Exécutez le logiciel antivirus sur les serveurs DNS linux. Est-ce que ça fait du sens?

Lors d'un audit récent, il nous a été demandé d'installer un logiciel antivirus sur nos serveurs DNS exécutant Linux (bind9). Les serveurs n’ont pas été compromis lors des tests de pénétration, mais c’était l’une des recommandations données.

1. Un logiciel antivirus Linux est généralement installé pour analyser le trafic destiné aux utilisateurs. Quel est donc l'objectif d'installer un antivirus sur un serveur DNS?

2. Quelle est votre opinion sur la proposition?

3. Exécutez-vous réellement un logiciel antivirus sur vos serveurs linux?

4. Si oui, quel logiciel antivirus recommanderiez-vous ou utilisez-vous actuellement?

L’un des aspects de cette situation est que , pour le vérificateur, il soit prudent de recommander à «l’antivirus» de tout faire .

Les audits de sécurité ne concernent pas uniquement la sécurité technique réelle. Souvent, il s’agit aussi de limiter la responsabilité en cas de poursuite.

Disons que votre entreprise a été piratée et qu'un recours collectif a été intenté contre vous. Votre responsabilité spécifique peut être atténuée en fonction de votre conformité aux normes de l'industrie. Supposons que les auditeurs ne recommandent pas de matériel audiovisuel sur ce serveur, vous ne devez donc pas l'installer.

Votre défense en cela est que vous avez suivi les recommandations d'un auditeur respecté et que vous passez le flambeau pour ainsi dire. Incidemment, c'est la raison principale pour laquelle nous faisons appel à des auditeurs tiers. Notez que le transfert de responsabilité est souvent inscrit dans le contrat que vous signez avec les auditeurs: si vous ne suivez pas leurs recommandations, tout dépend de vous.

Les avocats enquêteront ensuite sur l'auditeur en tant que co-accusé éventuel. Dans notre situation hypothétique, le fait qu’ils n’aient pas recommandé de système antivirus sur un serveur particulier sera considéré comme peu exhaustif. Cela seul les blesserait dans les négociations même si cela n'avait absolument aucune incidence sur l'attaque proprement dite.

La seule chose financièrement responsable pour une société d'audit est de disposer d'une recommandation standard pour tous les serveurs, quelle que soit la surface d'attaque réelle. Dans ce cas, AV sur tout . En d'autres termes, ils recommandent un marteau, même lorsqu'un scalpel est techniquement supérieur en raison d'un raisonnement juridique.

Cela a-t-il un sens technique? Généralement non, car cela augmente généralement les risques. Cela a-t-il du sens pour les avocats, un juge ou même un jury? Absolument, ils ne sont pas techniquement compétents et incapables de comprendre les nuances. C'est pourquoi vous devez vous conformer.

@ewwhite vous a recommandé de parler à l'auditeur à ce sujet. Je pense que c'est le mauvais chemin. Au lieu de cela, vous devriez parler avec l'avocat de votre société pour obtenir son avis sur le fait de ne pas suivre ces demandes.

Parfois, les auditeurs sont des idiots ...

C'est une demande peu commune, cependant. Je m'opposerais à la recommandation des auditeurs en sécurisant / limitant l'accès aux serveurs, en ajoutant un contrôle IDS ou de contrôle de l'intégrité des fichiers ou en renforçant la sécurité ailleurs dans votre environnement. Antivirus n'a aucun avantage ici.

Modifier:

Comme indiqué dans les commentaires ci-dessous, j'ai participé au lancement d'un site Web très prestigieux ici aux États-Unis et responsable de la conception de l'architecture de référence Linux pour la conformité HIPAA.

Quand Antivirus a été discuté, nous avons recommandé ClamAV et un pare-feu d’application pour traiter les envois des utilisateurs finaux, tout en évitant d’avoir des antivirus sur tous les systèmes en mettant en place des contrôles compensatoires ( IDS tiers , journalisation de session, auditd, etc.). syslog distant, authentification à deux facteurs sur le VPN et les serveurs, surveillance de l'intégrité des fichiers AIDE, cryptage de bases de données tierces, structures de système de fichiers loufoques , etc.) . Celles-ci ont été jugées acceptables par les auditeurs et tout a été approuvé.

La première chose que vous devez comprendre à propos des auditeurs est qu’ils ne savent peut-être pas comment la technologie concernée est utilisée dans le monde réel.

Un grand nombre de vulnérabilités de sécurité DNS et de problèmes doivent être résolus lors d’un audit. Ils ne verront jamais les vrais problèmes s’ils sont distraits par des objets brillants comme la case à cocher "antivirus sur un serveur DNS".

Un logiciel antivirus moderne typique tente plus précisément de détecter les logiciels malveillants et ne se limite pas aux virus. Selon l'implémentation réelle d'un serveur (boîte dédiée pour un service dédié, conteneur sur une boîte partagée, service supplémentaire sur "le seul serveur"), ce n'est probablement pas une mauvaise idée d'avoir quelque chose comme ClamAV ou LMD (Linux Malware Detect) installé et effectuer une analyse supplémentaire chaque nuit ou à peu près.

