home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / netware / security
Encoding:
Internet Message Format  |  1995-08-27  |  16.8 KB
  1. Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!panix!news.mathworks.com!tank.news.pipex.net!pipex!lyra.csx.cam.ac.uk!warwick!news.shef.ac.uk!not-for-mail
  2. From: seca40%teach@dcs.shef.ac.uk (Fauzan Mirza)
  3. Newsgroups: comp.os.netware.security,comp.answers,news.answers
  4. Subject: comp.os.netware.security FAQ
  5. Followup-To: poster
  6. Date: 27 Aug 1995 04:54:16 GMT
  7. Organization: Computer Science, Sheffield University
  8. Lines: 440
  9. Approved: news-answers-request@MIT.EDU
  10. Message-ID: <41otpo$lq9@hippo.shef.ac.uk>
  11. Reply-To: F.U.Mirza@sheffield.ac.uk (Fauzan Mirza)
  12. NNTP-Posting-Host: suna8.dcs.shef.ac.uk
  13. Summary: The FAQ list for comp.os.netware.security newsgroup
  14. Keywords: netware,security,faq
  15. X-Newsreader: TIN [version 1.2 PL2]
  16. Xref: senator-bedfellow.mit.edu comp.os.netware.security:1446 comp.answers:13903 news.answers:51524
  17.  
  18. Archive-name: netware/security
  19. Posting-Frequency: monthly
  20. Last-modified: Sat Jul 22 1995
  21. Version: 0.3 DRAFT
  22.  
  23. ------------------------------
  24.  
  25. Subject: Introduction
  26.  
  27.                 comp.os.netware.security
  28.                Frequently Asked Questions
  29.  
  30.                   Fauzan Mirza
  31.                F.U.Mirza@sheffield.ac.uk
  32.  
  33. This is a draft FAQ list for the comp.os.netware.security newsgroup.
  34. It's intent is to provide answers to questions asked by those who are
  35. merely interested in Novell NetWare, and also to provide help for
  36. those who are concerned about security of their network.
  37.  
  38. I am not affiliated with Novell in any way, and I have taken it upon
  39. myself to produce this FAQ. My experience with Novell NetWare is that
  40. of a programmer and administrator, with a keen interest in computer
  41. security. I don't hold any Novell qualifications.
  42.  
  43. At the moment, this FAQ is oriented towards Novell NetWare 2/3.
  44.  
  45. Please send any comments, contributions, or notification of errors to
  46. the author.
  47.  
  48. Thanks to the following people for improvements or additions:
  49.     Fons Botman <botman@rabo.nl>
  50.     Bob Janacek <safety@gti.net>
  51.     Brian Flynn <BFLYNN.UNCSON@mhs.unc.edu>
  52.  
  53. ------------------------------
  54.  
  55. Subject: TABLE OF CONTENTS
  56.  
  57. Section 1:  Basic Information
  58.     1.01 - Where are passwords stored?
  59.     1.02 - Is the execute-only flag secure?
  60.     1.03 - Can a packet-sniffer capture passwords?
  61.     1.04 - Can the server be infected with a computer virus?
  62.     1.05 - What auditing functions does Accounting provide?
  63.     1.06 - What are trustees and trustee rights?
  64.     1.07 - What are groups?
  65. Section 2:  Software
  66.     2.01 - What is HACK.EXE?
  67.     2.02 - What is NOVELBFH.EXE?
  68.     2.03 - How do I use SECURITY?
  69.     2.04 - Vendor security addons
  70. Section 3:  Help
  71.     3.01 - How do I secure the server?
  72.     3.02 - I've lost the Supervisor password.
  73.     3.03 - I've deleted the user Admin.
  74.     3.04 - I've revoked my own rights from this subdirectory.
  75.     3.05 - Supervisor has been locked out.
  76.  
  77. ------------------------------
  78.  
  79. Subject: Section 1:  Basic Information
  80.  
