Führen Sie Antivirensoftware auf Linux-DNS-Servern aus. Macht das Sinn?

40

Bei einem kürzlich durchgeführten Audit wurden wir aufgefordert, Antivirensoftware auf unseren DNS-Servern zu installieren, auf denen Linux (bind9) ausgeführt wird. Die Server wurden beim Penetrationstest nicht beeinträchtigt, dies war jedoch eine der Empfehlungen.

  1. Normalerweise wird eine Linux-Antivirensoftware installiert, um den für Benutzer bestimmten Datenverkehr zu scannen. Was ist also das Ziel, um Antivirus auf einem DNS-Server zu installieren?

  2. Wie ist Ihre Meinung zu dem Vorschlag?

  3. Führen Sie tatsächlich Antivirensoftware auf Ihren Linux-Servern aus?

  4. Wenn ja, welche Antivirensoftware würden Sie empfehlen oder verwenden Sie derzeit?

John Dimitriou
quelle
10
Ich habe nur Antivirus auf Linux-Mail-Servern installiert, um Viren in Mail-Anhängen zu scannen. Ich sehe keinen Sinn darin, Antivirus auf einem DNS-Server zu installieren.
c4f4t0r
11
Ja, das ergibt keinen Sinn. Bitten Sie das Unternehmen, diese Empfehlung zu präzisieren.
Michael Hampton
Welche Antivirensoftware sollen Sie installieren?
Matt
Ich bin versucht, "primär meinungsbasiert" zu nennen, weil ich der Meinung bin, dass ein legitimer Fall gegen die bisherigen Antworten der Bevölkerung vorgebracht werden könnte. :)
Ryan Ries
1
Wir befanden uns in dieser Position - nicht speziell mit DNS, sondern mit Linux-Servern im Allgemeinen - und obwohl wir dem Argument dagegen zustimmen, war es am Ende nur eine Kästchenübung, die wir des Kämpfens überdrüssig wurden. Daher führen wir ESET Antivirus zentral auf allen Servern aus.
HTTP500

Antworten:

11

Ein Aspekt davon ist, dass es für den Auditor eine sichere Sache ist, "Antivirus" zu empfehlen, um auf alles zu achten.

Bei Sicherheitsaudits geht es nicht nur um die tatsächliche technische Sicherheit. Oft geht es auch darum, die Haftung im Streitfall einzuschränken.

Angenommen, Ihr Unternehmen wurde gehackt und eine Sammelklage gegen Sie eingereicht. Ihre spezifische Haftung kann basierend darauf, wie gut Sie die Industriestandards eingehalten haben, gemindert werden. Angenommen, die Auditoren haben AV auf diesem Server nicht empfohlen, sodass Sie es nicht installieren.

Ihre Verteidigung dabei ist, dass Sie den Empfehlungen eines angesehenen Wirtschaftsprüfers gefolgt sind und sozusagen das Geld übergeben haben. Dies ist übrigens der primäre Grund, warum wir Auditoren von Drittanbietern einsetzen. Beachten Sie, dass eine Verlagerung der Haftung häufig in dem Vertrag vermerkt ist, den Sie mit Wirtschaftsprüfern unterzeichnen: Wenn Sie deren Empfehlungen nicht befolgen, liegt alles an Ihnen.

Nun, Anwälte werden dann den Wirtschaftsprüfer als möglichen Mitangeklagten untersuchen. In unserer hypothetischen Situation wird die Tatsache, dass AV auf einem bestimmten Server nicht empfohlen wurde, als nicht gründlich angesehen. Das allein würde sie in den Verhandlungen verletzen, selbst wenn es absolut keinen Einfluss auf den tatsächlichen Angriff hätte.

Die einzige steuerlich verantwortliche Aufgabe für eine Prüfgesellschaft besteht darin, eine Standardempfehlung für alle Server unabhängig von der tatsächlichen Angriffsfläche zu erstellen. In diesem Fall AV auf alles . Mit anderen Worten, sie empfehlen einen Vorschlaghammer, auch wenn ein Skalpell aus rechtlichen Gründen technisch überlegen ist.

Ist es technisch sinnvoll? Im Allgemeinen nein, da dies normalerweise das Risiko erhöht. Ist es sinnvoll, Anwälte, einen Richter oder sogar eine Jury? Sie sind absolut nicht technisch kompetent und nicht in der Lage, die Nuancen zu verstehen. Welches ist, warum Sie einhalten müssen.

