home *** CD-ROM | disk | FTP | other *** search
/ Netware Super Library / Netware Super Library.iso / zipfiles / l2o / nsd202.exe / SECURITY.DOC < prev   
Encoding:
Text File  |  1993-01-20  |  29.7 KB  |  846 lines
  1. NCP Packet Signature for NetWare v3.11  PATENT PENDING - Novell, Inc.
  2. ---------------------------------------------------------------------
  3.  
  4. The software files enclosed in these "zip" files are fixes or patches
  5. to legally licensed Novell software and are protected by the
  6. copyright laws of the United States and international copyright
  7. treaties. This zip file contains software which is designed to
  8. replace Novell client software and software which run as NetWare 
  9. Loadable Modules under the NetWare operating system. You may
  10. without charge, reproduce, distribute and use copies of the
  11. software for its intended purposes to replace legally obtained
  12. Novell software, provided you do not receive any direct payment,
  13. commercial benefit, or other consideration for the reproduction,
  14. distribution or use, or change or omit any proprietary rights
  15. notice appearing on or in the software. This is a personal right.
  16. You may not duplicate, distribute or authorize use outside of the
  17. legal entity you represent.
  18.  
  19. THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND,
  20. EITHER EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO, THE
  21. IMPLIED WARRANTIES OF MERCHANTABILITY, TITLE AND FITNESS FOR A
  22. PARTICULAR PURPOSE. TO THE EXTENT YOU USE SOFTWARE, YOU DO SO AT
  23. YOUR OWN RISK. IN NO EVENT WILL NOVELL BE LIABLE TO YOU FOR ANY
  24. DAMAGES ARISING OUT OF YOUR USE OF OR INABILITY TO USE THE
  25. SOFTWARE.
  26.  
  27.  
  28. Security Enhancement
  29. --------------------
  30. In recent weeks, Novell has verified the existence of a threat to NetWare
  31. security.  The mechanism for intrusion was discovered and documented by 
  32. students and professors of Lieden University in the Netherlands.
  33.  
  34. After responding to the initial threat with a NetWire release, Novell 
  35. established an aggressive two-phase strategy to analyze, develop and verify
  36. solutions to the broader issues surrounding this threat.  The following
  37. security enhancement for NetWare v3.11 represents the first phase of Novell's
  38. aggressive strategy to analyze and develop solutions that enhance network 
  39. security.
  40.  
  41. This enhancement consists of NetWare loadable module's, new shell's and 
  42. various utilities.  This SECURITY.DOC file defines the capabilities of the 
  43. enhancement, the configuration options, the installation of the server and
  44. client portions and provides other useful guidelines and tips.  This 
  45. enhancement contains seven self-extracting ZIP files:
  46.  
  47.     SECSYS.EXE    On diskette SIGNATURE_1
  48.     SECDOS.EXE
  49.     SECOS2.EXE
  50.  
  51.     SECUT1.EXE    On diskette SIGNATURE_2
  52.     SECUT2.EXE
  53.  
  54.     SECUT3.EXE    On diskette SIGNATURE_3  (Optional: *)
  55.     SECPRN.EXE
  56.  
  57. * The set of utilities found in SECUT3.EXE are not specifically required
  58.   for the security enhancement, but contain various fixes and updates.
  59.  
  60.  
  61. Before installing this enhancement, customers should read through the 
  62. SECURITY.DOC file to determine if installation of the security enhancement is
  63. needed.  Particular attention should be given to the section on when to use
  64. NCP packet signature.  Customers in need of additional support and service 
  65. should contact their local reseller.
  66.  
  67. The enhancement is being made available free of charge on NetWire and
  68. NetWare Express (minimal connection charges apply on NetWire 
  69. and NetWare Express) or by calling 1 (800) NetWare.  
  70.  
  71.  
  72. How NCP Packet Signature Works
  73. ------------------------------
  74. NCP packet signature is an enhanced security feature that protects 
  75. servers and clients using the NetWare Core Protocol by preventing 
  76. packet forgery.
  77.  
  78. Without the NCP packet signature installed, it is possible for a 
  79. network client posing as a more privileged client to send a forged 
  80. NCP request to a NetWare server. By forging the proper NCP request 
  81. packet, an intruder could gain SUPERVISOR rights and access to all 
  82. network resources.
