Execute o software antivírus nos servidores DNS linux. Isso faz sentido?

40

Durante uma auditoria recente, fomos solicitados a instalar software antivírus em nossos servidores DNS que executam o Linux (bind9). Os servidores não foram comprometidos durante o teste de penetração, mas essa foi uma das recomendações fornecidas.

  1. Normalmente, o software antivírus linux é instalado para verificar o tráfego destinado aos usuários, então qual é o objetivo de instalar o antivírus em um servidor DNS?

  2. Qual a sua opinião sobre a proposta?

  3. Você realmente executa software antivírus em seus servidores Linux?

  4. Em caso afirmativo, qual software antivírus você recomendaria ou está usando atualmente?

John Dimitriou
fonte
10
instalei apenas antivírus em servidores de email linux; para verificar vírus em anexos de email, não vejo sentido em instalar antivírus no servidor dns.
C4f4t0r
11
Sim, isso não faz nenhum sentido. Peça à empresa que esclareça essa recomendação.
Michael Hampton
Qual software antivírus eles querem que você instale?
Matt
Tentou chamar "Principalmente com base em opiniões", porque sinto que um caso legítimo poderia ser feito ao contrário das respostas populares até agora. :)
Ryan Ries
11
Nós nos encontramos nessa posição - não especificamente com o DNS, mas com servidores Linux em geral - e, embora concordemos com o argumento contra, no final, foi apenas um exercício de tiquetaque que estávamos cansados ​​de lutar. Portanto, executamos o ESET Antivirus gerenciado centralmente em todos os servidores.
HTTP500

Respostas:

11

Um aspecto disso é que recomendar o "antivírus" para tudo é uma aposta segura para o auditor.

As auditorias de segurança não são inteiramente sobre segurança técnica real. Muitas vezes, eles também limitam a responsabilidade no caso de uma ação judicial.

Digamos que sua empresa foi invadida e uma ação coletiva foi movida contra você. Sua responsabilidade específica pode ser mitigada com base em quão bem você seguiu os padrões do setor. Digamos que os auditores não recomendaram o AV neste servidor, portanto você não o instala.

Sua defesa é que você seguiu as recomendações de um auditor respeitado e passou o dinheiro por assim dizer. Aliás, essa é a principal razão pela qual usamos auditores de terceiros. Observe que a transferência de responsabilidade geralmente está escrita no contrato que você assina com os auditores: se você não seguir as recomendações deles, tudo depende de você.

Bem, os advogados investigarão o auditor como um possível co-réu. Em nossa situação hipotética, o fato de eles não terem recomendado o AV em um servidor específico será visto como não sendo completo. Isso por si só os machucaria nas negociações, mesmo que não tivesse absolutamente nenhuma influência no ataque real.

A única coisa fiscalmente responsável por uma empresa de auditoria é ter uma recomendação padrão para todos os servidores, independentemente da superfície de ataque real. Neste caso, AV em tudo . Em outras palavras, eles recomendam uma marreta, mesmo quando um bisturi é tecnicamente superior devido a razões legais.

Faz sentido técnico? Geralmente não, pois geralmente aumenta o risco. Faz sentido para advogados, um juiz ou mesmo um júri? Absolutamente, eles não são tecnicamente competentes e incapazes de entender as nuances. É por isso que você precisa cumprir.

A @ewwhite recomendou que você conversasse com o auditor sobre isso. Eu acho que esse é o caminho errado. Em vez disso, você deve conversar com o advogado da sua empresa para obter sua opinião sobre o não cumprimento dessas solicitações.

Eu não
fonte
2
Veja por que somos retidos. A / working / AV é pouca defesa para um servidor Linux na maioria dos casos, pois na verdade só defende o caso de alguém usá-lo para distribuir malware.
Joshudson
5
Se você estiver em uma máquina reforçada, um AV provavelmente será o único software instalado no servidor que possui um backdoor interno, por exemplo, autoupdater. Além disso, se você conseguir fazer todos os armazenamentos relevantes somente leitura, o AV será o único software que requer acesso de gravação para atualizar sua assinatura.
Lie Ryan
11
Não posso concordar com o ponto de não falar com os auditores. Os auditores cometem erros com mais frequência do que gostariam de admitir. Não há nada errado em chegar a um entendimento mútuo de que o auditor cometeu um erro - apenas verifique se o reconhecimento é inequívoco.
Andrew B
11
@ AndrewB: Acho que não estava dizendo NUNCA para falar com os auditores. Em vez disso, uma discussão com seus representantes legais ANTES disso seria a melhor maneira de prosseguir. A empresa precisa entender completamente o risco de negociar com os auditores antes de tentar seguir esse caminho.
NotMe
31

Às vezes, os auditores são idiotas ...

