home *** CD-ROM | disk | FTP | other *** search

---

/ Netware Super Library / Netware Super Library.iso / zipfiles / l2o / nsd202.exe / SECURITY.DOC

< prev

Wrap

Text File  |  1993-01-20  |  30KB  |  846 lines

---

1. NCP Packet Signature for NetWare v3.11  PATENT PENDING - Novell, Inc.
2. ---------------------------------------------------------------------
3.  
4. The software files enclosed in these "zip" files are fixes or patches
5. to legally licensed Novell software and are protected by the
6. copyright laws of the United States and international copyright
7. treaties. This zip file contains software which is designed to
8. replace Novell client software and software which run as NetWare 
9. Loadable Modules under the NetWare operating system. You may
10. without charge, reproduce, distribute and use copies of the
11. software for its intended purposes to replace legally obtained
12. Novell software, provided you do not receive any direct payment,
13. commercial benefit, or other consideration for the reproduction,
14. distribution or use, or change or omit any proprietary rights
15. notice appearing on or in the software. This is a personal right.
16. You may not duplicate, distribute or authorize use outside of the
17. legal entity you represent.
18.  
19. THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND,
20. EITHER EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO, THE
21. IMPLIED WARRANTIES OF MERCHANTABILITY, TITLE AND FITNESS FOR A
22. PARTICULAR PURPOSE. TO THE EXTENT YOU USE SOFTWARE, YOU DO SO AT
23. YOUR OWN RISK. IN NO EVENT WILL NOVELL BE LIABLE TO YOU FOR ANY
24. DAMAGES ARISING OUT OF YOUR USE OF OR INABILITY TO USE THE
25. SOFTWARE.
26.  
27.  
28. Security Enhancement
29. --------------------
30. In recent weeks, Novell has verified the existence of a threat to NetWare
31. security.  The mechanism for intrusion was discovered and documented by 
32. students and professors of Lieden University in the Netherlands.
33.  
34. After responding to the initial threat with a NetWire release, Novell 
35. established an aggressive two-phase strategy to analyze, develop and verify
36. solutions to the broader issues surrounding this threat.  The following
37. security enhancement for NetWare v3.11 represents the first phase of Novell's
38. aggressive strategy to analyze and develop solutions that enhance network 
39. security.
40.  
41. This enhancement consists of NetWare loadable module's, new shell's and 
42. various utilities.  This SECURITY.DOC file defines the capabilities of the 
43. enhancement, the configuration options, the installation of the server and
44. client portions and provides other useful guidelines and tips.  This 
45. enhancement contains seven self-extracting ZIP files:
46.  
47.     SECSYS.EXE    On diskette SIGNATURE_1
48.     SECDOS.EXE
49.     SECOS2.EXE
50.  
51.     SECUT1.EXE    On diskette SIGNATURE_2
52.     SECUT2.EXE
53.  
54.     SECUT3.EXE    On diskette SIGNATURE_3  (Optional: *)
55.     SECPRN.EXE
56.  
57. * The set of utilities found in SECUT3.EXE are not specifically required
58.   for the security enhancement, but contain various fixes and updates.
59.  
60.  
61. Before installing this enhancement, customers should read through the 
62. SECURITY.DOC file to determine if installation of the security enhancement is
63. needed.  Particular attention should be given to the section on when to use
64. NCP packet signature.  Customers in need of additional support and service 
65. should contact their local reseller.
66.  
67. The enhancement is being made available free of charge on NetWire and
68. NetWare Express (minimal connection charges apply on NetWire 
69. and NetWare Express) or by calling 1 (800) NetWare.  
70.  
71.  
72. How NCP Packet Signature Works
73. ------------------------------
74. NCP packet signature is an enhanced security feature that protects 
75. servers and clients using the NetWare Core Protocol by preventing 
76. packet forgery.
77.  
78. Without the NCP packet signature installed, it is possible for a 
79. network client posing as a more privileged client to send a forged 
80. NCP request to a NetWare server. By forging the proper NCP request 
81. packet, an intruder could gain SUPERVISOR rights and access to all 
82. network resources.