Lorsqu’on vous le demande lors d’un audit, veuillez sélectionner l’exigence exacte et consulter les informations fournies. Pourquoi: trop d'auditeurs ne lisent pas l'intégralité de l'exigence, ne sont pas conscients du contexte et des informations de guidage.

À titre d'exemple, PCIDSS indique comme condition préalable "déployer un logiciel antivirus sur tous les systèmes couramment affectés par des logiciels malveillants".

La colonne de guidage PCIDSS indique les ordinateurs centraux, les ordinateurs de milieu de gamme et les systèmes similaires non ciblés ou affectés par des programmes malveillants, mais il convient de surveiller le niveau de menace actuel, de connaître les mises à jour de sécurité des fournisseurs et de prendre des mesures pour traiter les nouvelles questions de sécurité. vulnérabilités (non limitées aux logiciels malveillants).

Ainsi, après avoir pointé la liste d'environ 50 virus Linux de http://en.wikipedia.org/wiki/Linux_malware par rapport aux millions de virus connus pour d'autres systèmes d'exploitation, il est facile d'argumenter qu'un serveur Linux ne soit pas communément affecté . Les "règles de base les plus élémentaires" de https://wiki.ubuntu.com/BasicSecurity sont également un pointeur intéressant pour la plupart des auditeurs centrés sur Windows.

Et vos alertes apticron sur les mises à jour de sécurité en attente et l'exécution de vérificateurs d'intégrité tels que AIDE ou Samhain peuvent traiter les risques actuels avec plus de précision qu'un antivirus standard. Cela peut également convaincre votre auditeur de ne pas introduire le risque d'installer un logiciel par ailleurs inutile (qui offre un avantage limité, peut imposer un risque de sécurité ou tout simplement une panne).

Si cela ne vous aide pas, installer clamav en tant que journal quotidien ne fait pas mal, à la différence des autres logiciels.

Les serveurs DNS sont devenus populaires auprès des auditeurs PCI cette année.

La chose importante à reconnaître est que, même si les serveurs DNS ne traitent pas les données sensibles, ils prennent en charge vos environnements. En tant que tels, les auditeurs commencent à signaler ces périphériques comme "compatibles PCI", comme les serveurs NTP. Les auditeurs appliquent généralement aux environnements prenant en charge PCI un ensemble d'exigences différent de celui des environnements PCI eux-mêmes.

Je voudrais parler aux auditeurs et leur demander de clarifier la différence entre leurs exigences PCI et support PCI, juste pour s’assurer que cette exigence n’a pas été introduite accidentellement. Nous devions nous assurer que nos serveurs DNS respectaient les directives de renforcement similaires. aux environnements PCI, mais l’antivirus n’était pas l’une des exigences auxquelles nous étions confrontés.

Cela aurait pu être une réaction instinctive à la crise des obus, il a été suggéré en ligne que la liaison pourrait être affectée.

EDIT: Pas sûr que cela ait été prouvé ou confirmé.

Si vos serveurs DNS entrent dans le champ d'application de la norme PCI DSS, vous pouvez être forcé de faire appel à eux (même si c'est carrément stupide dans la plupart des cas). Nous utilisons ClamAV.

Si cela concerne la conformité SOX, ils vous demandent d'installer un antivirus, très probablement, car vous avez parfois une stratégie qui dit que l'antivirus doit être installé sur tous les serveurs. Et celui-ci ne le fait pas.

Écrivez une exception à la stratégie pour ce serveur ou installez AV.

Il existe deux principaux types de serveurs DNS: faisant autorité et récursifs. Un serveur DNS faisant autorité indique au monde quelles adresses IP doivent être utilisées pour chaque nom d'hôte d'un domaine. Dernièrement, il est devenu possible d'associer un nom à d'autres données, telles que des stratégies de filtrage des messages (SPF) et des certificats cryptographiques (DANE). Un résolveur ou récursive au serveur DNS, recherche les informations associées aux noms de domaine, en utilisant les serveurs racine ( .) pour trouver les serveurs de registre ( .com), en utilisant ceux pour trouver des serveurs faisant autorité de domaines ( serverfault.com), et enfin en utilisant ceux de trouver hostname ( serverfault.com, meta.serverfault.com, etc.).

Je ne vois pas comment un "antivirus" conviendrait à un serveur faisant autorité. Mais un "antivirus" pratique pour un résolveur impliquerait le blocage de la recherche de domaines associés à la distribution ou la commande et le contrôle de programmes malveillants. Google dns block malwareou dns sinkholequelques résultats qui pourraient vous aider à protéger votre réseau en protégeant ses résolveurs. Ce n’est pas le même type d’antivirus que celui que vous exécuteriez sur un ordinateur client / de bureau, mais le proposer à la partie responsable de l’exigence «antivirus» pourrait produire une réponse qui vous aiderait à mieux comprendre la nature de l’exigence «antivirus». .

Questions connexes sur d'autres sites Stack Exchange:

• Comment quelqu'un peut-il gouffre les domaines?

Mieux vaut utiliser Tripwire ou AIDE