Frage Führen Sie Antivirus-Software auf Linux-DNS-Servern aus. Macht das Sinn?


Während einer kürzlichen Prüfung wurden wir aufgefordert, Antiviren-Software auf unseren DNS-Servern zu installieren, auf denen linux (bind9) läuft. Die Server wurden während der Penetrationstests nicht kompromittiert, aber dies war eine der Empfehlungen.

  1. Normalerweise wird Linux-Antivirus-Software installiert, um den Verkehr zu scannen für Benutzer bestimmt, was ist das Ziel, Antivirus auf einem DNS zu installieren Server?

  2. Was ist Ihre Meinung zu dem Vorschlag?

  3. Führen Sie auf Ihren Linux-Servern tatsächlich Antivirensoftware aus?

  4. Wenn ja, welche Antivirensoftware würden Sie empfehlen oder Sie sind derzeit verwenden?


38
2017-11-09 17:15


Ursprung


Ich habe nur Antivirenprogramme auf Linux-Mail-Servern installiert, um Viren in Mail-Anhängen zu scannen, ich sehe keinen Sinn bei der Installation von Antivirus auf DNS-Server. - c4f4t0r
Ja, das macht keinen Sinn. Bitten Sie das Unternehmen, diese Empfehlung zu klären. - Michael Hampton♦
Welche Antivirensoftware soll sie installieren? - Matt
Ich bin versucht, "primär auf Meinungsbildung" zu sprechen, weil ich der Meinung bin, dass ein rechtmäßiger Fall im Gegensatz zu den populären Antworten bisher gemacht werden kann. :) - Ryan Ries
Wir befanden uns in dieser Position - nicht speziell bei DNS, sondern bei Linux-Servern im Allgemeinen - und obwohl wir dem Argument widersprechen, war es am Ende nur eine Box-tickende Übung, die wir des Kampfes satt hatten. Daher führen wir zentral verwaltete ESET Antivirus auf allen Servern aus. - HTTP500


Antworten:


Ein Aspekt davon ist, dass "Anti-Virus" empfohlen wird alles ist eine sichere Sache für den Auditor.

Bei Sicherheitsaudits geht es nicht ausschließlich um die tatsächliche technische Sicherheit. Oft geht es auch darum, die Haftung im Falle eines Rechtsstreits zu begrenzen.

Nehmen wir an, Ihre Firma wurde gehackt und eine Sammelklage wurde gegen Sie eingereicht. Ihre spezifische Haftung kann gemindert werden, je nachdem, wie gut Sie Industriestandards befolgt haben. Sagen wir, die Prüfer haben es getan nicht Empfehlen Sie AV auf diesem Server, damit Sie es nicht installieren.

Ihre Verteidigung darin ist, dass Sie die Empfehlungen eines respektierten Prüfers befolgten und den Dollar sozusagen weitergeben. Übrigens, das ist der Hauptgrund, warum wir externe Auditoren einsetzen. Beachten Sie, dass die Verschiebung der Haftung oft in den Vertrag geschrieben wird, den Sie mit den Auditoren unterzeichnen: Wenn Sie ihren Empfehlungen nicht folgen, liegt alles an Ihnen.

Nun, die Anwälte werden den Auditor als möglichen Mitangeklagten untersuchen. In unserer hypothetischen Situation wird die Tatsache, dass sie AV auf einem bestimmten Server nicht empfohlen haben, als nicht gründlich betrachtet. Das allein würde ihnen in den Verhandlungen schaden, auch wenn es für den eigentlichen Angriff absolut nichts bedeutete.

Das einzige steuerlich Verantwortliche für eine Wirtschaftsprüfungsgesellschaft ist eine Standardempfehlung für alle Server unabhängig von der tatsächlichen Angriffsfläche. In diesem Fall AV eingeschaltet alles. Mit anderen Worten, sie empfehlen einen Vorschlaghammer auch dann, wenn ein Skalpell aus rechtlichen Gründen technisch überlegen ist.

Macht es technischen Sinn? Generell nein, da es normalerweise das Risiko erhöht. Macht es Sinn für Anwälte, einen Richter oder sogar eine Jury? Absolut, sie sind technisch nicht kompetent und unfähig, die Nuancen zu verstehen. Deshalb müssen Sie einhalten.