83.  
84. NCP packet signature prevents packet forgery by requiring the 
85. server and the client to "sign" each NCP packet. The packet 
86. signature changes with every packet.
87.  
88. NCP packets with incorrect signatures are discarded without 
89. breaking the client's connection with the server. However, an alert
90. message about the invalid packet is sent to the error log, the 
91. affected client, and the server console. The alert message contains
92. the LOGIN name and the station address of the affected client.
93.  
94. A two-part process between the client and the NetWare server 
95. determines the NCP packet signature:
96.  
97. *    At LOGIN, the server and the client determine a shared, secret
98.      key known as the session key.
99.  
100. *    For each request or response packet, the server and the client
101.      calculate a signature based on the session key, a
102.      "fingerprint" algorithm, and the previous packet's signature.
103.      The unique signature is appended to the NCP packet.
104.  
105. If NCP packet signature is installed correctly on the server and
106. all of its clients, it is virtually impossible to forge a valid NCP
107. packet.
108.  
109.  
110. Packet Signature Options
111. ------------------------
112. Because the packet signature process consumes CPU resources and 
113. slows performance, both for the client and the NetWare server, NCP 
114. packet signature is optional.
115.  
116. Several signature options are available, ranging from never signing
117. NCP packets to always signing NCP packets. NetWare servers have 
118. four settable signature levels, and network clients also have four 
119. signature levels.
120.  
121. The signature options for servers and clients combine to determine 
122. the level of NCP packet signature on the network.
123.  
124. NOTE:     Some combinations of server and client packet signature
125.           levels may slow performance. However, low CPU-demand
126.           systems may not show any performance degradation. Network
127.           supervisors can choose the packet signature level that
128.           meets both their performance needs and their security
129.           requirements.
130.  
131.  
132. Server Levels
133. -------------
134. Server packet signature levels are assigned by a new SET parameter:
135.  
136.      SET NCP Packet Signature Option = [number]
137.  
138. Replace [number] with 0, 1, 2, or 3. The default is 2.
139.  
140.  
141. Number    Explanation
142. ---------------------
143. 0         Server does not sign packets (regardless of the client 
144.           level)
145.  
146. 1         Server signs packets only if the client requests it
147.           (client level is 2 or higher)
148.  
149. 2         Server signs packets if the client is capable of signing 
150.           (client level is 1 or higher)
151.  
152. 3         Server signs packets and requires all clients to sign 
153.           packets (or logging in will fail)
154.  
155.  
156. Client Levels
157. -------------
158. Client signature levels are assigned by a new NET.CFG parameter:
159.  
160.      signature level = [number]
161.  
162. Replace [number] with 0, 1, 2, or 3. The default is 1.
163.  
164.  
165. Number    Explanation
166. ---------------------
167. 0         Client does not sign packets
168.  
169. 1         Client signs packets only if the server requests it
170.           (server option is 2 or higher)
171.  
172. 2         Client signs packets if the server is capable of signing 
173.           (server option is 1 or higher)
174.  
175. 3         Client signs packets and requires the server to sign 
176.           packets (or logging in will fail)
177.  
178.  
179. Effective Packet Signature
180. --------------------------
181. The packet signature levels for the server and the client interact
182. to create the "effective" packet signature. Some combinations of
183. server and client levels do not allow logging in.
184.  
185. The table below shows the interactive relationship between the 
186. server packet signature levels and the client signature levels.
187.  
188.  
189.     Effective Packet Signature of Server and Client
190.     -----------------------------------------------
191.     IF        Server=0  Server=1  Server=2  Server=3
192.     
193.     Client=0  No sign   No sign   No sign   No login
194.     
195.     Client=1  No sign   No sign   Sign      Sign
196.     
197.     Client=2  No sign   Sign      Sign      Sign
198.     
199.     Client=3  No login  Sign      Sign      Sign
200.  
201.  
