Configuration de IPtables

IPtables est un outil puissant qui permet de créer des règles sur le pare-feu du noyau Linux® pour le routage du trafic.

A propos de cette tâche

Pour configurer IPtables, vous devez examiner les règles existantes, modifier la règle pour consigner l'événement et affecter un identificateur de journal à votre règle IPtables qui peut être identifié par IBM QRadar. Ce processus permet de déterminer les règles qui sont consignées par QRadar. QRadar inclut tous les événements consignés qui incluent les mots: accepter, supprimer, rejeter ou refuser dans le contenu de l'événement.

Procédure

  1. A l'aide de SSH, connectez-vous à votre serveur Linux Server en tant que superutilisateur.
  2. Editez le fichier IPtables dans le répertoire suivant :

    /etc/iptables.conf

    Remarque: Le fichier qui contient les règles IPtables peut varier en fonction du système d'exploitation Linux spécifique que vous configurez. Par exemple, un système utilisant Red Hat Enterprise a le fichier dans le répertoire /etc/sysconfig/iptables. Consultez la documentation du système d'exploitationLinux pour plus d'informations sur la configuration d' IPtables.
  3. Consultez le fichier pour déterminer la règle IPtables à consigner.

    Par exemple, si vous souhaitez consigner la règle définie par l'entrée, utilisez :

    -A INPUT -i eth0 --dport 31337 -j DROP

  4. Insérez une règle de correspondance immédiatement avant chaque règle que vous souhaitez consigner :

    -A INPUT -i eth0 --dport 31337 -j DROP

    -A INPUT -i eth0 --dport 31337 -j DROP

  5. Mettez à jour la cible de la nouvelle règle dans LOG pour chaque règle que vous souhaitez consigner, par exemple :

    -A INPUT -i eth0 --dport 31337 -j LOG

    -A INPUT -i eth0 --dport 31337 -j DROP

  6. Définissez le niveau de journalisation de la cible LOG sur un niveau de priorité SYSLOG, tel que info ou notice :

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info

    -A INPUT -i eth0 --dport 31337 -j DROP

  7. Configurez un préfixe de journal pour identifier le comportement de la règle. Définissez le paramètre de préfixe du journal sur :

    Q1Target=<rule>

    Où <règle> est l'une des actions de pare-feu IPtable suivantes: fw_accept, fw_drop, fw_rejectou fw_deny.

    Par exemple, si la règle qui est consignée par le pare-feu cible les événements supprimés, le paramètre de préfixe du journal est le suivant :

    Q1Target=fw_drop

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
    Remarque: Vous devez disposer d'un espace de fin avant le guillemet fermant.
  8. Sauvegardez le fichier et fermez-le.
  9. Redémarrez IPtables à l'aide de la commande suivante :

    /etc/init.d/iptables restart

  10. Ouvrez le fichier syslog.conf .
  11. Ajoutez la ligne suivante :

    kern.<log level>@<IP address>

    Où :

    • <niveau journal> est le niveau de journal précédemment défini.
    • <Adresse IP> est l'adresse IP de QRadar.
  12. Sauvegardez le fichier et fermez-le.
  13. Redémarrez le démon syslog à l'aide de la commande suivante :

    /etc/init.d/syslog restart

    Une fois le démon syslog redémarré, les événements sont transmis à QRadar. Les événements IPtable qui sont transférés à partir des serveurs Linux sont automatiquement reconnus et affichés dans l'onglet Activité du journal de QRadar.