web-dev-qa-db-ja.com

Linux DNSサーバーでウイルス対策ソフトウェアを実行します。それは意味がありますか?

最近の監査中に、linux(bind9)を実行しているDNSサーバーにウイルス対策ソフトウェアをインストールするように依頼されました。侵入テスト中にサーバーは危険にさらされませんでしたが、これは与えられた推奨事項の1つでした。

  1. 通常、Linuxアンチウイルスソフトウェアは、ユーザー宛てのトラフィックをスキャンするためにインストールされます。DNSサーバーにアンチウイルスをインストールする目的は何ですか。

  2. この提案についてどう思いますか?

  3. Linuxサーバーで実際にウイルス対策ソフトウェアを実行していますか?

  4. その場合、どのアンチウイルスソフトウェアを推奨しますか、または現在使用していますか?

41
John Dimitriou

これの1つの側面は、「アンチウイルス」をオンにすることを推奨することですすべては監査人にとって安全な賭けです.

セキュリティ監査は、実際の技術的な安全性だけを対象としているわけではありません。多くの場合、訴訟の際の責任を制限することも目的としています。

あなたの会社がハッキングされ、集団訴訟があなたに対して起こされたとしましょう。業界標準をどれだけ順守しているかに基づいて、特定の法的責任を軽減できます。あなたがそれをインストールしないように、監査人がnotこのサーバーでAVを推奨したとしましょう。

これに対するあなたの弁護は、尊敬される監査人の推奨に従い、いわばその見返りを渡すことです。ちなみに、それが私たちが第三者監査人を使用する主な理由です。責任の移行は、監査人と契約する契約にしばしば記載されていることに注意してください。監査人の推奨に従わない場合は、すべてあなた次第です。

さて、弁護士はその後、可能性のある共同被告として監査人を調査します。架空の状況では、特定のサーバーでAVを推奨しなかったという事実は、完全ではないと見なされます。それだけで実際の攻撃にまったく影響がなかったとしても、交渉で彼らを傷つけたでしょう。

監査会社が行うべき財政的に責任のある唯一のことは、実際の攻撃面に関係なく、すべてのサーバーに対して標準的な推奨事項を持つことです。この場合、AVはすべてです。言い換えれば、法的な理由でメスが技術的に優れている場合でも、スレッジハンマーを推奨します。

技術的に意味がありますか?通常はリスクが高まるため、通常はありません。弁護士、裁判官、あるいは陪審員にとっても意味がありますか?絶対に、彼らは技術的に有能ではなく、ニュアンスを理解することができません。従う必要があるのはこのためです。

@ewwhiteは、これについて監査人と話すことを推奨しました。それは間違った道だと思います。代わりに、会社の弁護士に相談して、これらの要求に応じてnotについて意見を聞く必要があります。

12
NotMe

時々監査人は馬鹿です...

しかし、これは珍しい要求です。サーバーへのアクセスをセキュリティで保護/制限し、IDSやファイルの整合性の監視を追加したり、環境内の別の場所でセキュリティを強化したりすることで、監査人の推奨に反対します。アンチウイルスはここでは何のメリットもありません。

編集:

以下のコメントで述べたように、私はここ米国で非常に 注目度の高いWebサイト の立ち上げに関与し、HIPAA準拠のLinuxリファレンスアーキテクチャの設計を担当しました。

アンチウイルスの問題が話し合われたとき、エンドユーザーからの提出を処理するためにClamAVとアプリケーションファイアウォールを推奨しましたが、 compensating controlsサードパーティIDS 、セッションロギング、auditd、リモートsyslog、 two-factor auth VPNおよびサーバーへ、AIDEファイル整合性監視、サードパーティDB暗号化、 クレイジーなファイルシステム構造 など)。これらは監査人によって許容できるとみなされ、すべて承認されました。

31
ewwhite

監査人について最初に理解する必要があるのは、範囲内のテクノロジーが実際の世界でどのように使用されているかについて何も知らない可能性があることです。

監査で対処する必要のあるDNSセキュリティの脆弱性と問題がたくさんあります。 「DNSサーバー上のウイルス対策」チェックボックスのような明るい光沢のあるオブジェクトに気を取られても、実際の問題に到達することはありません。

17
Greg Askew

典型的な最新のウイルス対策ソフトウェアは、マルウェアをより正確に見つけようとし、ウイルスだけに限定されません。サーバーの実際の実装(専用サービスの専用ボックス、共有ボックスのコンテナー、「唯一のサーバー」での追加サービス)に応じて、ClamAVやLMD(Linux Malware Detect)のようなものを使用することはおそらく悪い考えではありませんインストールして、毎晩程度の追加スキャンを実行します。

