Jalankan perangkat lunak antivirus di server DNS linux. Apakah masuk akal?

40

Selama audit baru-baru ini kami diminta untuk menginstal perangkat lunak antivirus di server DNS kami yang menjalankan linux (bind9). Server tidak dikompromikan selama pengujian penetrasi tetapi ini adalah salah satu rekomendasi yang diberikan.

  1. Biasanya perangkat lunak antivirus linux diinstal untuk memindai lalu lintas yang ditujukan kepada pengguna, jadi apa tujuan menginstal antivirus di server dns?

  2. Apa pendapat Anda tentang proposal tersebut?

  3. Apakah Anda benar-benar menjalankan perangkat lunak antivirus di server linux Anda?

  4. Jika demikian, perangkat lunak antivirus mana yang akan Anda rekomendasikan atau sedang Anda gunakan?

John Dimitriou
sumber
10
saya hanya menginstal antivirus di server mail linux, untuk memindai virus dalam lampiran email, saya tidak melihat adanya akal dalam menginstal antivirus di server dns.
c4f4t0r
11
Ya, ini tidak masuk akal. Minta perusahaan untuk mengklarifikasi rekomendasi itu.
Michael Hampton
Perangkat lunak antivirus apa yang mereka ingin Anda instal?
Matt
Tergoda untuk memanggil "Berdasarkan Opini Utama," karena saya merasa bahwa kasus yang sah dapat dibuat bertentangan dengan jawaban populer sejauh ini. :)
Ryan Ries
1
Kami menemukan diri kami dalam posisi ini - tidak secara khusus dengan DNS tetapi server Linux pada umumnya - dan meskipun kami setuju dengan argumen yang menentang, pada akhirnya itu hanya latihan mencentang kotak yang membuat kami bosan berkelahi. Jadi kami menjalankan ESET Antivirus yang dikelola secara terpusat di semua server.
HTTP500

Jawaban:

11

Salah satu aspek dari ini adalah bahwa merekomendasikan "anti-virus" untuk semuanya adalah taruhan yang aman, bagi auditor.

Audit keamanan tidak sepenuhnya tentang keselamatan teknis yang sebenarnya. Seringkali mereka juga tentang membatasi tanggung jawab dalam kasus gugatan.

Katakanlah perusahaan Anda diretas dan gugatan class action diajukan terhadap Anda. Tanggung jawab khusus Anda dapat dikurangi berdasarkan seberapa baik Anda mengikuti standar industri. Katakanlah auditor tidak merekomendasikan AV di server ini, jadi Anda tidak menginstalnya.

Pembelaan Anda dalam hal ini adalah bahwa Anda mengikuti rekomendasi dari auditor yang dihormati dan memberikan tanggung jawab untuk berbicara. Kebetulan, itulah alasan UTAMA kami menggunakan auditor pihak ketiga. Perhatikan bahwa pengalihan tanggung jawab sering ditulis ke dalam kontrak yang Anda tanda tangani dengan auditor: jika Anda tidak mengikuti rekomendasinya, semuanya ada pada Anda.

Nah, pengacara kemudian akan menyelidiki auditor sebagai calon terdakwa. Dalam situasi hipotetis kami, fakta bahwa mereka tidak merekomendasikan AV pada server tertentu akan dianggap tidak menyeluruh. Itu saja akan menyakiti mereka dalam negosiasi bahkan jika itu sama sekali tidak ada kaitannya dengan serangan yang sebenarnya.

Satu-satunya hal yang bertanggung jawab secara fiskal untuk dilakukan oleh perusahaan audit adalah memiliki rekomendasi standar untuk semua server terlepas dari permukaan serangan yang sebenarnya. Dalam hal ini, AV dalam segala hal . Dengan kata lain mereka merekomendasikan palu godam bahkan ketika pisau bedah secara teknis unggul karena alasan hukum.

