home *** CD-ROM | disk | FTP | other *** search

---

/ Network Support Encyclopedia 96-1 / novell-nsepro-1996-1-cd2.iso / download / netware / secdoc.exe / SECDOC.DOC

next >

Wrap

Text File  |  1993-05-21  |  36KB  |  970 lines

---

1.                     NOVELL TECHNICAL INFORMATION DOCUMENT
2.  
3. DISCLAIMER
4. The origin of this information may be internal or external to Novell.  Novell
5. makes every effort within its means to verify this information.  However, the
6. information provided in this document is FOR YOUR INFORMATION only.  Novell
7. makes no explicit or implied claims to the validity of this information.
8.  
9. TITLE:                       SECDOC.ZIP Documentation for 3.11 Security Enhancement
10. DOCUMENT ID:                 TID002536
11. DOCUMENT REVISION:           A
12. REVISION DATE:               4-29-93
13. ALERT STATUS:                Yellow
14. NOVELL PRODUCT CATEGORY:     NetWare OS
15. NOVELL PRODUCT and VERSION:  NetWare v3.11 NetWare v2.2
16. CLASSIFICATION:              Security
17. README FOR:                  SECDOC.EXE
18. ABSTRACT:
19.  
20. This file contains SECDOC.TXT which explains the seven security files:
21. SECUT1.EXE, SECUT2.EXE, SECPRN.EXE, SECDOS.EXE, SECUT3.EXE, SECSYS.EXE, &
22. SECOS2.EXE
23. _______________________________________________________________________________
24.  
25.  
26. NCP Packet Signature for NetWare  PATENT PENDING - Novell, Inc.
27. ---------------------------------------------------------------------
28.  
29. The software files enclosed in these "zip" files are fixes or patches
30. to legally licensed Novell software and are protected by the
31. copyright laws of the United States and international copyright
32. treaties. This zip file contains software which is designed to
33. replace Novell client software and software which run as NetWare 
34. Loadable Modules under the NetWare operating system. You may
35. without charge, reproduce, distribute and use copies of the
36. software for its intended purposes to replace legally obtained
37. Novell software, provided you do not receive any direct payment,
38. commercial benefit, or other consideration for the reproduction,
39. distribution or use, or change or omit any proprietary rights
40. notice appearing on or in the software. This is a personal right.
41. You may not duplicate, distribute or authorize use outside of the
42. legal entity you represent.
43.  
44. THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND,
45. EITHER EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO, THE
46. IMPLIED WARRANTIES OF MERCHANTABILITY, TITLE AND FITNESS FOR A
47. PARTICULAR PURPOSE. TO THE EXTENT YOU USE SOFTWARE, YOU DO SO AT
48. YOUR OWN RISK. IN NO EVENT WILL NOVELL BE LIABLE TO YOU FOR ANY
49. DAMAGES ARISING OUT OF YOUR USE OF OR INABILITY TO USE THE
50. SOFTWARE.
51.  
52. Security Enhancement
53. --------------------
54. Novell has verified the existence of a threat to NetWare security.
55. The mechanism for intrusion was discovered and documented by 
56. students and professors of Lieden University in the Netherlands.
57.  
58. After responding to the initial threat with a NetWire release, Novell 
59. established an aggressive two-phase strategy to analyze, develop and verify
60. solutions to the broader issues surrounding this threat.  The following
61. security enhancement for NetWare represents the first phase of Novell's
62. aggressive strategy to analyze and develop solutions that enhance network 
63. security.
64.  
65. This enhancement consists of NetWare loadable module's, new shell's and 
66. various utilities.  This SECURITY.DOC file defines the capabilities of the 
67. enhancement, the configuration options, the installation of the server and
68. client portions and provides other useful guidelines and tips.  This 
69. enhancement contains seven self-extracting ZIP files:
70.  
71.         SECSYS.EXE      On diskette SIGNATURE_1
72.         SECDOS.EXE
73.         SECOS2.EXE
74.  
75.         SECUT1.EXE      On diskette SIGNATURE_2
76.         SECUT2.EXE
77.  
78.         SECUT3.EXE      On diskette SIGNATURE_3  (Optional: *)
79.         SECPRN.EXE
80.  
81. * The set of utilities found in SECUT3.EXE are not specifically required
82.   for the security enhancement, but contain various fixes and updates.
83.  
84. Before installing this enhancement, customers should read through the 
85. SECURITY.DOC file to determine if installation of the security enhancement is
86. needed.  Particular attention should be given to the section on when to use
87. NCP packet signature.  Customers in need of additional support and service 
88. should contact their local reseller.
89.  
