home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / sys / novell / 9452 < prev    next >
Encoding:
Text File  |  1992-11-16  |  26.2 KB  |  780 lines
  1. Newsgroups: comp.sys.novell
  2. Path: sparky!uunet!pmafire!mica.inel.gov!ux1!news.byu.edu!hamblin.math.byu.edu!hellgate.utah.edu!fcom.cc.utah.edu!park.uvcc.edu!ns.novell.com!novell.com!dhoward
  3. From: dhoward@novell.com (Dirk W. Howard)
  4. Subject: NetWare Security against forged packets
  5. Message-ID: <dhoward.178.0@novell.com>
  6. Sender: usenet@Novell.COM (Usenet News)
  7. Nntp-Posting-Host: dhoward.nsd.provo.novell.com
  8. Organization: Novell, Inc.
  9. Date: Mon, 16 Nov 1992 16:11:19 GMT
  10. Lines: 768
  11.  
  12. Novell has released new software to counter the threat of HACK.EXE.  Below 
  13. is the documentation of the software.  The software will be available via 
  14. CompuServe in NOVFILES or via FTP at ftp.novell.com (137.65.12.2).  The 
  15. files that make up the security enhancement are:
  16.  
  17. SECURITY.DOC    This file
  18. SECDOS.EXE
  19. SECOS2.EXE
  20. SECSYS.EXE
  21. SECUT1.EXE
  22. SECUT2.EXE
  23. SECUT3.EXE
  24. SECPRN.EXE
  25.  
  26. ---------------- Begin SECURITY.DOC ----------------------------
  27.  
  28. NCP Packet Signature for NetWare v3.11  PATENT PENDING - Novell, Inc.
  29. ---------------------------------------------------------------------
  30.  
  31. The software files enclosed in these "zip" files are fixes or patches
  32. to legally licensed Novell software and are protected by the
  33. copyright laws of the United States and international copyright
  34. treaties. This zip file contains software which is designed to
  35. replace Novell client software and software which run as NetWare 
  36. Loadable Modules under the NetWare operating system. You may
  37. without charge, reproduce, distribute and use copies of the
  38. software for its intended purposes to replace legally obtained
  39. Novell software, provided you do not receive any direct payment,
  40. commercial benefit, or other consideration for the reproduction,
  41. distribution or use, or change or omit any proprietary rights
  42. notice appearing on or in the software. This is a personal right.
  43. You may not duplicate, distribute or authorize use outside of the
  44. legal entity you represent.
  45.  
  46. THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND,
  47. EITHER EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO, THE
  48. IMPLIED WARRANTIES OF MERCHANTABILITY, TITLE AND FITNESS FOR A
  49. PARTICULAR PURPOSE. TO THE EXTENT YOU USE SOFTWARE, YOU DO SO AT
  50. YOUR OWN RISK. IN NO EVENT WILL NOVELL BE LIABLE TO YOU FOR ANY
  51. DAMAGES ARISING OUT OF YOUR USE OF OR INABILITY TO USE THE
  52. SOFTWARE.
  53.  
  54.  
  55. Security Enhancement
  56. --------------------
  57. In recent weeks, Novell has verified the existence of a threat to NetWare
  58. security.  The mechanism for intrusion was discovered and documented by 
  59. students and professors of Lieden University in the Netherlands.
  60.  
  61. After responding to the initial threat with a NetWire release, Novell 
  62. established an aggressive two-phase strategy to analyze, develop and verify
  63. solutions to the broader issues surrounding this threat.  The following
  64. security enhancement for NetWare v3.11 represents the first phase of Novell's
  65. aggressive strategy to analyze and develop solutions that enhance network 
  66. security.
  67.  
  68. This enhancement consists of NetWare loadable module's, new shell's and 
  69. various utilities.  This SECURITY.DOC file defines the capabilities of the 
  70. enhancement, the configuration options, the installation of the server and
  71. client portions and provides other useful guidelines and tips.  This 
  72. enhancement contains seven self-extracting ZIP files:
  73.  
  74.     SECSYS.EXE    On diskette SIGNATURE_1
  75.     SECDOS.EXE
  76.     SECOS2.EXE
  77.  
  78.     SECUT1.EXE    On diskette SIGNATURE_2
  79.     SECUT2.EXE
  80.  
  81.     SECUT3.EXE    On diskette SIGNATURE_3  (Optional: *)
  82.     SECPRN.EXE
  83.  
