Ejecute software antivirus en servidores DNS de Linux. ¿Tiene sentido?

40

Durante una auditoría reciente, se nos solicitó instalar software antivirus en nuestros servidores DNS que ejecutan Linux (bind9). Los servidores no se vieron comprometidos durante las pruebas de penetración, pero esta fue una de las recomendaciones dadas.

  1. Por lo general, el software antivirus de Linux se instala para escanear el tráfico destinado a los usuarios, entonces, ¿cuál es el objetivo de instalar el antivirus en un servidor DNS?

  2. ¿Cuál es tu opinión sobre la propuesta?

  3. ¿Realmente ejecutas software antivirus en tus servidores Linux?

  4. Si es así, ¿qué software antivirus recomendaría o está utilizando actualmente?

John Dimitriou
fuente
10
Solo instalé antivirus en servidores de correo de Linux, para escanear virus en archivos adjuntos de correo, no veo ningún sentido en instalar antivirus en el servidor DNS.
c4f4t0r
11
Sí, esto no tiene ningún sentido. Pídale a la compañía que aclare esa recomendación.
Michael Hampton
¿Qué software antivirus quieren que instales?
Matt
Tentado a llamar "Principalmente basado en la opinión", porque creo que hasta ahora se podría hacer un caso legítimo en contra de las respuestas populares. :)
Ryan Ries
1
Nos encontramos en esta posición, no específicamente con DNS, sino con servidores de Linux en general, y aunque estamos de acuerdo con el argumento en contra, al final fue solo un ejercicio de casillero que nos cansamos de pelear. Por lo tanto, ejecutamos ESET Antivirus administrado centralmente en todos los servidores.
HTTP500

Respuestas:

11

Un aspecto de esto es que recomendar al "antivirus" que esté en todo es una apuesta segura para el auditor.

Las auditorías de seguridad no se refieren exclusivamente a la seguridad técnica real. A menudo también se trata de limitar la responsabilidad en caso de una demanda.

Digamos que su empresa fue pirateada y se presentó una demanda colectiva contra usted. Su responsabilidad específica puede mitigarse en función de qué tan bien siguió los estándares de la industria. Digamos que los auditores no recomendaron AV en este servidor, por lo que no lo instala.

Su defensa en esto es que siguió las recomendaciones de un auditor respetado y pasó el dinero por así decirlo. Por cierto, esa es la razón PRIMARIA por la que utilizamos auditores externos. Tenga en cuenta que el cambio de responsabilidad a menudo se escribe en el contrato que firma con los auditores: si no sigue sus recomendaciones, todo depende de usted.

Bueno, entonces los abogados investigarán al auditor como un posible coacusado. En nuestra situación hipotética, el hecho de que no recomendaron AV en un servidor en particular se considerará no exhaustivo. Eso solo los perjudicaría en las negociaciones, incluso si no tuviera absolutamente ninguna relación con el ataque real.

Lo único que debe hacer una empresa de auditoría fiscalmente responsable es tener una recomendación estándar para todos los servidores, independientemente de la superficie de ataque real. En este caso, AV en todo . En otras palabras, recomiendan un mazo incluso cuando el bisturí es técnicamente superior debido a un razonamiento legal.

¿Tiene sentido técnico? Generalmente no, ya que generalmente aumenta el riesgo. ¿Tiene sentido para los abogados, un juez o incluso un jurado? Absolutamente, no son técnicamente competentes e incapaces de comprender los matices. Es por eso que debes cumplir.

@ewwhite le recomendó hablar con el auditor sobre esto. Creo que ese es el camino equivocado. En su lugar, debe hablar con el abogado de su empresa para obtener su opinión sobre no seguir estas solicitudes.

Yo no
fuente
2
Mira por qué estamos retenidos. A / working / AV es poca defensa para un servidor Linux en la mayoría de los casos, ya que realmente solo defiende el caso de alguien que lo usa para distribuir malware.
joshudson
55
Si está en una máquina reforzada, un AV probablemente sea el único software instalado en el servidor que tenga una puerta trasera incorporada, es decir, un autoactualizador. Además, si logra que todos los almacenamientos relevantes sean de solo lectura, el AV será el único software que requiera acceso de escritura para actualizar su firma.
Lie Ryan
1
No puedo estar de acuerdo con el punto de no hablar con los auditores. Los auditores cometen errores más de lo que les gusta admitir. No hay nada de malo en llegar a un entendimiento mutuo de que el auditor cometió un error, solo asegúrese de que el reconocimiento no sea ambiguo.
Andrew B
1
@ AndrewB: No creo que estuviera diciendo NUNCA hablar con los auditores. Más bien, una discusión con sus representantes legales ANTES de eso sería la mejor manera de proceder. La compañía necesita comprender completamente el riesgo de negociar con los auditores antes de intentar tomar ese camino.
NotMe
31

A veces los auditores son idiotas ...