  83.  
  84. NCP packet signature prevents packet forgery by requiring the 
  85. server and the client to "sign" each NCP packet. The packet 
  86. signature changes with every packet.
  87.  
  88. NCP packets with incorrect signatures are discarded without 
  89. breaking the client's connection with the server. However, an alert
  90. message about the invalid packet is sent to the error log, the 
  91. affected client, and the server console. The alert message contains
  92. the LOGIN name and the station address of the affected client.
  93.  
  94. A two-part process between the client and the NetWare server 
  95. determines the NCP packet signature:
  96.  
  97. *    At LOGIN, the server and the client determine a shared, secret
  98.      key known as the session key.
  99.  
  100. *    For each request or response packet, the server and the client
  101.      calculate a signature based on the session key, a
  102.      "fingerprint" algorithm, and the previous packet's signature.
  103.      The unique signature is appended to the NCP packet.
  104.  
  105. If NCP packet signature is installed correctly on the server and
  106. all of its clients, it is virtually impossible to forge a valid NCP
  107. packet.
  108.  
  109.  
  110. Packet Signature Options
  111. ------------------------
  112. Because the packet signature process consumes CPU resources and 
  113. slows performance, both for the client and the NetWare server, NCP 
  114. packet signature is optional.
  115.  
  116. Several signature options are available, ranging from never signing
  117. NCP packets to always signing NCP packets. NetWare servers have 
  118. four settable signature levels, and network clients also have four 
  119. signature levels.
  120.  
  121. The signature options for servers and clients combine to determine 
  122. the level of NCP packet signature on the network.
  123.  
  124. NOTE:     Some combinations of server and client packet signature
  125.           levels may slow performance. However, low CPU-demand
  126.           systems may not show any performance degradation. Network
  127.           supervisors can choose the packet signature level that
  128.           meets both their performance needs and their security
  129.           requirements.
  130.  
  131.  
  132. Server Levels
  133. -------------
  134. Server packet signature levels are assigned by a new SET parameter:
  135.  
  136.      SET NCP Packet Signature Option = [number]
  137.  
  138. Replace [number] with 0, 1, 2, or 3. The default is 2.
  139.  
  140.  
  141. Number    Explanation
  142. ---------------------
  143. 0         Server does not sign packets (regardless of the client 
  144.           level)
  145.  
  146. 1         Server signs packets only if the client requests it
  147.           (client level is 2 or higher)
  148.  
  149. 2         Server signs packets if the client is capable of signing 
  150.           (client level is 1 or higher)
  151.  
  152. 3         Server signs packets and requires all clients to sign 
  153.           packets (or logging in will fail)
  154.  
  155.  
  156. Client Levels
  157. -------------
  158. Client signature levels are assigned by a new NET.CFG parameter:
  159.  
  160.      signature level = [number]
  161.  
  162. Replace [number] with 0, 1, 2, or 3. The default is 1.
  163.  
  164.  
  165. Number    Explanation
  166. ---------------------
  167. 0         Client does not sign packets
  168.  
  169. 1         Client signs packets only if the server requests it
  170.           (server option is 2 or higher)
  171.  
  172. 2         Client signs packets if the server is capable of signing 
  173.           (server option is 1 or higher)
  174.  
  175. 3         Client signs packets and requires the server to sign 
  176.           packets (or logging in will fail)
  177.  
  178.  
  179. Effective Packet Signature
  180. --------------------------
  181. The packet signature levels for the server and the client interact
  182. to create the "effective" packet signature. Some combinations of
  183. server and client levels do not allow logging in.
  184.  
  185. The table below shows the interactive relationship between the 
  186. server packet signature levels and the client signature levels.
  187.  
  188.  
  189.     Effective Packet Signature of Server and Client
  190.     -----------------------------------------------
  191.     IF        Server=0  Server=1  Server=2  Server=3
  192.     
  193.     Client=0  No sign   No sign   No sign   No login
  194.     
  195.     Client=1  No sign   No sign   Sign      Sign
  196.     
  197.     Client=2  No sign   Sign      Sign      Sign
  198.     
  199.     Client=3  No login  Sign      Sign      Sign
  200.  
  201.  
