लिनक्स डीएनएस सर्वर पर एंटीवायरस सॉफ़्टवेयर चलाएं। क्या इस का कोई मतलब निकलता है?

हाल ही में एक ऑडिट के दौरान हमें हमारे DNS सर्वरों पर एंटीवायरस सॉफ़्टवेयर स्थापित करने का अनुरोध किया गया था जो लिनक्स (bind9) चला रहे हैं। प्रवेश परीक्षण के दौरान सर्वरों से समझौता नहीं किया गया था लेकिन यह दी गई सिफारिशों में से एक था।

1. आमतौर पर linux एंटीवायरस सॉफ़्टवेयर को उपयोगकर्ताओं को दिए गए ट्रैफ़िक को स्कैन करने के लिए स्थापित किया जाता है, इसलिए dns सर्वर पर एंटीवायरस स्थापित करने का लक्ष्य क्या है?

2. प्रस्ताव पर आपकी क्या राय है?

3. क्या आप वास्तव में अपने लिनक्स सर्वरों पर एंटीवायरस सॉफ़्टवेयर चलाते हैं?

4. यदि हां, तो आप किस एंटीवायरस सॉफ़्टवेयर की सिफारिश करेंगे या आप वर्तमान में उपयोग कर रहे हैं?

इसका एक पहलू यह है कि ऑडिटर के लिए "एंटी-वायरस" हर चीज पर होने की सिफारिश करना एक सुरक्षित शर्त है।

सुरक्षा ऑडिट पूरी तरह से वास्तविक तकनीकी सुरक्षा के बारे में नहीं हैं। अक्सर वे मुकदमे के मामले में दायित्व को सीमित करने के बारे में भी होते हैं।

मान लीजिए कि आपकी कंपनी को हैक कर लिया गया था और आपके खिलाफ एक वर्ग कार्रवाई का मुकदमा दायर किया गया था। आपकी विशिष्ट देयता को उद्योग के मानकों का पालन करने के आधार पर कम किया जा सकता है। मान लें कि ऑडिटरों ने इस सर्वर पर AV की अनुशंसा नहीं की है, इसलिए आप इसे स्थापित नहीं करते हैं।

इसमें आपका बचाव यह है कि आपने एक सम्मानित ऑडिटर की सिफारिशों का पालन किया और बोलने के लिए हिरन को पास किया। संयोग से, यह प्राथमिक कारण है कि हम तीसरे पक्ष के लेखा परीक्षकों का उपयोग करते हैं। ध्यान दें कि देयता की शिफ्टिंग को अक्सर उस अनुबंध में लिखा जाता है जिस पर आप ऑडिटरों के साथ हस्ताक्षर करते हैं: यदि आप उनकी सिफारिशों का पालन नहीं करते हैं, तो यह आप पर है।

खैर, वकील फिर एक संभावित सह-प्रतिवादी के रूप में लेखा परीक्षक की जांच करेंगे। हमारी काल्पनिक स्थिति में यह तथ्य है कि उन्होंने किसी विशेष सर्वर पर एवी की सिफारिश नहीं की है, इसे पूरी तरह से नहीं देखा जाएगा। यह अकेले बातचीत में उन्हें नुकसान पहुंचाएगा, भले ही वास्तविक हमले पर इसका कोई असर न हो।

ऑडिटिंग करने वाली कंपनी के लिए केवल एकमात्र जिम्मेदार चीज वास्तविक हमले की सतह की परवाह किए बिना सभी सर्वरों के लिए एक मानक सिफारिश करना है। इस मामले में, पर ए वी सब कुछ । दूसरे शब्दों में, जब वे कानूनी तर्क के कारण एक स्केलपेल तकनीकी रूप से बेहतर होते हैं, तब भी स्लेज हैमर की सलाह देते हैं।

क्या यह तकनीकी समझ में आता है? आमतौर पर नहीं क्योंकि यह आमतौर पर जोखिम बढ़ाता है। क्या यह वकीलों, एक न्यायाधीश या एक जूरी को भी समझ में आता है? बिल्कुल, वे तकनीकी रूप से सक्षम नहीं हैं और बारीकियों को समझने में असमर्थ हैं। जिसके कारण आपको अनुपालन करने की आवश्यकता है।

@ जब आप ने ऑडिटर से इस बारे में बात करने की सिफारिश की। मुझे लगता है कि गलत रास्ता है। इसके बजाय आपको इन अनुरोधों का पालन न करने के लिए अपनी कंपनी के वकील से बात करनी चाहिए ।

कभी-कभी ऑडिटर बेवकूफ होते हैं ...

