Linux DNSサーバーでウイルス対策ソフトウェアを実行します。理にかなっていますか？

最近の監査で、Linux（bind9）を実行しているDNSサーバーにウイルス対策ソフトウェアをインストールするように要求されました。侵入テスト中にサーバーは侵害されませんでしたが、これは提示された推奨事項の1つでした。

1. 通常、Linuxウイルス対策ソフトウェアはユーザー宛のトラフィックをスキャンするためにインストールされますが、DNSサーバーにウイルス対策ソフトウェアをインストールする目的は何ですか？

2. 提案に対するあなたの意見は？

3. Linuxサーバーで実際にウイルス対策ソフトウェアを実行していますか？

4. その場合、どのウイルス対策ソフトウェアを推奨しますか、または現在使用していますか？

これの1つの側面は、「アンチウイルス」をすべてのものに推奨することは、監査人にとって安全な賭けであるということです。

セキュリティ監査は、実際の技術的な安全性だけではありません。多くの場合、彼らは訴訟の場合に責任を制限することでもあります。

会社がハッキングされ、集団訴訟が提起されたとします。業界標準をどの程度順守しているかに基づいて、特定の責任を軽減できます。のは、監査人はなかったとしましょうではない、あなたがそれをインストールしていないので、このサーバー上のAVをお勧めします。

これに対するあなたの弁護は、あなたが尊敬される監査人の推奨事項に従って、いわば金を渡すことです。ちなみに、それがサードパーティの監査人を使用する主な理由です。責任のシフトは、監査人と署名した契約に書かれていることが多いことに注意してください。監査人の推奨事項に従わない場合、すべてはあなたに委ねられます。

弁護士は、監査人を共同被告の可能性があるとして調査します。架空の状況では、特定のサーバーでAVを推奨しなかったという事実は、徹底的ではないと見なされます。それだけでは、実際の攻撃にまったく関係がないとしても、交渉で彼らを傷つけるでしょう。

監査会社が行う唯一の財政的責任は、実際の攻撃対象領域に関係なく、すべてのサーバーに対して標準的な推奨事項を設けることです。この場合、すべての AV 。言い換えれば、法律上の理由からメスが技術的に優れている場合でも、スレッジハンマーを推奨しています。

技術的に意味がありますか？通常はリスクを高めるため、通常はありません。弁護士、裁判官、さらにはju審員にとっても理にかなっていますか？絶対に、彼らは技術的に有能ではなく、ニュアンスを理解することができません。従う必要がある理由です。

@ewwhiteは、これについて監査人と話すことを勧めました。それは間違った道だと思います。代わりに、これらの要求に従わないという意見を得るために、会社の弁護士に相談する必要があります。

時には監査人はばかです...

ただし、これは珍しいリクエストです。サーバーへのアクセスを保護/制限し、IDSまたはファイルの完全性の監視を追加するか、環境の別の場所でセキュリティを強化することにより、監査員の推奨に反します。ここでは、アンチウイルスには利点がありません。

編集：

以下のコメントで述べたように、私はここ米国で非常に有名なウェブサイトの立ち上げに関与し、HIPAA準拠のためのLinuxリファレンスアーキテクチャの設計を担当しました。

アンチウイルスの問題が議論になったとき、エンドユーザーからの送信を処理するためにClamAVとアプリケーションファイアウォールを推奨しましたが、補正コントロール （サードパーティIDS、セッションロギング、監査、リモートsyslog、VPNおよびサーバーに対する2要素認証、AIDEファイル整合性監視、サードパーティDB暗号化、クレイジーファイルシステム構造など）。これらは監査人によって受け入れられるとみなされ、すべてが承認されました。

監査人について最初に理解する必要があるのは、実際の世界でスコープ内のテクノロジーがどのように使用されているかについて何も知らない可能性があることです。

監査で対処する必要があるDNSセキュリティの脆弱性と問題は多数あります。「DNSサーバー上のアンチウイルス」チェックボックスのような明るい光沢のあるオブジェクトに気を取られている場合、彼らは本当の問題に決して到達しません。

典型的な最新のウイルス対策ソフトウェアは、マルウェアをより正確に検出しようとしますが、ウイルスだけに限定されません。サーバーの実際の実装（専用サービスの専用ボックス、共有ボックスのコンテナー、「唯一のサーバー」の追加サービス）に応じて、ClamAVやLMD（Linux Malware Detect）のようなものを用意するのはおそらく悪い考えではありません毎晩インストールして追加スキャンを実行します。