  202. When to Use NCP Packet Signature
  203. --------------------------------
  204. NCP packet signature is not required for every installation. Some 
  205. network supervisors may choose not to use NCP packet signature 
  206. because they can tolerate certain security risks.
  207.  
  208.  
  209. Security Risks
  210. --------------
  211. The following situations are examples of tolerable risks that may 
  212. not need NCP packet signature:
  213.     
  214.     *    Only executable programs reside on the server.
  215.     
  216.     *    All workstation users on the network are known and trusted by 
  217.          the supervisor.
  218.     
  219.     *    Data on the NetWare server is not sensitive; loss or
  220.          corruption of this data will not impact operations.
  221.     
  222.     NCP packet signature is recommended for security risks such as:
  223.     
  224.     *    An untrustworthy user at a workstation on the network.
  225.     
  226.     *    Easy physical access to the network cabling system.
  227.     
  228.     *    An unattended, publicly accessible workstation.
  229.  
  230. Signature Level Examples
  231. ------------------------
  232.     The default NCP packet signature level is 1 for clients and 2 for
  233.     servers. In most installations, this setting provides the most 
  234.     flexibility while still offering protection from forged packets.
  235.     Below are some examples of using different signature levels.
  236.     
  237.     All Information on the Server Is Sensitive
  238.     ------------------------------------------
  239.     If an intruder gained access to any information on the NetWare 
  240.     server, it could damage the company.
  241.     
  242.     The network supervisor sets the server to level 3 and all clients
  243.     to level 3 for maximum protection.
  244.     
  245.     Sensitive and Non-sensitive Information Reside on the Same Server
  246.     -----------------------------------------------------------------
  247.     The NetWare server has a directory for executable programs and a 
  248.     separate directory for corporate finances (such as accounts 
  249.     receivable).
  250.     
  251.     The network supervisor sets the server to level 2, and the clients 
  252.     that need access to accounts receivable to level 3. All other
  253.     clients remain at the default, level 1.
  254.     
  255.     Users Often Change Locations and Workstations
  256.     ---------------------------------------------
  257.     The network supervisor is uncertain which employees will be using 
  258.     which workstations, and the NetWare server contains some 
  259.     sensitive data.
  260.     
  261.     The network supervisor sets the server to level 3. Clients remain
  262.     at the default, level 1.
  263.     
  264.     Workstation is Publicly Accessible
  265.     ----------------------------------
  266.     An unattended workstation is set up for public access to non-
  267.     sensitive information, but another server on the network contains 
  268.     sensitive information.
  269.     
  270.     The network supervisor sets the sensitive server to level 3 and the
  271.     unattended client to level 0.
  272.     
  273.     
  274. Installing NCP Packet Signature on the v3.11 Server
  275. ----------------------------------------------------
  276. NCP packet signature is installed at the server and at each 
  277. workstation. This section describes the procedures for the server.
  278.  
  279. To ensure secure connections, NCP packet signature should be
  280. installed on all servers on the network.
  281.  
  282. Before installing any new software, make sure you have a complete 
  283. backup of current SYS:SYSTEM, SYS:PUBLIC and SYS:LOGIN files.
  284.  
  285. Perform these steps to all servers on your network.
  286.  
  287.      1a.  Flag *.NLM files in the SYS:SYSTEM directory
  288.       Shareable, Read Write.
  289.  
  290.      1b.  Flag ?CONSOLE.* files in the SYS:SYSTEM directory
  291.       Shareable, Read Write.
  292.  
  293.      1c.  Flag *.* files in the SYS:PUBLIC directory
  294.       Shareable, Read Write.
  295.  
  296.      1d.  Flag LOGIN.EXE file in the SYS:LOGIN directory
  297.       Shareable, Read Write.
  298.  
  299.  
  300.      2.   Copy the self-extracting ZIP files to the appropriate
  301.           directory.
  302.  
  303.           File           Copy to this directory
  304.           -------------------------------------
  305.           SECSYS.EXE     SYS:SYSTEM
  306.           SECUT1.EXE     SYS:PUBLIC
  307.           SECUT2.EXE     SYS:PUBLIC
  308.           SECUT3.EXE     SYS:PUBLIC
  309.           SECPRN.EXE     SYS:PUBLIC
  310.  
  311.     Note: SECUT3.EXE is optional, but recommended.
  312.  