  84. * The set of utilities found in SECUT3.EXE are not specifically required
  85.   for the security enhancement, but contain various fixes and updates.
  86.  
  87.  
  88. Before installing this enhancement, customers should read through the 
  89. SECURITY.DOC file to determine if installation of the security enhancement is
  90. needed.  Particular attention should be given to the section on when to use
  91. NCP packet signature.  Customers in need of additional support and service 
  92. should contact their local reseller.
  93.  
  94. The enhancement is being made available free of charge on NetWire and
  95. NetWare Express (minimal connection charges apply on NetWire 
  96. and NetWare Express) or by calling 1 (800) NetWare.  
  97.  
  98.  
  99. How NCP Packet Signature Works
  100. ------------------------------
  101. NCP packet signature is an enhanced security feature that protects 
  102. servers and clients using the NetWare Core Protocol by preventing 
  103. packet forgery.
  104.  
  105. Without the NCP packet signature installed, it is possible for a 
  106. network client posing as a more privileged client to send a forged 
  107. NCP request to a NetWare server. By forging the proper NCP request 
  108. packet, an intruder could gain SUPERVISOR rights and access to all 
  109. network resources.
  110.  
  111. NCP packet signature prevents packet forgery by requiring the 
  112. server and the client to "sign" each NCP packet. The packet 
  113. signature changes with every packet.
  114.  
  115. NCP packets with incorrect signatures are discarded without 
  116. breaking the client's connection with the server. However, an alert
  117. message about the invalid packet is sent to the error log, the 
  118. affected client, and the server console. The alert message contains
  119. the LOGIN name and the station address of the affected client.
  120.  
  121. A two-part process between the client and the NetWare server 
  122. determines the NCP packet signature:
  123.  
  124. *    At LOGIN, the server and the client determine a shared, secret
  125.      key known as the session key.
  126.  
  127. *    For each request or response packet, the server and the client
  128.      calculate a signature based on the session key, a
  129.      "fingerprint" algorithm, and the previous packet's signature.
  130.      The unique signature is appended to the NCP packet.
  131.  
  132. If NCP packet signature is installed correctly on the server and
  133. all of its clients, it is virtually impossible to forge a valid NCP
  134. packet.
  135.  
  136.  
  137. Packet Signature Options
  138. ------------------------
  139. Because the packet signature process consumes CPU resources and 
  140. slows performance, both for the client and the NetWare server, NCP 
  141. packet signature is optional.
  142.  
  143. Several signature options are available, ranging from never signing
  144. NCP packets to always signing NCP packets. NetWare servers have 
  145. four settable signature levels, and network clients also have four 
  146. signature levels.
  147.  
  148. The signature options for servers and clients combine to determine 
  149. the level of NCP packet signature on the network.
  150.  
  151. NOTE:     Some combinations of server and client packet signature
  152.           levels may slow performance. However, low CPU-demand
  153.           systems may not show any performance degradation. Network
  154.           supervisors can choose the packet signature level that
  155.           meets both their performance needs and their security
  156.           requirements.
  157.  
  158.  
  159. Server Levels
  160. -------------
  161. Server packet signature levels are assigned by a new SET parameter:
  162.  
  163.      SET NCP Packet Signature Option = [number]
  164.  
  165. Replace [number] with 0, 1, 2, or 3. The default is 2.
  166.  
  167.  
  168. Number    Explanation
  169. ---------------------
  170. 0         Server does not sign packets (regardless of the client 
  171.           level)
  172.  
  173. 1         Server signs packets only if the client requests it
  174.           (client level is 2 or higher)
  175.  
  176. 2         Server signs packets if the client is capable of signing 
  177.           (client level is 1 or higher)
  178.  
  179. 3         Server signs packets and requires all clients to sign 
  180.           packets (or logging in will fail)
  181.  
  182.  
  183. Client Levels
  184. -------------
  185. Client signature levels are assigned by a new NET.CFG parameter:
  186.  
  187.      signature level = [number]
  188.  
  189. Replace [number] with 0, 1, 2, or 3. The default is 1.
  190.  
  191.  
  192. Number    Explanation
  193. ---------------------
  194. 0         Client does not sign packets
  195.  
  196. 1         Client signs packets only if the server requests it
  197.           (server option is 2 or higher)
  198.  
  199. 2         Client signs packets if the server is capable of signing 
  200.           (server option is 1 or higher)
  201.  
  202. 3         Client signs packets and requires the server to sign 
  203.           packets (or logging in will fail)
  204.  
  205.  
