Exécutez le logiciel antivirus sur les serveurs DNS linux. Est-ce que ça fait du sens?

40

Lors d'un audit récent, il nous a été demandé d'installer un logiciel antivirus sur nos serveurs DNS exécutant Linux (bind9). Les serveurs n’ont pas été compromis lors des tests de pénétration, mais c’était l’une des recommandations données.

  1. Un logiciel antivirus Linux est généralement installé pour analyser le trafic destiné aux utilisateurs. Quel est donc l'objectif d'installer un antivirus sur un serveur DNS?

  2. Quelle est votre opinion sur la proposition?

  3. Exécutez-vous réellement un logiciel antivirus sur vos serveurs linux?

  4. Si oui, quel logiciel antivirus recommanderiez-vous ou utilisez-vous actuellement?

John Dimitriou
la source
10
Je n'ai installé l'antivirus que sur les serveurs de messagerie Linux, pour l'analyse antivirus dans les pièces jointes, je ne vois aucun sens à installer antivirus sur un serveur DNS.
c4f4t0r
11
Ouais, ça n'a aucun sens. Demandez à l'entreprise de clarifier cette recommandation.
Michael Hampton
Quel logiciel antivirus veut-il que vous installiez?
Matt
Tenté d’appeler «principalement l’opinion», parce que j’estime qu’un cas légitime pourrait être présenté comme allant à l’encontre des réponses reçues jusqu’à présent. :)
Ryan Ries
1
Nous nous sommes retrouvés dans cette position - pas spécifiquement avec le DNS mais les serveurs Linux en général - et même si nous sommes d’accord avec l’argument contre, c’était finalement un exercice à rebours que nous ne voulions pas combattre. Nous avons donc exécuté ESET Antivirus géré de manière centralisée sur tous les serveurs.
HTTP500

Réponses:

11

L’un des aspects de cette situation est que , pour le vérificateur, il soit prudent de recommander à «l’antivirus» de tout faire .

Les audits de sécurité ne concernent pas uniquement la sécurité technique réelle. Souvent, il s’agit aussi de limiter la responsabilité en cas de poursuite.

Disons que votre entreprise a été piratée et qu'un recours collectif a été intenté contre vous. Votre responsabilité spécifique peut être atténuée en fonction de votre conformité aux normes de l'industrie. Supposons que les auditeurs ne recommandent pas de matériel audiovisuel sur ce serveur, vous ne devez donc pas l'installer.

Votre défense en cela est que vous avez suivi les recommandations d'un auditeur respecté et que vous passez le flambeau pour ainsi dire. Incidemment, c'est la raison principale pour laquelle nous faisons appel à des auditeurs tiers. Notez que le transfert de responsabilité est souvent inscrit dans le contrat que vous signez avec les auditeurs: si vous ne suivez pas leurs recommandations, tout dépend de vous.

Les avocats enquêteront ensuite sur l'auditeur en tant que co-accusé éventuel. Dans notre situation hypothétique, le fait qu’ils n’aient pas recommandé de système antivirus sur un serveur particulier sera considéré comme peu exhaustif. Cela seul les blesserait dans les négociations même si cela n'avait absolument aucune incidence sur l'attaque proprement dite.

La seule chose financièrement responsable pour une société d'audit est de disposer d'une recommandation standard pour tous les serveurs, quelle que soit la surface d'attaque réelle. Dans ce cas, AV sur tout . En d'autres termes, ils recommandent un marteau, même lorsqu'un scalpel est techniquement supérieur en raison d'un raisonnement juridique.

Cela a-t-il un sens technique? Généralement non, car cela augmente généralement les risques. Cela a-t-il du sens pour les avocats, un juge ou même un jury? Absolument, ils ne sont pas techniquement compétents et incapables de comprendre les nuances. C'est pourquoi vous devez vous conformer.

@ewwhite vous a recommandé de parler à l'auditeur à ce sujet. Je pense que c'est le mauvais chemin. Au lieu de cela, vous devriez parler avec l'avocat de votre société pour obtenir son avis sur le fait de ne pas suivre ces demandes.

Pas moi
la source
2
Voici pourquoi nous sommes retenus. A / working / AV constitue dans la plupart des cas une défense minime pour un serveur Linux, dans la mesure où il ne défend que le cas où quelqu'un l'utilise pour distribuer des programmes malveillants.
Joshudson
5
Si vous êtes sur une machine durcie, un antivirus sera probablement le seul logiciel installé sur le serveur qui possède une porte dérobée intégrée, c'est-à-dire une mise à jour automatique. De plus, si vous parvenez à lire tous les stockages pertinents en lecture seule, l’AV sera le seul logiciel nécessitant un accès en écriture pour mettre à jour sa signature.
Lie Ryan
1
Je ne peux pas accepter le point de ne pas parler avec les auditeurs. Les auditeurs font des erreurs plus souvent qu'ils ne veulent l'admettre. Il n’ya rien de mal à s’entendre mutuellement sur le fait que le vérificateur a commis une erreur - assurez-vous simplement que la reconnaissance est sans ambiguïté.
Andrew B
1
@ AndrewB: Je ne pense pas que je disais JAMAIS de parler aux auditeurs. Plutôt, une discussion avec vos représentants légaux AVANT serait la meilleure façon de procéder. La société doit bien comprendre le risque de négocier avec les auditeurs avant d’essayer de suivre cette voie.
NotMe
31

Parfois, les auditeurs sont des idiots ...

