Ejemplos de reglas de iptables avanzadas
Puede configurar las reglas de iptables para controlar mejor el acceso a QRadar, restringir los orígenes de datos de entrada y redirigir el tráfico. Los ejemplos siguientes pueden ayudarle a conocer mejor la red mediante el ajuste manual de las iptables.
Bloqueo del acceso a SSH con iptables
Las consolas y los hosts no gestionados permiten SSH desde cualquier solicitud de entrada. Cuando se añade un host al despliegue, los hosts gestionados permiten el acceso SSH desde QRadar Console y la consola mantiene el puerto 22 abierto para las conexiones de entrada. Puede limitar las conexiones de entrada en el puerto 22 modificando las reglas de iptables de un host.
Puede bloquear el acceso SSH desde otros hosts gestionados en su consola, acceso que puede violar conexiones cifradas.
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.41 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.59 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -j DROP
Habilitación de ICMP para sistemas QRadar
Puede habilitar las respuestas de ping desde el sistema QRadar añadiendo la siguiente regla al archivo /opt/qradar/conf/iptables.pre.
-A INPUT -p icmp -j ACCEPTEjecute el script siguiente para crear una entrada en el archivo /etc/sysconfig/iptables.
-s
source.ip.address .Bloqueo de orígenes de datos no deseados
Puede bloquear un origen de datos como por ejemplo un origen de registro o un origen de datos de NetFlow durante un tiempo breve en lugar de inhabilitar el dispositivo original. Para bloquear un host determinado, puede añadir una entrada similar a la siguiente a /opt/qradar/conf/iptables.pre.
-A INPUT -p udp -s <IP Address> --dport 2055 -j REJECT
-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT
-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT
-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT
-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT