Uruchom oprogramowanie antywirusowe na serwerach DNS z systemem Linux. Czy jest sens?

40

Podczas ostatniego audytu poproszono nas o zainstalowanie oprogramowania antywirusowego na naszych serwerach DNS z systemem Linux (bind9). Serwery nie zostały naruszone podczas testów penetracyjnych, ale była to jedna z podanych rekomendacji.

  1. Zazwyczaj oprogramowanie antywirusowe Linux jest instalowane do skanowania ruchu przeznaczonego dla użytkowników, więc jaki jest cel instalacji programu antywirusowego na serwerze dns?

  2. Jakie jest twoje zdanie na temat wniosku?

  3. Czy faktycznie uruchamiasz oprogramowanie antywirusowe na swoich serwerach Linux?

  4. Jeśli tak, jakie oprogramowanie antywirusowe poleciłbyś lub którego obecnie używasz?

John Dimitriou
źródło
10
zainstalowałem program antywirusowy tylko na serwerach pocztowych Linux, aby skanować wirusa w załącznikach pocztowych, nie widzę sensu instalując programu antywirusowego na serwerze dns.
c4f4t0r
11
Tak, to nie ma sensu. Poproś firmę o wyjaśnienie tego zalecenia.
Michael Hampton
Jakie oprogramowanie antywirusowe chcesz zainstalować?
Matt
Kusiło mnie, by nazwać „przede wszystkim opartym na opiniach”, ponieważ uważam, że uzasadniony argument mógłby być sprzeczny z popularnymi dotychczas odpowiedziami. :)
Ryan Ries
1
Znaleźliśmy się w tej pozycji - nie tylko z DNS, ale ogólnie z serwerami Linux - i chociaż zgadzamy się z argumentem przeciwko, w końcu było to po prostu ćwiczenie polegające na zaznaczaniu pól, które zmęczyło nas walką. Dlatego uruchamiamy centralnie zarządzany program ESET Antivirus na wszystkich serwerach.
HTTP500

Odpowiedzi:

11

Jednym z aspektów tego jest to, że rekomendowanie „antywirusa” do wszystkiego jest bezpiecznym wyborem dla audytora.

Audyty bezpieczeństwa nie dotyczą wyłącznie faktycznego bezpieczeństwa technicznego. Często dotyczą one również ograniczenia odpowiedzialności w przypadku procesu.

Powiedzmy, że twoja firma została zhakowana i wniesiono przeciwko tobie pozew zbiorowy. Twoja konkretna odpowiedzialność może zostać zmniejszona na podstawie tego, jak dobrze przestrzegałeś standardów branżowych. Powiedzmy, że audytorzy nie zalecili AV na tym serwerze, więc go nie instalujesz.

Twoja obrona polega na tym, że postępujesz zgodnie z zaleceniami szanowanego audytora i przekazujesz pieniądze, że tak powiem. Nawiasem mówiąc, jest to PODSTAWOWY powód, dla którego korzystamy z zewnętrznych audytorów. Pamiętaj, że przeniesienie odpowiedzialności jest często zapisywane w umowie, którą podpisujesz z audytorami: jeśli nie zastosujesz się do ich zaleceń, wszystko zależy od ciebie.

Cóż, prawnicy zbadają następnie audytora jako ewentualnego współoskarżonego. W naszej hipotetycznej sytuacji fakt, że nie zalecili AV na konkretnym serwerze, będzie postrzegany jako niedokładny. Już samo to skrzywdziłoby ich podczas negocjacji, nawet gdyby nie miało to absolutnie żadnego wpływu na faktyczny atak.

Jedyną odpowiedzialnością fiskalną firmy audytorskiej jest posiadanie standardowej rekomendacji dla wszystkich serwerów, niezależnie od faktycznej powierzchni ataku. W tym przypadku AV na wszystko . Innymi słowy, zalecają młot kowalski, nawet jeśli skalpel jest technicznie lepszy ze względów prawnych.

Czy to ma sens techniczny? Zasadniczo nie, ponieważ zwykle zwiększa ryzyko. Czy ma to sens dla prawników, sędziego czy nawet przysięgłych? Absolutnie nie są technicznie kompetentni i niezdolni do zrozumienia niuansów. Dlatego musisz się dostosować.