C'est une demande peu commune, cependant. Je m'opposerais à la recommandation des auditeurs en sécurisant / limitant l'accès aux serveurs, en ajoutant un contrôle IDS ou de contrôle de l'intégrité des fichiers ou en renforçant la sécurité ailleurs dans votre environnement. Antivirus n'a aucun avantage ici.

Modifier:

Comme indiqué dans les commentaires ci-dessous, j'ai participé au lancement d'un site Web très prestigieux ici aux États-Unis et responsable de la conception de l'architecture de référence Linux pour la conformité HIPAA.

Quand Antivirus a été discuté, nous avons recommandé ClamAV et un pare-feu d’application pour traiter les envois des utilisateurs finaux, tout en évitant d’avoir des antivirus sur tous les systèmes en mettant en place des contrôles compensatoires ( IDS tiers , journalisation de session, auditd, etc.). syslog distant, authentification à deux facteurs sur le VPN et les serveurs, surveillance de l'intégrité des fichiers AIDE, cryptage de bases de données tierces, structures de système de fichiers loufoques , etc.) . Celles-ci ont été jugées acceptables par les auditeurs et tout a été approuvé.

ewwhite
la source
2
+1 Il y a beaucoup de choses où vous pouvez dépenser des ressources: temps, argent et énergie qui rapportent à votre entreprise. Les auditeurs ont peut-être lu un article sur l’empoisonnement du DNS et ont pensé que c’était un remède. Le retour sur ceci est négligeable.
Jim Mcnamara
Tous ces éléments sont déjà en place: mécanismes de surveillance des performances, IPS, pare-feu réseau et bien sûr iptables sur le serveur.
John Dimitriou
@JohnDimitriou Ensuite, vous êtes en excellente forme. La recommandation de l'antivirus est un peu étrange. Demandez aux auditeurs de clarifier.
ewwhite
1
@ChrisLively Cela est arrivé lors de la conception d'un peu haut profil environnement , je travaillais à l' année dernière. Nous avons abouti à ClamAV sur des systèmes où nous acceptions les données soumises par les utilisateurs. Cependant, nous avons évité les logiciels audiovisuels sur d’autres systèmes Linux en décrivant nos contrôles compensatoires et en nous mettant d’accord avec les auditeurs.
ewwhite
Je dirais que tant que vous montrez que vous avez "suffisamment atténué le risque" et que les auditeurs signent leur accord, la responsabilité légale est probablement satisfaite. Bien sûr, je suis sûr que les contrats et autres lois qui régissent cet environnement particulier pourraient le rendre un peu unique.
NotMe
17

La première chose que vous devez comprendre à propos des auditeurs est qu’ils ne savent peut-être pas comment la technologie concernée est utilisée dans le monde réel.

Un grand nombre de vulnérabilités de sécurité DNS et de problèmes doivent être résolus lors d’un audit. Ils ne verront jamais les vrais problèmes s’ils sont distraits par des objets brillants comme la case à cocher "antivirus sur un serveur DNS".

Greg Askew
la source
10

Un logiciel antivirus moderne typique tente plus précisément de détecter les logiciels malveillants et ne se limite pas aux virus. Selon l'implémentation réelle d'un serveur (boîte dédiée pour un service dédié, conteneur sur une boîte partagée, service supplémentaire sur "le seul serveur"), ce n'est probablement pas une mauvaise idée d'avoir quelque chose comme ClamAV ou LMD (Linux Malware Detect) installé et effectuer une analyse supplémentaire chaque nuit ou à peu près.

Lorsqu’on vous le demande lors d’un audit, veuillez sélectionner l’exigence exacte et consulter les informations fournies. Pourquoi: trop d'auditeurs ne lisent pas l'intégralité de l'exigence, ne sont pas conscients du contexte et des informations de guidage.

À titre d'exemple, PCIDSS indique comme condition préalable "déployer un logiciel antivirus sur tous les systèmes couramment affectés par des logiciels malveillants".

La colonne de guidage PCIDSS indique les ordinateurs centraux, les ordinateurs de milieu de gamme et les systèmes similaires non ciblés ou affectés par des programmes malveillants, mais il convient de surveiller le niveau de menace actuel, de connaître les mises à jour de sécurité des fournisseurs et de prendre des mesures pour traiter les nouvelles questions de sécurité. vulnérabilités (non limitées aux logiciels malveillants).