  81.     This section gives information on how Novell NetWare operates,
  82.     and explains some basic security concepts.
  83.  
  84. ------------------------------
  85.  
  86. Subject: 1.01 - Where are passwords stored?
  87. NetWare: 2,3
  88.  
  89.     Passwords are stored in encrypted form in the NET$VAL.SYS bindery
  90.     file. It is not possible to decrypt passwords although brute force
  91.     crackers have been written which operate on the bindery.
  92.  
  93.     The bindery files are stored in the SYS:SYSTEM directory, and
  94.     should not be accessible by any non-Supervisor user. The SECURITY
  95.     utility will detect excessive rights in SYS:SYSTEM.
  96.  
  97. ------------------------------
  98.  
  99. Subject: 1.02 - Is the execute-only flag secure?
  100. NetWare: 3
  101.  
  102.     No. It is sufficient to prevent casual copying of executables, but
  103.     software exists which will allow any user to copy X flagged files.
  104.  
  105.     The X flag cannot be removed from files, so it is is a good measure
  106.     against computer viruses. However, virus scanners cannot read X
  107.     flagged files, so infected X flagged files will be difficult to
  108.     detect.
  109.  
  110.     Wolfgang Schreiber wrote a utility called X-AWAY, available from
  111.     ftp.novell.de, which enables a Supervisor equivalent user to copy
  112.     X flagged files. X-AWAY is deliberately crippled to prevent
  113.     non-Supervisor users from copying programs.
  114.  
  115. ------------------------------
  116.  
  117. Subject: 1.03 - Can a packet-sniffer capture passwords?
  118. NetWare: 2,3
  119.  
  120.     Since Novell NetWare 3, passwords are sent to the server encrypted
  121.     using a hashing function. The three password functions (Login,
  122.     Change password, Verify password) have a pretty secure protocol,
  123.     such that the information gathered by packet sniffers cannot be
  124.     used to reconstruct the event or determine the password.
  125.  
  126.     Some very old software use the NetWare 2 unencrypted password calls.
  127.     These can be captured and used, since these passwords are sent in
  128.     plaintext.
  129.  
  130.     Packet sniffers can capture just about all other information that
  131.     is transmitted on the LAN. This includes telnet/ftp passwords, etc.
  132.  
  133. ------------------------------
  134.  
  135. Subject: 1.04 - Can the server be infected with a computer virus?
  136.  
  137.     Since the server does not run DOS, it is immune from file viruses.
  138.     They are vunerable to boot viruses, however, and these can be
  139.     avoided by not booting the server from floppy disks.
  140.     
  141.     The server can be used to spread viruses, since workstations may
  142.     execute infected software from the server and thus infect local
  143.     hard disks, floppy disks, and so on.
  144.  
  145.     If possible, do not allow users to have write access to the
  146.     executables on the server.
  147.     
  148.     A number of anti-virus utilities exist for Novell NetWare, including
  149.     Dr Solomon's Anti Virus Toolkit, McAfee Associates's NETSCAN, and
  150.     Data Fellows Ltd's F-PROT Professional.
  151.  
  152. ------------------------------
  153.  
  154. Subject: 1.05 - What auditing functions does Accounting provide?
  155. NetWare: 3
  156.  
  157.     Accounting is used to track logins and can be used to track (and
  158.     put limits on) use of server resources.
  159.  
  160.     By default, accounting is not active. The supervisor must switch
  161.     it on using the SYSCON utility.
  162.  
  163. ------------------------------
  164.  
  165. Subject: 1.06 - What are trustees and trustee rights?
  166. NetWare: 2,3
  167.  
  168.     A trustee is any user or group that has been granted access rights
  169.     in a directory.
  170.     
  171.     The access rights in Novell NetWare 2 are slightly different from
  172.     the ones in NetWare 3.
  173.  
  174.     The following is a summary of access rights for NetWare 3.
  175.  