202. When to Use NCP Packet Signature
203. --------------------------------
204. NCP packet signature is not required for every installation. Some 
205. network supervisors may choose not to use NCP packet signature 
206. because they can tolerate certain security risks.
207.  
208.  
209. Security Risks
210. --------------
211. The following situations are examples of tolerable risks that may 
212. not need NCP packet signature:
213.     
214.     *    Only executable programs reside on the server.
215.     
216.     *    All workstation users on the network are known and trusted by 
217.          the supervisor.
218.     
219.     *    Data on the NetWare server is not sensitive; loss or
220.          corruption of this data will not impact operations.
221.     
222.     NCP packet signature is recommended for security risks such as:
223.     
224.     *    An untrustworthy user at a workstation on the network.
225.     
226.     *    Easy physical access to the network cabling system.
227.     
228.     *    An unattended, publicly accessible workstation.
229.  
230. Signature Level Examples
231. ------------------------
232.     The default NCP packet signature level is 1 for clients and 2 for
233.     servers. In most installations, this setting provides the most 
234.     flexibility while still offering protection from forged packets.
235.     Below are some examples of using different signature levels.
236.     
237.     All Information on the Server Is Sensitive
238.     ------------------------------------------
239.     If an intruder gained access to any information on the NetWare 
240.     server, it could damage the company.
241.     
242.     The network supervisor sets the server to level 3 and all clients
243.     to level 3 for maximum protection.
244.     
245.     Sensitive and Non-sensitive Information Reside on the Same Server
246.     -----------------------------------------------------------------
247.     The NetWare server has a directory for executable programs and a 
248.     separate directory for corporate finances (such as accounts 
249.     receivable).
250.     
251.     The network supervisor sets the server to level 2, and the clients 
252.     that need access to accounts receivable to level 3. All other
253.     clients remain at the default, level 1.
254.     
255.     Users Often Change Locations and Workstations
256.     ---------------------------------------------
257.     The network supervisor is uncertain which employees will be using 
258.     which workstations, and the NetWare server contains some 
259.     sensitive data.
260.     
261.     The network supervisor sets the server to level 3. Clients remain
262.     at the default, level 1.
263.     
264.     Workstation is Publicly Accessible
265.     ----------------------------------
266.     An unattended workstation is set up for public access to non-
267.     sensitive information, but another server on the network contains 
268.     sensitive information.
269.     
270.     The network supervisor sets the sensitive server to level 3 and the
271.     unattended client to level 0.
272.     
273.     
274. Installing NCP Packet Signature on the v3.11 Server
275. ----------------------------------------------------
276. NCP packet signature is installed at the server and at each 
277. workstation. This section describes the procedures for the server.
278.  
279. To ensure secure connections, NCP packet signature should be
280. installed on all servers on the network.
281.  
282. Before installing any new software, make sure you have a complete 
283. backup of current SYS:SYSTEM, SYS:PUBLIC and SYS:LOGIN files.
284.  
285. Perform these steps to all servers on your network.
286.  
287.      1a.  Flag *.NLM files in the SYS:SYSTEM directory
288.       Shareable, Read Write.
289.  
290.      1b.  Flag ?CONSOLE.* files in the SYS:SYSTEM directory
291.       Shareable, Read Write.
292.  
293.      1c.  Flag *.* files in the SYS:PUBLIC directory
294.       Shareable, Read Write.
295.  
296.      1d.  Flag LOGIN.EXE file in the SYS:LOGIN directory
297.       Shareable, Read Write.
298.  
299.  
300.      2.   Copy the self-extracting ZIP files to the appropriate
301.           directory.
302.  
303.           File           Copy to this directory
304.           -------------------------------------
305.           SECSYS.EXE     SYS:SYSTEM
306.           SECUT1.EXE     SYS:PUBLIC
307.           SECUT2.EXE     SYS:PUBLIC
308.           SECUT3.EXE     SYS:PUBLIC
309.           SECPRN.EXE     SYS:PUBLIC
310.  
311.     Note: SECUT3.EXE is optional, but recommended.
312.  
