home *** CD-ROM | disk | FTP | other *** search
/ Network Support Library / RoseWare - Network Support Library.iso / security / warmfz.txt < prev    next >
Text File  |  1993-07-10  |  16KB  |  307 lines
  1.                        "WE ALL LIKE WARM FUZZIES"
  2.                                    or
  3.                 Information Systems Security for Netware
  4.                                     
  5. I was on vacation last week when a good friend of mine called about 6 p.m. "How are you
  6. doing?", I casually asked.  "I've been at a new customer site since 8 a.m., my technician's
  7. wife went into labor half an hour ago, and I have a security muff on my hands", John
  8. casually replied.  I took down the address, got in the car, and met my old friend at the job
  9. site.  What a mess.
  10.  
  11. Later, over a beer, we complained at length about LAN managers who make all their users
  12. 'Supervisor Equivalent', and a host of other ills.  Granted, most small to medium sized
  13. businesses do not come out of the jello-books, or military/industrial security environment,
  14. however, some form of security is usually necessary.  [The jello books, are the red and the
  15. orange books which define a Trusted Computing Base.]  Closing the barn door after the bulls
  16. are loose makes life very difficult.  
  17.  
  18. Information Systems Security (ISS), is a design philosophy, not an aberration of
  19. environmental factors.  No one likes the idea of a security problem, especially in the age of
  20. mutation engine viruses, trojan horse programs, and the increasing numbers of power users. 
  21. It leaves you with what my grandfather called "a cold prickly feeling."  He always preferred
  22. "warm fuzzies", and so would any network manager, when it comes to issues of security.  So
  23. I came up with a simple design philosophy for networks.
  24.  
  25.                        "WE ALL LIKE WARM FUZZIES"
  26.  
  27.  
  28. W - WHOAMI?
  29.  
  30.      This handy command line utility will tell you information about a user's attachments
  31.      to file servers.  I want you to consider it, and the security implications, from a
  32.      different viewpoint.  Before you add your first user, ask yourself, several questions:
  33.  
  34.      1)   Who are they?
  35.      2)   Where do they work (i.e., accounting, sales)?
  36.      3)   What do they need to know?
  37.      4)   What software do they need to get the job done?
  38.  
  39. E - Establish Security Policies
  40.  
  41.      You should have a written document which states clearly, and simply, the reasons for
  42.      the policies, what the policies are, and what penalties will be enforced for failing to
  43.      follow the security policy manual.  Make certain that every user has a copy, and
  44.      understands the policy.  [Legal type documents signed by the users are nice but can be
  45.      difficult to enforce.]
  46.  
  47. A - Account Balances & Audit Trails
  48.  
  49.  
  50.      Every user account should have an account balance associated with it.  It is a very
  51.      simple, but effective means for tracking the usage for the accounts on your server. 
  52.      Yes - the truly inspired will of course find ways around such spartan methods, but it
  53.      is a good first line of defense.  
  54.  
  55.      Having an audit trail is very desirable.  LT Auditor by Blue Lance is an excellent
  56.      product.  Version 4, is a server based NLM product that will also perform software
  57.      metering.  Audit trails allow the LAN manager to determine who accessed what files
  58.      when, and if the data collection is set up to do it, find out who uploaded, and/or
  59.      downloaded software to/from the LAN.
  60.  
  61. L - Login Security
  62.  
  63.      Plain and simple.  Establish passwords for every account, and force frequent, random,
  64.      unique changes.  Ensure that a minimum of six characters are used in the password. 
  65.      Do not allow passwords to go down the wire unencrypted.
  66.  
  67. L - Limit User Logins & Storage Space
  68.  
  69.      Restrict the number of concurrent logins a user may have to one!  Whenever possible,
  70.      restrict station access to their workstation only.  Eliminate user accounts immediately,
  71.      if someone is discharged, or leaves the firm.
  72.  
  73.      Limit user storage space.  It is another simplistic audit function, but if a user is
  74.      quickly gobbling up disk space when they should not be, something funny is probably
  75.      going on.
  76.  
  77. L - Lock Out
  78.  
  79.      Enable Intruder detection features to reduce the risk of unauthorized access. 
  80.      Whenever possible have a cross reference of user/mailstop/floor/node address, listed
  81.      by network address.
  82.  
  83. I - Identify Access Hours
  84.  
  85.      By restricting the time and days that a user can login to the server, you are
  86.      eliminating one more hole in your security.  It makes no sense for someone who only
  87.      needs to access the server Monday to Friday between 8 a.m. and 6 p.m. to have access
  88.      24 hours a day, seven days a week.  Too tempting.  [See Limit User Logins, i.e.,
  89.      disgruntled employees.]
  90.  
  91. K - Keyboard Lockout @ Console
  92.  
  93.      Effective keyboard protection is available only in Netware 3.11, and 4.0.  This can be
  94.      achieved with the Secure Console console command.
  95.  
  96.      This procedure restricts NLM loading to those found in SYS:SYSTEM.  Time and
  97.      date on passwords, logins, and the SET TIME and SET TIMEZONE features are
  98.      restricted to those with Supervisor rights, using the FCONSOLE utility.  This feature
  99.      will also remove DOS from a fileserver, preventing user access to power-on
  100.      passwords.