監査で尋ねられたら、正確な要件を選択し、付随する情報を確認してください。理由：あまり​​にも多くの監査員が要件をすべて読んでおらず、コンテキストとガイダンス情報を認識していない。

例として、PCIDSSは、「悪意のあるソフトウェアの影響を通常受けるすべてのシステムにウイルス対策ソフトウェアを展開する」を要件として規定しています。

洞察力に富んだPCIDSSガイダンスの列には、メインフレーム、ミッドレンジコンピューター、および同様のシステムは現在、マルウェアの一般的な標的または影響を受けていない可能性がありますが、現在の実際の脅威レベルを監視し、ベンダーのセキュリティ更新を認識し、新しいセキュリティに対処する手段を実装する必要があります脆弱性（マルウェアに限定されない）。

そのため、http：//en.wikipedia.org/wiki/Linux_malwareの約50のLinuxウイルスのリストを他のオペレーティングシステム用の数百万の既知のウイルスと比較した後、Linuxサーバーが一般的に影響を受けないことを簡単に主張できます。。https://wiki.ubuntu.com/BasicSecurityの「最も基本的なルールセット」も、ほとんどのWindowsを中心とした監査員にとって興味深いポインターです。

そして、AIDEやSamhainのような保留中のセキュリティアップデートと実行中の整合性チェッカーに関するあなたのapticronアラートは、標準のウイルススキャナよりも実際のリスクにもっと正確に対処するかもしれません。また、これにより、監査人は、他の方法では不要なソフトウェアをインストールするリスクをもたらさないことを確信する可能性があります（制限された利点を提供し、セキュリティリスクを課すか、単に破る可能性があります）。

それでも解決しない場合：clamavを毎日のcronジョブとしてインストールしても、他のソフトウェアと同じように害はありません。

今年、DNSサーバーはPCI監査員の間で人気を博しています。

認識すべき重要なことは、DNSサーバーは機密データを処理しませんが、それらの環境をサポートすることです。そのため、監査人は、NTPサーバーと同様に、これらのデバイスに「PCIサポート」としてフラグを立て始めています。監査人は通常、PCI環境自体とは異なる要件セットをPCIサポート環境に適用します。

私は監査人に話し、PCIとPCIサポートの要件の違いを明確にするように依頼します。これは、この要件が誤ってこっそり入らないようにするためです。 PCI環境に対応していますが、アンチウイルスは私たちが直面した要件の1つではありませんでした。

これはshellshock bash vulnに対するひざまずき反応だったかもしれません。バインドが影響を受ける可能性があることがオンラインで示唆されました。

編集：それがこれまでに証明または確認されたかどうかはわかりません。

DNSサーバーがPCI DSSスコープに該当する場合、ほとんどの場合、実にばかげているにも関わらず、それらでAVを実行することを余儀なくされる場合があります。ClamAVを使用します。

これがSOX準拠の場合、ほとんどの場合、すべてのサーバーにウイルス対策をインストールする必要があるというポリシーがあるため、ウイルス対策をインストールするように指示されています。そして、これはそうではありません。

このサーバーのポリシーに例外を書き込むか、AVをインストールしてください。

DNSサーバーには、権限のあるものと再帰的なものの2種類があります。権威 DNSサーバは、IPアドレス、ドメイン内の各ホスト名を使用すべきかを世界に伝えます。最近、電子メールフィルタリングポリシー（SPF）や暗号証明書（DANE）など、他のデータを名前に関連付けることが可能になりました。リゾルバ、または再帰的な DNSサーバー、ルートサーバを使用して、ドメイン名に関連する情報を検索します（.）レジストリ・サーバを見つけるために（.com）、ドメイン権威サーバを見つけるために、それらを使用して（serverfault.com）、そして最終的にホスト名を見つけるために、それらを使用して（serverfault.com、meta.serverfault.com、等。）。

権限のあるサーバーに「ウイルス対策」がどのように適合するかはわかりません。しかし、リゾルバの実用的な「アンチウイルス」には、配布に関連するドメインのルックアップまたはマルウェアのコマンドと制御のブロックが含まれます。Google dns block malwareまたはdns sinkholeリゾルバを保護することでネットワークを保護するのに役立つ可能性のあるいくつかの結果をもたらしました。これは、クライアント/デスクトップマシンで実行するのと同じ種類のウイルス対策ではありませんが、「ウイルス対策」要件の責任者に提案すると、「ウイルス対策」要件の性質をよりよく理解するのに役立つ応答が生成される場合があります。

他のStack Exchangeサイトに関する関連質問：

• 誰かがドメインを陥没させる方法は？

TripwireまたはAIDEを実行する方が良い