313.      3.   For each file listed above, change to the appropriate directory
314.           and execute the new files.  For example, change to the SYSTEM 
315.           directory and type SECSYS.
316.  
317.           This unZIPs the files into the current directory.
318.  
319.  
320.      4.   Move LOGIN.EXE file from the SYS:PUBLIC directory to the 
321.           SYS:LOGIN directory.
322.  
323.  
324.      5a.  Flag *.NLM files in the SYS:SYSTEM directory
325.       Shareable, Read Only.
326.  
327.      5b.  Flag ?CONSOLE.* files in the SYS:SYSTEM directory
328.       Shareable, Read Only.
329.  
330.      5c.  Flag *.* files in the SYS:PUBLIC directory
331.       Shareable, Read Only.
332.  
333.      5d.  Flag LOGIN.EXE file in the SYS:LOGIN directory
334.       Shareable, Read Only.
335.  
336.  
337.      6.   You may want to delete the self-extracting ZIP files from 
338.       SYS:SYSTEM and SYS:PUBLIC at this time.
339.  
340.  
341. Load PBURST.NLM
342. ---------------
343. Use this procedure to load the PBURST NLM and add the new SET 
344. parameters to the NetWare v3.11 server.
345.  
346.      1.   At the server console, type
347.  
348.           LOAD PBURST <Enter>
349.  
350.      2.   To automatically load PBURST.NLM the next time the server
351.           boots, insert the "LOAD PBURST" command at the beginning
352.           of the AUTOEXEC.NCF file.
353.  
354.  
355. Assign the Server Packet Signature Option
356. -----------------------------------------
357. Insert the following SET command in the AUTOEXEC.NCF file 
358. immediately below the "LOAD PBURST" command:
359.  
360.      SET NCP Packet Signature Option = [number]
361.  
362. Replace [number] with 0, 1, 2, or 3. The default is 2.
363.  
364.  
365.  
366. Installing NCP Packet Signature on a NetWare v2.x Server
367. --------------------------------------------------------
368. This section describes the procedure for installing NCP packet signature on a
369. NetWare v2.x server. 
370.  
371.      NOTE: Workstation installation procedures are identical to the NetWare
372.            v3.11 procedures.
373.  
374. 1. Copy the self-extracting ZIP file, SECSYS.EXE, to the SYS:SYSTEM directory.
375.  
376. 2. Change to the SYS:SYSTEM directory and execute the file by typing
377.      SECSYS <Enter>
378.  
379. 3. Delete the *.NLM files. (These files are not needed for NetWare v2.x.)
380.  
381. 4. Flag the SECUREFX.VAP file as Shareable, Read Only by typing
382.      FLAG SECUREFX.VAP SRO <Enter>
383.  
384. 5. Reboot the server.
385.      The following prompt appears:
386.      "Value added processes have been defined. Do you wish to load them?"
387.  
388. 6. Type
389.      Y <Enter>
390.  
391. Assigning the Server Signature Level
392. ------------------------------------
393. The default signature level for the server is 2. To change the level, use the following
394. console command:
395.  
396.      SIGNATURE LEVEL = number <Enter>
397.  
398. Replace "number" with 1, 2, or 3. The default is 2.
399.  
400. For signature level 0, either do not put the SECUREFX VAP in SYS:SYSTEM,
401. or reboot the server and answer "no" to the value added processes prompt.
402. NOTE: This last option will not load ANY VAPS.
403.  
404.  
405. Installing NCP Packet Signature on the DOS and WINDOWS workstations.
406. --------------------------------------------------------------
407. Copy the SECDOS.EXE self-extracting ZIP file to a work directory on the
408. network or your hardrive. Go to the work directory and type 
409.  
410.         SECDOS [<drive letter>:]
411.  
412. This unZIPs the files.
413.  
414.     New drivers included:
415.     ---------------------
416.     Some updated ODI drivers have been included.  They use Ethernet 
417.     frame type 802.2 by default.These are:
418.  
