
Monitoritzant les regles UTM del nostre firewall gràcies a Eicar i Centreon
Una cosa que us he comentat moltes vegades, és que em trobo en moltes organitzacions els firewalls a mig muntar, això és (entre d' altres), que no s' habiliten les regles que protegeixen la navegació de l' usuari final. O sigui, que es poden acabar descarregant virus i malware. Avui us proposo una merança amb Eicar i Centreon que al millor pot ajudar-nos.
Algo tan sencillo como un script que ejecute Centreon, cada día (per exemple), y que ese script trate de descargarse el archivo de test de virus de Eicar ¿Qué os parece? Y que si se lo puede descargar nos haga una notificación de tipo Critical, y si no puede descargárselo (ya que nuestro firewall debería de impedírselo), pues que sea un OK. Hoy en este post veremos esto, pero en otros post futuros otras pruebas que podremos hacer a nuestras reglas UTM de firewall.
#!/bin/bash # URL del archivo EICAR URL="https://secure.eicar.org/eicar.com.txt" # Ruta donde se almacenará el archivo descargado OUTPUT_FILE="/tmp/eicar.com.txt" # Descarga el archivo EICAR wget -q --spider $URL # Verifica si se pudo descargar el archivo if [ $? -eq 0 ]; then wget --no-check-certificate -q $URL -O $OUTPUT_FILE if [ -e $OUTPUT_FILE ]; then echo "CRITICAL: El archivo EICAR se ha descargado correctamente, revisa la seguridad de tu firewall." exit 2 else echo "CRITICAL: No se pudo encontrar el archivo descargado." exit 2 fi else echo "OK: No se pudo descargar el archivo EICAR, perfecte, tu firewall lo está bloqueando." exit 0 fi
Tan sencillo como crear este script ‘/usr/lib/centreon/plugins/check_utm_virus.sh’ amb el contingut següent.
Res, recordar hacerle ejecutable (con chmod +x). I ja, posteriormente será el momento de dar de alta el Comando en Centreon, sin argumentos ni nada.
Y finalmente crearemos el Servicio asociado al Comando que acabamos de crear.
Quedando el siguiente resultado si el firewall nos protege.
Y este otro si nos descarga el fichero, tendremos que ponernos manos a la obra y securizar minimamente la organización, ¡qué es esto de que se puedan bajar virus los usuarios!
Si os parece interesante, en un futuro puedo hacer un post similar, pero que no sea sólo la máquina Centreon quien haga las pruebas, si no cada máquina Windows o Linux que tengamos en la organización. O, también se me ocurre otro checkeo distinto, que haga pruebas de conectividad a Internet y nos alerte de cuando tiene Internet un servidor (cuando no deberían de tener Internet), para que no se nos escapen.
Com sempre, esperando que os ayude y os inspire en ideas similares o lo que sea, si tenemos todo bien configuradito y mínimamente seguro, evitaremos muchos paros cardíacos en nuestra vida laboral. Que os vaya Muy bien, ser felices y comer perdices!