Apakah ini masuk akal secara teknis? Umumnya tidak seperti itu biasanya meningkatkan risiko. Apakah masuk akal untuk pengacara, hakim atau bahkan juri? Tentu saja, mereka tidak kompeten secara teknis dan tidak mampu memahami nuansa. Itulah sebabnya Anda harus mematuhinya.

@ewwhite merekomendasikan Anda untuk berbicara dengan auditor tentang hal ini. Saya pikir itu jalan yang salah. Sebaliknya, Anda harus berbicara dengan pengacara perusahaan Anda untuk mendapatkan pendapat mereka tentang tidak mengikuti permintaan ini.

Bukan saya
sumber
2
Lihatlah mengapa kita ditahan. A / working / AV adalah sedikit pertahanan untuk server Linux dalam banyak kasus karena benar-benar hanya membela kasus seseorang yang menggunakannya untuk mendistribusikan malware.
joshudson
5
Jika Anda menggunakan mesin yang dikeraskan, AV mungkin merupakan satu-satunya perangkat lunak yang diinstal pada server yang memiliki backdoor bawaan, yaitu autoupdater. Juga, jika Anda mengatur agar semua penyimpanan yang relevan hanya baca, AV akan menjadi satu-satunya perangkat lunak yang memerlukan akses tulis untuk memperbarui tanda tangannya.
Lie Ryan
1
Saya tidak bisa setuju dengan maksud tidak berbicara dengan auditor. Auditor membuat kesalahan lebih sering daripada yang mereka akui. Tidak ada yang salah dengan mencapai saling pengertian bahwa auditor membuat kesalahan - pastikan saja pengakuannya tidak ambigu.
Andrew B
1
@AndrewB: Saya tidak berpikir saya mengatakan TIDAK PERNAH untuk berbicara dengan auditor. Sebaliknya, diskusi dengan perwakilan hukum Anda SEBELUMNYA untuk itu akan menjadi cara terbaik untuk melanjutkan. Perusahaan perlu memahami sepenuhnya risiko negosiasi dengan auditor sebelum mencoba menempuh jalan itu.
NotMe
31

Terkadang auditor idiot ...

Ini adalah permintaan yang tidak biasa. Saya akan menentang rekomendasi auditor dengan mengamankan / membatasi akses ke server, menambahkan IDS atau pemantauan integritas file atau memperkuat keamanan di tempat lain di lingkungan Anda. Antivirus tidak ada manfaatnya di sini.

Edit:

Seperti disebutkan dalam komentar di bawah ini, saya terlibat dalam peluncuran situs web profil tinggi di AS, dan bertanggung jawab untuk merancang arsitektur referensi Linux untuk kepatuhan HIPAA.

Ketika masalah Antivirus muncul untuk diskusi, kami merekomendasikan ClamAV dan firewall aplikasi untuk memproses pengiriman dari pengguna akhir, tetapi berhasil menghindari AV di semua sistem dengan menerapkan kontrol kompensasi ( IDS pihak ketiga , sesi logging, auditd, syslog jarak jauh, otentikasi dua faktor ke VPN dan server, pemantauan integritas file AIDE, enkripsi DB pihak ketiga, struktur sistem file gila , dll . ) . Ini dianggap dapat diterima oleh auditor, dan semua disetujui.

putih
sumber
2
+1. Ada banyak hal di mana Anda dapat menghabiskan sumber daya: waktu, uang, dan energi yang memberikan pengembalian kepada perusahaan Anda. Mungkin salah satu auditor membaca tentang keracunan DNS dan berpikir ini adalah obatnya. Pengembalian ini diabaikan.
jim mcnamara
Semua ini sudah ada: mekanisme pemantauan kinerja, IPS, firewall jaringan dan tentu saja iptables di server.
John Dimitriou
@JohnDimitriou Maka Anda dalam kondisi sangat baik. Rekomendasi Antivirus agak aneh. Minta auditor untuk menjelaskan.
ewwhite
1
@ ChrisLively Ini muncul selama desain lingkungan profil yang agak tinggi yang saya kerjakan tahun lalu. Kami berakhir dengan ClamAV pada sistem tempat kami menerima data yang dikirimkan pengguna. Namun, kami menghindari AV pada sistem Linux lain dengan menguraikan kontrol kompensasi kami dan mencapai kesepakatan dengan auditor.
ewwhite
Saya akan mengatakan selama Anda telah menunjukkan bahwa Anda telah "cukup memitigasi risiko" dan auditor sebenarnya menandatangani bahwa mereka setuju, maka tanggung jawab hukum kemungkinan akan terpenuhi. Tentu saja, saya yakin kontraknya, dan undang-undang lainnya, yang melingkupi lingkungan tertentu itu mungkin membuatnya sedikit unik.
NotMe
17