90. The enhancement is being made available free of charge on NetWire and
91. NetWare Express (minimal connection charges apply on NetWire 
92. and NetWare Express) or by calling 1 (800) NetWare.  
93.  
94. How NCP Packet Signature Works
95. ------------------------------
96. NCP packet signature is an enhanced security feature that protects 
97. servers and clients using the NetWare Core Protocol by preventing 
98. packet forgery.
99.  
100. Without the NCP packet signature installed, it is possible for a 
101. network client posing as a more privileged client to send a forged 
102. NCP request to a NetWare server. By forging the proper NCP request 
103. packet, an intruder could gain SUPERVISOR rights and access to all 
104. network resources.
105.  
106. NCP packet signature prevents packet forgery by requiring the 
107. server and the client to "sign" each NCP packet. The packet 
108. signature changes with every packet.
109.  
110. NCP packets with incorrect signatures are discarded without 
111. breaking the client's connection with the server. However, an alert
112. message about the invalid packet is sent to the error log, the 
113. affected client, and the server console. The alert message contains
114. the LOGIN name and the station address of the affected client.
115.  
116. A two-part process between the client and the NetWare server 
117. determines the NCP packet signature:
118.  
119. *    At LOGIN, the server and the client determine a shared, secret
120.      key known as the session key.
121.  
122. *    For each request or response packet, the server and the client
123.      calculate a signature based on the session key, a
124.      "fingerprint" algorithm, and the previous packet's signature.
125.      The unique signature is appended to the NCP packet.
126.  
127. If NCP packet signature is installed correctly on the server and
128. all of its clients, it is virtually impossible to forge a valid NCP
129. packet.
130.  
131.  
132.  
133.  
134.  
135. Packet Signature Options
136. ------------------------
137. Because the packet signature process consumes CPU resources and 
138. slows performance, both for the client and the NetWare server, NCP 
139. packet signature is optional.
140.  
141. Several signature options are available, ranging from never signing
142. NCP packets to always signing NCP packets. NetWare servers have 
143. four settable signature levels, and network clients also have four 
144. signature levels.
145.  
146. The signature options for servers and clients combine to determine 
147. the level of NCP packet signature on the network.
148.  
149. NOTE:     Some combinations of server and client packet signature
150.           levels may slow performance. However, low CPU-demand
151.           systems may not show any performance degradation. Network
152.           supervisors can choose the packet signature level that
153.           meets both their performance needs and their security
154.           requirements.
155.  
156.  
157. Server Levels
158. -------------
159. Server packet signature levels are assigned by a new SET parameter:
160.  
161.      SET NCP Packet Signature Option = [number]
162.  
163. Replace [number] with 0, 1, 2, or 3. The default is 2.
164.  
165.  
166. Number    Explanation
167. ---------------------
168. 0         Server does not sign packets (regardless of the client 
169.           level)
170.  
171. 1         Server signs packets only if the client requests it
172.           (client level is 2 or higher)
173.  
174. 2         Server signs packets if the client is capable of signing 
175.           (client level is 1 or higher)
176.  
177. 3         Server signs packets and requires all clients to sign 
178.           packets (or logging in will fail)
179.  
180.  
181. Client Levels
182. -------------
183. Client signature levels are assigned by a new NET.CFG parameter:
184.  
185.      signature level = [number]
186.  
187. Replace [number] with 0, 1, 2, or 3. The default is 1.
188.  
189.  
190. Number    Explanation
191. ---------------------
192. 0         Client does not sign packets
193.  
194. 1         Client signs packets only if the server requests it
195.           (server option is 2 or higher)
196.  
197. 2         Client signs packets if the server is capable of signing 
198.           (server option is 1 or higher)
199.  
200. 3         Client signs packets and requires the server to sign 
201.           packets (or logging in will fail)
202.  
203.  
204. Effective Packet Signature
205. --------------------------
206. The packet signature levels for the server and the client interact
207. to create the "effective" packet signature. Some combinations of
208. server and client levels do not allow logging in.
209.  
210. The table below shows the interactive relationship between the 
211. server packet signature levels and the client signature levels.
212.  
213.  
214.         Effective Packet Signature of Server and Client
215.         -----------------------------------------------
216.         IF        Server=0  Server=1  Server=2  Server=3
217.         
218.         Client=0  No sign   No sign   No sign   No login
219.         
220.         Client=1  No sign   No sign   Sign      Sign
221.         
222.         Client=2  No sign   Sign      Sign      Sign
223.         
224.         Client=3  No login  Sign      Sign      Sign
225.  
226.  
227. When to Use NCP Packet Signature
228. --------------------------------
229. NCP packet signature is not required for every installation. Some 
230. network supervisors may choose not to use NCP packet signature 
231. because they can tolerate certain security risks.