Esta é uma solicitação incomum, no entanto. Eu contrariaria a recomendação dos auditores, protegendo / limitando o acesso aos servidores, adicionando um IDS ou monitoramento de integridade de arquivos ou reforçando a segurança em outras partes do seu ambiente. O antivírus não tem nenhum benefício aqui.

Editar:

Conforme observado nos comentários abaixo, eu participei do lançamento de um site de alto nível aqui nos EUA e fui responsável por projetar a arquitetura de referência Linux para conformidade com HIPAA.

Quando o assunto do Antivírus foi discutido, recomendamos o ClamAV e um firewall de aplicativo para processar envios de usuários finais, mas conseguimos evitar o AV em todos os sistemas implementando controles de compensação ( IDS de terceiros , registro de sessão, auditoria, syslog remoto, autenticação de dois fatores para a VPN e servidores, monitoramento de integridade de arquivos AIDE, criptografia de banco de dados de terceiros, estruturas malucas de sistema de arquivos , etc.) . Estes foram considerados aceitáveis ​​pelos auditores e tudo foi aprovado.

ewwhite
fonte
2
+1. Há muitas coisas em que você pode gastar recursos: tempo, dinheiro e energia que proporcionam retorno à sua empresa. Talvez um dos auditores leia sobre o envenenamento por DNS e pense que isso é uma cura. O retorno disso é insignificante.
precisa
Tudo isso já está em vigor: mecanismos de monitoramento de desempenho, IPS, firewall de rede e, é claro, iptables no servidor.
John Dimitriou
@JohnDimitriou Então você está em excelente forma. A recomendação do antivírus é um pouco estranha. Peça aos auditores que esclareçam.
ewwhite
11
@ChrisLively Este surgiu durante o projeto de um pouco alto perfil ambiente que eu estava trabalhando no ano passado. Acabamos com o ClamAV em sistemas em que estávamos aceitando dados enviados pelo usuário. No entanto, evitamos o AV em outros sistemas Linux, delineando nossos controles de compensação e chegando a um acordo com os auditores.
ewwhite
Eu diria que, desde que você tenha demonstrado que "mitigou suficientemente o risco" e os auditores estão realmente concordando que eles concordam, a responsabilidade legal provavelmente é satisfeita. Certamente, tenho certeza de que os contratos e outras leis que cercam esse ambiente em particular podem torná-lo um pouco único.
NotMe
17

A primeira coisa que você precisa entender sobre os auditores é que eles podem não saber nada sobre como a tecnologia no escopo é usada no mundo real.

Há muitas vulnerabilidades e problemas de segurança do DNS que devem ser abordados em uma auditoria. Eles nunca chegarão aos problemas reais se forem distraídos por objetos brilhantes como a caixa de seleção "antivírus em um servidor DNS".

Greg Askew
fonte
10

O típico software antivírus moderno tenta encontrar com mais precisão o malware e não se limita apenas aos vírus. Dependendo da implementação real de um servidor (caixa dedicada para um serviço dedicado, contêiner em uma caixa compartilhada, serviço adicional no "único servidor"), provavelmente não é uma má idéia ter algo como ClamAV ou LMD (Linux Malware Detect) instalado e faça uma verificação extra a cada noite ou mais.

Quando solicitado em uma auditoria, escolha o requisito exato e dê uma olhada nas informações que o acompanham. Motivo: muitos auditores não leem todos os requisitos, não conhecem o contexto e as informações de orientação.

Como exemplo, o PCIDSS declara "implantar software antivírus em todos os sistemas comumente afetados pelo software malicioso" como requisito.

A perspicaz coluna de orientação do PCIDSS especifica especificamente mainframes, computadores de médio porte e sistemas similares atualmente não podem ser comumente afetados ou afetados por malware, mas deve-se monitorar o atual nível de ameaça atual, estar ciente das atualizações de segurança do fornecedor e implementar medidas para lidar com a nova segurança vulnerabilidades (não limitadas a malware).

