Запустіть антивірусне програмне забезпечення на серверах Linux DNS. Чи має сенс?


40

Під час недавнього аудиту нам було запропоновано встановити антивірусне програмне забезпечення на наші сервери DNS, на яких працює Linux (bind9). Під час тестування на проникнення сервери не піддавалися збиткові, але це була одна з наведених рекомендацій.

  1. Зазвичай антивірусне програмне забезпечення Linux встановлюється для сканування трафіку, призначеного для користувачів, тож яка мета встановити антивірус на dns-сервері?

  2. Яка ваша думка щодо пропозиції?

  3. Ви справді запускаєте антивірусне програмне забезпечення на своїх Linux серверах?

  4. Якщо так, то яке антивірусне програмне забезпечення ви б порекомендували або зараз використовуєте?


10
я встановив антивірус лише на поштових серверах Linux, для сканування вірусів у вкладеннях пошти, я не бачу сенсу встановлювати антивірус на dns-сервері.
c4f4t0r

11
Так, це не має ніякого сенсу. Попросіть компанію уточнити цю рекомендацію.
Майкл Хемптон

Яке саме антивірусне програмне забезпечення вони хочуть встановити?
Метт

Спокусився зателефонувати "В основному на основі думки", тому що я вважаю, що правомірна справа може бути протилежна популярним досі відповідям. :)
Ryan Ries

1
Ми опинилися в такому положенні - не конкретно з DNS, а взагалі Linux-серверами - і хоча ми погоджуємось з аргументом проти, врешті-решт це було лише вправу, що тикало, що нам набридло битися. Тож ми запускаємо антивірус ESET з централізованим управлінням на всіх серверах.
HTTP500

Відповіді:


11

Одним з аспектів цього є те, що рекомендувати аудитору рекомендувати "антивірус" бути усім .

Аудити безпеки не стосуються фактично технічної безпеки. Часто вони також стосуються обмеження відповідальності у випадку позову.

Скажімо, вашу компанію зламали, і проти вас було порушено позов про позовні дії. Ваша конкретна відповідальність може бути пом’якшена, виходячи з того, наскільки добре ви дотримувались галузевих стандартів. Скажімо, аудитори не рекомендували AV на цьому сервері, тому ви не встановлюєте його.

Ваш захист у цьому полягає в тому, що ви дотримувались рекомендацій шановного аудитора і передавали долар так би мовити. До речі, це ОСНОВНА причина, по якій ми використовуємо сторонніх аудиторів. Зауважте, що перекладання відповідальності часто записується в контракт, який ви підписуєте з аудиторами: якщо ви не будете дотримуватися їхніх рекомендацій, все залежить від вас.

Ну а тоді адвокати розслідуватимуть аудитора як можливого співвідповідача. У нашій гіпотетичній ситуації той факт, що вони не рекомендували AV на певному сервері, вважатиметься не ретельним. Це одне зашкодило б їм у переговорах, навіть якщо б це абсолютно не стосувалося фактичної атаки.

Єдина фіскально відповідальна річ, яку повинна зробити аудиторська компанія, - це мати стандартну рекомендацію для всіх серверів незалежно від фактичної поверхні атаки. У цьому випадку AV на все . Іншими словами, вони рекомендують кувалду навіть у тому випадку, коли скальпель технічно перевершує через юридичні міркування.

Чи має це технічний сенс? Як правило, ні, як це зазвичай збільшує ризик. Чи має сенс адвокати, суддя чи навіть присяжні? Абсолютно, вони не є технічно компетентними та нездатними зрозуміти нюанси. Ось чому потрібно виконувати.

@ewwhite рекомендував поговорити з аудитором про це. Я думаю, що це неправильний шлях. Натомість вам слід поговорити з адвокатом вашої компанії, щоб отримати їх думку щодо невідповідності цих прохань.


2
Ось чому нас стримують. A / working / AV - це захист для Linux-сервера в більшості випадків, оскільки він захищає лише той, хто використовує його для розповсюдження шкідливих програм.
joshudson

5
Якщо ви перебуваєте на загартованій машині, AV, ймовірно, буде єдиним програмним забезпеченням, встановленим на сервері, яке має вбудовану задню панель, тобто автодоповнювач. Крім того, якщо вам вдасться зробити всі відповідні сховища лише для читання, AV буде єдиним програмним забезпеченням, яке потребує доступу для запису для оновлення свого підпису.
Лі Лі Раян

1
Я не можу погодитися з тим, що я не розмовляю з аудиторами. Аудитори роблять помилки частіше, ніж хочуть визнавати. Немає нічого поганого в тому, щоб досягти взаєморозуміння, що аудитор допустив помилку - просто переконайтеся, що підтвердження є однозначним.
Андрій Б

1
@AndrewB: Я не думаю, що я говорив НІКОЛИ не говорити з аудиторами. Швидше, обговорення з вашими юридичними представниками ПЕРЕДМОВА, що було б найкращим способом. Компанії потрібно повністю зрозуміти ризик переговорів з аудиторами, перш ніж намагатися піти на цей шлях.
NotMe

31

Іноді аудитори - ідіоти ...

