44 votos

Ejecutar software antivirus en linux de los servidores de DNS. ¿Tiene sentido?

Durante una reciente auditoría nos pidieron que instalar software antivirus en nuestros servidores de DNS que se ejecuta en linux (bind9). Los servidores no fueron comprometidos durante las pruebas de penetración, pero esta fue una de las recomendaciones dadas.

  1. Generalmente linux el software antivirus está instalado para analizar el tráfico de destinado a los usuarios, así que ¿cuál es el objetivo de instalar antivirus en un dns servidor?

  2. ¿Cuál es su opinión sobre la propuesta?

  3. ¿Usted realmente ejecutar software antivirus en sus servidores linux?

  4. Si es así, que el software antivirus te recomiendo, o eres utilizando actualmente?

32voto

Tina Puntos 21

A veces los auditores son idiotas...

Este es infrecuente la solicitud, sin embargo. Yo iría en contra de la recomendación de los auditores mediante la protección y limitación de acceso a los servidores, la adición de un IDS o supervisión de integridad de archivos o reforzar la seguridad en otros lugares de su entorno. Antivirus no tienen ningún beneficio aquí.

Editar:

Como se señaló en los comentarios de abajo, yo estaba involucrado en el lanzamiento de un muy alto perfil de sitio web aquí en los estados unidos, y fue el responsable de diseñar el Linux de la arquitectura de referencia para la conformidad de HIPAA.

Cuando la materia de Antivirus se presentó para el debate, se hizo recomendamos ClamAV y un firewall de aplicación a la tramitación de las presentaciones de los usuarios finales, pero se las arregló para evitar tener AV en todos los sistemas mediante la implementación de controles de compensación (3ra parte IDS, sesión de registro, auditd, syslog remoto, de dos factores de autenticación a la red VPN y servidores, ASISTENTE de supervisión de integridad de archivos, de 3 ª parte cifrado de datos, loco estructuras del sistema de ficheros, etc.). Estos fueron considerados aceptables por los auditores de cuentas, y todo estaba aprobado.

17voto

Greg Askew Puntos 17236

La primera cosa que usted necesita entender acerca de los auditores es que no puede saber nada acerca de cómo la tecnología en el ámbito de aplicación se utiliza en el mundo real.

Hay un montón de DNS vulnerabilidades de seguridad y las cuestiones que deben abordarse en una auditoría. Ellos nunca van a llegar a los verdaderos problemas si están distraídos por los brillantes objetos como "antivirus en un servidor DNS" casilla de verificación.

14voto

Amanda Puntos 2408

Un aspecto de esto es que recomendar "anti-virus" para estar en todo, es una apuesta segura, para el auditor.

Auditorías de seguridad no son enteramente sobre la realidad de la seguridad técnica. A menudo son también acerca de la limitación de responsabilidad en caso de una demanda.

Digamos que su empresa fue hackeado y una demanda de acción de clase presentada en su contra. Su responsabilidad específica puede ser mitigado basada en lo bien que has seguido los estándares de la industria. Digamos que los auditores de cuentas, ¿ no recomendamos AV en este servidor, por lo que no se instala.

Su defensa es que ha seguido las recomendaciones de un respetado auditor y pasar la pelota por así decirlo. Por cierto, ese es el PRINCIPAL motivo por el que usamos tercera parte de los auditores. Tenga en cuenta que el desplazamiento de la responsabilidad es a menudo escrita en el contrato que firme con los auditores: si no siguen sus recomendaciones, es todo en usted.

Bueno, abogados entonces investigar el auditor como una posible co-demandado. En nuestra situación hipotética el hecho de que ellos no recomiendan AV en un servidor en particular serán considerados como no ser exhaustivo. Que solo les duele en las negociaciones, incluso si no tenía absolutamente nada que ver con el ataque en sí.