Sin embargo, esta es una solicitud poco común. Contrarrestaría la recomendación de los auditores asegurando / limitando el acceso a los servidores, agregando un IDS o monitoreo de integridad de archivos o reforzando la seguridad en otras partes de su entorno. El antivirus no tiene ningún beneficio aquí.

Editar:

Como se señala en los comentarios a continuación, participé en el lanzamiento de un sitio web de muy alto perfil aquí en los EE. UU. Y fui responsable del diseño de la arquitectura de referencia de Linux para el cumplimiento de HIPAA.

Cuando se discutió el tema del antivirus, recomendamos ClamAV y un firewall de aplicaciones para procesar los envíos de los usuarios finales, pero logramos evitar tener AV en todos los sistemas mediante la implementación de controles de compensación ( IDS de terceros , registro de sesiones, auditado, registro del sistema remoto, de dos factores de autenticación de la VPN y servidores, el ayudante de monitoreo de integridad de archivos, cifrado DB 3 ª parte, las estructuras del sistema de archivos locas , etc.) . Estos fueron considerados aceptables por los auditores, y todo fue aprobado.

ewwhite
fuente
2
+1. Hay muchas cosas en las que puede gastar recursos: tiempo, dinero y energía que le brindan rentabilidad a su empresa. Tal vez uno de los auditores leyó sobre el envenenamiento de DNS y cree que esto es una cura. El rendimiento de esto es insignificante.
jim mcnamara
Todo esto ya está en su lugar: mecanismos de monitoreo de rendimiento, IPS, firewall de red y, por supuesto, iptables en el servidor.
John Dimitriou
@JohnDimitriou Entonces estás en excelente forma. La recomendación del antivirus es un poco extraña. Pida a los auditores que aclaren.
ewwhite
1
@ChrisLively Esto ocurrió durante el diseño de un poco alto perfil entorno que estaba trabajando el año pasado. Terminamos con ClamAV en sistemas donde aceptamos datos enviados por los usuarios. Sin embargo, evitamos AV en otros sistemas Linux al delinear nuestros controles de compensación y llegar a un acuerdo con los auditores.
Ewwhite
Yo diría que siempre que haya demostrado que ha "mitigado suficientemente el riesgo" y que los auditores realmente están firmando que están de acuerdo, entonces es probable que la responsabilidad legal esté satisfecha. Por supuesto, estoy seguro de que los contratos y otras leyes que rodean ese entorno en particular podrían hacerlo un poco único.
NotMe
17

Lo primero que debe comprender acerca de los auditores es que pueden no saber nada acerca de cómo se utiliza la tecnología en su alcance en el mundo real.

Hay muchas vulnerabilidades y problemas de seguridad de DNS que deben abordarse en una auditoría. Nunca llegarán a los problemas reales si se distraen con objetos brillantes y brillantes como la casilla de verificación "antivirus en un servidor DNS".

Greg Askew
fuente
10

El software antivirus moderno típico intenta con mayor precisión encontrar malware y no solo se limita a virus. Dependiendo de la implementación real de un servidor (cuadro dedicado para un servicio dedicado, contenedor en un cuadro compartido, servicio adicional en "el único servidor"), probablemente no sea una mala idea tener algo como ClamAV o LMD (Linux Malware Detect) instalado y realizar un escaneo adicional cada noche más o menos.

Cuando se le solicite en una auditoría, elija el requisito exacto y eche un vistazo a la información que lo acompaña. Por qué: muchos auditores no leen el requisito completo, no conocen el contexto y la información de orientación.

Como ejemplo, PCIDSS establece como requisito "implementar software antivirus en todos los sistemas comúnmente afectados por software malicioso".

La perspicaz columna de orientación PCIDSS establece específicamente que los mainframes, las computadoras de rango medio y los sistemas similares actualmente no son comúnmente atacados o afectados por malware, pero uno debe monitorear el nivel de amenaza actual, estar al tanto de las actualizaciones de seguridad del proveedor e implementar medidas para abordar la nueva seguridad vulnerabilidades (no limitadas a malware).

