IPtables 는 트래픽을 라우팅하기 위해 Linux® 커널 방화벽에서 규칙을 작성하는 데 사용되는 강력한 도구입니다.
이 태스크에 대한 정보
IPtables를 구성하려면 기존 규칙을 검사하고 이벤트를 로그하도록 규칙을 수정하고 IBM
QRadar로 식별할 수 있는 IPtables 규칙에 로그 ID를 지정해야 합니다. 이 프로세스는 QRadar에 의해 로그되는 규칙을 판별하는 데 사용됩니다. QRadar 는 이벤트 페이로드에서 허용, 삭제, 거부 또는 거부라는 단어를 포함하는 모든 로그된 이벤트를 포함합니다.
프로시저
- SSH를 사용하여 Linux Server에 root 사용자로 로그인하십시오.
- 다음 디렉토리에서 IPtables 파일을 편집하십시오.
/etc/iptables.conf
주: IPtables 규칙을 포함하는 파일은 구성 중인 특정 Linux 운영 체제에 따라 다를 수 있습니다. 예를 들어, Red Hat Enterprise를 사용하는 시스템에서는 /etc/sysconfig/iptables 디렉토리에 해당 파일이 있습니다. IPtables구성에 대한 자세한 정보는 Linux 운영 체제 문서 를 참조하십시오.
- 로그할 IPtables 규칙을 판별하려면 파일을 검토하십시오.
예를 들어, 항목에 의해 정의되는 규칙을 로그하려면 다음을 사용하십시오.
-A INPUT -i eth0 --dport 31337 -j DROP
- 일치하는 규칙을 로그하려는 각 규칙 바로 앞에 삽입하십시오.
-A INPUT -i eth0 --dport 31337 -j DROP
-A INPUT -i eth0 --dport 31337 -j DROP
- 새 규칙의 대상을 로그하려는 각 규칙의 LOG로 업데이트하십시오. 예를 들면, 다음과 같습니다.
-A INPUT -i eth0 --dport 31337 -j LOG
-A INPUT -i eth0 --dport 31337 -j DROP
- LOG 대상의 로그 레벨을 SYSLOG
우선순위 레벨(예: 정보 또는 알림)로 설정하십시오.
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info
-A INPUT -i eth0 --dport 31337 -j DROP
- 규칙 작동을 식별하도록 긴 접두어를 구성하십시오. 긴 접두어 매개변수를 다음과 같이 설정하십시오.
Q1Target=<rule>
여기서 <rule> 은 IPtable 방화벽 조치 fw_accept, fw_drop, fw_reject또는 fw_deny중 하나입니다.
예를 들어, 방화벽 대상으로 로그된 규칙이 이벤트를 삭제한 경우 이 로그 접두어 설정은 다음과 같습니다.
Q1Target=fw_drop
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
주: 닫는 따옴표 앞에 후미 공백이 있어야 합니다.
- 파일을 저장하고 종료하십시오.
- 다음 명령을 사용하여 IPtables를 다시 시작하십시오.
/etc/init.d/iptables restart
- syslog.conf 파일을 여십시오.
- 다음 행을 추가하십시오.
kern.<log level>@<IP
address>
여기서,
- <log level> 은 이전에 설정된 로그 레벨입니다.
- <IP address> 는 QRadar의 IP 주소입니다.
- 파일을 저장하고 종료하십시오.
- 다음 명령을 사용하여 syslog 디먼을 다시 시작하십시오.
/etc/init.d/syslog restart
syslog 디먼이 다시 시작되면 이벤트가 QRadar로 전달됩니다. Linux 서버에서 전달되는 IPtable 이벤트는 자동으로 감지되어 QRadar의 로그 보기 탭에 표시됩니다.