Linux DNS 서버에서 바이러스 백신 소프트웨어를 실행하십시오. 말이 되나요?

최근 감사 기간 동안 Linux (bind9)를 실행하는 DNS 서버에 바이러스 백신 소프트웨어를 설치해야했습니다. 침투 테스트 중에 서버가 손상되지 않았지만 이는 권장 사항 중 하나였습니다.

1. 일반적으로 Linux 안티 바이러스 소프트웨어는 사용자에게 전송되는 트래픽을 스캔하기 위해 설치되므로 dns 서버에 안티 바이러스를 설치하는 목표는 무엇입니까?

2. 제안에 대한 귀하의 의견은 무엇입니까?

3. 실제로 Linux 서버에서 바이러스 백신 소프트웨어를 실행합니까?

4. 그렇다면 어떤 바이러스 백신 소프트웨어를 권장하거나 현재 사용하고 있습니까?

이것의 한 측면은 "안티 바이러스"를 모든 것에 두는 것이 감사 자에게 안전한 내기라는 것입니다.

보안 감사는 전적으로 실제 기술 안전에 관한 것은 아닙니다. 종종 그들은 소송의 경우 책임을 제한하는 것에 관한 것입니다.

회사가 해킹 당하고 집단 소송이 제기되었다고 가정 해 봅시다. 산업 표준을 얼마나 잘 준수했는지에 따라 특정 책임을 완화 할 수 있습니다. 하자가 감사했던 말을 하지 이 서버에 AV를 권장합니다, 그래서 당신은 그것을 설치하지 마십시오.

이에 대한 귀하의 변호는 당신이 존경하는 감사인의 권고를 따르고 벅에게 전달하기 위해 전달한다는 것입니다. 우연히, 이것이 우리가 제 3 자 감사관을 사용하는 주요 이유입니다. 책임 변경은 종종 감사인과 서명 한 계약서에 기록됩니다. 권장 사항을 따르지 않으면 모든 책임이 있습니다.

그러면 변호사는 가능한 공동 피고로서 감사인을 조사 할 것입니다. 가상의 상황에서 특정 서버에서 AV를 권장하지 않았다는 사실은 철저하지 않은 것으로 보입니다. 그것만으로도 실제 공격에 전혀 영향을 미치지 않더라도 협상에서 그들을 해칠 것입니다.

감사 회사가해야 할 유일한 책임은 실제 공격에 관계없이 모든 서버에 대해 표준 권장 사항을 갖추는 것입니다. 이 경우에 AV 다 . 즉, 법적 추론으로 인해 메스가 기술적으로 우수하더라도 썰매 망치를 권장합니다.

기술적 인 의미가 있습니까? 일반적으로 위험이 증가하므로 일반적으로 없습니다. 변호사, 판사 또는 배심원에게도 합리적입니까? 당연히, 그들은 기술적으로 유능하며 뉘앙스를 이해할 수 없습니다. 그렇기 때문에 준수해야합니다.

@ewwhite는 이에 대해 감사인과 대화 할 것을 권장합니다. 나는 그것이 잘못된 길이라고 생각합니다. 대신 이러한 요청 을 따르지 않는 것에 대한 의견을 얻으려면 회사 변호사와상의 해야합니다.

때때로 감사는 바보입니다 ...

그러나 이것은 드문 요청입니다. 서버에 대한 액세스를 보호 / 제한하고 IDS 또는 파일 무결성 모니터링을 추가하거나 사용자 환경의 다른 곳에서 보안을 강화하여 감사 자 권장 사항에 대처합니다. 바이러스 백신은 여기서 아무런 이점이 없습니다.

편집하다:

아래 의견에서 언급했듯이 저는 미국에서 매우 유명한 웹 사이트를 시작하는 데 관여했으며 HIPAA 준수를위한 Linux 참조 아키텍처 설계를 담당했습니다.

안티 바이러스 문제가 논의 될 때 최종 사용자의 제출을 ​​처리하기 위해 ClamAV와 애플리케이션 방화벽을 권장했지만 보상 제어 ( 타사 IDS , 세션 로깅, 감사, 원격 syslog, VPN 및 서버에 대한 2 단계 인증 , AIDE 파일 무결성 모니터링, 타사 DB 암호화, 미친 파일 시스템 구조 등) . 이는 감사인이 수락 한 것으로 간주되었으며 모두 승인되었습니다.

감사 자에 대해 이해해야 할 첫 번째 사항은 실제 기술이 범위 내에서 어떻게 사용되는지에 대해 아무것도 모를 수 있다는 것입니다.

감사에서 해결해야 할 많은 DNS 보안 취약점과 문제가 있습니다. "DNS 서버의 안티 바이러스"체크 상자와 같이 밝고 반짝이는 물체로 인해주의가 산만 해지면 실제 문제가 발생하지 않습니다.

일반적인 최신 바이러스 백신 소프트웨어는 맬웨어를보다 정확하게 찾으려고 시도하며 바이러스에만 국한되지 않습니다. 서버의 실제 구현 (전용 서비스 전용 상자, 공유 상자의 컨테이너, "유일한 서버"의 추가 서비스)에 따라 ClamAV 또는 LMD (Linux Malware Detect)와 같은 것을 갖는 것은 좋지 않습니다. 매일 밤마다 추가 스캔을 설치하고 수행합니다.

감사 요청시 정확한 요구 사항을 선택하고 첨부 된 정보를 살펴보십시오. 이유 : 너무 많은 감사관이 전체 요구 사항을 읽지 않고 상황 및 지침 정보를 인식하지 못합니다.