232.  
233.  
234. Security Risks
235. --------------
236. The following situations are examples of tolerable risks that may 
237. not need NCP packet signature:
238.         
239.         *    Only executable programs reside on the server.
240.         
241.         *    All workstation users on the network are known and trusted by 
242.              the supervisor.
243.         
244.         *    Data on the NetWare server is not sensitive; loss or
245.              corruption of this data will not impact operations.
246.         
247.         NCP packet signature is recommended for security risks such as:
248.         
249.         *    An untrustworthy user at a workstation on the network.
250.         
251.         *    Easy physical access to the network cabling system.
252.         
253.         *    An unattended, publicly accessible workstation.
254.  
255. Signature Level Examples
256. ------------------------
257.         The default NCP packet signature level is 1 for clients and 2 for
258.         servers. In most installations, this setting provides the most 
259.         flexibility while still offering protection from forged packets.
260.         Below are some examples of using different signature levels.
261.         
262.         All Information on the Server Is Sensitive
263.         ------------------------------------------
264.         If an intruder gained access to any information on the NetWare 
265.         server, it could damage the company.
266.         
267.         The network supervisor sets the server to level 3 and all clients
268.         to level 3 for maximum protection.
269.         
270.         Sensitive and Non-sensitive Information Reside on the Same Server
271.         -----------------------------------------------------------------
272.         The NetWare server has a directory for executable programs and a 
273.         separate directory for corporate finances (such as accounts 
274.         receivable).
275.         
276.         The network supervisor sets the server to level 2, and the clients 
277.         that need access to accounts receivable to level 3. All other
278.         clients remain at the default, level 1.
279.         
280.         Users Often Change Locations and Workstations
281.         ---------------------------------------------
282.         The network supervisor is uncertain which employees will be using 
283.         which workstations, and the NetWare server contains some 
284.         sensitive data.
285.         
286.         The network supervisor sets the server to level 3. Clients remain
287.         at the default, level 1.
288.         
289.         Workstation is Publicly Accessible
290.         ----------------------------------
291.         An unattended workstation is set up for public access to non-
292.         sensitive information, but another server on the network contains 
293.         sensitive information.
294.         
295.         The network supervisor sets the sensitive server to level 3 and the
296.         unattended client to level 0.
297.         
298.         
299. Installing NCP Packet Signature on the v3.11 Server
300. ----------------------------------------------------
301. NCP packet signature is installed at the server and at each 
302. workstation.  This section describes the procedures for the server.
303.  
304. To ensure secure connections, NCP packet signature should be
305. installed on all servers on the network.
306.  
307. Before installing any new software, make sure you have a complete 
308. backup of current SYS:SYSTEM, SYS:PUBLIC and SYS:LOGIN files.
309.  
310. Perform these steps to all servers on your network.
311.  
312.      1a.  Flag *.NLM files in the SYS:SYSTEM directory
313.           Shareable, Read Write.
314.  
315.      1b.  Flag ?CONSOLE.* files in the SYS:SYSTEM directory
316.           Shareable, Read Write.
317.  
318.      1c.  Flag *.* files in the SYS:PUBLIC directory
319.           Shareable, Read Write.
320.  
321.      1d.  Flag LOGIN.EXE file in the SYS:LOGIN directory
322.           Shareable, Read Write.
323.  
324.  
325.      2.   Copy the self-extracting ZIP files to the appropriate
326.           directory.
327.  
328.           File           Copy to this directory
329.           -------------------------------------
330.           SECSYS.EXE     SYS:SYSTEM
331.           SECUT1.EXE     SYS:PUBLIC
332.           SECUT2.EXE     SYS:PUBLIC
333.           SECUT3.EXE     SYS:PUBLIC
334.           SECPRN.EXE     SYS:PUBLIC
335.  
336.         Note: SECUT3.EXE is optional, but recommended.
337.  
338.      3.   For each file listed above, change to the appropriate directory
339.           and execute the new files.  For example, change to the SYSTEM 
340.           directory and type SECSYS.
341.  
342.           This unZIPs the files into the current directory.
343.  
344.  
345.      4.   Copy LOGIN.EXE file from the SYS:PUBLIC directory to the 
346.           SYS:LOGIN directory.
347.  
348.  
349.      5a.  Flag *.NLM files in the SYS:SYSTEM directory
350.           Shareable, Read Only.
351.  
352.      5b.  Flag ?CONSOLE.* files in the SYS:SYSTEM directory
353.           Shareable, Read Only.
354.  
