Algo que já vos disse muitas vezes, é que eu encontro em muitas organizações firewalls semi-montados, Isso é (entre outros), que as regras que protegem a navegação do utilizador final não estão ativadas. Isto é, que vírus e malware podem acabar sendo baixados. Hoje proponho uma miscelânea com Eicar e Centreon que talvez possa nos ajudar.

Algo tan sencillo como un script que ejecute Centreon, cada día (Por exemplo), y que ese script trate de descargarse el archivo de test de virus de Eicar ¿Qué os parece? Y que si se lo puede descargar nos haga una notificación de tipo Critical, y si no puede descargárselo (ya que nuestro firewall debería de impedírselo), pues que sea un OK. Hoy en este post veremos esto, pero en otros post futuros otras pruebas que podremos hacer a nuestras reglas UTM de firewall.

#!/bin/bash

# URL del archivo EICAR
URL="https (em inglês)://secure.eicar.org/eicar.com.txt"

# Ruta donde se almacenará el archivo descargado
OUTPUT_FILE="/tmp/eicar.com.txt"

# Descarga el archivo EICAR
wget -q --spider $URL

# Verifica si se pudo descargar el archivo
if [ $? -eq 0 ]; then
    wget --no-check-certificate -q $URL -O $OUTPUT_FILE
    if [ -e $OUTPUT_FILE ]; then
        echo "CRÍTICO: El archivo EICAR se ha descargado correctamente, revisa la seguridad de tu firewall."
        sair 2
    else
        echo "CRÍTICO: No se pudo encontrar el archivo descargado."
        sair 2
    fi
else
    echo "OKEY: No se pudo descargar el archivo EICAR, perfeito, tu firewall lo está bloqueando."
    sair 0
Fi

Tan sencillo como crear este script ‘/usr/lib/centreon/plugins/check_utm_virus.sh’ com o siguiente contenido.

Nada, recordar hacerle ejecutable (con chmod +x). E é isso, posteriormente será el momento de dar de alta el Comando en Centreon, sin argumentos ni nada.

Y finalmente crearemos el Servicio asociado al Comando que acabamos de crear.

Quedando el siguiente resultado si el firewall nos protege.

Y este otro si nos descarga el fichero, tendremos que ponernos manos a la obra y securizar minimamente la organización, ¡qué es esto de que se puedan bajar virus los usuarios!

Si os parece interesante, en un futuro puedo hacer un post similar, pero que no sea sólo la máquina Centreon quien haga las pruebas, si no cada máquina Windows o Linux que tengamos en la organización. Ou, también se me ocurre otro checkeo distinto, que haga pruebas de conectividad a Internet y nos alerte de cuando tiene Internet un servidor (cuando no deberían de tener Internet), para que no se nos escapen.

Como de costume, esperando que os ayude y os inspire en ideas similares o lo que sea, si tenemos todo bien configuradito y mínimamente seguro, evitaremos muchos paros cardíacos en nuestra vida laboral. Que os vaya Muy bien, ser felices y comer perdices!