home *** CD-ROM | disk | FTP | other *** search
/ PC Direct 1995 May / PC Direct CD-ROM (May 1995).ISO / ipe / misc / dosup9.exe / PACKET.SIG < prev    next >
Encoding:
Text File  |  1994-01-20  |  3.6 KB  |  107 lines
  1. TechFlash:TF-P-11255
  2.  
  3. How NCP Packet Signature Works
  4. NCP packet signature is an enhanced security feature that protects
  5. servers and clients using the NetWare Core Protocol by preventing
  6. packet forgery.
  7.  
  8. Without the NCP packet signature installed, it is possible for a
  9. network client posing as a more privileged client to send a forged
  10. NCP request to a NetWare server. By forging the proper NCP request
  11. packet, an intruder could gain SUPERVISOR rights and access to all
  12. network resources.
  13.  
  14. NCP packet signature prevents packet forgery by requiring the
  15. server and the client to "sign" each NCP packet. The packet
  16. signature changes with every packet.
  17.  
  18. NCP packets with incorrect signatures are discarded without
  19. breaking the client's connection with the server. However, an alert
  20. message about the invalid packet is sent to the error log, the
  21. affected client, and the server console. The alert message contains
  22. the LOGIN name and the station address of the affected client.
  23.  
  24. A two-part process between the client and the NetWare server
  25. determines the NCP packet signature:
  26.  
  27. *    At LOGIN, the server and the client determine a shared, secret
  28.      key known as the session key.
  29.  
  30. *    For each request or response packet, the server and the client
  31.      calculate a signature based on the session key, a
  32.      "fingerprint" algorithm, and the previous packet's signature.
  33.      The unique signature is appended to the NCP packet.
  34.  
  35. If NCP packet signature is installed correctly on the server and
  36. all of its clients, it is virtually impossible to forge a valid NCP
  37. packet.
  38.  
  39.  
  40. Packet Signature Options
  41.  
  42. Because the packet signature process consumes CPU resources and
  43. slows performance, both for the client and the NetWare server, NCP
  44. packet signature is optional.
  45.  
  46. Several signature options are available, ranging from never signing
  47. NCP packets to always signing NCP packets. NetWare servers have
  48. four settable signature levels, and network clients also have four
  49. signature levels.
  50.  
  51. The signature options for servers and clients combine to determine
  52. the level of NCP packet signature on the network.
  53.  
  54. NOTE:     Some combinations of server and client packet signature
  55.           levels may slow performance. However, low CPU-demand
  56.           systems may not show any performance degradation. Network
  57.           supervisors can choose the packet signature level that
  58.           meets both their performance needs and their security
  59.           requirements.
  60.  
  61.  
  62. Server Levels
  63.  
  64. Server packet signature levels are assigned by a new SET parameter:
  65.  
  66.      SET NCP Packet Signature Option = [number]
  67.  
  68. Replace [number] with 0, 1, 2, or 3. The default is 2.
  69.  
  70.  
  71. Number    Explanation
  72.  
  73. 0         Server does not sign packets (regardless of the client
  74.           level)
  75.  
  76. 1         Server signs packets only if the client requests it
  77.           (client level is 2 or higher)
  78.  
  79. 2         Server signs packets if the client is capable of signing
  80.           (client level is 1 or higher)
  81.  
  82. 3         Server signs packets and requires all clients to sign
  83.           packets (or logging in will fail)
  84.  
  85.  
  86. Client Levels
  87.  
  88. Client signature levels are assigned by a new NET.CFG parameter:
  89.  
  90.      signature level = [number]
  91.  
  92. Replace [number] with 0, 1, 2, or 3. The default is 1.
  93.  
  94.  
  95. Number    Explanation
  96.  
  97. 0         Client does not sign packets
  98.  
  99. 1         Client signs packets only if the server requests it
  100.           (server option is 2 or higher)
  101.  
  102. 2         Client signs packets if the server is capable of signing
  103.           (server option is 1 or higher)
  104.  
  105. 3         Client signs packets and requires the server to sign
  106.           packets (or logging in will fail)
  107.