@ewhite hat empfohlen, dass Sie mit dem Auditor darüber sprechen. Ich denke, das ist der falsche Weg. Stattdessen sollten Sie mit dem Anwalt Ihres Unternehmens sprechen, um sich dazu zu äußern nicht nach diesen Anfragen.


11
2017-11-11 15:21



Siehe, warum wir zurückgehalten werden. A / Working / AV ist in den meisten Fällen eine kleine Verteidigung für einen Linux-Server, da es nur den Fall verteidigt, dass jemand es benutzt, um Malware zu verbreiten. - joshudson
Wenn Sie auf einer gehärteten Maschine sind, wird wahrscheinlich eine AV die einzige auf dem Server installierte Software sein, die eine eingebaute Hintertür, d.h. einen Autoupdater, aufweist. Wenn Sie es außerdem schaffen, alle relevanten Speichermedien schreibgeschützt zu machen, ist der AV die einzige Software, die Schreibzugriff benötigt, um ihre Signatur zu aktualisieren. - Lie Ryan
Ich kann dem nicht zustimmen, wenn ich nicht mit Auditoren spreche. Prüfer machen häufiger Fehler, als sie gerne zugeben. Es ist nichts Falsches daran, ein gegenseitiges Verständnis dafür zu entwickeln, dass der Auditor einen Fehler gemacht hat - stellen Sie nur sicher, dass die Bestätigung eindeutig ist. - Andrew B
@AndrewB: Ich glaube nicht, dass ich gesagt habe, NIE mit den Auditoren zu sprechen. Vielmehr wäre eine vorherige Diskussion mit Ihren gesetzlichen Vertretern die beste Vorgehensweise. Das Unternehmen muss das Risiko, mit den Prüfern zu verhandeln, vollständig verstehen, bevor es versucht, diesen Weg einzuschlagen. - NotMe


Manchmal sind Auditoren Idioten ...

Dies ist jedoch eine ungewöhnliche Anfrage. Ich würde der Empfehlung des Auditors entgegenwirken, indem ich den Zugriff auf die Server absichern oder einschränken, eine IDS- oder Dateiintegritätsüberwachung hinzufügen oder die Sicherheit an anderer Stelle in Ihrer Umgebung erhöhen würde. Antivirus hat hier keinen Vorteil.

Bearbeiten:

Wie in den Kommentaren unten erwähnt, war ich in den Start eines sehr beteiligt hochkarätige Website hier in den USA, und war verantwortlich für die Gestaltung der Linux-Referenzarchitektur für HIPAA-Compliance.

Als die Frage von Antivirus zur Diskussion kam, empfahlen wir ClamAV und eine Anwendungsfirewall, um Übergaben von Endbenutzern zu verarbeiten, aber schafften es, AV auf allen Systemen durch Implementierung zu vermeiden kompensierende Kontrollen  (Drittanbieter-IDS, Sitzungsprotokollierung, Auditd, Remote-Syslog, Zwei-Faktor-Auth zu den VPN und Servern, AIDE-Dateiintegritätsüberwachung, 3rd-Party-DB-Verschlüsselung, verrückte Dateisystemstrukturen, usw.). Diese wurden von den Wirtschaftsprüfern als akzeptabel erachtet, und alle wurden genehmigt.


32
2017-11-09 17:37



+1. Es gibt viele Dinge, in denen Sie Ressourcen ausgeben können: Zeit, Geld und Energie, die Ihrem Unternehmen zugute kommen. Vielleicht liest einer der Prüfer über DNS-Vergiftung und hält dies für ein Heilmittel. Die Rendite ist vernachlässigbar. - jim mcnamara
All dies sind bereits vorhanden: Leistungsüberwachungsmechanismen, IPS, Netzwerk-Firewall und natürlich Iptables auf dem Server. - John Dimitriou
@ JohnDimitriou Dann bist du in ausgezeichneter Form. Die Antivirus-Empfehlung ist ein bisschen seltsam. Bitten Sie die Auditoren, zu klären. - ewwhite
@ChrisLively Das kam beim Design eines etwas  hohes Profil Umgebung, an der ich letztes Jahr gearbeitet habe. Am Ende haben wir ClamAV auf Systemen erhalten, auf denen wir von Benutzern eingereichte Daten akzeptieren. Wir haben jedoch AV auf anderen Linux-Systemen gemieden, indem wir unsere kompensierende Kontrollen und eine Einigung mit den Wirtschaftsprüfern erzielen. - ewwhite
Ich würde sagen, solange Sie gezeigt haben, dass Sie das Risiko "ausreichend gemildert haben" und die Auditoren tatsächlich abschreiben, dass sie zustimmen, dann ist die gesetzliche Haftung wahrscheinlich zufrieden. Natürlich bin ich sicher, dass die Verträge und andere Gesetze, die diese spezielle Umgebung umgeben, es vielleicht ein bisschen einzigartig machen. - NotMe