  313.      3.   For each file listed above, change to the appropriate directory
  314.           and execute the new files.  For example, change to the SYSTEM 
  315.           directory and type SECSYS.
  316.  
  317.           This unZIPs the files into the current directory.
  318.  
  319.  
  320.      4.   Move LOGIN.EXE file from the SYS:PUBLIC directory to the 
  321.           SYS:LOGIN directory.
  322.  
  323.  
  324.      5a.  Flag *.NLM files in the SYS:SYSTEM directory
  325.       Shareable, Read Only.
  326.  
  327.      5b.  Flag ?CONSOLE.* files in the SYS:SYSTEM directory
  328.       Shareable, Read Only.
  329.  
  330.      5c.  Flag *.* files in the SYS:PUBLIC directory
  331.       Shareable, Read Only.
  332.  
  333.      5d.  Flag LOGIN.EXE file in the SYS:LOGIN directory
  334.       Shareable, Read Only.
  335.  
  336.  
  337.      6.   You may want to delete the self-extracting ZIP files from 
  338.       SYS:SYSTEM and SYS:PUBLIC at this time.
  339.  
  340.  
  341. Load PBURST.NLM
  342. ---------------
  343. Use this procedure to load the PBURST NLM and add the new SET 
  344. parameters to the NetWare v3.11 server.
  345.  
  346.      1.   At the server console, type
  347.  
  348.           LOAD PBURST <Enter>
  349.  
  350.      2.   To automatically load PBURST.NLM the next time the server
  351.           boots, insert the "LOAD PBURST" command at the beginning
  352.           of the AUTOEXEC.NCF file.
  353.  
  354.  
  355. Assign the Server Packet Signature Option
  356. -----------------------------------------
  357. Insert the following SET command in the AUTOEXEC.NCF file 
  358. immediately below the "LOAD PBURST" command:
  359.  
  360.      SET NCP Packet Signature Option = [number]
  361.  
  362. Replace [number] with 0, 1, 2, or 3. The default is 2.
  363.  
  364.  
  365.  
  366. Installing NCP Packet Signature on a NetWare v2.x Server
  367. --------------------------------------------------------
  368. This section describes the procedure for installing NCP packet signature on a
  369. NetWare v2.x server. 
  370.  
  371.      NOTE: Workstation installation procedures are identical to the NetWare
  372.            v3.11 procedures.
  373.  
  374. 1. Copy the self-extracting ZIP file, SECSYS.EXE, to the SYS:SYSTEM directory.
  375.  
  376. 2. Change to the SYS:SYSTEM directory and execute the file by typing
  377.      SECSYS <Enter>
  378.  
  379. 3. Delete the *.NLM files. (These files are not needed for NetWare v2.x.)
  380.  
  381. 4. Flag the SECUREFX.VAP file as Shareable, Read Only by typing
  382.      FLAG SECUREFX.VAP SRO <Enter>
  383.  
  384. 5. Reboot the server.
  385.      The following prompt appears:
  386.      "Value added processes have been defined. Do you wish to load them?"
  387.  
  388. 6. Type
  389.      Y <Enter>
  390.  
  391. Assigning the Server Signature Level
  392. ------------------------------------
  393. The default signature level for the server is 2. To change the level, use the following
  394. console command:
  395.  
  396.      SIGNATURE LEVEL = number <Enter>
  397.  
  398. Replace "number" with 1, 2, or 3. The default is 2.
  399.  
  400. For signature level 0, either do not put the SECUREFX VAP in SYS:SYSTEM,
  401. or reboot the server and answer "no" to the value added processes prompt.
  402. NOTE: This last option will not load ANY VAPS.
  403.  
  404.  
  405. Installing NCP Packet Signature on the DOS and WINDOWS workstations.
  406. --------------------------------------------------------------
  407. Copy the SECDOS.EXE self-extracting ZIP file to a work directory on the
  408. network or your hardrive. Go to the work directory and type 
  409.  
  410.         SECDOS [<drive letter>:]
  411.  
  412. This unZIPs the files.
  413.  
  414.     New drivers included:
  415.     ---------------------
  416.     Some updated ODI drivers have been included.  They use Ethernet 
  417.     frame type 802.2 by default.These are:
  418.  