Ainsi, après avoir pointé la liste d'environ 50 virus Linux de http://en.wikipedia.org/wiki/Linux_malware par rapport aux millions de virus connus pour d'autres systèmes d'exploitation, il est facile d'argumenter qu'un serveur Linux ne soit pas communément affecté . Les "règles de base les plus élémentaires" de https://wiki.ubuntu.com/BasicSecurity sont également un pointeur intéressant pour la plupart des auditeurs centrés sur Windows.

Et vos alertes apticron sur les mises à jour de sécurité en attente et l'exécution de vérificateurs d'intégrité tels que AIDE ou Samhain peuvent traiter les risques actuels avec plus de précision qu'un antivirus standard. Cela peut également convaincre votre auditeur de ne pas introduire le risque d'installer un logiciel par ailleurs inutile (qui offre un avantage limité, peut imposer un risque de sécurité ou tout simplement une panne).

Si cela ne vous aide pas, installer clamav en tant que journal quotidien ne fait pas mal, à la différence des autres logiciels.

knoepfchendruecker
la source
7

Les serveurs DNS sont devenus populaires auprès des auditeurs PCI cette année.

La chose importante à reconnaître est que, même si les serveurs DNS ne traitent pas les données sensibles, ils prennent en charge vos environnements. En tant que tels, les auditeurs commencent à signaler ces périphériques comme "compatibles PCI", comme les serveurs NTP. Les auditeurs appliquent généralement aux environnements prenant en charge PCI un ensemble d'exigences différent de celui des environnements PCI eux-mêmes.

Je voudrais parler aux auditeurs et leur demander de clarifier la différence entre leurs exigences PCI et support PCI, juste pour s’assurer que cette exigence n’a pas été introduite accidentellement. Nous devions nous assurer que nos serveurs DNS respectaient les directives de renforcement similaires. aux environnements PCI, mais l’antivirus n’était pas l’une des exigences auxquelles nous étions confrontés.

Andrew B
la source
2

Cela aurait pu être une réaction instinctive à la crise des obus, il a été suggéré en ligne que la liaison pourrait être affectée.

EDIT: Pas sûr que cela ait été prouvé ou confirmé.

D Whyte
la source
11
Curieusement, un logiciel anti-virus ne serait d'aucune aide.
Bert
@ Bert ne peut-il pas détecter l'antivirus bash vulnérable?
Basilevs
shellshock a déjà été corrigé et les serveurs ont passé les tests avec succès
John Dimitriou
Hé ... Je ne dis pas que ça va aider, je dis juste que c'est probablement ce qu'ils avaient considéré utile.
D Whyte
2

Si vos serveurs DNS entrent dans le champ d'application de la norme PCI DSS, vous pouvez être forcé de faire appel à eux (même si c'est carrément stupide dans la plupart des cas). Nous utilisons ClamAV.

Brian Knoblauch
la source
1

Si cela concerne la conformité SOX, ils vous demandent d'installer un antivirus, très probablement, car vous avez parfois une stratégie qui dit que l'antivirus doit être installé sur tous les serveurs. Et celui-ci ne le fait pas.

Écrivez une exception à la stratégie pour ce serveur ou installez AV.

garenne
la source
1

Il existe deux principaux types de serveurs DNS: faisant autorité et récursifs. Un serveur DNS faisant autorité indique au monde quelles adresses IP doivent être utilisées pour chaque nom d'hôte d'un domaine. Dernièrement, il est devenu possible d'associer un nom à d'autres données, telles que des stratégies de filtrage des messages (SPF) et des certificats cryptographiques (DANE). Un résolveur ou récursive au serveur DNS, recherche les informations associées aux noms de domaine, en utilisant les serveurs racine ( .) pour trouver les serveurs de registre ( .com), en utilisant ceux pour trouver des serveurs faisant autorité de domaines ( serverfault.com), et enfin en utilisant ceux de trouver hostname ( serverfault.com, meta.serverfault.com, etc.).

Je ne vois pas comment un "antivirus" conviendrait à un serveur faisant autorité. Mais un "antivirus" pratique pour un résolveur impliquerait le blocage de la recherche de domaines associés à la distribution ou la commande et le contrôle de programmes malveillants. Google dns block malwareou dns sinkholequelques résultats qui pourraient vous aider à protéger votre réseau en protégeant ses résolveurs. Ce n’est pas le même type d’antivirus que celui que vous exécuteriez sur un ordinateur client / de bureau, mais le proposer à la partie responsable de l’exigence «antivirus» pourrait produire une réponse qui vous aiderait à mieux comprendre la nature de l’exigence «antivirus». .

Questions connexes sur d'autres sites Stack Exchange:

Damian Yerrick
la source
Comment est ce que vous décrivez un anti-virus? Cela ressemble à un croisement entre un filtre anti-spam et un pare-feu. Pour moi, cela revient à dire qu'iptables est un logiciel anti-virus.
Patrick M
-2

Mieux vaut utiliser Tripwire ou AIDE

cod3fr3ak
la source