  176.     S - Supervisory. Any user with supervisory rights in a directory
  177.     will automatically inherit all other rights, regardless of
  178.     whether they have been explicitly granted or not. Supervisor
  179.     equivalent accounts will hold this access right in every
  180.     directory.
  181.  
  182.     R - Read. Enables users to read files.
  183.     
  184.     C - Create. Enables users to create files and directories. Unless
  185.     they also have write access, they will not be able to edit
  186.     files which have been created.
  187.     
  188.     W - Write. Enables users to make changes to files. Unless they also
  189.     have create access, they may not be able to edit files, since
  190.     the write operation can only be used to extend files (not
  191.     truncate them, which file editors need to do).
  192.     
  193.     E - Erase. Enable users to erase files and remove directories.
  194.     
  195.     M - Modify. Enable users to modify file attributes.
  196.     
  197.     F - File scan. Enables users to see file and directory information.
  198.     If a user does not have file scan rights, they will not see any
  199.     evidence of such files existing.
  200.     
  201.     A - Access control. Enable user to change trustee rights. They
  202.     will be able to add other users as trustees, remove trustees,
  203.     and grant/revoke specific rights from users. The only caveat
  204.     of access control is that it is possible for users to remove
  205.     themselves (as trustees) from directories, thus losing all
  206.     access control.
  207.  
  208.     In addition to trustees and access rights, there is a concept of
  209.     inherited rights which means that users inherit rights from parent
  210.     directories. For example, if user ALICE has rights [CWEM] in a
  211.     directory, and she has [RF] rights in the parent directory then
  212.     she will have [RCWEMF] rights as a result of the inherited rights.
  213.     This will only work if one of the rights that ALICE has in the two
  214.     directories is granted to a group; if both are granted to her, she
  215.     will lose the rights of the parent.
  216.  
  217. ------------------------------
  218.  
  219. Subject: 1.07 - What are groups?
  220. NetWare: 2,3
  221.  
  222.     Groups are a object type which allows users to be grouped together
  223.     for various purposes. The main interest in this is to maintain
  224.     security, by granting access rights to groups instead of individual
  225.     users.
  226.  
  227.     By default, all users are in a group called EVERYONE. If you grant
  228.     [RF] to group EVERYONE in a directory, then every user in that group
  229.     will hold those rights in that directory.
  230.  
  231.     Some software also makes use of groups (for example, Pegasus Mail
  232.     does not run if the user is in group NOMAIL).
  233.  
  234. ------------------------------
  235.  
  236. Subject: Section 2:  Software
  237.  
  238.     This section describes the purpose and use of some software.
  239.  
  240. ------------------------------
  241.  
  242. Subject: 2.01 - What is HACK.EXE?
  243. NetWare: 3
  244.  
  245.     HACK is a program, written at Leiden University in the Netherlands,
  246.     which exploits the lack of packet authentication in early versions
  247.     of NetWare 3. It enabled a user to pose as a more privileged client
  248.     by sending requests to the server with fake source addresses.
  249.     
  250.     If SUPERVISOR is logged on, it attempts to send a single packet to
  251.     the server requesting it to add Supervisor-equivalency to the
  252.     account it is being run from.
  253.  
  254.     Novell released updated versions of the server and client software
  255.     which would add packet authentication (using a feature called NCP
  256.     packet signatures). The software is available from ftp.novell.com.
  257.  
  258.     NetWare 3.12 includes the updated software, but the administrator
  259.     still has to set the correct packet signature level on both server
  260.     and workstations.
  261.  
  262.     With NCP packet signatures active, any attempt to forge packets
  263.     to the server will result in a message on the server console, in
  264.     the error log, and sent to the affected client.
  265.  
  266. ------------------------------
  267.  
  268. Subject: 2.02 - What is NOVELBFH.EXE?
  269. NetWare: 2,3
  270.  
  271.     NOVELBFH, Novell Brute Force Hacker, is a program written by
  272.     DGE Alofs in Holland. It is a menu driven program that attempts
  273.     to crack accounts by using the verify password function and
  274.     trying various guesses for password.
