L'accesso ai servizi di rete QRadar viene controllato prima sugli host con iptables. Le regole iptables vengono modificate e configurate in base ai requisiti della distribuzione. Le porte per la ricerca Ariel, lo streaming e le volte in cui si utilizza la crittografia (tunneling) possono aggiornare varie regole iptables.
Informazioni su questa attività
È possibile configurare e controllare le regole iptables per IPv4 e IPv6. La seguente procedura indica come è possibile ottimizzare manualmente le iptable.
Procedura
- Accedi a QRadar come utente root utilizzando SSH.
Accesso: <root>
Password: <password>
- Immettere il seguente comando per modificare il file iptables delle regole precedenti:
IPv4:
vi /opt/qradar/conf/iptables.pre
IPv6:
vi /opt/qradar/conf/ip6tables.pre
Viene visualizzato il file di configurazione iptables.pre .
- Immettere il seguente comando per modificare il file iptables delle post - regole:
IPv4:
vi /opt/qradar/conf/iptables.post
IPv6:
vi /opt/qradar/conf/ip6tables.post
Viene visualizzato il file di configurazione iptables.post .
- Aggiungere la seguente regola per QRadar per accedere a un numero di porta specifico, dove portnumber è il numero di porta:
Per accettare il traffico UDP per un input porta specifico:
-A INPUT -m udp -p udp --dport <portnumber> -j
ACCEPT
Per accettare il traffico TCP per un input porta specifico:
-A INPUT -m state --state NEW -m tcp -p tcp --dport <portnumber>
-j ACCEPT
- Salvare la configurazione iptables.
- Eseguire il seguente script per propagare le modifiche:
/opt/qradar/bin/iptables_update.pl
- Immettere i seguenti comandi per verificare la presenza di iptable esistenti:
IPv4:
iptables -L -n -v
IPv6:
ip6tables -L -n -v