Це, однак, нечасте прохання. Я б протидіяв рекомендаціям аудиторів, забезпечуючи / обмежуючи доступ до серверів, додаючи IDS або моніторинг цілісності файлів або посилюючи безпеку в інших місцях вашого оточення. Антивірус тут не має ніякої користі.

Редагувати:

Як зазначалося в коментарях нижче, я брав участь у відкритті дуже гучного веб-сайту тут, у США, і відповідав за розробку довідкової архітектури Linux для відповідності HIPAA.

Коли питання щодо антивірусу вийшло на обговорення, ми рекомендували ClamAV та брандмауер додатків обробляти подання кінцевими користувачами, але нам вдалося уникнути наявності АВ у всіх системах, застосовуючи компенсуючі керування ( сторонні IDS , реєстрація сеансу, аудит, віддалений системний журнал, двофакторне аутентифікація до VPN та серверів, моніторинг цілісності файлів AIDE, стороннє шифрування БД, шалені структури файлової системи тощо) . Аудитори визнали їх прийнятними, і все було схвалено.


2
+1. Є багато речей, на які можна витратити ресурси: час, гроші та енергію, які забезпечують повернення вашої компанії. Можливо, один з аудиторів прочитав про отруєння DNS і вважає, що це є ліком. Рентабельність цього незначна.
jim mcnamara

Все це вже є: механізми контролю продуктивності, IPS, мережевий брандмауер та звичайно iptables на сервері.
Джон Димитріу

@JohnDimitriou Тоді ви в чудовій формі. Рекомендація щодо антивірусу трохи дивна. Попросіть аудиторів уточнити.
ewwhite

1
@ChrisLively Це сталося під час проектування в кілька високого профілю середовища я працював в минулому році. Ми закінчилися з ClamAV в системах, де ми приймали представлені користувачем дані. Однак ми уникали AV в інших системах Linux, окреслюючи наші компенсаційні засоби управління та домовляючись з аудиторами.
ewwhite

Я б сказав, що поки ви показали, що ви "достатньо пом’якшили ризик" і аудитори фактично підписують свою згоду, то юридична відповідальність, ймовірно, виконується. Звичайно, я впевнений, що договори та інші закони, що стосуються конкретного середовища, можуть зробити його трохи унікальним.
NotMe

17

Перше, що вам потрібно зрозуміти про аудиторів, це те, що вони можуть нічого не знати про те, як застосовується технологія в реальному світі.

Існує велика кількість вразливих місць безпеки DNS та проблем, які слід вирішити під час аудиту. Вони ніколи не дійдуть до справжніх проблем, якщо відволікатимуться на яскраві блискучі об'єкти, такі як прапорець "антивірус на сервері DNS".


10

Типове сучасне антивірусне програмне забезпечення робить більш точну спробу пошуку зловмисного програмного забезпечення та не обмежується лише вірусами. Залежно від реальної реалізації сервера (виділене поле для спеціальної служби, контейнер на спільному вікні, додаткова послуга на "єдиному сервері"), мабуть, не погана ідея мати щось на кшталт ClamAV або LMD (Linux Malware Detect) встановити та виконувати додаткову перевірку щовечора або близько того.

На запит аудиту, будь ласка, виберіть точну вимогу та ознайомтесь із супровідною інформацією. Чому: занадто багато аудиторів не читають повну вимогу, не знають про контекст та інформацію щодо керівництва.

Наприклад, PCIDSS вказує на вимогу "розгортати антивірусне програмне забезпечення у всіх системах, на які зазвичай впливає шкідливе програмне забезпечення".

Проникливий стовпчик керівництва PCIDSS конкретно визначає основні рамки, комп'ютери середнього класу та подібні системи, на даний момент, можливо, не націлюються на них або впливають зловмисне програмне забезпечення, але слід контролювати поточний фактичний рівень загрози, бути в курсі оновлень безпеки постачальника та вживати заходів щодо вирішення нової безпеки вразливості (не обмежуються зловмисним програмним забезпеченням).

