet QRadar nicht auf Onlinestatusanforderungen von TCP-Port 256.

Sie müssen IPtables auf Ihrem QRadar Console oder einem Event Collector konfigurieren, das Check Point-Ereignisse von einer Nokia-Firewall empfängt, um auf eine Onlinestatusanforderung zu antworten.

Vorgehensweise

  1. Melden Sie sich über SSH als Rootbenutzer bei QRadar an.

    Anmelden: root

    Kennwort: <password>

  2. Geben Sie den folgenden Befehl ein, um die Datei IPtables zu bearbeiten:

    vi /opt/qradar/conf/iptables.pre

    Die Konfigurationsdatei IPtables wird angezeigt.

  3. Geben Sie den folgenden Befehl ein, um QRadar anzuweisen, auf Ihre Nokia-Firewall mit einem TCP-Reset an Port 256 zu antworten:

    -A INPUT -s <IP address> -p tcp --dport 256 -j REJECT --reject-with tcp-reset

    Dabei steht <IP-Adresse> für die IP-Adresse Ihrer Nokia-Firewall. Sie müssen für jede Nokia-Firewall-IP-Adresse, die Ereignisse an QRadar Console oder Event Collectorsendet, eine TCP-Zurücksetzung einschließen. Beispiel:

    • -A INPUT -s <IP_address1>/32 -p tcp --dport 256 -j REJECT --reject-with tcp-reset

    • -A INPUT -s <IP_address2>/32 -p tcp --dport 256 -j REJECT --reject-with tcp-reset

    • -A INPUT -s <IP_address3>/32 -p tcp --dport 256 -j REJECT --reject-with tcp-reset

  4. Speichern Sie die iptables-Konfiguration.
  5. Geben Sie den folgenden Befehl ein, um IPtables in QRadarzu aktualisieren:

    ./opt/qradar/bin/iptables_update.pl

  6. Wiederholen Sie die Schritte 1 bis 5, um zusätzliche QRadar Event Collectors zu konfigurieren, die Syslog-Ereignisse von einer Nokia-Firewall empfangen.

    Sie können jetzt Ihre Nokia Firewall für die Weiterleitung von Ereignissen an QRadarkonfigurieren.