  206. Effective Packet Signature
  207. --------------------------
  208. The packet signature levels for the server and the client interact
  209. to create the "effective" packet signature. Some combinations of
  210. server and client levels do not allow logging in.
  211.  
  212. The table below shows the interactive relationship between the 
  213. server packet signature levels and the client signature levels.
  214.  
  215.  
  216.     Effective Packet Signature of Server and Client
  217.     -----------------------------------------------
  218.     IF        Server=0  Server=1  Server=2  Server=3
  219.     
  220.     Client=0  No sign   No sign   No sign   No login
  221.     
  222.     Client=1  No sign   No sign   Sign      Sign
  223.     
  224.     Client=2  No sign   Sign      Sign      Sign
  225.     
  226.     Client=3  No login  Sign      Sign      Sign
  227.  
  228.  
  229. When to Use NCP Packet Signature
  230. --------------------------------
  231. NCP packet signature is not required for every installation. Some 
  232. network supervisors may choose not to use NCP packet signature 
  233. because they can tolerate certain security risks.
  234.  
  235.  
  236. Security Risks
  237. --------------
  238. The following situations are examples of tolerable risks that may 
  239. not need NCP packet signature:
  240.     
  241.     *    Only executable programs reside on the server.
  242.     
  243.     *    All workstation users on the network are known and trusted by 
  244.          the supervisor.
  245.     
  246.     *    Data on the NetWare server is not sensitive; loss or
  247.          corruption of this data will not impact operations.
  248.     
  249.     NCP packet signature is recommended for security risks such as:
  250.     
  251.     *    An untrustworthy user at a workstation on the network.
  252.     
  253.     *    Easy physical access to the network cabling system.
  254.     
  255.     *    An unattended, publicly accessible workstation.
  256.  
  257. Signature Level Examples
  258. ------------------------
  259.     The default NCP packet signature level is 1 for clients and 2 for
  260.     servers. In most installations, this setting provides the most 
  261.     flexibility while still offering protection from forged packets.
  262.     Below are some examples of using different signature levels.
  263.     
  264.     All Information on the Server Is Sensitive
  265.     ------------------------------------------
  266.     If an intruder gained access to any information on the NetWare 
  267.     server, it could damage the company.
  268.     
  269.     The network supervisor sets the server to level 3 and all clients
  270.     to level 3 for maximum protection.
  271.     
  272.     Sensitive and Non-sensitive Information Reside on the Same Server
  273.     -----------------------------------------------------------------
  274.     The NetWare server has a directory for executable programs and a 
  275.     separate directory for corporate finances (such as accounts 
  276.     receivable).
  277.     
  278.     The network supervisor sets the server to level 2, and the clients 
  279.     that need access to accounts receivable to level 3. All other
  280.     clients remain at the default, level 1.
  281.     
  282.     Users Often Change Locations and Workstations
  283.     ---------------------------------------------
  284.     The network supervisor is uncertain which employees will be using 
  285.     which workstations, and the NetWare server contains some 
  286.     sensitive data.
  287.     
  288.     The network supervisor sets the server to level 3. Clients remain
  289.     at the default, level 1.
  290.     
  291.     Workstation is Publicly Accessible
  292.     ----------------------------------
  293.     An unattended workstation is set up for public access to non-
  294.     sensitive information, but another server on the network contains 
  295.     sensitive information.
  296.     
  297.     The network supervisor sets the sensitive server to level 3 and the
  298.     unattended client to level 0.
  299.     
  300.     
  301. Installing NCP Packet Signature on the Server
  302. ---------------------------------------------
  303. NCP packet signature is installed at the server and at each 
  304. workstation. This section describes the procedures for the server.
  305.  
  306. To ensure secure connections, NCP packet signature should be
  307. installed on all servers on the network.
  308.  
  309. Before installing any new software, make sure you have a complete 
  310. backup of current SYS:SYSTEM, SYS:PUBLIC and SYS:LOGIN files.
  311.  
  312. Perform these steps to all servers on your network.
  313.  
  314.      1a.  Flag *.NLM files in the SYS:SYSTEM directory
  315.       Shareable, Read Write.
  316.  
  317.      1b.  Flag ?CONSOLE.* files in the SYS:SYSTEM directory
  318.       Shareable, Read Write.
  319.  
  320.      1c.  Flag *.* files in the SYS:PUBLIC directory
  321.       Shareable, Read Write.
  322.  