  419.     NE1000.COM
  420.     NE2000.COM
  421.     NE2.COM
  422.     NE2_32.COM  (NOTE: This driver name replaces the old NE2-32.COM ).
  423.  
  424.     To configure these drivers to run Ethernet frame type 802.3 , make the 
  425.     following changes to the NET.CFG file:
  426.  
  427.     Add the line
  428.  
  429.         FRAME ETHERNET_802.3
  430.  
  431.     into the LINK DRIVER section.
  432.  
  433.     DOS Workstations
  434.     ----------------
  435.     Copy the appropriate file to each workstation's boot disk from the 
  436.     work diskette.
  437.  
  438.         If the workstation uses       Copy this file
  439.         --------------------------------------------
  440.         Conventional memory           NETX.EXE
  441.         Expanded memory               EMSNETX.EXE 
  442.         Extended memory               XMSNETX.EXE 
  443.         Packet burst                  BNETX.EXE 
  444.     
  445.     NOTE:   If *NETX.COM files reside in the same directory as
  446.             *NETX.EXE files, rename or remove the *.COM files to make
  447.             the *.EXE files effective.
  448.     
  449.     Add the following parameter to the NET.CFG file of each 
  450.     workstation:
  451.     
  452.         signature level = [number]
  453.     
  454.         Replace [number] with 0, 1, 2, or 3. The default is 1.
  455.     
  456.     
  457.     To automatically update the NETX.EXE file for all workstations, 
  458.     copy the NETX.EXE file to SYS:PUBLIC and add the following line 
  459.     to the system login script:
  460.     
  461.         #WSUPDATE SYS:PUBLIC\NETX.EXE ALL_LOCAL:NETX.EXE
  462.     
  463.     For more information on using WSUPDATE, see pages 515-519 in 
  464.     "NetWare Version 3.11 Utilities Reference."
  465.     
  466.     
  467.     Windows Workstations
  468.     --------------------
  469.     Copy the files listed below to the WINDOWS/SYSTEM directory of each 
  470.     workstation's boot disk:
  471.  
  472.     NETWARE.DRV
  473.     VNETWARE.386
  474.     NWPOPUP.EXE
  475.     VIPX.386
  476.     
  477.     You can use WSUPDATE to automatically copy the new files to several 
  478.     workstations. For more information on using WSUPDATE, see 
  479.     pages 515-519 in "NetWare Version 3.11 Utilities Reference."
  480.     
  481.     Add the following parameter to the NET.CFG file of each 
  482.     workstation:
  483.     
  484.          signature level = [number]
  485.     
  486.     Replace [number] with 0, 1, 2, or 3. The default is 1.
  487.     
  488.     
  489.     New Parameter for Windows on the Network
  490.     ----------------------------------------
  491.     A new NET.CFG parameter for packet signing is available for 
  492.     workstations that load Windows from the network and run in 
  493.     enhanced (386) mode:
  494.     
  495.          sign 386 mode = [number]
  496.     
  497.     Replace [number] with 0, 1, or 2. The default is 1, which disables 
  498.     interrupts and preserves the 386 32-bit registers. Choose 0 to
  499.     enable interrupts at this workstation. Choose 2 to force 16-bit
  500.     signing at this workstation.
  501.     
  502.     NOTE:     The new NETX shell can detect workstation type (16- or
  503.               32-bit) and automatically adjust to 16- or 32-bit code.
  504.     
  505.     
  506. Installing NCP Packet Signature on the OS/2 Workstations.
  507. --------------------------------------------------------------
  508. NCP packet signature requires OS/2 version 2.0.
  509.  
  510. Copy the file SECOS2.EXE (self-extracting ZIP file) to a directory on the
  511. network or your local hard drive.  Change to that drive and make the direct-
  512. ory containing SECOS2.EXE your current directory.  Format a high-density 
  513. 5-1/4" or 3-1/2" diskette and give it a volume name of REQUESTER by using
  514. LABEL (provided with the client operating system). 
  515.  
  516. Run SECOS2.EXE as follows (where X: is the drive letter of the formatted 
  517. REQUESTER diskette).
  518.  
  519.     "SECOS2 -D X:"
  520.  
  521.  
  522. This procedure unZIPs the update files onto the floppy diskette in the 
  523. correct directory structure.
  524.  
  525. Run the INSTALL program from the REQUESTER diskette and follow the 
  526. instructions.