@ewwhite empfahl Ihnen, mit dem Abschlussprüfer darüber zu sprechen. Ich denke, das ist der falsche Weg. Sie sollten stattdessen mit dem Anwalt Ihres Unternehmens sprechen, um die Meinung zu erfahren, dass diese Anfragen nicht befolgt werden.

Nicht ich
quelle
2
Siehe, warum wir zurückgehalten werden. A / working / AV ist für einen Linux-Server in den meisten Fällen nur eine geringe Verteidigung, da es wirklich nur den Fall verteidigt, dass jemand es verwendet, um Malware zu verbreiten.
Joshudson
5
Wenn Sie sich auf einem gehärteten Computer befinden, ist wahrscheinlich ein AV die einzige auf dem Server installierte Software, die über eine integrierte Hintertür verfügt, dh über einen Autoupdater. Wenn Sie alle relevanten Speicher nur lesbar machen, ist der AV die einzige Software, die Schreibzugriff zum Aktualisieren ihrer Signatur benötigt.
Lie Ryan
1
Ich kann mich nicht damit einverstanden erklären, nicht mit Wirtschaftsprüfern zu sprechen. Prüfer machen häufiger Fehler, als sie zugeben möchten. Es ist nichts Falsches daran, einvernehmlich zu verstehen, dass der Prüfer einen Fehler begangen hat - stellen Sie nur sicher, dass die Bestätigung eindeutig ist.
Andrew B
1
@ AndrewB: Ich glaube nicht, dass ich NIE gesagt habe, um mit den Wirtschaftsprüfern zu sprechen. Eine Besprechung mit Ihren gesetzlichen Vertretern wäre der beste Weg, um fortzufahren. Das Unternehmen muss das Risiko von Verhandlungen mit den Wirtschaftsprüfern vollständig verstehen, bevor es diesen Weg beschreitet.
NotMe
31

Manchmal sind Auditoren Idioten ...

Dies ist jedoch eine ungewöhnliche Bitte. Ich würde der Empfehlung des Prüfers widersprechen, indem ich den Zugriff auf Server sichere / einschränke, eine IDS- oder Dateiintegritätsüberwachung hinzufüge oder die Sicherheit an anderer Stelle in Ihrer Umgebung stärke. Antivirus hat hier keinen Nutzen.

Bearbeiten:

Wie in den Kommentaren unten erwähnt, war ich am Start einer sehr bekannten Website hier in den USA beteiligt und für das Entwerfen der Linux-Referenzarchitektur für die Einhaltung von HIPAA verantwortlich.

Als das Thema Antivirus zur Diskussion stand, empfahlen wir ClamAV und eine Anwendungsfirewall, um Beiträge von Endbenutzern zu verarbeiten. Es gelang uns jedoch, durch die Implementierung von Kompensationskontrollen ( Drittanbieter-IDS , Sitzungsprotokollierung, Prüfung, Remote-Syslog, Zwei-Faktor-Authentifizierung für VPN und Server, Überwachung der AIDE-Dateiintegrität, DB-Verschlüsselung von Drittanbietern, verrückte Dateisystemstrukturen usw.) . Diese wurden von der Revisionsstelle als akzeptabel erachtet und alles wurde genehmigt.

ewwhite
quelle
2
+1. Es gibt viele Dinge, in die Sie Ressourcen investieren können: Zeit, Geld und Energie, die Ihrem Unternehmen eine Rendite bringen. Vielleicht lesen die Prüfer etwas über DNS-Vergiftungen und halten dies für eine Heilung. Die Rendite ist vernachlässigbar.
Jim Mcnamara
All dies ist bereits vorhanden: Leistungsüberwachungsmechanismen, IPS, Netzwerk-Firewall und natürlich iptables auf dem Server.
John Dimitriou
@JohnDimitriou Dann bist du in hervorragender Verfassung. Die Antivirus-Empfehlung ist etwas seltsam. Bitten Sie die Prüfer, dies zu klären.
Ewwhite
1
@ChrisLively Dies ergab sich aus dem Entwurf einer etwas hochkarätigen Umgebung, an der ich letztes Jahr gearbeitet habe. Wir sind mit ClamAV auf Systemen gelandet, auf denen wir von Benutzern übermittelte Daten akzeptiert haben. Wir haben jedoch AV auf anderen Linux-Systemen vermieden, indem wir unsere Ausgleichskontrollen umrissen und mit den Prüfern eine Einigung erzielt haben.
ewwhite
Ich würde sagen, solange Sie gezeigt haben, dass Sie das Risiko "ausreichend gemindert" haben und die Prüfer tatsächlich unterschreiben, dass sie zustimmen, ist die rechtliche Haftung wahrscheinlich erfüllt. Ich bin mir natürlich sicher, dass die Verträge und andere Gesetze, die diese besondere Umgebung betreffen, sie ein bisschen einzigartig machen könnten.
NotMe
17

