Monitorizando las reglas UTM de nuestro firewall gracias a Eicar y Centreon
Algo que os he comentado muchas veces, es que me encuentro en muchas organizaciones los firewalls a medio montar, esto es (entre otras), que no se habilitan las reglas que protegen la navegación del usuario final. O sea, que se pueden acabar descargando virus y malware. Hoy os propongo una mezcolanza con Eicar y Centreon que a lo mejor puede ayudarnos.
Algo tan sencillo como un script que ejecute Centreon, cada día (por ejemplo), y que ese script trate de descargarse el archivo de test de virus de Eicar ¿Qué os parece? Y que si se lo puede descargar nos haga una notificación de tipo Critical, y si no puede descargárselo (ya que nuestro firewall debería de impedírselo), pues que sea un OK. Hoy en este post veremos esto, pero en otros post futuros otras pruebas que podremos hacer a nuestras reglas UTM de firewall.
#!/bin/bash # URL del archivo EICAR URL="https://secure.eicar.org/eicar.com.txt" # Ruta donde se almacenará el archivo descargado OUTPUT_FILE="/tmp/eicar.com.txt" # Descarga el archivo EICAR wget -q --spider $URL # Verifica si se pudo descargar el archivo if [ $? -eq 0 ]; then wget --no-check-certificate -q $URL -O $OUTPUT_FILE if [ -e $OUTPUT_FILE ]; then echo "CRITICAL: El archivo EICAR se ha descargado correctamente, revisa la seguridad de tu firewall." exit 2 else echo "CRITICAL: No se pudo encontrar el archivo descargado." exit 2 fi else echo "OK: No se pudo descargar el archivo EICAR, perfecto, tu firewall lo está bloqueando." exit 0 fi
Tan sencillo como crear este script ‘/usr/lib/centreon/plugins/check_utm_virus.sh’ con el siguiente contenido.
Nada, recordar hacerle ejecutable (con chmod +x). Y ya, posteriormente será el momento de dar de alta el Comando en Centreon, sin argumentos ni nada.
Y finalmente crearemos el Servicio asociado al Comando que acabamos de crear.
Quedando el siguiente resultado si el firewall nos protege.
Y este otro si nos descarga el fichero, tendremos que ponernos manos a la obra y securizar minimamente la organización, ¡qué es esto de que se puedan bajar virus los usuarios!
Si os parece interesante, en un futuro puedo hacer un post similar, pero que no sea sólo la máquina Centreon quien haga las pruebas, si no cada máquina Windows o Linux que tengamos en la organización. O, también se me ocurre otro checkeo distinto, que haga pruebas de conectividad a Internet y nos alerte de cuando tiene Internet un servidor (cuando no deberían de tener Internet), para que no se nos escapen.
Como siempre, esperando que os ayude y os inspire en ideas similares o lo que sea, si tenemos todo bien configuradito y mínimamente seguro, evitaremos muchos paros cardíacos en nuestra vida laboral. Que os vaya Muy bien, ser felices y comer perdices!