Configurazione di IPtables

IPtables è un potente strumento, che viene utilizzato per creare regole sul firewall kernel Linux® per il traffico di instradamento.

Informazioni su questa attività

Per configurare IPtables, devi esaminare le regole esistenti, modificare la regola per registrare l'evento e assegnare un identificatore di log alla regola IPtables che può essere identificata da IBM QRadar. Questo processo viene utilizzato per determinare quali regole vengono registrate da QRadar. QRadar include tutti gli eventi registrati che includono le parole: accept, drop, reject o deny nel payload dell'evento.

Procedura

  1. Utilizzando SSH, accedere al server Linux come utente root.
  2. Modificare il file IPtables nella seguente directory:

    /etc/iptables.conf

    Nota: il file contenente le regole IPtables può variare in base allo specifico sistema operativo Linux che si sta configurando. Ad esempio, un sistema che utilizza Red Hat Enterprise ha il file nella directory /etc/sysconfig/iptables . Consultare la documentazione del sistema operativoLinux per ulteriori informazioni sulla configurazione di IPtables.
  3. Esaminare il file per determinare la regola IPtables che si desidera registrare.

    Ad esempio, se si desidera registrare la regola definita dalla voce, utilizzare:

    -A INPUT -i eth0 --dport 31337 -j DROP

  4. Inserire una regola corrispondente immediatamente prima di ciascuna regola che si desidera registrare:

    -A INPUT -i eth0 --dport 31337 -j DROP

    -A INPUT -i eth0 --dport 31337 -j DROP

  5. Aggiornare la destinazione della nuova regola in LOG per ciascuna regola che si desidera registrare, ad esempio:

    -A INPUT -i eth0 --dport 31337 -j LOG

    -A INPUT -i eth0 --dport 31337 -j DROP

  6. Impostare il livello di log della destinazione LOG su un livello di priorità SYSLOG, ad esempio info o notice:

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info

    -A INPUT -i eth0 --dport 31337 -j DROP

  7. Configurare un prefisso di log per identificare il comportamento della regola. Impostare il parametro del prefisso di log su

    Q1Target=<rule>

    Dove <rule> è una delle seguenti azioni del firewall IPtable: fw_accept, fw_drop, fw_rejecto fw_deny.

    Ad esempio, se la regola registrata dal firewall indica che gli eventi sono stati eliminati, l'impostazione del prefisso di log è:

    Q1Target=fw_drop

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
    Nota: è necessario avere uno spazio finale prima della virgoletta di chiusura.
  8. Salvare e chiudere il file.
  9. Riavviare IPtables utilizzando il seguente comando:

    /etc/init.d/iptables restart

  10. Aprire il file syslog.conf .
  11. Aggiungere la seguente linea:

    kern.<log level>@<IP address>

    Dove:

    • <livello di registrazione> è il livello di registrazione precedentemente impostato.
    • <Indirizzo IP> è l'indirizzo IP di QRadar.
  12. Salvare e chiudere il file.
  13. Riavviare il daemon syslog utilizzando il seguente comando:

    /etc/init.d/syslog restart

    Dopo il riavvio del daemon syslog, gli eventi vengono inoltrati a QRadar. Gli eventi IPtable inoltrati dai server Linux vengono automaticamente rilevati e visualizzati nella scheda Attività di log di QRadar.