Ejemplos de reglas de iptables avanzadas

Puede configurar las reglas de iptables para controlar mejor el acceso a QRadar, restringir los orígenes de datos de entrada y redirigir el tráfico. Los ejemplos siguientes pueden ayudarle a conocer mejor la red mediante el ajuste manual de las iptables.

Bloqueo del acceso a SSH con iptables

Las consolas y los hosts no gestionados permiten SSH desde cualquier solicitud de entrada. Cuando se añade un host al despliegue, los hosts gestionados permiten el acceso SSH desde QRadar Console y la consola mantiene el puerto 22 abierto para las conexiones de entrada. Puede limitar las conexiones de entrada en el puerto 22 modificando las reglas de iptables de un host.

Puede bloquear el acceso SSH desde otros hosts gestionados en su consola, acceso que puede violar conexiones cifradas.

-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.41 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.59 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -j DROP

Habilitación de ICMP para sistemas QRadar

Puede habilitar las respuestas de ping desde el sistema QRadar añadiendo la siguiente regla al archivo /opt/qradar/conf/iptables.pre.

-A INPUT -p icmp -j ACCEPT

Ejecute el script siguiente para crear una entrada en el archivo /etc/sysconfig/iptables.

Importante: puede limitar esta regla a un host específico añadiendo el campo -s source.ip.address .

Bloqueo de orígenes de datos no deseados

Puede bloquear un origen de datos como por ejemplo un origen de registro o un origen de datos de NetFlow durante un tiempo breve en lugar de inhabilitar el dispositivo original. Para bloquear un host determinado, puede añadir una entrada similar a la siguiente a /opt/qradar/conf/iptables.pre.

Bloquear un netflow desde el direccionador:
-A INPUT -p udp -s <IP Address> --dport 2055 -j REJECT
Bloquear un syslog desde otro origen:

-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT
Bloquear un syslog desde una subred específica:

-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT

Redirección de iptables a puertos de syslog

Puede redirigir el tráfico de syslog en puertos no estándar al puerto 514 en un QRadar recopilador de sucesos de . Puede utilizar los pasos siguientes para habilitar una regla iptables para redirigir el puerto alternativo de nuevo a 514 en el Recopilador de sucesos.

  1. Habilite la opción NAT en el kernel de Linux añadiendo o actualizando la línea siguiente en el archivo /etc/sysctl.conf.
    net.ipv4.ip_forward = 1
    Nota: Para que los cambios entren en vigor en la regla NAT, es posible que tenga que reiniciar el servicio.
  2. Habilite el reenvío de ip en el kernel activo actual.
    echo 1 > /proc/sys/net/ipv4/ip_forward
  3. Añada las líneas siguientes al archivo /opt/qradar/conf/iptables-nat.post. Especifique el número de puerto que desea redirigir como <portnumber>.
    -A PREROUTING -p udp --dport <portnumber> -j REDIRECT --to-ports 514
-A PREROUTING -p tcp --dport <portnumber> -j REDIRECT --to-ports 514
  4. Especifique el mandato siguiente para reconstruir las iptables.
    /opt/qradar/bin/iptables_update.pl
  5. Verifique la redirección tecleando el mandato siguiente.
    iptables -nvL -t nat

    El código siguiente es un ejemplo del aspecto de la salida.

    Chain PREROUTING (policy ACCEPT 140 packets, 8794 bytes) pkts bytes target prot opt in out source destination 0 0 REDIRECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:10529 redir ports 514 0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10529 redir ports 514 Chain POSTROUTING (policy ACCEPT 207 packets, 25772 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 207 packets, 25772 bytes) pkts bytes target prot opt in out source destination

Redirección de tráfico de syslog de entrada

Puede utilizar QRadar Console como pasarela de mensajes syslog para redirigir sucesos de entrada, configurando reglas en iptables.

  1. Habilite la regla de reenvío para un origen de registro en el Recopilador de sucesos.
  2. Establezca el destino de reenvío del syslog de TCP para que sea la dirección de IP de consola en el puerto 7780.
  3. En la línea de mandato de la consola, añada la regla de iptables siguiente para redirigir a otro host.
     iptables -I OUTPUT --src 0/0 --dst 153.2.200.80 -p 
tcp --dport 7780 -j REDIRECT --to-ports 514