हालांकि यह असामान्य अनुरोध है। मैं आपके वातावरण में कहीं और आईडीएस या फ़ाइल-अखंडता निगरानी या बोल्टिंग सुरक्षा को जोड़ने, सर्वरों तक पहुंच को सीमित / सीमित करके ऑडिटर की सिफारिश का मुकाबला करूंगा। एंटीवायरस का यहाँ कोई लाभ नहीं है।

संपादित करें:

जैसा कि नीचे टिप्पणी में कहा गया है, मैं अमेरिका में एक बहुत ही हाई-प्रोफाइल वेबसाइट के लॉन्च में शामिल था , और HIPAA अनुपालन के लिए लिनक्स संदर्भ वास्तुकला डिजाइन करने के लिए जिम्मेदार था।

जब एंटीवायरस का मामला चर्चा में आया, तो हमने क्लैमव और एंड-यूज़र्स से सबमिशन को प्रोसेस करने के लिए एक एप्लिकेशन फ़ायरवॉल की सिफारिश की, लेकिन सभी नियंत्रणों ( 3-पार्टी आईडीएस , सत्र लॉगिंग, ऑडिट,) को लागू करके सभी प्रणालियों पर एवी होने से बचने में कामयाब रहे । दूरस्थ syslog, वीपीएन और सर्वर के लिए दो-कारक स्रोत , AIDE फ़ाइल-अखंडता निगरानी, ​​3-पार्टी DB एन्क्रिप्शन, पागल फाइल सिस्टम संरचनाएं , आदि) । इन्हें ऑडिटर्स द्वारा स्वीकार्य माना गया था, और सभी को मंजूरी दी गई थी।

पहली बात जो आपको ऑडिटरों के बारे में समझने की ज़रूरत है, वह यह है कि वास्तविक दुनिया में स्कोप में तकनीक का उपयोग कैसे किया जाता है, इसके बारे में उन्हें कुछ भी पता नहीं होगा।

DNS सुरक्षा भेद्यताएँ और समस्याएँ बहुत हैं जिन्हें एक ऑडिट में संबोधित किया जाना चाहिए। वे वास्तविक मुद्दों पर कभी नहीं पहुंचेंगे यदि वे "चमकदार सर्वर पर डीएनएस सर्वर पर एंटीवायरस" जैसी चमकदार चमकदार वस्तुओं से विचलित होते हैं।

सामान्य आधुनिक एंटी-वायरस सॉफ़्टवेयर मैलवेयर को खोजने के लिए अधिक सटीक प्रयास करता है और यह केवल वायरस तक ही सीमित नहीं है। एक सर्वर के वास्तविक कार्यान्वयन (एक समर्पित सेवा के लिए समर्पित बॉक्स, एक साझा बॉक्स पर कंटेनर, "एकमात्र सर्वर" पर अतिरिक्त सेवा) के आधार पर, शायद यह क्लेमाव या एलएमडी (लिनक्स मालवेयर डिटेक्ट) जैसा कुछ होना बुरा नहीं है। स्थापित और हर रात या तो कुछ अतिरिक्त स्कैन करते हैं।

किसी ऑडिट में पूछे जाने पर, कृपया सटीक आवश्यकता चुनें और साथ में जानकारी पर एक नज़र डालें। क्यों: बहुत से ऑडिटर पूरी आवश्यकता को नहीं पढ़ते हैं, संदर्भ और मार्गदर्शन की जानकारी के बारे में नहीं जानते हैं।

एक उदाहरण के रूप में, पीसीआईडीएसएस एक आवश्यकता के रूप में "घातक सॉफ़्टवेयर से प्रभावित सभी प्रणालियों पर एंटी-वायरस सॉफ़्टवेयर तैनात" करता है।

व्यावहारिक पीसीआईडीएसएस मार्गदर्शन स्तंभ विशेष रूप से मेनफ्रेम, मिड-रेंज कंप्यूटर और इसी तरह की प्रणालियों को बताता है जो वर्तमान में आमतौर पर लक्षित या मैलवेयर से प्रभावित नहीं हो सकते हैं, लेकिन किसी को वर्तमान वास्तविक खतरे के स्तर की निगरानी करनी चाहिए, विक्रेता सुरक्षा अपडेट से अवगत होना चाहिए और नई सुरक्षा को संबोधित करने के उपायों को लागू करना चाहिए। कमजोरियाँ (मैलवेयर तक सीमित नहीं)।

तो अन्य ऑपरेटिंग सिस्टम के लाखों ज्ञात वायरस की तुलना में http://en.wikipedia.org/wiki/Linux_malware के लगभग 50 लिनक्स वायरस की सूची पर इंगित करने के बाद , लिनक्स सर्वर को आमतौर पर प्रभावित न होने का तर्क देना आसान है । Https://wiki.ubuntu.com/BasicSecurity के "नियमों का सबसे बुनियादी सेट" भी अधिकांश विंडोज-फोकस्ड ऑडिटर्स के लिए एक दिलचस्प सूचक है।

और लंबित सुरक्षा अद्यतन और AIDE या Samhain जैसे अखंडता चेकर्स को चलाने के लिए आपके apticron- अलर्ट मानक वायरस स्कैनर की तुलना में वास्तविक जोखिमों को अधिक सटीक रूप से संबोधित कर सकते हैं। यह आपके ऑडिटर को एक अन्यथा अनावश्यक सॉफ़्टवेयर स्थापित करने के जोखिम का परिचय नहीं देने के लिए भी मना सकता है (जो एक सीमित लाभ प्रदान करता है, सुरक्षा जोखिम या बस तोड़ सकता है)।