@ewwhite zalecił rozmowę na ten temat z audytorem. Myślę, że to zła ścieżka. Zamiast tego powinieneś porozmawiać z prawnikiem swojej firmy, aby uzyskać ich opinię na temat nieprzestrzegania tych próśb.

Nie ja
źródło
2
Oto dlaczego jesteśmy powstrzymywani. A / working / AV w większości przypadków stanowi niewielką obronę dla serwera Linux, ponieważ tak naprawdę broni tylko przypadku użycia go do dystrybucji złośliwego oprogramowania.
joshudson
5
Jeśli korzystasz z zahartowanej maszyny, AV prawdopodobnie będzie jedynym oprogramowaniem zainstalowanym na serwerze, które ma wbudowane backdoor, tj. Autoupdater. Ponadto, jeśli uda się sprawić, aby wszystkie odpowiednie magazyny były tylko do odczytu, AV będzie jedynym oprogramowaniem wymagającym dostępu do zapisu w celu aktualizacji jego podpisu.
Lie Ryan,
1
Nie mogę zgodzić się z tym, że nie rozmawiam z audytorami. Audytorzy popełniają błędy częściej, niż chcą to przyznać. Nie ma nic złego w osiągnięciu wzajemnego zrozumienia, że ​​audytor popełnił błąd - wystarczy upewnić się, że potwierdzenie jest jednoznaczne.
Andrew B
1
@AndrewB: Nie sądzę, żebym mówił NIGDY nie rozmawiać z audytorami. Najlepszym sposobem jest rozmowa z przedstawicielami prawnymi PRZED tym. Firma musi w pełni zrozumieć ryzyko negocjacji z audytorami, zanim spróbuje pójść tą drogą.
NotMe
31

Czasami audytorzy są idiotami ...

Jest to jednak rzadka prośba. Odrzuciłbym zalecenie audytorów, zabezpieczając / ograniczając dostęp do serwerów, dodając IDS lub monitorowanie integralności plików lub wzmacniając bezpieczeństwo w innym miejscu w twoim środowisku. Antywirus nie ma tu żadnych zalet.

Edytować:

Jak zauważono w komentarzach poniżej, byłem zaangażowany w uruchomienie bardzo głośnej witryny tutaj w Stanach Zjednoczonych i byłem odpowiedzialny za zaprojektowanie referencyjnej architektury Linuksa pod kątem zgodności z HIPAA.

Kiedy kwestia antywirusa pojawiła się w dyskusji, zalecamy ClamAV i zaporę aplikacji do przetwarzania zgłoszeń od użytkowników końcowych, ale udało nam się uniknąć AV na wszystkich systemach poprzez wdrożenie kontroli kompensujących ( IDS innych firm , rejestrowanie sesji, audyt, zdalny syslog, uwierzytelnianie dwuskładnikowe do sieci VPN i serwerów, monitorowanie integralności plików AIDE, szyfrowanie DB innych firm, zwariowane struktury systemu plików itp . ) . Zostały one uznane przez audytorów za możliwe do zaakceptowania i wszystko zostało zatwierdzone.

ewwhite
źródło
2
+1. Istnieje wiele rzeczy, w których możesz wydawać zasoby: czas, pieniądze i energia, które zapewniają zwrot Twojej firmie. Być może jeden z audytorów przeczytał o zatruciu DNS i uważa, że ​​jest to lekarstwo. Zwrot z tego jest znikomy.
Jim Mcnamara,
Wszystko to jest już na miejscu: mechanizmy monitorowania wydajności, IPS, zapora sieciowa i oczywiście iptables na serwerze.
John Dimitriou,
@JohnDimitriou Zatem jesteś w doskonałej formie. Zalecenie dotyczące programu antywirusowego jest nieco dziwne. Poproś audytorów o wyjaśnienie.
ewwhite
1
@ChrisLively Ten wpadł podczas projektowaniu dość wysokim profilu środowiska byłem w pracy w ubiegłym roku. Skończyliśmy z ClamAV w systemach, w których akceptujemy dane przesłane przez użytkowników. Unikaliśmy jednak AV w innych systemach Linux, przedstawiając nasze kontrole kompensacyjne i osiągając porozumienie z audytorami.
ewwhite
Powiedziałbym, że dopóki wykażesz, że „wystarczająco ograniczyłeś ryzyko”, a audytorzy faktycznie podpisują się, że się zgadzają, wówczas odpowiedzialność prawna jest prawdopodobnie zaspokojona. Oczywiście jestem pewien, że umowy i inne przepisy dotyczące tego konkretnego środowiska mogą uczynić go nieco wyjątkowym.
NotMe
17