  527.  
  528. Add the following parameter to the NetWare Requester area of the 
  529. NET.CFG file for each workstation:
  530.  
  531.     signature level [number]
  532.  
  533.     Replace [number] with 0, 1, 2, or 3. The default is 1.
  534.  
  535.  
  536. Enabling Packet Burst (optional)
  537. --------------------------------
  538. The packet burst loadable module, PBURST.NLM, must be loaded 
  539. on NetWare v3.11 servers in order for NCP packet signature to 
  540. work. However, using the packet burst protocol to transfer data 
  541. between servers and clients is optional.
  542.  
  543. Packet burst is a protocol built on top of IPX that speeds the
  544. transfer of multiple-packet NCP reads and writes. The packet burst
  545. protocol eliminates the need to sequence and acknowledge each
  546. packet. With packet burst, the server or client sends a whole set
  547. (or burst) of packets before it requires an acknowledgment.
  548.  
  549. By allowing multiple packets to be acknowledged, the packet burst 
  550. protocol reduces network traffic. The packet burst protocol also 
  551. monitors dropped packets and retransmits only the missing 
  552. packets.
  553.  
  554. The NetWare server requires the PBURST.NLM to be loaded in order 
  555. to transfer data in packet bursts. For a workstation to send and 
  556. receive packet burst data, it requires the BNETX.EXE file and a new
  557. parameter in its NET.CFG file.
  558.  
  559. NOTE:     The packet burst protocol is not supported by expanded
  560.           memory or extended memory workstation shells, or by OS/2
  561.           workstations.
  562.  
  563. Use this procedure to enable DOS workstations to send and receive 
  564. packet burst data.
  565.  
  566.      1.   Replace the existing workstation shell with the BNETX.EXE
  567.           file.
  568.  
  569.      2.   Edit the NET.CFG file to include the following parameter:
  570.  
  571.           PB BUFFERS=x
  572.  
  573.           Replace x with the number of packet burst buffers. The
  574.           faster the CPU, the higher the number should be. The
  575.           limits are 0 to 10. Novell recommends a setting of 2. The
  576.           packet burst protocol adjusts the buffers automatically
  577.           for optimum performance.
  578.  
  579. To disable packet burst on a workstation, omit the PB Buffers 
  580. parameter from its NET.CFG file, or set the PB Buffers to 0.
  581.  
  582.  
  583. Changing the Signature Level for CLIB NLMs
  584. ------------------------------------------
  585. If you are running NLMs that require access to remote servers, you 
  586. will need to concern yourself with the signature level for CLIB 
  587. and/or specific NLMs.  The signature level for NLMs, can be viewed in 
  588. a similar light to the signature level in the DOS shell -- it deals 
  589. with the client-side of the NCP connection.  The NLM security level 
  590. correlates to the "Client Level" in the tables shown earlier in this 
  591. document.
  592.  
  593. NLMs that use CLIB are assigned a default NCP packet signature level 
  594. of 1.  The NCP signature only applies to NLMs that make NCP requests 
  595. to remote servers;  NLMs that make NCP requests to the local server, 
  596. the server the NLM was loaded on, are not affected.  For example, if 
  597. you load a Print Server on a server, and this print server services
  598. print jobs residing on queues on remote file servers, and the remote
  599. file servers require packet signing, you'll need to make sure your 
  600. print server is loaded with the correct signature level set. See the
  601. section titled "Packet Signature for All CLIB NLMs" below to learn
  602. how to change the default signature level, and why you'd want to.
  603.  
  604. Caveats in Using CLIB v3.11d
  605. ----------------------------
  606. The version of CLIB.NLM that is included in this release is 3.11d.  
  607. Do not use CLIB v3.11d on a server running Novell's global messaging 
  608. software if the NGM is version 1.0a or 1.0b.  Contact Novell for a 
  609. later version of NGM.
  610.  
  611. If you are using NetWare for NFS version 1.2 Rev A, install patch 
  612. PTF-F113 before you load CLIB. This patch is available in the 
  613. NOVLIB area on NetWire, library 8, and it is called NFS113.ZIP. If 
  614. this error message appears when you load the patch, the patch is 
  615. unnecessary:
  616.  
  617.      Inverted file found, no update can be done
  618.  