355.      5c.  Flag *.* files in the SYS:PUBLIC directory
356.           Shareable, Read Only.
357.  
358.      5d.  Flag LOGIN.EXE file in the SYS:LOGIN directory
359.           Shareable, Read Only.
360.  
361.  
362.      6.   You may want to delete the self-extracting ZIP files from 
363.           SYS:SYSTEM and SYS:PUBLIC at this time.
364.  
365.  
366.         Load PBURST.NLM
367.         ---------------
368.         Use this procedure to load the PBURST NLM and add the new SET 
369.         parameters to the NetWare v3.11 server.
370.  
371.              1.   At the server console, type
372.  
373.                   LOAD PBURST <Enter>
374.  
375.              2.   To automatically load PBURST.NLM the next time the server
376.                   boots, insert the "LOAD PBURST" command at the beginning
377.                   of the AUTOEXEC.NCF file.
378.  
379.  
380.         Assign the Server Packet Signature Option
381.         -----------------------------------------
382.         Insert the following SET command in the AUTOEXEC.NCF file       
383.         immediately below the "LOAD PBURST" command:
384.  
385.              SET NCP Packet Signature Option = [number]
386.  
387.         Replace [number] with 0, 1, 2, or 3. The default is 2.
388.  
389.  
390.  
391. Installing NCP Packet Signature on a NetWare v2.2 or v2.15c Server
392. --------------------------------------------------------
393. NCP packet signature is installed at the server and at each workstation.
394. This section describes the procedure for installing NCP packet signature on a
395. NetWare v2.2 or v2.15c server.  Workstation installation procedures described
396. later are identical for NetWare v3.11, v2.2 and v2.15c environments.
397.  
398.      1.  Flag *.* files in the SYS:PUBLIC directory
399.           Shareable, Read Write.
400.  
401.      2.  Flag LOGIN.EXE file in the SYS:LOGIN directory
402.          Shareable, Read Write.
403.  
404.  
405.      3.   Copy the self-extracting ZIP files to the appropriate
406.           directory.
407.  
408.           File           Copy to this directory
409.           -------------------------------------
410.           SECSYS.EXE     SYS:SYSTEM
411.           SECUT1.EXE     SYS:PUBLIC
412.           SECUT2.EXE     SYS:PUBLIC
413.           SECUT3.EXE     SYS:PUBLIC
414.           SECPRN.EXE     SYS:PUBLIC
415.  
416.         Note: SECUT3.EXE is optional, but recommended.
417.  
418.      3.   For each file listed above, change to the appropriate directory
419.           and execute the new files.  For example, change to the SYSTEM 
420.           directory and type SECSYS.
421.  
422.           This unZIPs the files into the current directory.
423.  
424.  
425.      4.   Copy LOGIN.EXE file from the SYS:PUBLIC directory to the 
426.           SYS:LOGIN directory.
427.  
428.  
429.      5.   Delete the *.NLM files, RCONSOLE.*, and ACONSOLE.* files in the
430.           SYS:SYSTEM directory. (These files are not needed for NetWare v2.2
431.           or v2.15c.)
432.  
433.      6.   Flag the SECUREFX.VAP file as Shareable, Read Only by typing
434.           FLAG SECUREFX.VAP SRO <Enter>
435.  
436.      7.   Flag *.* files in the SYS:PUBLIC directory
437.           Shareable, Read Only.
438.  
439.      8.   Flag LOGIN.EXE file in the SYS:LOGIN directory
440.           Shareable, Read Only.
441.  
442.  
443.      9.   You may want to delete the self-extracting ZIP files from 
444.           SYS:SYSTEM and SYS:PUBLIC at this time.
445.  
446.  
447.  
448.      10.  Before completing step 11, you should make sure that you have loaded
449.           NCP packet signature on the workstations by following the 
450.           installation procedures described later.  Note:  Workstation
451.           installation procedures described later are identical for NetWare
452.           v3.11, v2.2 and v2.15c environments.
453.  
454.      11.  Reboot the server.
455.           
456.           The following prompt appears:
457.           "Value added processes have been defined. Do you wish to load them?"
458.      
459.      12.  Type  Y <Enter>
460.  
461.  
462.         Assigning the Server Signature Level
463.         ------------------------------------
464.         The default signature level for the server is 2. To change the level, use the following
465.         console command:
466.  
467.              SIGNATURE LEVEL = number <Enter>
468.  
469.         Replace "number" with 1, 2, or 3. The default is 2.
470.  
471.         For signature level 0, either do not put the SECUREFX VAP in SYS:SYSTEM,
472.         or reboot the server and answer "no" to the value added processes prompt.
473.         NOTE: This last option will not load ANY VAPS.
474.         