  275.  
  276.     The password checking is done using the unencrypted password call,
  277.     so this program can be rendered useless on NetWare 3 by disabling
  278.     the unencrypted password call at the server (this is the default).
  279.     
  280. ------------------------------
  281.  
  282. Subject: 2.03 - How do I use SECURITY?
  283. NetWare: 3
  284.  
  285.     SECURITY is the standard security auditing utility, supplied with
  286.     NetWare. It is found in the SYS:SYSTEM directory, and needs to be
  287.     run by a Supervisor-equivalent user.
  288.  
  289. ------------------------------
  290.  
  291. Subject: 2.04 - Vendor security addons
  292.  
  293.     Administrators may be interested in products which are available
  294.     to improve network security. This section will eventually be a
  295.     list of such products. Please submit your product descriptions to
  296.     the FAQ maintainer.
  297.  
  298.     STOPLIGHT LAN - StopLight LAN integrates with Netware to provide
  299.     network and workstation security enhancements. It provides
  300.     workstation access control, keyboard lock, trustee assignments
  301.     for local and network drives, file encryption, local drive
  302.     disable during network use, floppy drive disable, software
  303.     piracy prevention, central installation and management from
  304.     the network, Windows administration. 13K memory overhead
  305.     required.  Download from http://www.safe.net/safety or
  306.     ftp://ftp.safe.net/pub/safetynet/sllan.exe
  307.  
  308. ------------------------------
  309.  
  310. Subject: Section 3:  Help
  311.  
  312.     This section gives solutions to common problems.
  313.  
  314. ------------------------------
  315.  
  316. Subject: 3.01 - How do I secure the server?
  317. NetWare: 3
  318.  
  319.     The most important rule is to lock the server console.
  320.     At least one method has been posted a couple of times which
  321.     explains how to switch off password verification using the
  322.     server internal debugger.
  323.  
  324.     Anyone with console access can obtain supervisor access.
  325.  
  326.     Place any useful NLMs in SYS:SYSTEM and then add the following
  327.     line to AUTOEXEC.NCF:
  328.     SECURE CONSOLE
  329.  
  330.     Disable use of unencrypted passwords. Either type the following,
  331.     or add it to the AUTOEXEC.NCF:
  332.     SET ALLOW UNENCRYPTED PASSWORDS OFF
  333.  
  334.     If you have NCP packet signatures installed, add the following
  335.     line to AUTOEXEC.NCF:
  336.     SET NCP PACKET SIGNATURE OPTION = 3
  337.  
  338.     Use a password different from the Supervisor password for RCONSOLE.
  339.  
  340.     Load the MONITOR NLM and lock the console.
  341.  
  342.     Remember that access to the backups is just as bad as access
  343.     to the server. Keep the backups secure too.
  344.  
  345.     Some other suggestions:
  346.     Limit number of Supervisor accounts (not too many, but keep at
  347.     least one, unless using the SUPER utility described below).
  348.     Enable intruder detection and lockout.
  349.     Require unique passwords on all accounts.
  350.     Login as Supervisor as little as possible.
  351.  
  352.     Use the SUPER.EXE program, written by Wolfgang Schreiber, which
  353.     will toggle instant supervisor-equivalency to a user. This isn't
  354.     a loophole, since some preparation has to be done on the accounts
  355.     which should be able to gain supervisor-equivalency, and those
  356.     accounts will be reported by the SECURITY utility.
  357.     SUPER is available from netwire (Look on ftp.novell.de or
  358.     ftp.novell.com).
  359.  
  360. ------------------------------
  361.  
  362. Subject: 3.02 - I've lost the supervisor password.
  363. NetWare: 2,3
  364.  
  365.     The following method is used to obtain the supervisor account on
  366.     NetWare 2. It will work on NetWare 3, but there is an easier way
  367.     which follows.
  368.     