Das erste, was Sie über Auditoren wissen müssen, ist, dass sie möglicherweise nichts darüber wissen, wie die Technologie in der realen Welt eingesetzt wird.

Es gibt viele DNS-Sicherheitslücken und Probleme, die bei einer Prüfung behoben werden sollten. Sie werden nie zu den wirklichen Problemen kommen, wenn sie von hell leuchtenden Objekten wie "Antiviren auf einem DNS-Server" abgelenkt werden.


17
2017-11-09 17:51





Eine typische moderne Antivirensoftware versucht genauer, Malware zu finden und ist nicht nur auf Viren beschränkt. Abhängig von der tatsächlichen Implementierung eines Servers (dedizierte Box für einen dedizierten Dienst, Container in einer gemeinsam genutzten Box, zusätzlicher Dienst auf "dem einzigen Server") ist es wahrscheinlich keine schlechte Idee, etwas wie ClamAV oder LMD (Linux Malware Detect) zu haben. installiert und einige zusätzliche Scan jeden Abend oder so.

Wenn Sie in einem Audit gefragt werden, wählen Sie bitte die genaue Anforderung und schauen Sie sich die begleitenden Informationen an. Warum: Zu viele Auditoren lesen nicht die gesamte Anforderung, sind sich der Kontext- und Beratungsinformationen nicht bewusst.

Als ein Beispiel gibt PCIDSS an, dass "Antivirussoftware auf allen Systemen, die üblicherweise von schädlicher Software betroffen sind, bereitgestellt wird".

Die aufschlussreiche PCIDSS-Guidance-Spalte gibt ausdrücklich an, dass Mainframes, Midrange-Computer und ähnliche Systeme derzeit möglicherweise nicht von Malware angegriffen oder angegriffen werden, aber man sollte den aktuellen Bedrohungsgrad überwachen, Sicherheitsupdates des Anbieters beachten und neue Sicherheitsmaßnahmen ergreifen Sicherheitslücken (nicht auf Malware beschränkt).

Also nach dem Hinweis auf die Liste von rund 50 Linux-Viren aus http://en.wikipedia.org/wiki/Linux_malware Im Vergleich zu den Millionen von bekannten Viren für andere Betriebssysteme ist es einfach, einen Linux-Server nicht zu argumentieren häufig betroffen. Das "grundlegendste Regelwerk" von https://wiki.ubuntu.com/BasicSecurity sind auch ein interessanter Hinweis für die meisten Windows-fokussierten Auditoren.

Und Ihre apticron-Warnungen bei ausstehenden Sicherheitsupdates und laufenden Integritätsprüfungen wie AIDE oder Samhain können die tatsächlichen Risiken genauer adressieren als ein Standard-Virenscanner. Dies kann Ihren Auditor auch davon überzeugen, das Risiko der Installation einer ansonsten nicht benötigten Software (die einen begrenzten Nutzen bietet, ein Sicherheitsrisiko darstellt oder einfach kaputt gehen kann) nicht einzuführen.

Wenn das nicht hilft: clamav als täglichen Cronjob zu installieren, tut nicht so weh wie andere Software.


10
2017-11-10 16:02





DNS-Server sind in diesem Jahr bei PCI-Auditoren beliebt geworden.

Die wichtigste Sache zu erkennen ist, dass während DNS-Server dies nicht tun Griff sensible Daten, sie Unterstützung Ihre Umgebungen, die das tun. Daher beginnen die Prüfer damit, diese Geräte ähnlich wie NTP-Server als "PCI-unterstützend" zu kennzeichnen. Auditoren wenden in der Regel unterschiedliche Anforderungen an PCI-Unterstützungsumgebungen an, als dies bei den PCI-Umgebungen selbst der Fall ist.