Das Erste, was Sie über Auditoren wissen müssen, ist, dass sie möglicherweise nichts darüber wissen, wie die Technologie im Anwendungsbereich in der realen Welt eingesetzt wird.

Es gibt viele DNS-Sicherheitslücken und -probleme, die bei einer Prüfung behoben werden sollten. Sie werden nie zu den eigentlichen Problemen kommen, wenn sie von hellen, glänzenden Objekten wie dem Kontrollkästchen "Antivirus auf einem DNS-Server" abgelenkt werden.

Greg Askew
quelle
10

Typische moderne Antivirensoftware versucht genauer, Malware zu finden, und ist nicht nur auf Viren beschränkt. Abhängig von der tatsächlichen Implementierung eines Servers (dedizierte Box für einen dedizierten Dienst, Container auf einer gemeinsam genutzten Box, zusätzlicher Dienst auf "dem einzigen Server") ist es wahrscheinlich keine schlechte Idee, so etwas wie ClamAV oder LMD (Linux Malware Detect) zu haben. installiert und führen Sie jeden Abend einen zusätzlichen Scan durch.

Wenn Sie in einem Audit gefragt werden, wählen Sie bitte die genaue Anforderung aus und werfen Sie einen Blick auf die begleitenden Informationen. Warum: Zu viele Prüfer lesen nicht die vollständigen Anforderungen, sind sich des Kontexts und der Leitlinien nicht bewusst.

Als Beispiel gibt PCIDSS an, dass "Antivirensoftware auf allen Systemen installiert werden soll, die häufig von schädlicher Software betroffen sind".

In der aufschlussreichen PCIDSS-Leitspalte wird speziell darauf hingewiesen, dass Mainframes, Computer der mittleren Preisklasse und ähnliche Systeme derzeit möglicherweise nicht häufig von Malware betroffen sind. Sie sollten jedoch die aktuelle Bedrohungsstufe überwachen, die Sicherheitsupdates der Anbieter berücksichtigen und Maßnahmen zur Behebung neuer Sicherheitsrisiken ergreifen Schwachstellen (nicht auf Malware beschränkt).

Nachdem man also auf die Liste von ungefähr 50 Linux-Viren von http://en.wikipedia.org/wiki/Linux_malware im Vergleich zu den Millionen von bekannten Viren für andere Betriebssysteme hingewiesen hat , kann man leicht argumentieren, dass ein Linux-Server nicht häufig betroffen ist . Die "grundlegendsten Regeln" von https://wiki.ubuntu.com/BasicSecurity sind auch ein interessanter Hinweis für die meisten Windows-Auditoren.

Und Ihre Apticron-Warnungen bei ausstehenden Sicherheitsupdates und der Ausführung von Integritätsprüfungen wie AIDE oder Samhain können die tatsächlichen Risiken genauer berücksichtigen als ein Standard-Virenscanner. Dies kann Ihren Prüfer auch davon überzeugen, das Risiko der Installation einer ansonsten nicht benötigten Software (die nur einen begrenzten Nutzen bietet, ein Sicherheitsrisiko darstellt oder einfach kaputt geht) nicht einzuführen.

Wenn das nicht hilft: Clamav als täglichen Cronjob zu installieren, schadet nicht so sehr wie andere Software.

knoepfchendruecker
quelle
7

DNS-Server sind in diesem Jahr bei PCI-Auditoren beliebt geworden.