Entonces, después de señalar la lista de alrededor de 50 virus Linux de http://en.wikipedia.org/wiki/Linux_malware en comparación con los millones de virus conocidos para otros sistemas operativos, es fácil argumentar que un servidor Linux no se vea comúnmente afectado . El "conjunto de reglas más básico" de https://wiki.ubuntu.com/BasicSecurity también es un puntero interesante para la mayoría de los auditores centrados en Windows.

Y sus alertas de apticron sobre actualizaciones de seguridad pendientes y verificadores de integridad en ejecución como AIDE o Samhain pueden abordar con mayor precisión los riesgos reales que un escáner de virus estándar. Esto también puede convencer a su auditor de no introducir el riesgo de instalar un software que de otro modo no sería necesario (lo que proporciona un beneficio limitado, puede imponer un riesgo de seguridad o simplemente romperse).

Si eso no ayuda: instalar clamav como cronjob diario no hace tanto daño como otros softwares.

knoepfchendruecker
fuente
7

Los servidores DNS se han vuelto populares entre los auditores PCI este año.

Lo importante a reconocer es que si bien los servidores DNS no manejan datos confidenciales, sí son compatibles con sus entornos. Como tal, los auditores están comenzando a marcar estos dispositivos como "compatibles con PCI", similar a los servidores NTP. Los auditores suelen aplicar un conjunto diferente de requisitos a los entornos de soporte PCI que a los propios entornos PCI.

Hablaría con los auditores y les pediría que aclararan la diferencia en sus requisitos entre PCI y PCI, solo para asegurarme de que este requisito no se colara accidentalmente. Necesitamos asegurarnos de que nuestros servidores DNS cumplan con pautas de endurecimiento similares para los entornos PCI, pero el antivirus no era uno de los requisitos que enfrentamos.

Andrew B
fuente
2

Esto podría haber sido una reacción instintiva al shellshock bash vuln, se sugirió en línea que el enlace podría verse afectado.

EDITAR: No estoy seguro de que haya sido probado o confirmado.

D Whyte
fuente
11
Para lo cual, curiosamente, el software antivirus no sería de ayuda.
Bert
@Bert, ¿el antivirus no puede detectar bash vulnerable?
Basilevs
shellshock ya estaba parcheado y los servidores pasaron con éxito las pruebas
John Dimitriou
Oye ... no digo que vaya a ayudar, solo digo que probablemente sea lo que ellos consideraron útil.
D Whyte
2

Si sus servidores DNS caen dentro del alcance de PCI DSS, puede verse obligado a ejecutar AV en ellos (aunque es francamente tonto en la mayoría de los casos). Usamos ClamAV.

Brian Knoblauch
fuente
1

Si esto es para el cumplimiento de SOX, lo más probable es que te instalen instalar un antivirus, porque en algún lugar tienes una política que dice que todos los servidores deben tener instalado un antivirus. Y este no.

Escriba una excepción a la política para este servidor o instale AV.

madriguera
fuente
1

Hay dos tipos principales de servidores DNS: autorizados y recursivos. Un servidor DNS autorizado le dice al mundo qué direcciones IP deben usarse para cada nombre de host dentro de un dominio. Últimamente es posible asociar otros datos con un nombre, como las políticas de filtrado de correo electrónico (SPF) y los certificados criptográficos (DANE). Una resolución , o recursiva servidor DNS, busca información asociada a nombres de dominio, utilizando los servidores raíz ( .) para encontrar los servidores de registro ( .com), mediante los que se encuentran los servidores de dominios autorizados ( serverfault.com), y finalmente el uso de aquellos a encontrar los nombres de host ( serverfault.com, meta.serverfault.com, etc.)

No puedo ver cómo "antivirus" sería adecuado para un servidor autorizado. Pero el "antivirus" práctico para un solucionador implicaría bloquear la búsqueda de dominios asociados con la distribución o el comando y control de malware. Google dns block malwareo dns sinkholetrajo algunos resultados que podrían ayudarlo a proteger su red al proteger a sus solucionadores. Este no es el mismo tipo de antivirus que ejecutaría en una máquina cliente / computadora de escritorio, pero proponerlo a la parte responsable del requisito de "antivirus" podría producir una respuesta que lo ayude a comprender mejor la naturaleza del requisito de "antivirus" .

Preguntas relacionadas en otros sitios de Stack Exchange:

Damian Yerrick
fuente
¿Cómo es lo que estás describiendo un antivirus? Suena como un cruce entre un filtro antispam y un firewall. Para mí, eso es como decir que iptables es un software antivirus.
Patrick M
-2

Es mejor ejecutar Tripwire o AIDE

cod3fr3ak
fuente