419.     NE1000.COM
420.     NE2000.COM
421.     NE2.COM
422.     NE2_32.COM  (NOTE: This driver name replaces the old NE2-32.COM ).
423.  
424.     To configure these drivers to run Ethernet frame type 802.3 , make the 
425.     following changes to the NET.CFG file:
426.  
427.     Add the line
428.  
429.         FRAME ETHERNET_802.3
430.  
431.     into the LINK DRIVER section.
432.  
433.     DOS Workstations
434.     ----------------
435.     Copy the appropriate file to each workstation's boot disk from the 
436.     work diskette.
437.  
438.         If the workstation uses       Copy this file
439.         --------------------------------------------
440.         Conventional memory           NETX.EXE
441.         Expanded memory               EMSNETX.EXE 
442.         Extended memory               XMSNETX.EXE 
443.         Packet burst                  BNETX.EXE 
444.     
445.     NOTE:   If *NETX.COM files reside in the same directory as
446.             *NETX.EXE files, rename or remove the *.COM files to make
447.             the *.EXE files effective.
448.     
449.     Add the following parameter to the NET.CFG file of each 
450.     workstation:
451.     
452.         signature level = [number]
453.     
454.         Replace [number] with 0, 1, 2, or 3. The default is 1.
455.     
456.     
457.     To automatically update the NETX.EXE file for all workstations, 
458.     copy the NETX.EXE file to SYS:PUBLIC and add the following line 
459.     to the system login script:
460.     
461.         #WSUPDATE SYS:PUBLIC\NETX.EXE ALL_LOCAL:NETX.EXE
462.     
463.     For more information on using WSUPDATE, see pages 515-519 in 
464.     "NetWare Version 3.11 Utilities Reference."
465.     
466.     
467.     Windows Workstations
468.     --------------------
469.     Copy the files listed below to the WINDOWS/SYSTEM directory of each 
470.     workstation's boot disk:
471.  
472.     NETWARE.DRV
473.     VNETWARE.386
474.     NWPOPUP.EXE
475.     VIPX.386
476.     
477.     You can use WSUPDATE to automatically copy the new files to several 
478.     workstations. For more information on using WSUPDATE, see 
479.     pages 515-519 in "NetWare Version 3.11 Utilities Reference."
480.     
481.     Add the following parameter to the NET.CFG file of each 
482.     workstation:
483.     
484.          signature level = [number]
485.     
486.     Replace [number] with 0, 1, 2, or 3. The default is 1.
487.     
488.     
489.     New Parameter for Windows on the Network
490.     ----------------------------------------
491.     A new NET.CFG parameter for packet signing is available for 
492.     workstations that load Windows from the network and run in 
493.     enhanced (386) mode:
494.     
495.          sign 386 mode = [number]
496.     
497.     Replace [number] with 0, 1, or 2. The default is 1, which disables 
498.     interrupts and preserves the 386 32-bit registers. Choose 0 to
499.     enable interrupts at this workstation. Choose 2 to force 16-bit
500.     signing at this workstation.
501.     
502.     NOTE:     The new NETX shell can detect workstation type (16- or
503.               32-bit) and automatically adjust to 16- or 32-bit code.
504.     
505.     
506. Installing NCP Packet Signature on the OS/2 Workstations.
507. --------------------------------------------------------------
508. NCP packet signature requires OS/2 version 2.0.
509.  
510. Copy the file SECOS2.EXE (self-extracting ZIP file) to a directory on the
511. network or your local hard drive.  Change to that drive and make the direct-
512. ory containing SECOS2.EXE your current directory.  Format a high-density 
513. 5-1/4" or 3-1/2" diskette and give it a volume name of REQUESTER by using
514. LABEL (provided with the client operating system). 
515.  
516. Run SECOS2.EXE as follows (where X: is the drive letter of the formatted 
517. REQUESTER diskette).
518.  
519.     "SECOS2 -D X:"
520.  
521.  
522. This procedure unZIPs the update files onto the floppy diskette in the 
523. correct directory structure.
524.  