Die wichtige Sache zu erkennen ist , dass während DNS - Server nicht verarbeiten sensible Daten, sie unterstützen Ihre Umgebungen , die tun. Aus diesem Grund kennzeichnen Auditoren diese Geräte, ähnlich wie NTP-Server, als "PCI-unterstützend". Auditoren stellen in der Regel andere Anforderungen an PCI-unterstützende Umgebungen als an PCI-Umgebungen.

Ich würde mit den Auditoren sprechen und sie bitten, den Unterschied in ihren Anforderungen zwischen PCI- und PCI-Unterstützung zu klären, nur um sicherzustellen, dass sich diese Anforderung nicht versehentlich eingeschlichen hat. Wir mussten sicherstellen, dass unsere DNS-Server ähnliche Härtungsrichtlinien erfüllen für die PCI-Umgebungen, aber Anti-Virus war nicht eine der Anforderungen, denen wir gegenüberstanden.

Andrew B
quelle
2

Dies könnte eine ruckelige Reaktion auf die Muschelschock-Schläge gewesen sein. Es wurde online vorgeschlagen, dass das Binden betroffen sein könnte.

EDIT: Ich bin mir nicht sicher, ob es jemals bewiesen oder bestätigt wurde.

D Whyte
quelle
11
Wofür seltsamerweise Antivirensoftware keine Hilfe wäre.
Bert
@ Bert kann keine anfällige Bash erkennen?
Basilevs
Shellshock war bereits gepatcht und die Server haben die Tests erfolgreich bestanden
John Dimitriou
Hey ... ich sage nicht, dass es helfen wird, ich sage nur, dass es wahrscheinlich das ist, was sie als hilfreich erachtet hatten.
D Whyte
2

Wenn Ihre DNS-Server in den PCI-DSS-Bereich fallen, müssen Sie möglicherweise AV auf ihnen ausführen (obwohl dies in den meisten Fällen ausgesprochen albern ist). Wir verwenden ClamAV.

Brian Knoblauch
quelle
1

Wenn dies der SOX-Konformität dient, werden Sie höchstwahrscheinlich aufgefordert, Antivirenprogramme zu installieren, da auf allen Servern Antivirenprogramme installiert sein müssen. Und das tut man nicht.

Schreiben Sie entweder eine Ausnahme zur Richtlinie für diesen Server oder installieren Sie AV.

Labyrinth
quelle
1

Es gibt zwei Hauptarten von DNS-Servern: autorisierende und rekursive. Ein autorisierender DNS-Server teilt der Welt mit, welche IP-Adressen für jeden Hostnamen in einer Domäne verwendet werden sollen. In letzter Zeit ist es möglich geworden, andere Daten mit einem Namen zu verknüpfen, z. B. E-Mail-Filterrichtlinien (SPF) und kryptografische Zertifikate (DANE). Ein Resolver oder rekursive DNS - Server, sucht Informationen mit Domain - Namen, den Root - Server mit ( .) Registrierungsserver (zu finden .com), solche mit Domänen autoritativen Server (zu finden serverfault.com), und schließlich diejenigen mit Host - Namen zu finden ( serverfault.com, meta.serverfault.com, usw.).

Ich kann nicht sehen, wie "Antivirus" für einen autorisierenden Server geeignet wäre. Ein praktischer "Virenschutz" für einen Resolver besteht jedoch darin, die Suche nach Domänen zu blockieren, die mit der Verteilung oder dem Befehl und der Kontrolle von Malware verbunden sind. Google dns block malwareoder dns sinkholebrachte ein paar Ergebnisse, die Ihnen helfen könnten, Ihr Netzwerk durch den Schutz seiner Resolver zu schützen. Dies ist nicht die gleiche Art von Antivirus, die Sie auf einem Client- / Desktop-Computer ausführen würden. Wenn Sie sie jedoch der für die "Antivirus" -Anforderung verantwortlichen Partei vorschlagen, erhalten Sie möglicherweise eine Antwort, die Ihnen hilft, die Art der "Antivirus" -Anforderung besser zu verstehen .

Verwandte Fragen zu anderen Stack Exchange-Sites:

Damian Yerrick
quelle
Wie beschreiben Sie ein Anti-Virus? Es klingt wie eine Kreuzung zwischen einem Anti-Spam-Filter und einer Firewall. Für mich bedeutet das, dass iptables eine Antivirensoftware ist.
Patrick M
-2

Besser Tripwire oder AIDE ausführen

cod3fr3ak
quelle