Hal pertama yang perlu Anda pahami tentang auditor adalah mereka mungkin tidak tahu apa-apa tentang bagaimana teknologi dalam ruang lingkup digunakan di dunia nyata.

Ada banyak kerentanan dan masalah keamanan DNS yang harus ditangani dalam audit. Mereka tidak akan pernah sampai ke masalah nyata jika mereka terganggu oleh benda-benda cerah seperti kotak centang "antivirus on a DNS server".

Greg Askew
sumber
10

Perangkat lunak anti-virus modern yang khas melakukan upaya yang lebih akurat untuk menemukan malware dan tidak hanya terbatas pada virus. Bergantung pada implementasi aktual server (kotak khusus untuk layanan khusus, wadah pada kotak bersama, layanan tambahan pada "satu-satunya server"), mungkin bukan ide buruk untuk memiliki sesuatu seperti ClamAV atau LMD (Linux Malware Detect) diinstal dan melakukan pemindaian ekstra setiap malam atau lebih.

Ketika ditanya dalam audit, harap pilih persyaratan yang tepat dan lihat informasi yang menyertainya. Mengapa: terlalu banyak auditor yang tidak membaca persyaratan lengkap, tidak mengetahui konteks dan informasi panduan.

Sebagai contoh, PCIDSS menyatakan "menyebarkan perangkat lunak anti-virus pada semua sistem yang umumnya dipengaruhi oleh perangkat lunak jahat" sebagai persyaratan.

Kolom panduan PCIDSS yang berwawasan luas secara khusus menyatakan mainframe, komputer kelas menengah, dan sistem serupa saat ini mungkin tidak ditargetkan atau terpengaruh oleh malware, tetapi orang harus memantau tingkat ancaman aktual saat ini, mengetahui pembaruan keamanan vendor dan menerapkan langkah-langkah untuk mengatasi keamanan baru kerentanan (tidak terbatas pada malware).

Jadi setelah menunjuk pada daftar sekitar 50 virus Linux dari http://en.wikipedia.org/wiki/Linux_malware dibandingkan dengan jutaan virus yang dikenal untuk sistem operasi lain, mudah untuk memperdebatkan server Linux untuk tidak terpengaruh secara umum. . "Kumpulan aturan paling mendasar" dari https://wiki.ubuntu.com/BasicSecurity juga merupakan penunjuk yang menarik untuk sebagian besar auditor yang berfokus pada Windows.

Dan peringatan aptikron Anda tentang pembaruan keamanan yang tertunda dan menjalankan pemeriksa integritas seperti AIDE atau Samhain dapat lebih akurat menangani risiko aktual daripada pemindai virus standar. Ini juga dapat meyakinkan auditor Anda untuk tidak memperkenalkan risiko memasang perangkat lunak yang tidak diperlukan (yang memberikan manfaat terbatas, dapat menimbulkan risiko keamanan atau hanya merusak).

Jika itu tidak membantu: menginstal clamav sebagai cronjob sehari-hari tidak ada salahnya dengan software lain.

knoepfchendruecker
sumber
7

Server DNS telah menjadi populer dengan auditor PCI tahun ini.

Hal penting untuk dikenali adalah bahwa sementara server DNS tidak menangani data sensitif, mereka mendukung lingkungan Anda yang melakukannya. Dengan demikian, auditor mulai menandai perangkat ini sebagai "PCI pendukung", mirip dengan server NTP. Auditor biasanya menerapkan serangkaian persyaratan yang berbeda untuk lingkungan pendukung PCI daripada yang mereka lakukan sendiri terhadap lingkungan PCI.