525. Run the INSTALL program from the REQUESTER diskette and follow the 
526. instructions.
527.  
528. Add the following parameter to the NetWare Requester area of the 
529. NET.CFG file for each workstation:
530.  
531.     signature level [number]
532.  
533.     Replace [number] with 0, 1, 2, or 3. The default is 1.
534.  
535.  
536. Enabling Packet Burst (optional)
537. --------------------------------
538. The packet burst loadable module, PBURST.NLM, must be loaded 
539. on NetWare v3.11 servers in order for NCP packet signature to 
540. work. However, using the packet burst protocol to transfer data 
541. between servers and clients is optional.
542.  
543. Packet burst is a protocol built on top of IPX that speeds the
544. transfer of multiple-packet NCP reads and writes. The packet burst
545. protocol eliminates the need to sequence and acknowledge each
546. packet. With packet burst, the server or client sends a whole set
547. (or burst) of packets before it requires an acknowledgment.
548.  
549. By allowing multiple packets to be acknowledged, the packet burst 
550. protocol reduces network traffic. The packet burst protocol also 
551. monitors dropped packets and retransmits only the missing 
552. packets.
553.  
554. The NetWare server requires the PBURST.NLM to be loaded in order 
555. to transfer data in packet bursts. For a workstation to send and 
556. receive packet burst data, it requires the BNETX.EXE file and a new
557. parameter in its NET.CFG file.
558.  
559. NOTE:     The packet burst protocol is not supported by expanded
560.           memory or extended memory workstation shells, or by OS/2
561.           workstations.
562.  
563. Use this procedure to enable DOS workstations to send and receive 
564. packet burst data.
565.  
566.      1.   Replace the existing workstation shell with the BNETX.EXE
567.           file.
568.  
569.      2.   Edit the NET.CFG file to include the following parameter:
570.  
571.           PB BUFFERS=x
572.  
573.           Replace x with the number of packet burst buffers. The
574.           faster the CPU, the higher the number should be. The
575.           limits are 0 to 10. Novell recommends a setting of 2. The
576.           packet burst protocol adjusts the buffers automatically
577.           for optimum performance.
578.  
579. To disable packet burst on a workstation, omit the PB Buffers 
580. parameter from its NET.CFG file, or set the PB Buffers to 0.
581.  
582.  
583. Changing the Signature Level for CLIB NLMs
584. ------------------------------------------
585. If you are running NLMs that require access to remote servers, you 
586. will need to concern yourself with the signature level for CLIB 
587. and/or specific NLMs.  The signature level for NLMs, can be viewed in 
588. a similar light to the signature level in the DOS shell -- it deals 
589. with the client-side of the NCP connection.  The NLM security level 
590. correlates to the "Client Level" in the tables shown earlier in this 
591. document.
592.  
593. NLMs that use CLIB are assigned a default NCP packet signature level 
594. of 1.  The NCP signature only applies to NLMs that make NCP requests 
595. to remote servers;  NLMs that make NCP requests to the local server, 
596. the server the NLM was loaded on, are not affected.  For example, if 
597. you load a Print Server on a server, and this print server services
598. print jobs residing on queues on remote file servers, and the remote
599. file servers require packet signing, you'll need to make sure your 
600. print server is loaded with the correct signature level set. See the
601. section titled "Packet Signature for All CLIB NLMs" below to learn
602. how to change the default signature level, and why you'd want to.
603.  
604. Caveats in Using CLIB v3.11d
605. ----------------------------
606. The version of CLIB.NLM that is included in this release is 3.11d.  
607. Do not use CLIB v3.11d on a server running Novell's global messaging 
608. software if the NGM is version 1.0a or 1.0b.  Contact Novell for a 
609. later version of NGM.
610.  
611. If you are using NetWare for NFS version 1.2 Rev A, install patch 
612. PTF-F113 before you load CLIB. This patch is available in the 
613. NOVLIB area on NetWire, library 8, and it is called NFS113.ZIP. If 
614. this error message appears when you load the patch, the patch is 
615. unnecessary:
616.  