El único responsable fiscalmente, lo que para una empresa de auditoría que hacer es tener una recomendación estándar para todos los servidores, independientemente de ataque real de superficie. En este caso, AV en todo. En otras palabras, se recomienda un martillo, incluso cuando un bisturí es técnicamente superior, debido al razonamiento jurídico.

¿Tiene sentido técnico? Generalmente no, ya que generalmente aumenta el riesgo. No tiene sentido abogados, un juez o incluso un jurado? Absolutamente, no son técnicamente competentes y capaces de comprender los matices. Cual es la razón por la que usted necesita para cumplir.

@ewwhite recomienda hablar con el auditor de cuentas acerca de esto. Creo que ese es el camino equivocado. En lugar usted debe hablar con su compañía de abogado para obtener su opinión sobre no seguir estas solicitudes.

10voto

Típico moderno software anti-virus hace de forma más precisa intento de encontrar malware y no sólo se limita a los virus. Dependiendo de la implementación real de un servidor (dedicado cuadro para un servicio dedicado, contenedor compartido con cuadro de servicio adicional en "el único servidor"), probablemente no es una mala idea tener algo como ClamAV o LMD (Linux Malware Detect) instalado y realizar algunos extras análisis cada noche o así.

Cuando se le preguntó en una auditoría, por favor elija el requisito exacto y echar un vistazo a la información que los acompaña. Por qué: demasiados auditores no leer el requisito, no son conscientes de la información de contexto y orientación de la información.

Como un ejemplo, PCIDSS estado "implementación de software anti-virus en todos los sistemas comúnmente afectados por el tipo de software perjudicial" como un requisito.

El perspicaz PCIDSS orientación columna establece específicamente que los mainframes, de gama media de equipos y sistemas similares en la actualidad puede no ser comúnmente específicos o afectados por el malware, pero uno debe monitorear la corriente real en el nivel de la amenaza, ser conscientes de proveedor de actualizaciones de seguridad y la implementación de medidas para abordar las nuevas vulnerabilidades de seguridad (no limitado a software malicioso).

Así que después de que apunta a la lista de alrededor de 50 Linux los virus de http://en.wikipedia.org/wiki/Linux_malware en comparación a los millones de virus conocidos para otros sistemas operativos, es fácil argumento de un servidor Linux a no ser comúnmente afectados. "La mayoría de conjunto básico de reglas" de https://wiki.ubuntu.com/BasicSecurity son también una interesante puntero para la mayoría de las Ventanas orientadas a los auditores.

Y su apticron-alertas en pendiente de las actualizaciones de seguridad y ejecución de la integridad de los inspectores como AYUDANTE o Samhain puede con más precisión la dirección de los riesgos reales de un estándar de escáner de virus. Esto también puede convencer a su auditor de no introducir el riesgo de instalar un innecesarios software (lo que proporciona un beneficio limitado, puede imponer un riesgo de seguridad o simplemente romper).

Si eso no ayuda: instalación de clamav como un diario cronjob no duele mucho, como otros softwares.

7voto

Andrew B Puntos 9763

Los servidores DNS se han hecho populares con PCI auditores de este año.

Lo importante a reconocer es que mientras que los servidores DNS de no manejar datos sensibles, que el apoyo de sus entornos que hacer. Como tal, los auditores están empezando a marcar estos dispositivos como "PCI de apoyo", similar a los servidores NTP. Generalmente los auditores aplican un conjunto diferente de los requisitos de PCI apoyo a los entornos que el PCI entornos de sí mismos.

Me gustaría hablar con los auditores de cuentas y preguntar para aclarar la diferencia en sus requisitos entre PCI y PCI de apoyo, sólo para asegurarse de que este requisito no accidentalmente a hurtadillas. Hicimos necesita para asegurarse de que nuestros servidores de DNS se reunió el endurecimiento de las normas similares a la PCI entornos, pero el anti-virus no era uno de los requisitos que nos hemos enfrentado.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X