Saya akan berbicara dengan auditor dan meminta mereka untuk mengklarifikasi perbedaan dalam persyaratan mereka antara PCI dan PCI yang mendukung, hanya untuk memastikan bahwa persyaratan ini tidak secara tidak sengaja menyelinap masuk. Kami perlu memastikan bahwa server DNS kami memenuhi pedoman pengerasan yang serupa ke lingkungan PCI, tetapi anti-virus bukan salah satu persyaratan yang kami hadapi.

Andrew B
sumber
2

Ini bisa menjadi reaksi spontan terhadap shellshock bash vuln, disarankan secara online bahwa binding dapat terpengaruh.

EDIT: Tidak yakin itu pernah terbukti atau dikonfirmasi.

D Whyte
sumber
11
Yang, anehnya, perangkat lunak anti-virus tidak akan membantu.
Bert
@Bert tidak dapatkah antivirus mendeteksi bash yang rentan?
Basilev
shellshock sudah ditambal dan server berhasil lulus tes
John Dimitriou
Hei ... Saya tidak mengatakan itu akan membantu, saya hanya mengatakan itu mungkin apa yang mereka anggap bermanfaat.
D Whyte
2

Jika server DNS Anda termasuk dalam ruang lingkup PCI DSS, Anda mungkin terpaksa menjalankan AV pada mereka (meskipun itu konyol dalam kebanyakan kasus). Kami menggunakan ClamAV.

Brian Knoblauch
sumber
1

Jika ini untuk kepatuhan SOX, mereka memberitahu Anda untuk menginstal antivirus, kemungkinan besar, karena di suatu tempat Anda memiliki kebijakan yang mengatakan semua server harus menginstal antivirus. Dan yang ini tidak.

Entah menulis pengecualian untuk kebijakan untuk server ini, atau menginstal AV.

warren
sumber
1

Ada dua jenis utama server DNS: otoritatif dan rekursif. Sebuah otoritatif DNS server yang memberitahu dunia apa yang harus digunakan alamat IP untuk setiap nama host dalam sebuah domain. Akhir-akhir ini menjadi mungkin untuk mengaitkan data lain dengan nama, seperti kebijakan pemfilteran email (SPF) dan sertifikat kriptografi (DANE). Sebuah penyelesai , atau rekursif DNS server, mendongak informasi yang terkait dengan nama domain, menggunakan server root ( .) untuk menemukan server registry ( .com), menggunakan mereka untuk menemukan server otoritatif domain ( serverfault.com), dan akhirnya menggunakan mereka untuk menemukan nama host ( serverfault.com, meta.serverfault.com, dll.)

Saya tidak bisa melihat bagaimana "antivirus" cocok untuk server yang otoritatif. Tetapi "antivirus" praktis untuk penyelesai akan melibatkan pemblokiran pencarian domain yang terkait dengan distribusi atau perintah dan kontrol malware. Google dns block malwareatau dns sinkholemembawa beberapa hasil yang mungkin membantu Anda melindungi jaringan Anda dengan melindungi resolvernya. Ini bukan jenis antivirus yang sama dengan yang Anda jalankan di mesin klien / desktop, tetapi mengusulkannya kepada pihak yang bertanggung jawab atas persyaratan "antivirus" mungkin menghasilkan balasan yang membantu Anda memahami sifat dari persyaratan "antivirus" dengan lebih baik .

Pertanyaan terkait di situs Stack Exchange lainnya:

Damian Yerrick
sumber
Bagaimana Anda menggambarkan anti-virus? Kedengarannya seperti persilangan antara filter anti-spam dan firewall. Bagi saya, itu seperti mengatakan iptables adalah perangkat lunak anti-virus.
Patrick M
-2

Lebih baik menjalankan Tripwire atau AIDE

cod3fr3ak
sumber