Question Exécutez le logiciel antivirus sur les serveurs DNS linux. Est-ce que ça fait du sens?


Lors d'un audit récent, il nous a été demandé d'installer un logiciel antivirus sur nos serveurs DNS exécutant Linux (bind9). Les serveurs n’ont pas été compromis lors des tests de pénétration, mais c’était l’une des recommandations données.

  1. Un logiciel antivirus Linux est généralement installé pour analyser le trafic. destiné aux utilisateurs, alors quel est l'objectif d'installer un antivirus sur un DNS serveur?

  2. Quelle est votre opinion sur la proposition?

  3. Est-ce que vous exécutez un logiciel antivirus sur vos serveurs linux?

  4. Si oui, quel logiciel antivirus recommanderiez-vous ou êtes-vous? utilise actuellement?


38
2017-11-09 17:15


origine


Je n'ai installé l'antivirus que sur les serveurs de messagerie Linux, pour l'analyse antivirus dans les pièces jointes, je ne vois aucun sens à installer antivirus sur un serveur DNS. - c4f4t0r
Ouais, ça n'a aucun sens. Demandez à l'entreprise de clarifier cette recommandation. - Michael Hampton♦
Quel logiciel antivirus veut-il que vous installiez? - Matt
Tenté d’appeler «principalement l’opinion», parce que j’estime qu’un cas légitime pourrait être présenté à l’inverse des réponses populaires jusqu’à présent. :) - Ryan Ries
Nous nous sommes retrouvés dans cette position - pas spécifiquement avec le DNS, mais les serveurs Linux en général - et bien que nous soyons d'accord avec l'argument contre, il s'agissait en définitive d'un exercice fastidieux que nous ne voulions pas combattre. Nous avons donc exécuté ESET Antivirus géré de manière centralisée sur tous les serveurs. - HTTP500


Réponses:


Un aspect de ceci est que recommander "anti-virus" pour être sur tout est une valeur sûre, pour le vérificateur.

Les audits de sécurité ne concernent pas uniquement la sécurité technique réelle. Souvent, il s’agit aussi de limiter la responsabilité en cas de poursuite.

Disons que votre entreprise a été piratée et qu'un recours collectif a été intenté contre vous. Votre responsabilité spécifique peut être atténuée en fonction de votre conformité aux normes de l'industrie. Disons que les auditeurs ont ne pas recommandez AV sur ce serveur, afin de ne pas l'installer.

Votre défense en cela est que vous avez suivi les recommandations d'un auditeur respecté et que vous passez le flambeau pour ainsi dire. C'est d'ailleurs la raison principale pour laquelle nous faisons appel à des auditeurs tiers. Notez que le transfert de responsabilité est souvent inscrit dans le contrat que vous signez avec les auditeurs: si vous ne suivez pas leurs recommandations, tout dépend de vous.

Les avocats enquêteront ensuite sur l'auditeur en tant que co-accusé éventuel. Dans notre situation hypothétique, le fait qu’ils n’aient pas recommandé de système antivirus sur un serveur particulier sera considéré comme peu exhaustif. Cela seul les blesserait dans les négociations même si cela n'avait absolument aucune incidence sur l'attaque proprement dite.

La seule chose financièrement responsable pour une société d'audit est de disposer d'une recommandation standard pour tous les serveurs, quelle que soit la surface d'attaque réelle. Dans ce cas, AV sur tout. En d'autres termes, ils recommandent un marteau, même lorsqu'un scalpel est techniquement supérieur en raison d'un raisonnement juridique.

Cela a-t-il un sens technique? Généralement non, car cela augmente généralement les risques. Est-ce que cela a du sens pour les avocats, un juge ou même un jury? Absolument, ils ne sont pas techniquement compétents et incapables de comprendre les nuances. C'est pourquoi vous devez vous conformer.

@ewwhite vous a recommandé de parler à l'auditeur à ce sujet. Je pense que c'est le mauvais chemin. Au lieu de cela, vous devriez parler avec l’avocat de votre société pour obtenir son opinion sur ne pas suite à ces demandes.


11
2017-11-11 15:21



Voici pourquoi nous sommes retenus. A / working / AV constitue dans la plupart des cas une défense minime pour un serveur Linux, dans la mesure où il ne défend en réalité que le cas où quelqu'un l'utilise pour distribuer des programmes malveillants. - joshudson
Si vous êtes sur une machine durcie, un AV va probablement être le seul logiciel installé sur le serveur qui possède une porte dérobée intégrée, c'est-à-dire une mise à jour automatique. De plus, si vous parvenez à faire en sorte que tous les stockages pertinents soient en lecture seule, l’AV sera le seul logiciel nécessitant un accès en écriture pour mettre à jour sa signature. - Lie Ryan
Je ne peux pas accepter le point de ne pas parler avec les auditeurs. Les auditeurs font des erreurs plus souvent qu'ils ne veulent l'admettre. Il n’ya rien de mal à s’entendre mutuellement sur le fait que le vérificateur a commis une erreur - il suffit de s’assurer que la reconnaissance est sans ambiguïté. - Andrew B
@ AndrewB: Je ne pense pas que je disais JAMAIS de parler aux auditeurs. Une discussion avec vos représentants légaux AVANT cela serait plutôt la meilleure façon de procéder. La société doit bien comprendre le risque de négocier avec les auditeurs avant d’essayer de suivre cette voie. - NotMe


Parfois, les auditeurs sont des idiots ...

