El acceso a los servicios de red de QRadar se controla primero en los hosts con iptables. Las reglas de iptables se ajustan y configuran en función de los requisitos del despliegue. Los puertos para
la búsqueda de Ariel, la modalidad continua y las veces que utiliza el cifrado (ejecución en túnel) pueden actualizar
varias reglas de iptables.
Acerca de esta tarea
Puede configurar y comprobar reglas de iptables para IPv4 y IPv6. El procedimiento siguiente indica cómo puede
ajustar manualmente las iptables.
Procedimiento
- Inicie sesión en QRadar como usuario root utilizando SSH.
Inicio de sesión: <root>
Contraseña: <password>
- Escriba el mandato siguiente para editar el archivo .pre de iptables de reglas:
IPv4:
vi /opt/qradar/conf/iptables.pre
IPv6:
vi /opt/qradar/conf/ip6tables.pre
Se visualiza el archivo de configuración iptables.pre.
- Escriba el mandato siguiente para editar el archivo .post de iptables de reglas:
IPv4:
vi /opt/qradar/conf/iptables.post
IPv6:
vi /opt/qradar/conf/ip6tables.post
Se visualiza el archivo de configuración iptables.post.
- Añada la regla siguiente para que QRadar acceda a un número de puerto específico, donde númeropuerto es el número de puerto:
Para aceptar tráfico de UDP para una entrada de puerto específica:
-A INPUT -m udp -p udp --dport <portnumber> -j
ACCEPT
Para aceptar tráfico de TCP para una entrada de puerto específica:
-A INPUT -m state --state NEW -m tcp -p tcp --dport <portnumber>
-j ACCEPT
- Guarde la configuración de iptables.
- Ejecute el script siguiente para propagar los cambios:
/opt/qradar/bin/iptables_update.pl
- Escriba los mandatos siguientes para comprobar la existencia de iptables:
IPv4:
iptables -L -n -v
IPv6:
ip6tables -L -n -v