Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

고급 Iptables 규칙 예시

Iptables 규칙을 구성하여 JSA에 대한 액세스를 더 잘 제어하고, 인바운드 데이터 소스를 제한하고, 트래픽을 리디렉션할 수 있습니다. 다음 예제는 iptable을 수동으로 조정하여 네트워크에 대한 더 나은 인사이트를 얻는 데 도움이 될 수 있습니다.

Iptable을 통한 SSH 액세스 차단

콘솔 및 관리되지 않는 호스트는 인바운드 요청에서 SSH를 허용합니다. 호스트가 구축에 추가되면 매니지드 호스트는 JSA 콘솔에서 SSH 액세스를 허용하고 콘솔은 인바운드 연결을 위해 포트 22를 열어 줍니다. 호스트의 iptables 규칙을 수정하여 포트 22에서 인바운드 연결을 제한할 수 있습니다.

콘솔의 다른 매니지드 호스트에서 SSH 액세스를 차단할 수 있으며, 이는 암호화된 연결을 끊을 수 있습니다.

JSA Systems에 ICMP 활성화

/opt/qradar/conf/iptables.pre 파일에 다음 규칙을 추가하여 JSA 시스템에서 ping 응답을 활성화할 수 있습니다.

파일에서 항목을 생성하려면 다음 스크립트를 실행합니다 /etc/sysconfig/iptables .

참고:

필드를 추가하여 이 규칙을 특정 호스트로 제한할 -s source.ip.address 수 있습니다.

원치 않는 데이터 소스 차단

원본 디바이스를 비활성화하는 대신 로그 소스 또는 netflow 데이터 소스와 같은 데이터 소스를 잠시 차단할 수 있습니다. 특정 호스트를 차단하려면 /opt/qradar/conf/iptables.pre에 다음과 유사한 항목을 추가할 수 있습니다.

라우터에서 넷플로우를 차단합니다.

-입력 -p udp -s <IP Address> --dport 2055 -j REJECT

다른 소스에서 syslog를 차단합니다.

-입력 -p tcp-s <IP Address> --dport 514 -j REJECT -A INPUT -p udp-s <IP Address> --dport 514 -j REJECT

특정 서브넷에서 syslog를 차단합니다.

-입력 -p tcp-s <IP Address> --dport 514 -j REJECT -A input -p udp -s <IP Address> --dport 514 -j REJECT

Syslog 포트로 Iptables 리디렉션

비표준 포트의 syslog 트래픽을 JSA 이벤트 컬렉터의 포트 514로 리디렉션할 수 있습니다. 다음 단계를 사용하면 iptables 규칙을 사용하여 대체 포트를 이벤트 컬렉터의 514로 다시 리디렉션할 수 있습니다.

  1. /etc/sysctl.conf 파일에서 다음 줄을 추가하거나 업데이트하여 Linux 커널에서 NAT 옵션을 활성화합니다.

    참고:

    NAT 규칙을 변경하려면 서비스를 다시 시작해야 할 수도 있습니다.

  2. 현재 활성 커널에서 ipforwarding을 활성화합니다.

  3. /opt/qradar/conf/iptables-nat.post 다음 줄을 추가합니다. <>로portnumber 리디렉션할 포트 번호를 입력합니다.

    -사전 라우팅 -p udp --dport <portnumber> -j REDIRECT --to-ports 514 -A PREROUTING -p tcp --dport <portnumber> -j REDIRECT --to-ports 514

  4. iptable을 재구축하려면 다음 명령을 입력합니다.

    /opt/qradar/bin/iptables_update.pl

  5. 다음 명령을 입력하여 리디렉션을 확인합니다.

    iptables -nvL-t nat

    다음 코드는 출력이 어떻게 보이는지에 대한 예입니다.

    Chain PREROUTING (policy ACCEPT 140 packets, 8794 bytes) pkts bytes target prot opt in out source destination 0 0 REDIRECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:10529 redir ports 514 0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10529 redir ports 514 Chain POSTROUTING (policy ACCEPT 207 packets, 25772 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 207 packets, 25772 bytes) pkts bytes target prot opt in out source destination

인바운드 Syslog 트래픽 리디렉션

JSA 콘솔을 syslog 메시지 게이트웨이로 사용하여 iptable에서 규칙을 구성하여 인바운드 이벤트를 리디렉션할 수 있습니다.

  1. 이벤트 수집기에서 로그 소스에 대한 포워딩 규칙을 활성화합니다.

  2. TCP syslog의 포워딩 대상을 포트 7780의 콘솔 IP 주소로 설정합니다.

  3. 콘솔의 명령줄에서 다음 iptables 규칙을 추가하여 다른 호스트로 리디렉션합니다.

    iptables -I 출력 --src 0/0 --dst 153.2.200.80 -p tcp --dport 7780 -j REDIRECT --to-port 514

Iptables 규칙 구성

JSA 네트워크 서비스에 대한 액세스는 iptable을 사용하여 호스트에서 먼저 제어됩니다. iptables 규칙은 구축 요구 사항에 따라 조정 및 구성됩니다. 암호화(터널링)를 사용할 때 Ariel 검색, 스트리밍 및 시간을 위한 포트는 다양한 iptables 규칙을 업데이트할 수 있습니다.

IPv4 및 IPv6의 iptables 규칙을 구성하고 확인할 수 있습니다. 다음 절차는 iptable을 수동으로 조정할 수 있는 방법을 나타냅니다.

  1. SSH를 사용하여 JSA 에 루트 사용자로 로그인합니다.

    로그인: <root>

    암호: <password>

  2. 사전 규칙 iptables 파일을 편집하려면 다음 명령을 입력합니다.

    IPv4:

    vi /opt/qradar/conf/iptables.pre

    IPv6:

    vi /opt/qradar/conf/ip6tables.pre

    iptables.pre 구성 파일이 표시됩니다.

  3. 다음 명령을 입력하여 포스트 규칙 iptables 파일을 편집합니다.

    IPv4:

    vi /opt/qradar/conf/iptables.post

    IPv6:

    vi /opt/qradar/conf/ip6tables.post

    iptables.post 구성 파일이 표시됩니다.

  4. JSA가 특정 포트 번호에 액세스하도록 다음 규칙을 추가합니다. 여기서 포트 번호는 다음과 portnumber 입니다.

    특정 포트 입력에 대해 UDP 트래픽을 수락하려면 다음을 수행합니다.

    -A INPUT -m udp -p udp --dport <portnumber> -j ACCEPT

    특정 포트 입력에 대해 TCP 트래픽을 수락하려면 다음을 수행합니다.

    -A INPUT -m state --state NEW -m tcp -p tcp --dport <portnumber> -j ACCEPT

  5. iptables 구성을 저장합니다.

  6. 다음 스크립트를 실행하여 변경 사항을 전파합니다.

    /opt/qradar/bin/iptables_update.pl

  7. 기존 iptable을 확인하기 위해 다음 명령을 입력합니다.

    IPv4:

    iptables -L -n -v

    IPv6:

    ip6tables -L -n -v

관련 문서