C'est une demande peu commune, cependant. Je répondrais aux recommandations des auditeurs en sécurisant / limitant l'accès aux serveurs, en ajoutant un contrôle IDS ou de contrôle de l'intégrité des fichiers ou en renforçant la sécurité ailleurs dans votre environnement. Antivirus n'a aucun avantage ici.

Modifier:

Comme indiqué dans les commentaires ci-dessous, j’ai participé au lancement d’un très site web de haut niveau ici aux États-Unis, et était responsable de la conception de l’architecture de référence Linux pour la conformité HIPAA.

Lorsque la question d'Antivirus a été abordée, nous avons recommandé ClamAV et un pare-feu applicatif pour traiter les envois des utilisateurs finaux, tout en évitant d'avoir des ressources audiovisuelles sur tous les systèmes en mettant en œuvre contrôles compensatoires  (IDS tiers, enregistrement de session, auditd, syslog distant, authentification à deux facteurs VPN et les serveurs, la surveillance de l’intégrité des fichiers AIDE, le chiffrement de la base de données tierce, structures de système de fichiers fous, etc.). Ceux-ci ont été jugés acceptables par les auditeurs et tout a été approuvé.


32
2017-11-09 17:37



+1 Vous pouvez dépenser des ressources pour de nombreuses choses: temps, argent et énergie, qui rapportent à votre entreprise. Les auditeurs ont peut-être lu un article sur l’empoisonnement du DNS et ont pensé que c’était un remède. Le retour sur ceci est négligeable. - jim mcnamara
Tous ces éléments sont déjà en place: mécanismes de surveillance des performances, IPS, pare-feu réseau et bien sûr iptables sur le serveur. - John Dimitriou
@JohnDimitriou Ensuite, vous êtes en excellente forme. La recommandation de l'antivirus est un peu étrange. Demandez aux auditeurs de clarifier. - ewwhite
@ChrisLively Ceci est apparu lors de la conception d’un quelque peu  haut profil environnement sur lequel je travaillais l'année dernière. Nous avons abouti à ClamAV sur des systèmes où nous acceptions les données soumises par les utilisateurs. Cependant, nous avons évité les logiciels audiovisuels sur d’autres systèmes Linux en décrivant notre contrôles compensatoires et arriver à un accord avec les auditeurs. - ewwhite
Je dirais que tant que vous montrez que vous avez "suffisamment atténué le risque" et que les auditeurs signent leur accord, la responsabilité légale est alors engagée. probable satisfait. Bien sûr, je suis sûr que les contrats et autres lois qui régissent cet environnement particulier pourraient le rendre un peu unique. - NotMe


La première chose que vous devez comprendre à propos des auditeurs est qu’ils ne savent peut-être pas comment la technologie concernée est utilisée dans le monde réel.

Un grand nombre de vulnérabilités et de problèmes de sécurité DNS doivent être résolus lors d’un audit. Ils ne verront jamais les vrais problèmes s’ils sont distraits par des objets brillants comme la case à cocher "antivirus sur un serveur DNS".


17
2017-11-09 17:51





Un logiciel antivirus moderne typique tente plus précisément de détecter les logiciels malveillants et ne se limite pas aux virus. Selon l'implémentation réelle d'un serveur (boîte dédiée pour un service dédié, conteneur sur une boîte partagée, service supplémentaire sur "le seul serveur"), ce n'est probablement pas une mauvaise idée d'avoir quelque chose comme ClamAV ou LMD (Linux Malware Detect) installé et effectuer une analyse supplémentaire chaque nuit ou à peu près.

Lorsque demandé lors d’un audit, veuillez sélectionner l’exigence exacte et consulter les informations fournies. Pourquoi: trop d'auditeurs ne lisent pas l'intégralité de l'exigence, ne sont pas conscients du contexte et des informations de guidage.

À titre d'exemple, PCIDSS indique comme condition préalable "déployer un logiciel anti-virus sur tous les systèmes couramment affectés par des logiciels malveillants".

La colonne de guidage PCIDSS indique les ordinateurs centraux, les ordinateurs de milieu de gamme et les systèmes similaires non ciblés ou affectés par des programmes malveillants, mais il convient de surveiller le niveau de menace actuel, de connaître les mises à jour de sécurité des fournisseurs et de prendre des mesures pour traiter les nouvelles questions de sécurité. vulnérabilités (non limitées aux logiciels malveillants).

