Una cosa que us he comentat moltes vegades, és que em trobo en moltes organitzacions els firewalls a mig muntar, això és (entre d' altres), que no s' habiliten les regles que protegeixen la navegació de l' usuari final. O sigui, que es poden acabar descarregant virus i malware. Avui us proposo una merança amb Eicar i Centreon que al millor pot ajudar-nos.

Algo tan senzill como un script que execute Centreon, cada dia (per exemple), y que ese script trate de descargarse el archivo de test de virus de Eicar ¿Qué os sembla? I que si si se lo pot descargar nos fa una notificación de tipo Critical, y si no puede descargárselo (ya que el nostre tallafocs hauria de impedírselo), pues que sea un OK. Hoy en este post veremos esto, pero en altres post futuros otras proves que podremos hacer a nuestras reglas UTM de firewall.

#!/bin/bash

# URL del archivo EICAR
URL="https://secure.eicar.org/eicar.com.txt"

# Ruta donde se almacenará el archivo descargado
OUTPUT_FILE="/tmp/eicar.com.txt"

# Descarga el archivo EICAR
wget -q --spider $URL

# Verifica si se pudo descarregar l'archivo
if [ $? -eq 0 ]; then
 wget --no-check-certificate -q $URL -O $OUTPUT_FILE
 if [ -e $OUTPUT_FILE ]; then
 echo "CRITICAL: El archivo EICAR se ha descargado correctamente, revisa la seguretat de tu firewall."
        exit 2
    else
 echo "CRITICAL: No se pudo trobar el archivo descargado."
        exit 2
    fi
else
 echo "OK: No se pudo descargar el archivo EICAR, perfecte, tu firewall lo está bloqueando."
    exit 0
fi

Tan sencillo como crear este script '/usr/lib/centreon/plugins/check_utm_virus.sh’ amb el contingut següent.

Res, recordar hacerle executable (amb chmod +x). I ja, posteriorment serà el moment de dar de alta el Comando en Centreon, sin argumentos ni nada.

Y finalment crearemos el Servei associat al Comandament que acabamos de crear.

Quedando el següent resultat si el firewall nos protegit.

I aquest altre si ens descarreguen el fitxer, tendremos que posar manos a l'obra i assegurar mínimament l'organització, ¡qué es esto de que se puedan bajar virus los usuarios!

Si os parece interesante, en un futuro puedo hacer un post similar, pero que no sea sólo la máquina Centreon quien haga las pruebas, si no cada máquina Windows o Linux que tengamos en la organización. O, también se me ocurre otro checkeo distinto, que haga pruebas de conectividad a Internet y nos alerte de cuando tiene Internet un servidor (cuando no deberían de tener Internet), para que no se nos escapen.

Com sempre, esperando que os ayude y os inspire en ideas similares o lo que sea, si tenemos todo bien configuradito y mínimamente seguro, evitaremos muchos paros cardíacos en nuestra vida laboral. Que os vaya Muy bien, ser felices y comer perdices!