Ich würde mit den Auditoren sprechen und sie bitten, den Unterschied in ihren Anforderungen zwischen PCI- und PCI-Support zu klären, um sicherzustellen, dass diese Anforderung sich nicht versehentlich eingeschlichen hat. Wir mussten sicherstellen, dass unsere DNS-Server ähnliche Hardening-Richtlinien erfüllten zu den PCI-Umgebungen, aber Antivirus war keine der Anforderungen, denen wir gegenüberstanden.


7
2017-11-10 16:25





Dies könnte eine reflexartige Reaktion auf die Shellshock Bash vuln gewesen sein, es wurde online vorgeschlagen, dass die Bindung beeinflusst werden könnte.

EDIT: Nicht sicher, dass es jemals bewiesen oder bestätigt wurde.


2
2017-11-09 17:58



Wobei, seltsamerweise Antivirensoftware, keine Hilfe sein würde. - Bert
@Bert kann Antivirenprogramm keine anfällige bash erkennen? - Basilevs
Shellshock wurde bereits gepatcht und Server haben die Tests erfolgreich bestanden - John Dimitriou
Hey ... ich sage nicht, dass es helfen wird, ich sage nur, dass es wahrscheinlich das ist, was sie als hilfreich angesehen haben. - D Whyte


Wenn Ihre DNS-Server in den PCI DSS-Bereich fallen, werden Sie möglicherweise gezwungen, AV auf ihnen auszuführen (auch wenn es in den meisten Fällen völlig albern ist). Wir verwenden ClamAV.


2
2017-11-10 16:23





Wenn dies SOX-konform ist, werden Sie wahrscheinlich aufgefordert, Antivirus zu installieren, da Sie irgendwo eine Richtlinie haben, nach der auf allen Servern Antivirus installiert sein muss. Und das tut es nicht.

Schreiben Sie entweder eine Ausnahme für die Richtlinie für diesen Server oder installieren Sie AV.


1
2017-11-10 21:25





Es gibt zwei Hauptarten von DNS-Servern: autoritativ und rekursiv. Ein autoritativ Der DNS-Server teilt der Welt mit, welche IP-Adressen für jeden Hostnamen innerhalb einer Domäne verwendet werden sollen. In letzter Zeit ist es möglich, andere Daten mit einem Namen zu verknüpfen, beispielsweise mit E-Mail-Filterrichtlinien (SPF) und kryptografischen Zertifikaten (DANE). EIN Resolver, oder rekursiv Der DNS-Server sucht Informationen zu Domänennamen mithilfe der Stammserver (.) um Registry-Server zu finden (.com), um die autoritativen Server der Domains zu finden (serverfault.com) und schließlich mit diesen Hostnamen (serverfault.com, meta.serverfault.com, usw.).

Ich kann nicht sehen, wie "Antivirus" für einen autoritativen Server geeignet wäre. Ein praktisches "Antivirus" für einen Resolver würde jedoch das Blockieren der Suche nach Domänen, die mit der Verteilung oder der Steuerung und Kontrolle von Malware verbunden sind, beinhalten. Google dns block malware oder dns sinkhole brachte einige Ergebnisse, die Ihnen helfen könnten, Ihr Netzwerk zu schützen, indem Sie seine Resolver schützen. Dies ist nicht die gleiche Art von Antivirenprogramm, die Sie auf einem Client / Desktop-Computer ausführen würden, aber wenn Sie es der für die "Antivirus" -Anforderung verantwortlichen Partei vorschlagen, wird möglicherweise eine Antwort angezeigt, die Ihnen hilft, die Art der "Antivirus" -Anforderung besser zu verstehen .

Verwandte Fragen auf anderen Stack Exchange-Sites:


1
2017-11-10 23:46



Wie beschreiben Sie einen Antivirus? Es klingt wie eine Kreuzung zwischen einem Anti-Spam-Filter und einer Firewall. Für mich ist das, als würde ich sagen, iptables ist eine Anti-Virus-Software. - Patrick M


Besser Tripwire oder AIDE


-2
2017-11-12 07:13