  101.  
  102. E - Eliminate Viruses
  103.  
  104.      Today, trojan horse programs, mutation engine viruses, and the number of users who
  105.      bring in their favorite shareware, or game from a bulletin board and upload them to a
  106.      workstation harddrive where, if they are carrying a virus, they can infect other files
  107.      and spread across the network like wildfire is uncountable.
  108.  
  109.      Security must be proactive to be effective, particularly in this area.  In order to
  110.      minimize this threat, use diskless workstations, wherever, and whenever possible. 
  111.      Keep to a minimum, preferably one, the number of workstations attached to the LAN
  112.      that can load software.  
  113.  
  114.      Use server based virus scanning software.  Don't think that it won't happen to you.  It
  115.      is not a question of if, but rather when.  If you do not employ diskless workstations,
  116.      be certain that you use workstation based scanning software as well.  There are a host
  117.      of products available on the market today.  Pennywise here can be pound foolish later. 
  118.      [See the January/February issue of Netware Connection for an interesting article on
  119.      viruses and network security.  Don't miss the interview with Jan Newman on the
  120.      security enhancement for Netware 3.11.]
  121.  
  122. W - Workstation Security
  123.  
  124.      We have already discussed enabling Intruder detection features and encrypted
  125.      passwords.  You do need to be aware of several other potential threats.  Two involve
  126.      the LOGIN command, the other involves logging out of the network.
  127.  
  128.      LOGIN poses two security threats.  One involves bypassing the login scripts, and the
  129.      other is automated password entry.
  130.  
  131.           1)   Novell's LOGIN command will allow an alternate file that contains a
  132.                login script to be passed by a DOS command line argument.  By doing
  133.                this, you bypass the system and the user login scripts.  Now the user
  134.                has control of the audit process.
  135.  
  136.           2)   LOGIN also allows DOS to redirect the keyboard, taking input from a
  137.                file.  A user can create a password file locally, and call it locally from
  138.                the autoexec.bat file.  This is a security nightmare because the password
  139.                is stored as ASCII text in a file that can read by anyone who walks up
  140.                to the workstation.
  141.  
  142.      The final problem comes when a user gets up and walks away from their workstation,
  143.      leaving it logged in to the network.  This allows anyone who walks up to the station
  144.      access to the file server and any files on it depending on how security equivalences
  145.      are implemented.  There are several good products on the market today to assist with
  146.      this problem.
  147.  
  148. A - Attributes 
  149.  
  150.      Attributes represent the most important form of internal security features of Netware. 
  151.      These are the properties which you assign to files and directories.  The most important
  152.      of these are Hidden, Delete Inhibit, and Rename Inhibit.  
  153.  
  154.      By assigning file attributes, you override your effective rights.  This prevents you
  155.      form doing things that your rights would normally allow.  Example:  If a directory is
  156.      flagged Hidden, you cannot see the contents of the directory even if you posses the
  157.      File Scan right.
  158.  
  159. R - Rights
  160.  
  161.      Users access information on the network based on their rights.  Rights are used to
  162.      determine what your users can and cannot do in a network directory, and with the
  163.      files in those directories.
  164.  
  165.      Rights can be applied to groups and individuals.  It is generally wise to set up your
  166.      rights for groups first then manage them individually where necessary.  In this way
  167.      you can add or delete rights on a personal basis for user Jones in the group Sales.
  168.  
  169. M - Make Regular Backups
  170.  
  171.      You may wonder what this has to do with network security, because it is not always
  172.      obvious to the casual observer.  If you have a policy that includes frequent, regular
  173.      backups, and you maintain audit trail files on your server these can always be
  174.      extracted from your backup tapes provided you backup file by file.
  175.  
  176.      Backups are also important in the event that you have a virus attack that can be traced
  177.      to a specific date.  You may be able to restore files that were damaged or destroyed,
  178.      with non-infected files.
  179.  
  180. F - File Server Security
  181.  
  182.      Securing your file server can be anything from putting it in a very visible public
  183.      place, to constructing a controlled access, secure facility complete with state of the art
  184.      electronics and video surveillance gear.
  185.  
  186.      For many LAN managers, a public place that is well monitored by continuous traffic
  187.      flow and people who know that "Gee, I haven't seen that person here before.  I
  188.      wonder what they are doing at the file server?"will suffice.  This combined with 'K -
  189.      Keyboard Lockout @ Console' should provide a cost effective level of deterrent for
  190.      most small LANs.
  191.  
  192.      Another very useful form of protection is booting only from a floppy.  Using this
  193.      means you can bring a file server on-line, remove the boot disk, place it in a secure
  194.      location, and use it only when the server needs to be rebooted.  [See U - UPS.]
  195.  
  196. U - UPS
  197.  
  198.      UPS as a security component?  Certainly!  Consider the following:  You have a
  199.      brownout at your network site.  Your file server does not have a UPS so the file
  200.      server power supply trips, causing a file server reboot.  When the system comes back
  201.      on-line the system is vulnerable to power on passwords.