Portanto, depois de apontar para a lista de cerca de 50 vírus Linux em http://en.wikipedia.org/wiki/Linux_malware em comparação com os milhões de vírus conhecidos para outros sistemas operacionais, é fácil argumentar que um servidor Linux não seja afetado normalmente . O "conjunto mais básico de regras" de https://wiki.ubuntu.com/BasicSecurity também é um indicador interessante para a maioria dos auditores focados no Windows.

E seus alertas apticron sobre atualizações de segurança pendentes e execução de verificadores de integridade como AIDE ou Samhain podem abordar com mais precisão os riscos reais do que um antivírus padrão. Isso também pode convencer seu auditor a não apresentar o risco de instalar um software desnecessário (que fornece um benefício limitado, pode impor um risco à segurança ou simplesmente quebrar).

Se isso não ajudar: a instalação do clamav como cronograma diário não é tão prejudicial quanto outros softwares.

knoepfchendruecker
fonte
7

Os servidores DNS tornaram-se populares entre os auditores PCI este ano.

O importante a reconhecer é que, embora os servidores DNS não tratem dados confidenciais, eles suportam seus ambientes. Dessa forma, os auditores estão começando a sinalizar esses dispositivos como "suporte a PCI", semelhante aos servidores NTP. Os auditores geralmente aplicam um conjunto diferente de requisitos aos ambientes de suporte PCI do que os próprios ambientes PCI.

Eu falava com os auditores e pedia que eles esclarecessem a diferença em seus requisitos entre o suporte ao PCI e ao PCI, apenas para garantir que esse requisito não ocorra acidentalmente. Precisávamos garantir que nossos servidores DNS cumprissem diretrizes de proteção similares para os ambientes PCI, mas o antivírus não era um dos requisitos que enfrentamos.

Andrew B
fonte
2

Isso poderia ter sido uma reação instintiva ao vuln bash do shellshock, foi sugerido online que o vínculo poderia ser afetado.

EDIT: Não tenho certeza se alguma vez foi provado ou confirmado.

D Whyte
fonte
11
O que, estranhamente, o software antivírus não ajudaria.
Bert
@Bert não pode antivírus detectar bash vulnerável?
Basilevs
shellshock já foi corrigido e servidores passou com sucesso os testes
John Dimitriou
Ei ... não estou dizendo que isso vai ajudar, só estou dizendo que é provavelmente o que eles consideraram útil.
D Whyte
2

Se seus servidores DNS estiverem no escopo do PCI DSS, você poderá ser forçado a executar o AV neles (mesmo que na maioria dos casos seja totalmente bobo). Nós usamos o ClamAV.

Brian Knoblauch
fonte
1

Se isso é para conformidade com SOX, eles estão pedindo para você instalar antivírus, provavelmente porque em algum lugar você tem uma política que diz que todos os servidores devem ter antivírus instalado. E este não.

Escreva uma exceção para a política deste servidor ou instale o AV.

Warren
fonte
1

Existem dois tipos principais de servidores DNS: autoritativos e recursivos. Um servidor DNS autoritário diz ao mundo quais endereços IP devem ser usados ​​para cada nome de host em um domínio. Ultimamente, tornou-se possível associar outros dados a um nome, como políticas de filtragem de email (SPF) e certificados criptográficos (DANE). Um resolvedor , ou recursiva servidor DNS, olha para cima informação associada com nomes de domínio, usando os servidores raiz ( .) para encontrar servidores de registro ( .com), usando aqueles para encontrar servidores autoritários domínios ( serverfault.com), e, finalmente, usar aqueles para encontrar nomes de host ( serverfault.com, meta.serverfault.com, etc.)

Não vejo como o "antivírus" seria adequado para um servidor autorizado. Mas "antivírus" prático para um resolvedor envolveria o bloqueio da pesquisa de domínios associados à distribuição ou ao comando e controle de malware. Google dns block malwareou dns sinkholetrouxe alguns resultados que podem ajudá-lo a proteger sua rede, protegendo seus resolvedores. Esse não é o mesmo tipo de antivírus que você executaria em uma máquina cliente / desktop, mas propor isso à parte responsável pelo requisito "antivírus" pode produzir uma resposta que ajuda a entender melhor a natureza do requisito "antivírus" .

Perguntas relacionadas em outros sites do Stack Exchange:

Damian Yerrick
fonte
Como está descrevendo um antivírus? Parece um cruzamento entre um filtro anti-spam e um firewall. Para mim, é como dizer que o iptables é um software antivírus.
11114 Patrick M
-2

Melhor executar o Tripwire ou o AIDE

cod3fr3ak
fonte