यदि यह मदद नहीं करता है: एक दैनिक क्रोनजोब के रूप में क्लैमव को स्थापित करने से अन्य सॉफ्टवेयर्स की तरह चोट नहीं लगती है।

DNS सर्वर इस साल PCI ऑडिटर के साथ लोकप्रिय हो गए हैं।

पहचानने के लिए महत्वपूर्ण बात यह है कि जबकि DNS सर्वर संवेदनशील डेटा को संभालते नहीं हैं, वे आपके वातावरण का समर्थन करते हैं जो करते हैं। जैसे, ऑडिटर एनटीपी सर्वर के समान इन उपकरणों को "पीसीआई सपोर्टिंग" के रूप में चिह्नित करना शुरू कर रहे हैं। ऑडिटर्स आमतौर पर PCI सपोर्टिंग एनवायरमेंट के लिए आवश्यकताओं का एक अलग सेट लागू करते हैं, जैसे कि वे खुद PCI वातावरण करते हैं।

मैं ऑडिटरों से बात करूंगा और उन्हें PCI और PCI सपोर्टिंग के बीच उनकी आवश्यकताओं के अंतर को स्पष्ट करने के लिए कहूंगा, बस यह सुनिश्चित करने के लिए कि यह आवश्यकता गलती से चुपके में नहीं थी। हमें यह सुनिश्चित करने की आवश्यकता थी कि हमारे DNS सर्वरों को सख्त दिशानिर्देशों के समान मिले। पीसीआई वातावरण के लिए, लेकिन एंटी-वायरस हमारे सामने आने वाली आवश्यकताओं में से एक नहीं था।

यह शेलशॉक बैश वॉन के लिए एक घुटने की झटका प्रतिक्रिया हो सकती है, यह ऑनलाइन सुझाव दिया गया था कि बाँध प्रभावित हो सकता है।

संपादित करें: सुनिश्चित नहीं है कि यह कभी भी प्रमाणित या पुष्टि की गई थी।

यदि आपके DNS सर्वर PCI DSS दायरे में आते हैं, तो आप उन पर AV चलाने के लिए मजबूर हो सकते हैं (भले ही यह ज्यादातर मामलों में मूर्खतापूर्ण हो)। हम क्लैमव का उपयोग करते हैं।

यदि यह SOX अनुपालन के लिए है, तो वे आपको एंटीवायरस स्थापित करने के लिए कह रहे हैं, सबसे अधिक संभावना है, क्योंकि कहीं न कहीं आपके पास एक नीति है जो कहती है कि सभी सर्वरों में एंटीवायरस स्थापित होना चाहिए। और यह एक नहीं है।

या तो इस सर्वर के लिए नीति का अपवाद लिखें, या AV स्थापित करें।

DNS सर्वर के दो मुख्य प्रकार हैं: आधिकारिक और पुनरावर्ती। एक आधिकारिक डीएनएस सर्वर दुनिया को बताता है कि डोमेन के भीतर प्रत्येक होस्टनाम के लिए आईपी पते का क्या उपयोग किया जाना चाहिए। हाल ही में ई-मेल फ़िल्टरिंग नीतियों (SPF) और क्रिप्टोग्राफ़िक प्रमाणपत्र (DANE) जैसे अन्य डेटा को नाम के साथ जोड़ना संभव हो गया है। एक समाधानकर्ता , या पुनरावर्ती डीएनएस सर्वर, ऊपर डोमेन नाम के साथ संबंधित जानकारी, (रूट सर्वर का उपयोग कर लग रहा है .) रजिस्ट्री सर्वर को खोजने के लिए ( .com), उन डोमेन 'आधिकारिक सर्वर (खोजने के लिए का उपयोग कर serverfault.com), और अंत होस्ट नामों को खोजने के लिए (उन का उपयोग कर serverfault.com, meta.serverfault.com, आदि।)।

मैं नहीं देख सकता कि एक आधिकारिक सर्वर के लिए "एंटीवायरस" कैसे उपयुक्त होगा। लेकिन एक रिज़ॉल्वर के लिए व्यावहारिक "एंटीवायरस" वितरण या मालवेयर के कमांड और नियंत्रण से जुड़े डोमेन की खोज को रोकना होगा। Google dns block malwareया dns sinkholeकुछ परिणाम लाया जो आपके रिज़ॉल्वर की सुरक्षा करके आपके नेटवर्क को सुरक्षित रखने में आपकी सहायता कर सकते हैं। यह उसी प्रकार का एंटीवायरस नहीं है जिसे आप किसी क्लाइंट / डेस्कटॉप मशीन पर चलाएंगे, लेकिन "एंटीवायरस" आवश्यकता के लिए जिम्मेदार पार्टी को प्रस्ताव देने से ऐसा उत्तर मिल सकता है जो आपको "एंटीवायरस" की प्रकृति को समझने में मदद करता है। ।

अन्य स्टैक एक्सचेंज साइटों पर संबंधित प्रश्न:

• कोई डोमेन को कैसे सिंक कर सकता है?

Tripwire या AIDE चलाने के लिए बेहतर है