Тож після вказівки на список близько 50 вірусів Linux від http://en.wikipedia.org/wiki/Linux_malware порівняно з мільйонами відомих вірусів для інших операційних систем, легко аргументувати Linux-сервер, щоб не постраждати. . "Основний набір правил" від https://wiki.ubuntu.com/BasicSecurity також є цікавим покажчиком для більшості аудиторів, орієнтованих на Windows.

А ваші apticron-сповіщення про очікувані оновлення безпеки та запуску перевірок цілісності, такі як AIDE або Samhain, можуть більш точно вирішити фактичні ризики, ніж звичайний сканер вірусів. Це також може переконати аудитора у тому, що він не вводить ризик встановлення іншим чином непотрібного програмного забезпечення (яке надає обмежену вигоду, може спричинити загрозу безпеці або просто зламати).

Якщо це не допомагає: встановлення clamav як щоденного cronjob не шкодить так само, як інші програмні засоби.


7

Цього року сервери DNS стали популярними серед аудиторів PCI.

Важливо визнати, що хоча DNS-сервери не обробляють конфіденційні дані, вони підтримують ваше середовище. Таким чином, аудитори починають позначати ці пристрої як "PCI, що підтримуються", подібно до серверів NTP. Аудитори зазвичай застосовують інший набір вимог до середовищ, що підтримують PCI, ніж самі середовища PCI.

Я хотів би поговорити з аудиторами і попросити їх роз'яснити різницю в їхніх вимогах між підтримкою PCI та PCI, просто щоб переконатися, що ця вимога випадково не прокралась. Нам потрібно було переконатися, що наші сервери DNS відповідають правилам загартовування схожим до середовища PCI, але антивірус не був однією з вимог, з якими ми стикалися.


2

Це могло бути реакцією на коліна на вулкан, який вважає, що це може вплинути на зв'язок.

EDIT: Не впевнений, що це колись було доведено чи підтверджено.


11
Яке, як не дивно, антивірусне програмне забезпечення не допоможе.
Берт

@Bert не може антивірус виявити вразливий удар?
Василевс

оболонка вже була виправлена, і сервери успішно пройшли тести
Джон Димитріу

Гей ... я не кажу, що це допоможе, я просто кажу, що це, мабуть, те, що вони вважали корисним.
D Whyte

2

Якщо ваші DNS-сервери потрапляють у сферу PCI DSS, можливо, ви змушені будете запускати AV на них (хоча в більшості випадків це абсолютно нерозумно). Ми використовуємо ClamAV.


1

Якщо це відповідність SOX, вони, швидше за все, говорять про встановлення антивірусу, оскільки десь у вас є політика, яка говорить про те, що на всіх серверах має бути встановлено антивірус. А цей ні.

Або напишіть виняток з політики цього сервера або встановіть AV.


1

Існує два основних види серверів DNS: авторитетний та рекурсивний. Авторитетний сервер DNS повідомляє світ , що IP - адреса має використовуватися для кожного хоста в домені. Останнім часом стало можливим асоціювати інші дані з іменем, наприклад, політику фільтрації електронної пошти (SPF) та криптографічні сертифікати (DANE). Розпізнавач або рекурсивний сервер DNS, шукає інформацію , пов'язану з доменними іменами, використовуючи кореневі сервери ( .) для пошуку серверів в реєстрі ( .com), використовуючи ті , щоб знайти авторитетні сервера вивільнюваних доменів ( serverfault.com), і , нарешті , з допомогою тих , щоб знайти імена хостів ( serverfault.com, meta.serverfault.com, тощо).

Я не бачу, як «антивірус» підходив би для авторитетного сервера. Але практичний «антивірус» для резолюції передбачає блокування пошуку доменів, пов’язаних з розповсюдженням, командою та керуванням шкідливим програмним забезпеченням. Google dns block malwareабо dns sinkholeприніс декілька результатів, які можуть допомогти вам захистити вашу мережу, захистивши її роздільники. Це не той самий антивірус, який ви запускали на клієнтському / настільному верстаті, але пропонування його стороні, відповідальній за вимогу "антивірус", може дати відповідь, яка допоможе вам краще зрозуміти природу вимоги "антивірус". .

Пов’язані запитання на інших сайтах Stack Exchange:


Як ви описуєте антивірус? Це звучить як перехрестя між фільтром проти спаму та брандмауером. Для мене це як би сказати, що iptables - це антивірусне програмне забезпечення.
Патрік М

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.