475.  
476.  
477.         Utilizing SECUREFX VAP with other VAPs
478.         __________________________________________________
479.  
480.         In NetWare v2.2 and v2.15c environments, all VAPs must be loaded on
481.         another server for NCP packet signature to work.  
482.  
483.  
484. Installing NCP Packet Signature on a Server running NNS
485. ----------------------------------------------------
486. NCP packet signature is installed at the server and at each 
487. workstation.  This section describes the procedures for the server.
488.  
489. To ensure secure connections, NCP packet signature should be
490. installed on all servers on the network.
491.  
492. Before installing any new software, make sure you have a complete 
493. backup of current SYS:SYSTEM, SYS:PUBLIC and SYS:LOGIN files.
494.  
495. Perform these steps to all servers on your network.
496.  
497.      1a.  Flag NSINSTALL.EXE file in the SYS:SYSTEM directory
498.           Shareable, Read Write.
499.  
500.      1b.  Flag *.* files in the SYS:PUBLIC directory
501.           Shareable, Read Write.
502.  
503.      1c.  Flag LOGIN.EXE file in the SYS:LOGIN directory
504.           Shareable, Read Write.
505.  
506.  
507.      2.   Copy the self-extracting ZIP file SECNNS.EXE to
508.           the PUBLIC directory.
509.  
510.      3.   Change to the PUBLIC directory and execute the SECNNS.  
511.  
512.           This unZIPs the files into the current directory.
513.  
514.  
515.      4.   Copy LOGIN.EXE file from the SYS:PUBLIC directory to the 
516.           SYS:LOGIN directory.
517.  
518.  
519.      5.   Move NSINSTALL.EXE file from the SYS:PUBLIC directory to
520.           the SYS:SYSTEM directory.
521.      
522.      6a.  Flag NSINSTALL.EXE file in the SYS:SYSTEM directory
523.           Shareable, Read Only.
524.  
525.      6b.  Flag *.* files in the SYS:PUBLIC directory
526.           Shareable, Read Only.
527.  
528.      5c.  Flag LOGIN.EXE file in the SYS:LOGIN directory
529.           Shareable, Read Only.
530.  
531.  
532.      6.   You may want to delete the self-extracting ZIP file
533.           SECNNS.EXE from SYS:PUBLIC directory at this time.
534.  
535. 
536.  
537. Installing NCP Packet Signature on the DOS and WINDOWS workstations.
538. --------------------------------------------------------------
539. The following procedures for DOS and Windows workstations can be used for NetWare
540. v3.11, v2.2 and v2.15c environments.
541.  
542. Copy the SECDOS.EXE self-extracting ZIP file to a work directory on the
543. network or your hardrive. Go to the work directory and type 
544.  
545.                 SECDOS [<drive letter>:]
546.  
547. This unZIPs the files.
548.  
549.     New drivers included:
550.     ---------------------
551.     Some updated ODI drivers have been included.  They use Ethernet 
552.     frame type 802.2 by default.These are:
553.  
554.         NE1000.COM
555.         NE2000.COM
556.         NE2.COM
557.         NE2_32.COM  (NOTE: This driver name replaces the old NE2-32.COM ).
558.  
559.     To configure these drivers to run Ethernet frame type 802.3 , make the 
560.     following changes to the NET.CFG file:
561.  
562.         Add the line
563.  
564.                 FRAME ETHERNET_802.3
565.  
566.         into the LINK DRIVER section.
567.  
568.     DOS Workstations
569.     ----------------
570.     Copy the appropriate file to each workstation's boot disk from the 
571.     work diskette.
572.  
573.                 If the workstation uses       Copy this file
574.                 --------------------------------------------
575.                 Conventional memory           NETX.EXE
576.                 Expanded memory               EMSNETX.EXE 
577.                 Extended memory               XMSNETX.EXE 
578.                 Packet burst                  BNETX.EXE 
579.         
580.         NOTE:   If *NETX.COM files reside in the same directory as
581.                 *NETX.EXE files, rename or remove the *.COM files to make
582.                 the *.EXE files effective.
583.         
584.         Add the following parameter to the NET.CFG file of each 
585.         workstation:
586.         
587.                 signature level = [number]
588.         
589.                 Replace [number] with 0, 1, 2, or 3. The default is 1.
590.         
591.         
592.         To automatically update the NETX.EXE file for all workstations, 
593.         copy the NETX.EXE file to SYS:PUBLIC and add the following line 
594.         to the system login script:
595.         
596.                 #WSUPDATE SYS:PUBLIC\NETX.EXE ALL_LOCAL:NETX.EXE
597.         
598.         For more information on using WSUPDATE, see pages 515-519 in 
599.         "NetWare Version 3.11 Utilities Reference."
600.         
601.         
602.     Windows Workstations
603.     --------------------
604.     Copy the files listed below to the WINDOWS/SYSTEM directory of each 
605.     workstation's boot disk:
606.  
607.         NETWARE.DRV
608.         VNETWARE.386
609.         NWPOPUP.EXE
610.         VIPX.386
611.         
612.         You can use WSUPDATE to automatically copy the new files to several 
613.         workstations. For more information on using WSUPDATE, see 
614.         pages 515-519 in "NetWare Version 3.11 Utilities Reference."
615.         
616.         Add the following parameter to the NET.CFG file of each 
617.         workstation:
618.         
619.              signature level = [number]
620.         
621.         Replace [number] with 0, 1, 2, or 3. The default is 1.
622.         
623.         
624.         New Parameter for Windows on the Network
625.         ----------------------------------------
626.         A new NET.CFG parameter for packet signing is available for 
627.         workstations that load Windows from the network and run in 
628.         enhanced (386) mode:
629.         
630.              sign 386 mode = [number]
631.         
632.         Replace [number] with 0, 1, or 2. The default is 1, which disables 
633.         interrupts and preserves the 386 32-bit registers. Choose 0 to
634.         enable interrupts at this workstation. Choose 2 to force 16-bit
635.         signing at this workstation.
636.         
637.         NOTE:     The new NETX shell can detect workstation type (16- or
638.                   32-bit) and automatically adjust to 16- or 32-bit code.
639.         
640.         
641. Installing NCP Packet Signature on the OS/2 Workstations.
642. --------------------------------------------------------------
643. The following procedures for OS/2 workstations can be used for NetWare
644. v3.11, v2.2 and v2.15c environments.
645.  
646. NCP packet signature requires OS/2 version 2.0.
647.  
648. Copy the file SECOS2.EXE (self-extracting ZIP file) to a directory on the
649. network or your local hard drive.  Change to that drive and make the direct-
650. ory containing SECOS2.EXE your current directory.  Format a high-density 
651. 5-1/4" or 3-1/2" diskette and give it a volume name of REQUESTER by using
652. LABEL (provided with the client operating system). 
653.  
654. Run SECOS2.EXE as follows (where X: is the drive letter of the formatted 
655. REQUESTER diskette).
656.  
657.         "SECOS2 -D X:"
658.  
659.  
660. This procedure unZIPs the update files onto the floppy diskette in the 
661. correct directory structure.
662.  
663. Run the INSTALL program from the REQUESTER diskette and follow the 
664. instructions.
665.  
666. Add the following parameter to the NetWare Requester area of the 
667. NET.CFG file for each workstation:
668.  
669.         signature level [number]
670.  
671.         Replace [number] with 0, 1, 2, or 3. The default is 1.
672.  
673.  
674. Enabling Packet Burst (optional)
675. --------------------------------
676. The packet burst loadable module, PBURST.NLM, must be loaded 
677. on NetWare v3.11 servers in order for NCP packet signature to 
678. work. However, using the packet burst protocol to transfer data 
679. between servers and clients is optional.
680.  
681. Packet burst is a protocol built on top of IPX that speeds the
682. transfer of multiple-packet NCP reads and writes. The packet burst
683. protocol eliminates the need to sequence and acknowledge each
684. packet. With packet burst, the server or client sends a whole set
685. (or burst) of packets before it requires an acknowledgment.
686.  
687. By allowing multiple packets to be acknowledged, the packet burst 
688. protocol reduces network traffic. The packet burst protocol also 
689. monitors dropped packets and retransmits only the missing 
690. packets.
691.  
692. The NetWare server requires the PBURST.NLM to be loaded in order 
693. to transfer data in packet bursts. For a workstation to send and 
694. receive packet burst data, it requires the BNETX.EXE file and a new
695. parameter in its NET.CFG file.
696.  
697. NOTE:     The packet burst protocol is not supported by expanded
698.           memory or extended memory workstation shells, or by OS/2
699.           workstations.
700.  
701. Use this procedure to enable DOS workstations to send and receive 
702. packet burst data.
703.  
704.      1.   Replace the existing workstation shell with the BNETX.EXE
705.           file.
706.  
707.      2.   Edit the NET.CFG file to include the following parameter:
708.  
709.           PB BUFFERS=x
710.  
711.           Replace x with the number of packet burst buffers. The
712.           faster the CPU, the higher the number should be. The
713.           limits are 0 to 10. Novell recommends a setting of 2. The
714.           packet burst protocol adjusts the buffers automatically
715.           for optimum performance.
716.  
717. To disable packet burst on a workstation, omit the PB Buffers 
718. parameter from its NET.CFG file, or set the PB Buffers to 0.
719.  
720.  
721. Changing the Signature Level for CLIB NLMs
722. ------------------------------------------
723. If you are running NLMs that require access to remote servers, you 
724. will need to concern yourself with the signature level for CLIB 
725. and/or specific NLMs.  The signature level for NLMs, can be viewed in 
726. a similar light to the signature level in the DOS shell -- it deals 
727. with the client-side of the NCP connection.  The NLM security level 
728. correlates to the "Client Level" in the tables shown earlier in this 
729. document.
730.  
731. NLMs that use CLIB are assigned a default NCP packet signature level 
732. of 1.  The NCP signature only applies to NLMs that make NCP requests 
733. to remote servers;  NLMs that make NCP requests to the local server, 
734. the server the NLM was loaded on, are not affected.  For example, if 
735. you load a Print Server on a server, and this print server services
736. print jobs residing on queues on remote file servers, and the remote
737. file servers require packet signing, you'll need to make sure your 
738. print server is loaded with the correct signature level set. See the
739. section titled "Packet Signature for All CLIB NLMs" below to learn
740. how to change the default signature level, and why you'd want to.
741.  
742. Caveats in Using CLIB v3.11d
743. ----------------------------
744. The version of CLIB.NLM that is included in this release is 3.11d.  
745. Do not use CLIB v3.11d on a server running Novell's global messaging 
746. software if the NGM is version 1.0a or 1.0b.  Contact Novell for a 
747. later version of NGM.
748.  
749. If you are using NetWare for NFS version 1.2 Rev A, install patch 
750. PTF-F113 before you load CLIB. This patch is available in the 
751. NOVLIB area on NetWire, library 8, and it is called NFS113.EXE. If 
752. this error message appears when you load the patch, the patch is 
753. unnecessary:
754.  
755.      Inverted file found, no update can be done
756.  
757. If you are using DAL Server (DALSVR), install patch PTF-A-131 
758. before you load CLIB. This patch is available in the NOVLIB area on
759. NetWire, library 7, and it is called SQL30.EXE.
760.  
761.  
762. PATCH311.NLM
763. ------------
764. You no longer need to load PATCH311.NLM if you are using CLIB v3.11d.
765. If you are using an NLM that autoloads PATCH311.NLM, we have included 
766. a dummy version of the file.  You installed it into SYS:SYSTEM when 
767. the SECSYS.EXE file was extracted.
768.  
769.  
770. Packet Signature for All CLIB NLMs
771. ----------------------------------
772. To change the packet signature level for all NLMs that use CLIB,
773. use the following command format when you load CLIB:
774.  
775.      LOAD CLIB /L<number>
776.  
777. Replace <number> with 0, 1, 2, or 3. The default is 1.
778.  
779. NOTE:     To make sure CLIB uses the correct signature level when
780.           it is automatically loaded by other NLMs, put the above
781.           command in the AUTOEXEC.NCF file.
782.  
783. Packet Signature for One NLM
784. ----------------------------
785. To change the packet signature level for a single NLM, use the 
786. following command format when you load the NLM:
787.  
788.      LOAD loadable_module [optional module parameters] (CLIB_OPT)/L<number>
789.  
790. Replace <number> with 0, 1, 2, or 3. The default is 1.
791.  
792. For example, 
793.  
794.      LOAD PSERVER MYPRINTSERVERNAME (CLIB_OPT)/L3
795.  
796.  
797. CLIB NLM Warning
798. ----------------------------------
799. Warning: If you are using the API:  NWSendNCPExtensionRequest() to send to a
800. remote server and packet level security is being used, (ie., when the packet
801. level is being signed) the server may ABEND.  If you need to use this API
802. in development, or if an application on your server uses this API you will 
803. need to obtain the next revision of CLIB which will eliminate this problem.
804.  
805.  
806.  
807. Large Internet Packet parameters:
808. ----------------------------------
809. The security release also includes a Large Internet Packet feature which 
810. allows the server and the client to negotiate for the largest packet size
811. across a wide area network.  This service may be turned off by adding the 
812. following parameter to the NET.CFG file at the workstation:
813.  
814.   LI PACKETS=OFF
815.  
816. This service may also be turned off at the server by using the settable 
817. parameter:
818.  
819.   SET ALLOW LIP = OFF  
820.  
821.   (the default is ON).
822.  
823. NOTE: When using SNA links, LIP should be turned off both at the client
824.       and the server. 
825.  
826. Packet Signature Considerations for Job Servers
827. -----------------------------------------------
828. Network supervisors should be aware that some job servers do not 
829. support NCP packet signature. A job server may produce unsigned 
830. sessions if:
831.  
832. *    It does not operate on top of DOS
833.  
834. *    It does not use standard NetWare shells
835.  
836. *    It is not an NLM
837.  
838. *    It uses its own implementation of the NCP engine (such as 
839.      embedded print servers in printers).
840.  
841. Minimizing Risks
842. ----------------
843. To minimize security risks associated with job servers:
844.  
845. *    Install queues only on servers with signature level 3.
846.  
847. *    Do not allow privileged users to put jobs in queues on servers
848.      with signature levels below 3.
849.  
850. *    Make sure the job server's account is unprivileged.
851.  
852. *    Disable the job server's ability to change to client rights.
853.  
854.  
855. Disabling Change to Client Rights
856. ---------------------------------
857. To prevent a job server from assuming the rights of a client, put
858. the following new SET command in the server's AUTOEXEC.NCF file:
859.  
860.      SET Allow Change to Client Rights = OFF
861.  
862. The default is ON, because certain job servers and third-party 
863. applications cannot function without changing to client rights.
864.  
865.  
866. Troubleshooting Tips
867. --------------------
868. This section describes some solutions to problems that may be 
869. associated with using NCP packet signatures.
870.  
871.         Clients Cannot Log In
872.         ---------------------
873.         Make sure the old *.COM shells are renamed or removed from the 
874.         directory where the new *.EXE shells reside.
875.         
876.         Make sure the packet signature levels on the server and the client 
877.         are correct.
878.         
879.         The following situations do not allow logging in:
880.         
881.         *    Server packet signature = 3, client signature = 0
882.         
883.         *    Server packet signature = 0, client signature = 3
884.         
885.         *    Utilities are old and do not support packet signature
886.         
887.         *    Shells or requesters are old and do not support packet
888.              signature
889.         
890.         "Error Receiving From the NetWork" Appears
891.         ------------------------------------------
892.         The client is using an old utility, such as LOGIN.EXE file that 
893.         does not include NCP packet signature. Make sure the new LOGIN.EXE
894.         and other new utilities are installed on all servers on the network.
895.         
896.         Third-party NLMs Do Not Work
897.         ----------------------------
898.         If the SET parameter Allow Change to Client Rights is turned OFF, 
899.         some third-party NLMs may not function. Turn this parameter ON.
900.         
901.         Unsecure Clients Log In to Secure Server
902.         ----------------------------------------
903.         The clients are using an old LOGIN.EXE file that does not include 
904.         NCP packet signature. Set the sever security level to 3 and make sure
905.         the new LOGIN.EXE and other new utilities are installed on all servers
906.         on the network.
907.         
908.         Add a preferred server statement to the NET.CFG file for all
909.         clients that have access to secure servers (level 3).
910.         
911.         
912. Network Security Guidelines
913. ---------------------------
914. In addition to installing NCP packet signature, network supervisors
915. can use other NetWare security features and protective measures to 
916. keep their network data secure.
917.  
918. The following security guidelines are suggested:
919.  
920. *    Use only the most current versions of system software, client 
921.      software, and patches.
922.  
923. *    Regularly check for viruses.
924.  
925. *    Use the SECURITY utility to detect vulnerable access points to
926.      the server.
927.  
928. *    Lock NetWare servers in a secure room.
929.  
930. *    Issue the SECURE CONSOLE command from the NetWare 
931.      console. The system will only load NLMs from SYS:SYSTEM.
932.  
933. *    Select "Lock File Server Console" from the MONITOR main 
934.      menu when the NetWare console is not in use.
935.  
936. *    Always use a password different from the SUPERVISOR 
937.      password for RCONSOLE.
938.  
939. *    Limit the number of users with SUPERVISOR rights.
940.  
941. *    Log in as SUPERVISOR as little as possible.
942.  
943. *    Use access control features in NetWare to limit users to 
944.      necessary applications and data.
945.  
946. *    Enable intruder detection and lockout.
947.  
948. *    Advise users to log out when their workstations are
949.      unattended.
950.  
951. *    Secure unattended workstations.
952.  
953. *    Require passwords of at least five characters on all accounts.
954.  
955. *    Force password changes at least every three months.
956.  
957. *    Require unique passwords.
958.  
959. *    Limit the number of grace logins.
960.  
961. *    Limit concurrent connections.
962.  
963. *    Enforce LOGIN time restrictions and station restrictions.
964.  
965. *    Train users and administrators on the use of NetWare security 
966.      features.
967.  
968. NCP Packet Signature for NetWare  PATENT PENDING - Novell, Inc.
969.  
970.