  619. If you are using DAL Server (DALSVR), install patch PTF-A-131 
  620. before you load CLIB. This patch is available in the NOVLIB area on
  621. NetWire, library 7, and it is called SQL30.ZIP.
  622.  
  623.  
  624. PATCH311.NLM
  625. ------------
  626. You no longer need to load PATCH311.NLM if you are using CLIB v3.11d.
  627. If you are using an NLM that autoloads PATCH311.NLM, we have included 
  628. a dummy version of the file.  You installed it into SYS:SYSTEM when 
  629. the SECSYS.EXE file was extracted.
  630.  
  631.  
  632. Packet Signature for All CLIB NLMs
  633. ----------------------------------
  634. To change the packet signature level for all NLMs that use CLIB,
  635. use the following command format when you load CLIB:
  636.  
  637.      LOAD CLIB /L<number>
  638.  
  639. Replace <number> with 0, 1, 2, or 3. The default is 1.
  640.  
  641. NOTE:     To make sure CLIB uses the correct signature level when
  642.           it is automatically loaded by other NLMs, put the above
  643.           command in the AUTOEXEC.NCF file.
  644.  
  645. Packet Signature for One NLM
  646. ----------------------------
  647. To change the packet signature level for a single NLM, use the 
  648. following command format when you load the NLM:
  649.  
  650.      LOAD loadable_module [optional module parameters] (CLIB_OPT)/L<number>
  651.  
  652. Replace <number> with 0, 1, 2, or 3. The default is 1.
  653.  
  654. For example, 
  655.  
  656.      LOAD PSERVER MYPRINTSERVERNAME (CLIB_OPT)/L3
  657.  
  658.  
  659. CLIB NLM Warning
  660. ----------------------------------
  661. Warning: If you are using the API:  NWSendNCPExtensionRequest() to send to a
  662. remote server and packet level security is being used, (ie., when the packet
  663. level is being signed) the server may ABEND.  If you need to use this API
  664. in development, or if an application on your server uses this API you will 
  665. need to obtain the next revision of CLIB which will eliminate this problem.
  666.  
  667.  
  668.  
  669. Large Internet Packet parameters:
  670. ----------------------------------
  671. The security release also includes a Large Internet Packet feature which 
  672. allows the server and the client to negotiate for the largest packet size
  673. across a wide area network.  This service may be turned off by adding the 
  674. following parameter to the NET.CFG file at the workstation:
  675.  
  676.   LI PACKETS=OFF
  677.  
  678. This service may also be turned off at the server by using the settable 
  679. parameter:
  680.  
  681.   SET ALLOW LIP = OFF  
  682.  
  683.   (the default is ON).
  684.  
  685. NOTE: When using SNA links, LIP should be turned off both at the client
  686.       and the server. 
  687.  
  688. Packet Signature Considerations for Job Servers
  689. -----------------------------------------------
  690. Network supervisors should be aware that some job servers do not 
  691. support NCP packet signature. A job server may produce unsigned 
  692. sessions if:
  693.  
  694. *    It does not operate on top of DOS
  695.  
  696. *    It does not use standard NetWare shells
  697.  
  698. *    It is not an NLM
  699.  
  700. *    It uses its own implementation of the NCP engine (such as 
  701.      embedded print servers in printers).
  702.  
  703. Minimizing Risks
  704. ----------------
  705. To minimize security risks associated with job servers:
  706.  
  707. *    Install queues only on servers with signature level 3.
  708.  
  709. *    Do not allow privileged users to put jobs in queues on servers
  710.      with signature levels below 3.
  711.  
  712. *    Make sure the job server's account is unprivileged.
  713.  
  714. *    Disable the job server's ability to change to client rights.
  715.  
  716.  
  717. Disabling Change to Client Rights
  718. ---------------------------------
  719. To prevent a job server from assuming the rights of a client, put
  720. the following new SET command in the server's AUTOEXEC.NCF file:
  721.  
  722.      SET Allow Change to Client Rights = OFF
  723.  
  724. The default is ON, because certain job servers and third-party 
  725. applications cannot function without changing to client rights.
  726.  
  727.  