  369.     The following is fairly complicated, and is not recommended for
  370.     beginners.
  371.  
  372.     1. Reboot the server and load DOS.
  373.     2. Use a disk editor to examine the Novell partition and locate
  374.        the directory entries for the bindery files (NET$BIND.SYS and
  375.        NET$BVAL.SYS).
  376.     3. Check for backup copies of the bindery with extension OLD (ie,
  377.        NET$BIND.OLD and NET$BVAL.OLD). If you find them, change their
  378.        extension to XXZ.
  379.     4. Change the SYS extension to OLD.
  380.     5. Restart the server. It will create a new bindery with SUPERVISOR
  381.        and GUEST accounts; both without passwords.
  382.     6. Login as SUPERVISOR and run BINDREST to restore the old bindery.
  383.     7. Change the SUPERVISOR password.
  384.  
  385.     On NetWare 3, there are a number of NLMs which will reset the
  386.     supervisor password (SETPWD and SETSPASS) or create supervisor
  387.     equivalent accounts (BURGLAR). SETPWD is available by anonymous
  388.     ftp from netlab2.usu.edu.
  389.  
  390.     In general, you should have at least one supervisor equivalent
  391.     account (see section 3.01).
  392.  
  393. ------------------------------
  394.  
  395. Subject: 3.03 - I've deleted the user Admin.
  396. NetWare: 4
  397.  
  398.     This answer was provided by Mattman (mdrobel@novell.com) in an
  399.     article posted on comp.os.netware.security.
  400.  
  401.     If you don't have a backup, you can do two things:
  402.     
  403.     1. Reinstall Directory Services. I would recommend this option only
  404.        if you don't have a lot of NDS objects and rights set up.
  405.  
  406.     2. If you have another user with Admin or equivalent rights, it's
  407.        easy to recreate the Admin user object and give him the rights
  408.        he had before. Those rights would be:
  409.        Make him a trustee of [Root] and give him supervisory object and
  410.        property rights.
  411.  
  412. ------------------------------
  413.  
  414. Subject: 3.04 - I've revoked my own rights from this subdirectory.
  415. NetWare: 3
  416.  
  417.     A common mistake is to revoke your own access control rights in a
  418.     directory. If you have access control rights in a parent directory,
  419.     you can regain the access rights that you lost.
  420.     
  421.     Example: If user ALICE has [RCWEMFA] in USR:ALICE/ but accidentally
  422.     revoked access control in the subdirectory PROJECTS (let's just
  423.     say she now has [RF] in USR:ALICE/PROJECTS/), she would not be
  424.     able to simply use grant to get the rights back because she has
  425.     insufficient rights.
  426.  
  427.     To recover access control:
  428.  
  429.     1. Check which groups you are in (or equivalent to).
  430.     WHOAMI /S
  431.     2. Pick a group and grant access rights to that group in the parent.
  432.     GRANT A TO EVERYONE FOR USR:ALICE
  433.     3. You should now have access control in the subdirectory.
  434.     CD PROJECTS
  435.     4. Remove the trustee which caused the problem.
  436.     TLIST
  437.     REMOVE ALICE FROM USR:ALICE/PROJECTS
  438.     5. Remove the rights of the group from the parent directory.
  439.     REMOVE EVERYONE FROM USR:ALICE
  440.  
  441. ------------------------------
  442.  
  443. Subject: 3.05 - Supervisor has been locked out.
  444. NetWare: 3
  445.  
  446.     If the Supervisor account cannot login due to intruder detection,
  447.     you can restore login status by entering ENABLE LOGIN at the server
  448.     console. This will only work for the SUPERVISOR account.
  449.  
  450. ------------------------------
  451.  
  452. (end of FAQ)
  453.  
  454. ========================================================================
  455.  Fauzan Mirza           Dept of Computer Science   DOS/NetWare/Linux
  456.  F.U.Mirza@shef.ac.uk   University of Sheffield    Programming/Security
  457. ========================================================================
  458.