  202.  
  203.      While this is true even with a UPS, you must have a power outage before the file
  204.      server is finally shut down, or a VERY long brownout which drains the battery.  The
  205.      key here is that the file server is shut down by the UPS and will only come back on
  206.      when power returns.  If you have taken the further protection of booting only from a
  207.      floppy, the file server cannot be brought back on-line until the floppy is produced
  208.      from a secure location.
  209.  
  210. Z - Zero Tolerance
  211.  
  212.      Have a security policy that is realistic, explain it to your users, make certain that they
  213.      understand it, and then implement it.  Part of that policy should be a list of actions to
  214.      be taken against employees if they violate the security policy.  Be serious about
  215.      implementing it.
  216.  
  217.      Don't make an example of anyone because they made the first infraction, etc.  Stick to
  218.      the rules that have been set up and you will find that users will follow these policies. 
  219.      This is particularly true if the employee feels that if security is a problem, everyone
  220.      has a problem.  Communication is very important here.
  221.  
  222. Z - Zero Penetration
  223.  
  224.      Zero Penetration is the ideal.  We have to realize that this may not be practically
  225.      achievable, certainly not in an environment that does not employ the methodologies of
  226.      Trusted Computing.
  227.  
  228.      We can, however, with thought and careful implementation, bring our LAN from no
  229.      security to reasonably secure status.  When in doubt, implement a procedure.  You can
  230.      always change a procedure or policy to relax security, but tightening it is very
  231.      difficult.  [it is not recommended that you relax security.  Always search for a secure
  232.      compromise to the problem you are faced with.]
  233.  
  234. I - Inherited Rights
  235.  
  236.      Inherited Rights are the rights that apply to a file or directory upon creation.  These
  237.      are Access Control, Create, Erase, File Scan, Modify, Read, Supervisory, and Write. 
  238.      These rights apply automatically unless they are revoked by a user with Supervisory
  239.      rights.  
  240.  
  241.      LAN Managers can use the IRM to further security, by understanding the following
  242.      principle of the IRM:
  243.  
  244.            The difference between giving a user a trustee assignment of no rights and not
  245.           giving a trustee assignment at all is extreme.  When giving an assignment of
  246.           no rights , you prevent the user from inheriting any rights from the parent
  247.           directory, by not giving an assignment at all you allow the user to inherit
  248.           rights from the parent directory.
  249.  
  250. E - Effective Rights
  251.  
  252.      These are the security rights for an individual user pertaining to a particular file or
  253.      directory.  Effective rights are determined by the previous directory level's effective
  254.      rights and the current level's IRM.  The intersection of the rights active in both of
  255.      these levels will be the user's new effective rights unless any new trustee rights have
  256.      been granted.  If new trustee rights have been granted, only those rights will be the
  257.      effective rights.
  258.  
  259.      An administrator must always take into account the effective rights for each user in
  260.      every directory.  
  261.  
  262. S - SECURITY
  263.  
  264.      The SECURITY utility reports on nine separate security issues.  Some are bona fide
  265.      security problems, i.e., Excessive rights in certain directories, while others, i.e.,
  266.      Workgroup Manager, are informational in nature.
  267.  
  268.      1)   Excessive rights in certain directories
  269.      2)   Insecure passwords
  270.      3)   No login scripts
  271.      4)   No password assigned
  272.      5)   Password too short
  273.      6)   Root directory privileges
  274.      7)   Supervisor equivalence
  275.      8)   User has not logged in for xxxx time
  276.      9)   Workgroup Manager
  277.  
  278.      Excessive rights in a directory - Comes up when a user has greater rights than those
  279.      normally assigned, i.e., if a user had the Erase right for SYS:SYSTEM.
  280.  
  281.      Insecure passwords - The password is the same as the user account name.  Although
  282.      current versions of SYSCON and SETPASS do not allow the user to set the password
  283.      to the account name, older versions did.
  284.  
  285.      No login script - When a user login script is not present, another user could create a
  286.      hostile login script for the user who does not have one.
  287.  
  288.      No password assigned - Obvious.  Assign one.
  289.  
  290.      Root directory privileges - Serious security flaw!  This means that the user has one or
  291.      more rights in the root of the volume indicated.  Because rights  flow to all
  292.      subdirectories of the root unless revoked this is extremely dangerous.
  293.  
  294.      Supervisor Equivalence - While not always a security flaw, it can be, if all users are
  295.      supervisor equivalent or users who do not need to be are.  If more than one or two of
  296.      these turn up on your sever re-examine your assignments.
  297.  
  298. While this paper is not meant to be an end all be all on Netware security issues (it focuses
  299. mostly on Netware 3.11) these guidelines can be applied to any Netware environment from
  300. Netware Lite to the new enterprise solution, Netware 4.0.  I hope that I have given anyone
  301. who reads this food for thought.
  302.  
  303. Unpublished work Copyright 1993 Paul Osterwald, President, Networks Unlimited.  All rights
  304. reserved.  The author can be reached at CServe 70642,317 or Internet address
  305. 70642.317.compuserve.com.  Any comments or criticisms will be welcome.
  306.  
  307.