  728. For customers using NetWare Name Service (NNS).
  729. ----------------------------------------------------------
  730. The current version of NNS does not support the NCP Packet
  731. signature security enhancement.  Novell will be providing an
  732. updated release of NNS in the near future that will support
  733. NCP Packet signatures.  Customers running NNS and wishing to
  734. apply the packet signature security enhancement to servers
  735. in the NNS Namespace Domain must first apply the NNS update
  736. when it becomes available.  Servers that are not in the NNS
  737. Namespace domain are not effected, therefore, the security
  738. enhancement can be applied to any servers that are not in
  739. the NNS Namespace Domain.
  740.  
  741.  
  742. Troubleshooting Tips
  743. --------------------
  744. This section describes some solutions to problems that may be 
  745. associated with using NCP packet signatures.
  746.  
  747.     Clients Cannot Log In
  748.     ---------------------
  749.     Make sure the old *.COM shells are renamed or removed from the 
  750.     directory where the new *.EXE shells reside.
  751.     
  752.     Make sure the packet signature levels on the server and the client 
  753.     are correct.
  754.     
  755.     The following situations do not allow logging in:
  756.     
  757.     *    Server packet signature = 3, client signature = 0
  758.     
  759.     *    Server packet signature = 0, client signature = 3
  760.     
  761.     *    Utilities are old and do not support packet signature
  762.     
  763.     *    Shells or requesters are old and do not support packet
  764.          signature
  765.     
  766.     "Error Receiving From the NetWork" Appears
  767.     ------------------------------------------
  768.     The client is using an old utility, such as LOGIN.EXE file that 
  769.     does not include NCP packet signature. Make sure the new LOGIN.EXE
  770.     and other new utilities are installed on all servers on the network.
  771.     
  772.     Third-party NLMs Do Not Work
  773.     ----------------------------
  774.     If the SET parameter Allow Change to Client Rights is turned OFF, 
  775.     some third-party NLMs may not function. Turn this parameter ON.
  776.     
  777.     Unsecure Clients Log In to Secure Server
  778.     ----------------------------------------
  779.     The clients are using an old LOGIN.EXE file that does not include 
  780.     NCP packet signature. Set the sever security level to 3 and make sure
  781.     the new LOGIN.EXE and other new utilities are installed on all servers
  782.         on the network.
  783.     
  784.     Add a preferred server statement to the NET.CFG file for all
  785.     clients that have access to secure servers (level 3).
  786.     
  787.     
  788. Network Security Guidelines
  789. ---------------------------
  790. In addition to installing NCP packet signature, network supervisors
  791. can use other NetWare security features and protective measures to 
  792. keep their network data secure.
  793.  
  794. The following security guidelines are suggested:
  795.  
  796. *    Use only the most current versions of system software, client 
  797.      software, and patches.
  798.  
  799. *    Regularly check for viruses.
  800.  
  801. *    Use the SECURITY utility to detect vulnerable access points to
  802.      the server.
  803.  
  804. *    Lock NetWare servers in a secure room.
  805.  
  806. *    Issue the SECURE CONSOLE command from the NetWare 
  807.      console. The system will only load NLMs from SYS:SYSTEM.
  808.  
  809. *    Select "Lock File Server Console" from the MONITOR main 
  810.      menu when the NetWare console is not in use.
  811.  
  812. *    Always use a password different from the SUPERVISOR 
  813.      password for RCONSOLE.
  814.  
  815. *    Limit the number of users with SUPERVISOR rights.
  816.  
  817. *    Log in as SUPERVISOR as little as possible.
  818.  
  819. *    Use access control features in NetWare to limit users to 
  820.      necessary applications and data.
  821.  
  822. *    Enable intruder detection and lockout.
  823.  
  824. *    Advise users to log out when their workstations are
  825.      unattended.
  826.  
  827. *    Secure unattended workstations.
  828.  
  829. *    Require passwords of at least five characters on all accounts.
  830.  
  831. *    Force password changes at least every three months.
  832.  
  833. *    Require unique passwords.
  834.  
  835. *    Limit the number of grace logins.
  836.  
  837. *    Limit concurrent connections.
  838.  
  839. *    Enforce LOGIN time restrictions and station restrictions.
  840.  
  841. *    Train users and administrators on the use of NetWare security 
  842.      features.
  843.  
  844. NCP Packet Signature for NetWare v3.11  PATENT PENDING - Novell, Inc.
  845.  
  846.