Pierwszą rzeczą, którą musisz zrozumieć o audytorach, jest to, że mogą oni nic nie wiedzieć o tym, jak technologia ta jest wykorzystywana w prawdziwym świecie.

Istnieje wiele luk w zabezpieczeniach DNS i problemów, które należy rozwiązać podczas audytu. Nigdy nie dojdą do prawdziwych problemów, jeśli rozproszą ich jasne błyszczące obiekty, takie jak pole wyboru „program antywirusowy na serwerze DNS”.

Greg Askew
źródło
10

Typowe współczesne oprogramowanie antywirusowe dokładniej próbuje znaleźć złośliwe oprogramowanie i nie ogranicza się tylko do wirusów. W zależności od faktycznej implementacji serwera (dedykowane urządzenie dedykowane do usługi, pojemnik we wspólnym urządzeniu, dodatkowa usługa na „jedynym serwerze”) prawdopodobnie nie jest złym pomysłem mieć coś takiego jak ClamAV lub LMD (Linux Malware Detect) zainstalowane i przeprowadzać dodatkowe skanowanie co noc.

Gdy zostaniesz zapytany podczas audytu, wybierz dokładnie wymaganie i zapoznaj się z dołączonymi informacjami. Dlaczego: zbyt wielu audytorów nie czyta pełnego wymogu, nie zna kontekstu i wskazówek.

Jako przykład, PCIDSS stwierdza jako „wymaganie, aby wdrożyć oprogramowanie antywirusowe na wszystkich systemach zwykle dotkniętych złośliwym oprogramowaniem”.

Wnikliwa kolumna ze wskazówkami PCIDSS wyraźnie stwierdza, że ​​komputery mainframe, komputery średniego zasięgu i podobne systemy nie są obecnie często atakowane lub narażone na szkodliwe oprogramowanie, ale należy monitorować aktualny poziom zagrożenia, być świadomym aktualizacji bezpieczeństwa dostawcy i wdrażać środki w celu rozwiązania problemu nowych zabezpieczeń podatności (nie tylko na złośliwe oprogramowanie).

Dlatego po wskazaniu listy około 50 wirusów systemu Linux z http://en.wikipedia.org/wiki/Linux_malware w porównaniu z milionami znanych wirusów dla innych systemów operacyjnych łatwo jest argumentować, że nie ma to wpływu na serwer Linux . „Najbardziej podstawowy zestaw reguł” z https://wiki.ubuntu.com/BasicSecurity jest również interesującym wskaźnikiem dla większości audytorów skupionych na Windowsie.

Alerty apticron o oczekujących aktualizacjach bezpieczeństwa i uruchamianiu sprawdzania integralności, takich jak AIDE lub Samhain, mogą dokładniej reagować na rzeczywiste ryzyko niż standardowy skaner antywirusowy. Może to również przekonać audytora, że ​​nie wprowadza ryzyka instalowania niepotrzebnego oprogramowania (co zapewnia ograniczoną korzyść, może stanowić ryzyko dla bezpieczeństwa lub po prostu ulec awarii).

Jeśli to nie pomoże: instalacja clamav jako codziennej pracy z cronjob nie zaszkodzi tak bardzo jak innym programom.

znanyepfchendruecker
źródło
7

Serwery DNS stały się popularne w tym roku wśród audytorów PCI.

