Configuración de IPtables

IPtables es una potente herramienta, que se utiliza para crear reglas en el cortafuegos del kernel de Linux® para direccionar el tráfico.

Acerca de esta tarea

Para configurar IPtables, debe examinar las reglas existentes, modificar la regla para registrar el suceso y asignar un identificador de registro a la regla IPtables que puede identificar IBM QRadar. Este proceso se utiliza para determinar qué reglas registra QRadar. QRadar incluye los sucesos registrados que incluyen las palabras: aceptar, descartar, rechazar o denegar en la carga útil del suceso.

Procedimiento

  1. Utilizando SSH, inicie sesión en Linux Server como usuario root.
  2. Edite el archivo IPtables en el directorio siguiente:

    /etc/iptables.conf

    Nota: El archivo que contiene las reglas IPtables puede variar según el sistema operativo Linux específico que esté configurando. Por ejemplo, un sistema que utiliza Red Hat Enterprise tiene el archivo en el directorio /etc/sysconfig/iptables . Consulte la documentación del sistema operativoLinux para obtener más información sobre cómo configurar IPtables.
  3. Revise el archivo para determinar la regla IPtables que desea registrar.

    Por ejemplo, si desea registrar la regla definida por la entrada, utilice:

    -A INPUT -i eth0 --dport 31337 -j DROP

  4. Inserte una regla coincidente inmediatamente antes de cada regla que desee registrar:

    -A INPUT -i eth0 --dport 31337 -j DROP

    -A INPUT -i eth0 --dport 31337 -j DROP

  5. Actualice el destino de la nueva regla a LOG para cada regla que desee registrar, por ejemplo:

    -A INPUT -i eth0 --dport 31337 -j LOG

    -A INPUT -i eth0 --dport 31337 -j DROP

  6. Establezca el nivel de registro del destino LOG en un nivel de prioridad SYSLOG, como por ejemplo info o notice:

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info

    -A INPUT -i eth0 --dport 31337 -j DROP

  7. Configure un prefijo de registro para identificar el comportamiento de la regla. Establezca el parámetro de prefijo de registro en:

    Q1Target=<rule>

    Donde <regla> es una de las siguientes acciones de cortafuegos IPtable: fw_accept, fw_drop, fw_rejecto fw_deny.

    Por ejemplo, si la regla registrada por el cortafuegos descarta sucesos, el valor de prefijo de registro es:

    Q1Target=fw_drop

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
    Nota: Debe tener un espacio final antes de las comillas de cierre.
  8. Guarde y salga del archivo.
  9. Reinicie IPtables utilizando el mandato siguiente:

    /etc/init.d/iptables restart

  10. Abra el archivo syslog.conf .
  11. Añada la línea siguiente:

    kern.<log level>@<IP address>

    Donde:

    • <nivel de registro> es el nivel de registro establecido anteriormente.
    • <Dirección IP> es la dirección IP de QRadar.
  12. Guarde y salga del archivo.
  13. Reinicie el daemon syslog utilizando el mandato siguiente:

    /etc/init.d/syslog restart

    Una vez reiniciado el daemon syslog, los sucesos se reenvían a QRadar. Los sucesos IPtable que se reenvían desde Linux Servers se descubren automáticamente y se visualizan en la pestaña Actividad de registro de QRadar.