Configuración de IPtables

Los cortafuegos Nokia requieren un restablecimiento TCP (rst). o un acuse de recibo TCP (ack). desde IBM QRadar en el puerto 256 antes de reenviar sucesos syslog.

1. Utilizando SSH, inicie sesión en QRadar como usuario root.

   Inicio de sesión: root

   Contraseña: <password>

2. Escriba el mandato siguiente para editar el archivo IPtables :

   vi /opt/qradar/conf/iptables.pre

   Se muestra el archivo de configuración IPtables .

3. Escriba el mandato siguiente para indicar a QRadar que responda al cortafuegos de Nokia con un restablecimiento TCP en el puerto 256:

   -A INPUT -s <IP address> -p tcp --dport 256 -j REJECT --reject-with tcp-reset

   Donde <dirección IP> es la dirección IP del cortafuegos de Nokia. Debe incluir un restablecimiento TCP para cada dirección IP de Nokia Firewall que envíe sucesos a QRadar Console o Event Collector, por ejemplo,

   • -A ENTRADA -s <IP_address1>/32 -p tcp --dport 256 -j RECHAZAR --reject-with tcp-reset

   • -A ENTRADA -s <IP_address2>/32 -p tcp --dport 256 -j RECHAZAR --reject-with tcp-reset

   • -A ENTRADA -s <IP_address3>/32 -p tcp --dport 256 -j RECHAZAR --reject-with tcp-reset

4. Guarde la configuración de iptables.
5. Escriba el mandato siguiente para actualizar IPtables en QRadar:

   ./opt/qradar/bin/iptables_update.pl

6. Repita los pasos del 1 al 5 para configurar cualquier QRadar Event Collectors adicional que reciba sucesos de syslog de un cortafuegos Nokia.

   Ahora está preparado para configurar el cortafuegos de Nokia para reenviar sucesos a QRadar.