Ważną rzeczą do rozpoznania jest to, że chociaż serwery DNS nie obsługują poufnych danych, obsługują one środowiska, które to robią. W związku z tym audytorzy zaczynają oznaczać te urządzenia jako „obsługujące PCI”, podobnie jak serwery NTP. Audytorzy zwykle stosują inny zestaw wymagań w środowiskach obsługujących PCI niż w samych środowiskach PCI.

Chciałbym porozmawiać z audytorami i poprosić ich o wyjaśnienie różnicy w ich wymaganiach między obsługą PCI i obsługą PCI, aby upewnić się, że wymóg ten nie przypadkowo się wkradł. Musieliśmy się upewnić, że nasze serwery DNS spełniają wytyczne dotyczące hartowania podobne do środowisk PCI, ale program antywirusowy nie był jednym z wymagań, które musieliśmy spełnić.

Andrew B.
źródło
2

Mogła to być reakcja gwałtownego uderzenia kolanem w wulgarne uderzenie wulgarne, sugerowano w Internecie, że może to mieć wpływ na wiązanie.

EDYCJA: Nie jestem pewien, czy kiedykolwiek zostało to udowodnione lub potwierdzone.

D Whyte
źródło
11
Które, co dziwne, oprogramowanie antywirusowe nie byłoby pomocne.
Bert
@Bert antywirus nie może wykryć podatnego basha?
Basilevs,
shellshock został już załatany i serwery pomyślnie przeszły testy
John Dimitriou,
Hej ... Nie mówię, że to pomoże, mówię tylko, że prawdopodobnie to, co uważali za pomocne.
D Whyte,
2

Jeśli twoje serwery DNS wchodzą w zakres PCI DSS, możesz zostać zmuszony do uruchomienia AV na nich (nawet jeśli w większości przypadków jest to po prostu głupie). Używamy ClamAV.

Brian Knoblauch
źródło
1

Jeśli chodzi o zgodność z SOX, mówią ci, aby zainstalować program antywirusowy, najprawdopodobniej, ponieważ gdzieś masz zasady, które mówią, że wszystkie serwery muszą mieć zainstalowany program antywirusowy. A ten nie.

Napisz wyjątek do zasad dla tego serwera lub zainstaluj AV.

królikarnia
źródło
1

Istnieją dwa główne rodzaje serwerów DNS: autorytatywne i rekurencyjne. Autorytatywny serwer DNS mówi światu, co adresy IP powinny być stosowane do każdego hosta w domenie. Ostatnio stało się możliwe powiązanie innych danych z nazwą, takich jak zasady filtrowania wiadomości e-mail (SPF) i certyfikaty kryptograficzne (DANE). Rezolwer lub rekurencyjne serwer DNS, wyszukuje informacje związane z nazwami domen, używając serwerów głównych ( .), aby znaleźć serwery rejestru ( .com), stosując te znaleźć serwerów autorytatywnych domen ( serverfault.com), a na końcu przy użyciu tych znaleźć nazwy hostów ( serverfault.com, meta.serverfault.com, itp.).

Nie widzę, jak „antywirus” byłby odpowiedni dla autorytatywnego serwera. Ale praktyczny „program antywirusowy” dla resolvera wymagałby blokowania wyszukiwania domen związanych z dystrybucją lub dowodzeniem i kontrolą złośliwego oprogramowania. Google dns block malwarelub dns sinkholeprzyniósł kilka wyników, które mogą pomóc Ci chronić swoją sieć, chroniąc jej przeliczniki. To nie jest ten sam rodzaj antywirusa, który byłby uruchamiany na komputerze klienckim / stacjonarnym, ale zaproponowanie go stronie odpowiedzialnej za wymóg „antywirusowy” może dać odpowiedź, która pomoże lepiej zrozumieć naturę wymagania „antywirusowego” .

Powiązane pytania na innych stronach Stack Exchange:

Damian Yerrick
źródło
Jak opisujesz program antywirusowy? Brzmi jak skrzyżowanie filtra antyspamowego z zaporą ogniową. Dla mnie to tak, jakby powiedzieć, że iptables to oprogramowanie antywirusowe.
Patrick M
-2

Lepiej uruchomić Tripwire lub AIDE

cod3fr3ak
źródło