高度な iptables ルールの例

QRadarへのアクセスの制御、インバウンド・データ・ソースの制限、およびトラフィックのリダイレクトを向上させるために、iptables ルールを構成できます。 以下の例では、iptables を手動で調整することで、ご使用のネットワークに対するより深い洞察を得られます。

iptables での SSH へのアクセスのブロック

コンソールおよび非管理対象ホストは、すべてのインバウンド要求の SSH を許可します。 ホストがデプロイメントに追加されると、管理対象ホストは、 QRadar Consoleからの SSH アクセスを許可し、コンソールはインバウンド接続用にポート 22 をオープンします。 ポート 22 のインバウンド接続を制限するには、ホストの iptables ルールを変更します。

暗号化された接続を切断する可能性のある他の管理対象ホストからの SSH アクセスをコンソールでブロックできます。

-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.41 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.59 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -j DROP

QRadar システムに対する ICMP の使用可能化

/opt/qradar/conf/iptables.pre ファイルに以下のルールを追加することにより、 QRadar システムから ping 応答を使用可能にすることができます。

-A INPUT -p icmp -j ACCEPT

以下のスクリプトを実行して、/etc/sysconfig/iptables ファイル内にエントリーを作成します。

重要: -s source.ip.address フィールドを追加することにより、このルールを特定のホストに制限できます。

不要なデータ・ソースのブロック

ログ・ソースまたは netflow データ・ソースなどのデータ・ソースを、元のデバイスを無効にするのではなく、短時間ブロックできます。 特定のホストをブロックするために、以下のような項目を /opt/qradar/conf/iptables.preに追加することができます。

ルーターからの netflow をブロックする場合:
-A INPUT -p udp -s <IP Address> --dport 2055 -j REJECT
別のソースからの Syslog をブロックする場合:

-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT
特定のサブネットからの Syslog をブロックする場合:

-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT

Syslog ポートへの iptables のリダイレクト

非標準ポートの syslog トラフィックを、 QRadar イベント・コレクターのポート 514 にリダイレクトできます。 以下のステップを使用して、 イベント・コレクター上の 514 に代替ポートをリダイレクトする iptables ルールを有効にすることができます。

  1. /etc/sysctl.conf ファイル内の以下の行を追加または更新して、 Linux カーネルの NAT オプションを有効にします。
    net.ipv4.ip_forward = 1
    注: NAT ルールに対する変更を有効にするには、サービスの再始動が必要になる場合があります。
  2. 現在のアクティブなカーネルで IP フォワードを有効にします。
    echo 1 > /proc/sys/net/ipv4/ip_forward
  3. 以下の行を /opt/qradar/conf/iptables-nat.post ファイルに追加します。 <ポート番号>としてリダイレクトさせたいポート番号を入力します。
    -A PREROUTING -p udp --dport <portnumber> -j REDIRECT --to-ports 514
    -A PREROUTING -p tcp --dport <portnumber> -j REDIRECT --to-ports 514 
  4. 以下のコマンドを入力して iptables を再作成します。
    /opt/qradar/bin/iptables_update.pl
  5. 以下のコマンドを入力してリダイレクトを検証します。
    iptables -nvL -t nat

    以下のコードは出力の表示例です。

    Chain PREROUTING (policy ACCEPT 140 packets, 8794 bytes) pkts bytes target prot opt in out source destination 0 0 REDIRECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:10529 redir ports 514 0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10529 redir ports 514 Chain POSTROUTING (policy ACCEPT 207 packets, 25772 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 207 packets, 25772 bytes) pkts bytes target prot opt in out source destination

インバウンド Syslog トラフィックのリダイレクト

QRadar Console を syslog メッセージ・ゲートウェイとして使用して、iptables でルールを構成することにより、インバウンド・イベントをリダイレクトできます。

  1. イベント・コレクターでログ・ソースの転送ルールを有効にします。
  2. TCP Syslog の宛先転送をポート 7780 のコンソール IP アドレスに設定します。
  3. コンソールのコマンド・ラインで、別のホストにリダイレクトするための以下の iptables ルールを追加します。
     iptables -I OUTPUT --src 0/0 --dst 153.2.200.80 -p 
    tcp --dport 7780 -j REDIRECT --to-ports 514