617.      Inverted file found, no update can be done
618.  
619. If you are using DAL Server (DALSVR), install patch PTF-A-131 
620. before you load CLIB. This patch is available in the NOVLIB area on
621. NetWire, library 7, and it is called SQL30.ZIP.
622.  
623.  
624. PATCH311.NLM
625. ------------
626. You no longer need to load PATCH311.NLM if you are using CLIB v3.11d.
627. If you are using an NLM that autoloads PATCH311.NLM, we have included 
628. a dummy version of the file.  You installed it into SYS:SYSTEM when 
629. the SECSYS.EXE file was extracted.
630.  
631.  
632. Packet Signature for All CLIB NLMs
633. ----------------------------------
634. To change the packet signature level for all NLMs that use CLIB,
635. use the following command format when you load CLIB:
636.  
637.      LOAD CLIB /L<number>
638.  
639. Replace <number> with 0, 1, 2, or 3. The default is 1.
640.  
641. NOTE:     To make sure CLIB uses the correct signature level when
642.           it is automatically loaded by other NLMs, put the above
643.           command in the AUTOEXEC.NCF file.
644.  
645. Packet Signature for One NLM
646. ----------------------------
647. To change the packet signature level for a single NLM, use the 
648. following command format when you load the NLM:
649.  
650.      LOAD loadable_module [optional module parameters] (CLIB_OPT)/L<number>
651.  
652. Replace <number> with 0, 1, 2, or 3. The default is 1.
653.  
654. For example, 
655.  
656.      LOAD PSERVER MYPRINTSERVERNAME (CLIB_OPT)/L3
657.  
658.  
659. CLIB NLM Warning
660. ----------------------------------
661. Warning: If you are using the API:  NWSendNCPExtensionRequest() to send to a
662. remote server and packet level security is being used, (ie., when the packet
663. level is being signed) the server may ABEND.  If you need to use this API
664. in development, or if an application on your server uses this API you will 
665. need to obtain the next revision of CLIB which will eliminate this problem.
666.  
667.  
668.  
669. Large Internet Packet parameters:
670. ----------------------------------
671. The security release also includes a Large Internet Packet feature which 
672. allows the server and the client to negotiate for the largest packet size
673. across a wide area network.  This service may be turned off by adding the 
674. following parameter to the NET.CFG file at the workstation:
675.  
676.   LI PACKETS=OFF
677.  
678. This service may also be turned off at the server by using the settable 
679. parameter:
680.  
681.   SET ALLOW LIP = OFF  
682.  
683.   (the default is ON).
684.  
685. NOTE: When using SNA links, LIP should be turned off both at the client
686.       and the server. 
687.  
688. Packet Signature Considerations for Job Servers
689. -----------------------------------------------
690. Network supervisors should be aware that some job servers do not 
691. support NCP packet signature. A job server may produce unsigned 
692. sessions if:
693.  
694. *    It does not operate on top of DOS
695.  
696. *    It does not use standard NetWare shells
697.  
698. *    It is not an NLM
699.  
700. *    It uses its own implementation of the NCP engine (such as 
701.      embedded print servers in printers).
702.  
703. Minimizing Risks
704. ----------------
705. To minimize security risks associated with job servers:
706.  
707. *    Install queues only on servers with signature level 3.
708.  
709. *    Do not allow privileged users to put jobs in queues on servers
710.      with signature levels below 3.
711.  
712. *    Make sure the job server's account is unprivileged.
713.  
714. *    Disable the job server's ability to change to client rights.
715.  
716.  
717. Disabling Change to Client Rights
718. ---------------------------------
719. To prevent a job server from assuming the rights of a client, put
720. the following new SET command in the server's AUTOEXEC.NCF file:
721.  
722.      SET Allow Change to Client Rights = OFF
723.  
724. The default is ON, because certain job servers and third-party 
725. applications cannot function without changing to client rights.
726.  
727.  
