Beispiele für erweiterte iptables-Regeln

Blockieren des Zugriffs auf SSH mit iptables

Konsolen und nicht verwaltete Hosts ermöglichen SSH von jeder eingehenden Anforderung. Wenn ein Host zur Implementierung hinzugefügt wird, ermöglichen die verwalteten Hosts den SSH-Zugriff über QRadar Console und die Konsole hält Port 22 für eingehende Verbindungen offen. Sie können die eingehenden Verbindungen an Port 22 begrenzen, indem Sie die iptables-Regeln eines Hosts ändern.

Sie können den SSH-Zugriff von anderen verwalteten Hosts auf Ihrer Konsole blockieren, was zur Unterbrechung verschlüsselter Verbindungen führen kann.

-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.41 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.59 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -j DROP

Aktivieren von ICMP auf QRadar -Systemen

Sie können Pingantworten von Ihrem QRadar-System aktivieren, indem Sie die folgende Regel zur Datei /opt/qradar/conf/iptables.pre hinzufügen.

-A INPUT -p icmp -j ACCEPT

Führen Sie das folgende Script aus, um einen Eintrag in der Datei /etc/sysconfig/iptables zu erstellen.

Unerwünschte Datenquellen blockieren

Sie können eine Datenquelle, z. B. eine Protokollquelle oder Netflow-Datenquelle, für eine kurze Zeit blockieren, statt die Originaleinheit zu inaktivieren. Wenn Sie einen bestimmten Host blockieren möchten, können Sie einen Eintrag ähnlich dem folgenden zu /opt/qradar/conf/iptables.pre hinzufügen.

-A INPUT -p udp -s <IP Address> --dport 2055 -j REJECT

-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT