home *** CD-ROM | disk | FTP | other *** search
/ OS/2 Shareware BBS: 16 Announce / 16-Announce.zip / NWSEC.ANN < prev    next >
Text File  |  1992-10-23  |  6KB  |  115 lines
  1.  
  2.          IBM LAN Systems Statement on LAN Protocol Integrity
  3.                           14 October 1992
  4.  
  5.  
  6.   Recently a Netware users' group in the Netherlands announced that it
  7. had successfully breached Netware security.  Novell subsequently
  8. issued a press release acknowledging the attack and noting that the
  9. same kind of attack can be performed against LANs based on the
  10. Microsoft LAN Manager protocols, including the IBM LAN Server.
  11.  
  12.   Because this kind of attack requires both specialized software and
  13. specialized knowledge of LAN protocols, and because unauthorized access
  14. to the physical LAN cabling is difficult in many customer environments,
  15. the existence of this attack represents a very small risk in the majority
  16. of installed LAN environments.
  17.  
  18.   With appropriate equipment and software and a good understanding of the
  19. appropriate protocols it is in fact possible to perform this kind
  20. of attack in a LAN Manager or LAN Server network, although IBM is not
  21. aware that any incident of this kind has actually occurred, and the
  22. attack is not simple to perform.
  23.  
  24.   The attack exploits the lack of cryptographic message integrity in
  25. today's LAN protocols, which were designed to assume a reasonable
  26. level of physical network security.
  27.  
  28.   For customers or environments which require a higher level of security,
  29. attacks of this nature can be prevented by insuring that "counterfeit
  30. packets" cannot be introduced into the LAN.  IBM has several products
  31. available which customers can use to protect their networks -- both
  32. Netware and LAN Server -- and their users' data against this kind of
  33. attack.  The attachment (pages 2 and 3) describes several protection
  34. options available today.
  35.  
  36.   IBM has announced that it will incorporate elements of the OSF
  37. Distributed Computing Environment (DCE), including the Security and
  38. Authenticated RPC components, into its LAN Systems solutions on
  39. OS/2 and AIX.  Applications based on Authenticated RPC can be
  40. protected against counterfeit packet attacks by using RPC's
  41. packet-integrity or packet-privacy modes.  No additional hardware
  42. or software (beyond the DCE services) is required to provide this
  43. level of protection for DCE Authenticated-RPC-based services.
  44.  
  45.  
  46.                       Protection Available Today
  47.  
  48.  
  49. 1. Controlling access to the network
  50.  
  51.     The IBM 8230 Controlled Access Unit, in conjunction with the IBM LAN
  52.   Network Manager program, can be used to protect a token-ring network
  53.   against the introduction of unauthorized adapter cards into a network.
  54.   Use of the 8230 and LAN Network Manager, together with a reasonable
  55.   level of workstation security (power-on passwords and keyboard lock
  56.   programs, for example) will prevent counterfeit-packet attacks against
  57.   a token-ring network by individuals who do not have authorized access
  58.   to a known workstation.
  59.  
  60.     An equivalent level of protection against unauthorized adapter card
  61.   access to an Ethernet LAN, or to a mixed Token-Ring/Ethernet LAN, can
  62.   be provided by the IBM 8250 Multiprotocol Intelligent Hub and its
  63.   management modules (The Advanced Ethernet Management Module and the
  64.   Basic Token-Ring Management Module).
  65.  
  66.     The 8230 and 8250 products and their associated management software
  67.   can be used with any LAN server protocol (Netware, LAN Manager, LAN
  68.   Server, TCP/IP, etc...).
  69.  
  70.     The protection described above can be combined with periodic software
  71.   audits of known workstations to insure that the tools necessary to
  72.   generate counterfeit packets are not available except to trusted users.
  73.  
  74. 2. Encrypting traffic on LAN links
  75.  
  76.     Third-party link encryption products (for example, encrypting LAN
  77.   adapters) can be used to provide cryptographic integrity and/or
  78.   confidentiality protection.  Link encryption traffic on each network
  79.   link prevents attackers from introducing counterfeit packets into
  80.   a network.
  81.  
  82. 3. Protecting data
  83.  
  84.     The IBM Transaction Security System (TSS) can be used by LAN-based
  85.   applications to protect the confidentiality and integrity of data
  86.   passed between user workstations and LAN servers.
  87.  
  88.   To protect data on a LAN using TSS, it is necessary to
  89.  
  90.     * Install an IBM 4755 Cryptographic Adapter on each workstation from
  91.       which protected data will be accessed.  Optionally (if it is not
  92.       feasible or desirable to store data at the server in encrypted
  93.       form), install an IBM 4755 Cryptographic Adapter on each LAN
  94.       server which will store protected data.
  95.  
  96.     * Administer cryptographic keys for each workstation and server
  97.       through the IBM Common Cryptographic API ("CCA").
  98.  
  99.     * Modify LAN applications to use the cryptographic facilities of the
  100.       4755 through the IBM CCA to generate Message Authentication Codes
  101.       ("MACs", for integrity protection) or to encrypt data (for privacy
  102.       protection) before passing the data into the LAN file system
  103.       interface, and to check MACs or decrypt data when accepting data
  104.       from the LAN file system interface.
  105.  
  106.     The IBM 4755 Cryptographic Adapter can be used with any LAN server
  107.   protocol (Netware, LAN Server, LAN Manager, TCP/IP, etc...).  Both
  108.   Family 1 ("ISA") and Family 2 (Microchannel) versions of the 4755 are
  109.   available, and each family version is available in a full-DES and a
  110.   limited-DES-function (easier to export to non-US, non-financial
  111.   industry customers) configuration.  All versions and configurations
  112.   of the adapter support generation of Message Authentication Codes.
  113.   Limited-DES-function configurations of the 4755 do not support
  114.   encryption for user data privacy protection.
  115.