728. For customers using NetWare Name Service (NNS).
729. ----------------------------------------------------------
730. The current version of NNS does not support the NCP Packet
731. signature security enhancement.  Novell will be providing an
732. updated release of NNS in the near future that will support
733. NCP Packet signatures.  Customers running NNS and wishing to
734. apply the packet signature security enhancement to servers
735. in the NNS Namespace Domain must first apply the NNS update
736. when it becomes available.  Servers that are not in the NNS
737. Namespace domain are not effected, therefore, the security
738. enhancement can be applied to any servers that are not in
739. the NNS Namespace Domain.
740.  
741.  
742. Troubleshooting Tips
743. --------------------
744. This section describes some solutions to problems that may be 
745. associated with using NCP packet signatures.
746.  
747.     Clients Cannot Log In
748.     ---------------------
749.     Make sure the old *.COM shells are renamed or removed from the 
750.     directory where the new *.EXE shells reside.
751.     
752.     Make sure the packet signature levels on the server and the client 
753.     are correct.
754.     
755.     The following situations do not allow logging in:
756.     
757.     *    Server packet signature = 3, client signature = 0
758.     
759.     *    Server packet signature = 0, client signature = 3
760.     
761.     *    Utilities are old and do not support packet signature
762.     
763.     *    Shells or requesters are old and do not support packet
764.          signature
765.     
766.     "Error Receiving From the NetWork" Appears
767.     ------------------------------------------
768.     The client is using an old utility, such as LOGIN.EXE file that 
769.     does not include NCP packet signature. Make sure the new LOGIN.EXE
770.     and other new utilities are installed on all servers on the network.
771.     
772.     Third-party NLMs Do Not Work
773.     ----------------------------
774.     If the SET parameter Allow Change to Client Rights is turned OFF, 
775.     some third-party NLMs may not function. Turn this parameter ON.
776.     
777.     Unsecure Clients Log In to Secure Server
778.     ----------------------------------------
779.     The clients are using an old LOGIN.EXE file that does not include 
780.     NCP packet signature. Set the sever security level to 3 and make sure
781.     the new LOGIN.EXE and other new utilities are installed on all servers
782.         on the network.
783.     
784.     Add a preferred server statement to the NET.CFG file for all
785.     clients that have access to secure servers (level 3).
786.     
787.     
788. Network Security Guidelines
789. ---------------------------
790. In addition to installing NCP packet signature, network supervisors
791. can use other NetWare security features and protective measures to 
792. keep their network data secure.
793.  
794. The following security guidelines are suggested:
795.  
796. *    Use only the most current versions of system software, client 
797.      software, and patches.
798.  
799. *    Regularly check for viruses.
800.  
801. *    Use the SECURITY utility to detect vulnerable access points to
802.      the server.
803.  
804. *    Lock NetWare servers in a secure room.
805.  
806. *    Issue the SECURE CONSOLE command from the NetWare 
807.      console. The system will only load NLMs from SYS:SYSTEM.
808.  
809. *    Select "Lock File Server Console" from the MONITOR main 
810.      menu when the NetWare console is not in use.
811.  
812. *    Always use a password different from the SUPERVISOR 
813.      password for RCONSOLE.
814.  
815. *    Limit the number of users with SUPERVISOR rights.
816.  
817. *    Log in as SUPERVISOR as little as possible.
818.  
819. *    Use access control features in NetWare to limit users to 
820.      necessary applications and data.
821.  
822. *    Enable intruder detection and lockout.
823.  
824. *    Advise users to log out when their workstations are
825.      unattended.
826.  
827. *    Secure unattended workstations.
828.  
829. *    Require passwords of at least five characters on all accounts.
830.  
831. *    Force password changes at least every three months.
832.  
833. *    Require unique passwords.
834.  
835. *    Limit the number of grace logins.
836.  
837. *    Limit concurrent connections.
838.  
839. *    Enforce LOGIN time restrictions and station restrictions.
840.  
841. *    Train users and administrators on the use of NetWare security 
842.      features.
843.  
844. NCP Packet Signature for NetWare v3.11  PATENT PENDING - Novell, Inc.
845.  
846.