Donc, après avoir pointé vers la liste d'environ 50 virus Linux de http://en.wikipedia.org/wiki/Linux_malware En comparaison des millions de virus connus pour d’autres systèmes d’exploitation, il est facile de dire que les serveurs Linux ne sont pas communément affecté. Le "jeu de règles le plus fondamental" de https://wiki.ubuntu.com/BasicSecurity sont également un pointeur intéressant pour la plupart des auditeurs centrés sur Windows.

Et vos alertes apticron sur les mises à jour de sécurité en attente et l'exécution de vérificateurs d'intégrité tels que AIDE ou Samhain peuvent traiter plus précisément les risques réels qu'un analyseur de virus standard. Cela peut également convaincre votre auditeur de ne pas introduire le risque d'installer un logiciel par ailleurs inutile (qui offre un avantage limité, peut imposer un risque de sécurité ou tout simplement une panne).

Si cela ne vous aide pas, installer clamav en tant que journal quotidien ne fait pas mal, pas plus que les autres logiciels.


10
2017-11-10 16:02





Les serveurs DNS sont devenus populaires auprès des auditeurs PCI cette année.

La chose importante à reconnaître est que, même si les serveurs DNS ne manipuler données sensibles, ils soutien vos environnements qui font. En tant que tels, les auditeurs commencent à signaler ces périphériques comme "compatibles PCI", comme les serveurs NTP. Les auditeurs appliquent généralement aux environnements prenant en charge PCI un ensemble d'exigences différent de celui des environnements PCI eux-mêmes.

Je voudrais parler aux auditeurs et leur demander de clarifier la différence entre leurs exigences PCI et support PCI, juste pour m'assurer que cette exigence ne se glisse pas accidentellement. Nous devions nous assurer que nos serveurs DNS respectaient les directives de sécurité similaires aux environnements PCI, mais l’antivirus n’était pas l’une des exigences auxquelles nous étions confrontés.


7
2017-11-10 16:25





Cela aurait pu être une réaction instinctive à la réaction du shellshock bash, il a été suggéré en ligne que la liaison pourrait être affectée.

EDIT: Pas sûr que cela ait déjà été prouvé ou confirmé.


2
2017-11-09 17:58



Curieusement, un logiciel anti-virus ne serait d'aucune aide. - Bert
@ Bert ne peut-il pas détecter l'antivirus bash vulnérable? - Basilevs
shellshock a déjà été corrigé et les serveurs ont passé les tests avec succès - John Dimitriou
Hé ... Je ne dis pas que ça va aider, je dis juste que c'est probablement ce qu'ils avaient considéré utile. - D Whyte


Si vos serveurs DNS entrent dans le champ d'application de la norme PCI DSS, vous pouvez être forcé de faire appel à eux (même si c'est carrément stupide dans la plupart des cas). Nous utilisons ClamAV.


2
2017-11-10 16:23





Si cela concerne la conformité SOX, ils vous demandent d'installer un antivirus, très probablement, car vous avez parfois une stratégie qui dit que l'antivirus doit être installé sur tous les serveurs. Et celui-ci ne le fait pas.

Vous pouvez écrire une exception à la stratégie de ce serveur ou installer AV.


1
2017-11-10 21:25





Il existe deux principaux types de serveurs DNS: faisant autorité et récursifs. Un faisant autorité Le serveur DNS indique au monde quelles adresses IP doivent être utilisées pour chaque nom d'hôte d'un domaine. Dernièrement, il est devenu possible d'associer un nom à d'autres données, telles que des stratégies de filtrage de courrier électronique (SPF) et des certificats cryptographiques (DANE). UNE résolveur, ou récursif Serveur DNS, recherche les informations associées aux noms de domaine à l’aide des serveurs racine (.) pour trouver des serveurs de registre (.com), en utilisant ceux-ci pour trouver les serveurs faisant autorité des domaines (serverfault.com), et finalement en utilisant ceux-ci pour trouver des noms d’hôtes (serverfault.com, meta.serverfault.com, etc.).

Je ne vois pas comment "antivirus" conviendrait à un serveur faisant autorité. Mais un "antivirus" pratique pour un résolveur impliquerait le blocage de la recherche de domaines associés à la distribution ou la commande et le contrôle de programmes malveillants. Google dns block malware ou dns sinkhole apporté quelques résultats qui pourraient vous aider à protéger votre réseau en protégeant ses résolveurs. Ce n’est pas le même type d’antivirus que celui que vous exécuteriez sur un ordinateur client / de bureau, mais le proposer à la partie responsable de l’exigence «antivirus» pourrait produire une réponse qui vous aiderait à mieux comprendre la nature de l’exigence «antivirus». .

Questions connexes sur d'autres sites Stack Exchange:


1
2017-11-10 23:46



Comment est ce que vous décrivez un anti-virus? Cela ressemble à un croisement entre un filtre anti-spam et un pare-feu. Pour moi, cela revient à dire qu'iptables est un logiciel anti-virus. - Patrick M