예를 들어 PCIDSS는 "악성 소프트웨어에 의해 일반적으로 영향을받는 모든 시스템에 안티 바이러스 소프트웨어를 배포합니다"라고 요구합니다.

통찰력있는 PCIDSS 지침 열에는 특히 메인 프레임, 미드 레인지 컴퓨터 및 이와 유사한 시스템이 현재 맬웨어의 대상이되거나 영향을받지 않을 수 있지만 현재 실제 위협 수준을 모니터링하고 공급 업체 보안 업데이트를 알고 새로운 보안 문제를 해결하기위한 조치를 구현해야한다고 명시되어 있습니다. 취약점 (맬웨어에 국한되지 않음).

따라서 http://en.wikipedia.org/wiki/Linux_malware 에서 약 50 개의 Linux 바이러스 목록 을 다른 운영 체제에 대한 수백만 개의 알려진 바이러스와 비교 한 후 Linux 서버가 일반적으로 영향을받지 않는다고 주장하기 쉽습니다. . https://wiki.ubuntu.com/BasicSecurity 의 "가장 기본적인 규칙 세트"는 대부분의 Windows 중심 감사 자에게 흥미로운 포인터입니다.

또한 대기중인 보안 업데이트 및 AIDE 또는 Samhain과 같은 무결성 검사기를 실행하는 것에 대한 apticron 경고는 표준 바이러스 스캐너보다 실제 위험을보다 정확하게 해결할 수 있습니다. 또한 감사관이 불필요한 소프트웨어를 설치할 위험이없는 것을 확신 할 수 있습니다 (제한된 혜택을 제공하거나 보안 위험을 초래하거나 단순히 중단 될 수 있음).

도움이되지 않는 경우 : 매일 cronjob으로 clamav를 설치해도 다른 소프트웨어와 크게 다르지 않습니다.

DNS 서버는 올해 PCI 감사원들에게 인기를 얻었습니다.

알아야 할 중요한 점은 DNS 서버가 중요한 데이터를 처리 하지 않지만 환경을 지원 한다는 것입니다. 따라서 감사관은 NTP 서버와 유사하게 이러한 장치를 "PCI 지원"으로 표시하기 시작했습니다. 감사자는 일반적으로 PCI 환경 자체와 다른 요구 사항을 PCI 지원 환경에 적용합니다.

감사인에게 말을 걸어 우연히이 요구 사항이 몰래 들어 가지 않도록하기 위해 PCI와 PCI 지원 간의 요구 사항의 차이점을 분명히 해달라고 요청했습니다. 우리는 DNS 서버가 유사한 지침을 충족시켜야합니다. 안티 바이러스는 우리가 직면 한 요구 사항 중 하나가 아니 었습니다.

이것은 shellshock bash vuln에 대한 심각한 반응 일 수 있었으며 온라인에서 bind가 영향을받을 수 있다고 제안되었습니다.

편집 : 그것이 입증 또는 확인되었는지 확실하지 않습니다.

DNS 서버가 PCI DSS 범위에 속하면, 대부분의 경우 멍청한 경우에도 AV 서버를 강제로 실행할 수 있습니다. 우리는 ClamAV를 사용합니다.

이것이 SOX 준수를위한 것이라면 모든 서버에 바이러스 백신이 설치되어 있어야한다는 정책이있는 곳에서 바이러스 백신을 설치하라는 메시지가 나타납니다. 그리고 이것은 그렇지 않습니다.

이 서버의 정책에 예외를 쓰거나 AV를 설치하십시오.

DNS 서버에는 권한과 재귀의 두 가지 주요 종류가 있습니다. 권위있는 DNS 서버는 IP 주소가 도메인 내의 각 호스트 이름을 사용해야 어떤 세계를 알려줍니다. 최근에 전자 메일 필터링 정책 (SPF) 및 암호화 인증서 (DANE)와 같은 다른 데이터를 이름과 연결할 수있게되었습니다. 해결 , 또는 재귀 DNS 서버 (루트 서버를 사용하여 도메인 이름과 관련된 정보를 조회 .(레지스트리 서버를 찾을 수) .com사람들은 도메인 '권한이있는 서버를 (찾을 사용) serverfault.com), 그리고 마지막으로 (호스트 이름을 찾기 위해 사람들을 사용하여 serverfault.com, meta.serverfault.com, 기타.).

"바이러스 백신"이 신뢰할 수있는 서버에 어떻게 적합한 지 알 수 없습니다. 그러나 해결 프로그램에 대한 실질적인 "바이러스 백신"은 배포 또는 맬웨어의 명령 및 제어와 관련된 도메인 조회를 차단합니다. Google을 확인 dns block malware하거나 dns sinkhole해결 프로그램을 보호하여 네트워크를 보호하는 데 도움이되는 몇 가지 결과를 얻었습니다. 이것은 클라이언트 / 데스크톱 컴퓨터에서 실행되는 것과 같은 종류의 바이러스 백신이 아니지만 "바이러스 백신"요구 사항을 담당하는 당사자에게 제안하면 "바이러스 백신"요구 사항의 특성을 더 잘 이해하는 데 도움이되는 응답이 생성 될 수 있습니다. .

다른 Stack Exchange 사이트 관련 질문 :

• 누군가 도메인을 어떻게 싱크 홀로 만들 수 있습니까?

Tripwire 또는 AIDE를 실행하는 것이 좋습니다