監査で尋ねられたら、正確な要件を選択し、付随する情報を確認してください。理由:あまり​​にも多くの監査人が完全な要件を読んでおらず、コンテキストとガイダンス情報を認識していません。

例として、PCIDSSは「悪意のあるソフトウェアによって一般的に影響を受けるすべてのシステムにウイルス対策ソフトウェアを展開する」と要件として述べています。

洞察に満ちたPCIDSSガイダンス列は、メインフレーム、ミッドレンジコンピューター、および同様のシステムが現在マルウェアの対象となっていないか、影響を受けていない可能性があることを具体的に示していますが、現在の実際の脅威レベルを監視し、ベンダーのセキュリティ更新を認識し、新しいセキュリティに対処するための対策を実装する必要があります脆弱性(マルウェアに限定されない)。

したがって、 http://en.wikipedia.org/wiki/Linux_malware から約50のLinuxウイルスのリストを参照した後、他のオペレーティングシステムの数百万もの既知のウイルスと比較すると、 Linuxサーバーが影響を受けない一般的に影響を受けるhttps://wiki.ubuntu.com/BasicSecurity の「最も基本的なルールのセット」も、ほとんどのWindowsに焦点を合わせた監査者にとって興味深いポインタです。

また、保留中のセキュリティ更新やAIDEやSamhainなどの実行中の整合性チェッカーに関するアプティクロンアラートは、標準のウイルススキャナーよりも実際のリスクに正確に対処できる場合があります。また、これにより、監査員に、不要なソフトウェアをインストールするリスクをもたらさないように説得することもできます(これは限定的なメリットを提供し、セキュリティリスクを課すか、単に破る可能性があります)。

それが役に立たない場合:clamavを毎日のcronjobとしてインストールしても、他のソフトウェアのように害はありません。

10

DNSサーバーは今年、PCI監査人に人気を博しています。

認識しておくべき重要なことは、DNSサーバーはhandle機密データを処理しませんが、-supportを実行する環境はそうであることです。そのため、監査人はこれらのデバイスにNTPサーバー)と同様に「PCIサポート」としてフラグを付け始めています。監査人は通常、PCI環境自体とは異なる要件セットをPCIサポート環境に適用します。

私は監査人に話し、PCIとPCIサポートの要件の違いを明確にするように依頼します。この要件が誤って侵入しないようにするためです。DNSサーバーが同様の強化ガイドラインに適合していることを確認する必要がありました。 PCI環境への影響はありましたが、ウイルス対策は私たちが直面した要件の1つではありませんでした。

7
Andrew B

これは、Shellshock bashの脆弱性に対するひどい反応であった可能性があり、バインドが影響を受ける可能性があることがオンラインで示唆されました。

編集:それが証明または確認されたことは確かではありません。

2
D Whyte

DNSサーバーがPCI DSS=スコープに該当する場合、それらのサーバーでAVを実行せざるを得ない場合があります(ほとんどの場合、実にばかげていますが)。ClamAVを使用しています。

2
Brian Knoblauch

これがSOX準拠である場合、すべてのサーバーにウイルス対策をインストールする必要があるというポリシーがどこかにあるため、ウイルス対策をインストールするよう指示されています。そして、これはしません。

このサーバーのポリシーに例外を書き込むか、AVをインストールしてください。

1
warren

DNSサーバーには、権限のあるサーバーと再帰的なサーバーの2種類があります。 authoritativeDNSサーバーは、ドメイン内の各ホスト名に使用する必要があるIPアドレスを世界に通知します。最近、電子メールフィルタリングポリシー(SPF)や暗号化証明書(DANE)などの他のデータを名前に関連付けることが可能になりました。 resolver、またはrecursiveDNSサーバー、ドメインに関連付けられた情報を検索ルートサーバーを使用した名前(.)レジストリサーバーを検索します(.com)、それらを使用してドメインの権限のあるサーバー(serverfault.com)、そして最後にそれらを使用してホスト名(serverfault.commeta.serverfault.comなど)。

「ウイルス対策」が権威あるサーバーにどのように適合するか私にはわかりません。しかし、リゾルバの実用的な「アンチウイルス」には、配布に関連するドメインのルックアップ、またはマルウェアのコマンドとコントロールのブロックが含まれます。 Google dns block malwareまたはdns sinkholeは、リゾルバを保護することによってネットワークを保護するのに役立つ可能性があるいくつかの結果をもたらしました。これは、クライアント/デスクトップマシンで実行するのと同じ種類のウイルス対策ではありませんが、「ウイルス対策」要件の責任者に提案すると、「ウイルス対策」要件の性質をよりよく理解するのに役立つ回答が生成される場合があります。 。

他のStack Exchangeサイトに関する質問:

1
Damian Yerrick