  323.      1d.  Flag LOGIN.EXE file in the SYS:LOGIN directory
  324.       Shareable, Read Write.
  325.  
  326.  
  327.      2.   Copy the self-extracting ZIP files to the appropriate
  328.           directory.
  329.  
  330.           File           Copy to this directory
  331.           -------------------------------------
  332.           SECSYS.EXE     SYS:SYSTEM
  333.           SECUT1.EXE     SYS:PUBLIC
  334.           SECUT2.EXE     SYS:PUBLIC
  335.           SECUT3.EXE     SYS:PUBLIC
  336.           SECPRN.EXE     SYS:PUBLIC
  337.  
  338.     Note: SECUT3.EXE is optional, but recommended.
  339.  
  340.      3.   For each file listed above, change to the appropriate directory
  341.           and execute the new files.  For example, change to the SYSTEM 
  342.           directory and type SECSYS.
  343.  
  344.           This unZIPs the files into the current directory.
  345.  
  346.  
  347.      4.   Move LOGIN.EXE file from the SYS:PUBLIC directory to the 
  348.           SYS:LOGIN directory.
  349.  
  350.  
  351.      5a.  Flag *.NLM files in the SYS:SYSTEM directory
  352.       Shareable, Read Only.
  353.  
  354.      5b.  Flag ?CONSOLE.* files in the SYS:SYSTEM directory
  355.       Shareable, Read Only.
  356.  
  357.      5c.  Flag *.* files in the SYS:PUBLIC directory
  358.       Shareable, Read Only.
  359.  
  360.      5d.  Flag LOGIN.EXE file in the SYS:LOGIN directory
  361.       Shareable, Read Only.
  362.  
  363.  
  364.      6.   You may want to delete the self-extracting ZIP files from 
  365.       SYS:SYSTEM and SYS:PUBLIC at this time.
  366.  
  367.  
  368. Load PBURST.NLM
  369. ---------------
  370. Use this procedure to load the PBURST NLM and add the new SET 
  371. parameters to the NetWare v3.11 server.
  372.  
  373.      1.   At the server console, type
  374.  
  375.           LOAD PBURST <Enter>
  376.  
  377.      2.   To automatically load PBURST.NLM the next time the server
  378.           boots, insert the "LOAD PBURST" command at the beginning
  379.           of the AUTOEXEC.NCF file.
  380.  
  381.  
  382. Assign the Server Packet Signature Option
  383. -----------------------------------------
  384. Insert the following SET command in the AUTOEXEC.NCF file 
  385. immediately below the "LOAD PBURST" command:
  386.  
  387.      SET NCP Packet Signature Option = [number]
  388.  
  389. Replace [number] with 0, 1, 2, or 3. The default is 2.
  390.  
  391.  
  392.  
  393. Installing NCP Packet Signature on the DOS and WINDOWS workstations.
  394. --------------------------------------------------------------
  395. Copy the SECDOS.EXE self-extracting ZIP file to a work directory on the
  396. network or your hardrive. Go to the work directory and type 
  397.  
  398.         SECDOS [<drive letter>:]
  399.  
  400. This unZIPs the files.
  401.  
  402.     New drivers included:
  403.     ---------------------
  404.     Some updated ODI drivers have been included.  They use Ethernet 
  405.     frame type 802.2 by default.These are:
  406.  
  407.     NE1000.COM
  408.     NE2000.COM
  409.     NE2.COM
  410.     NE2_32.COM  (NOTE: This driver name replaces the old NE2-32.COM ).
  411.  
  412.     To configure these drivers to run Ethernet frame type 802.3 , make the 
  413.     following changes to the NET.CFG file:
  414.  
  415.     Add the line
  416.  
  417.         FRAME ETHERNET_802.3
  418.  
  419.     into the LINK DRIVER section.
  420.  
  421.     DOS Workstations
  422.     ----------------
  423.     Copy the appropriate file to each workstation's boot disk from the 
  424.     work diskette.
  425.  
  426.         If the workstation uses       Copy this file
  427.         --------------------------------------------
  428.         Conventional memory           NETX.EXE
  429.         Expanded memory               EMSNETX.EXE 
  430.         Extended memory               XMSNETX.EXE 
  431.         Packet burst                  BNETX.EXE 
  432.     
  433.     NOTE:   If *NETX.COM files reside in the same directory as
  434.             *NETX.EXE files, rename or remove the *.COM files to make
  435.             the *.EXE files effective.
  436.     
  437.     Add the following parameter to the NET.CFG file of each 
  438.     workstation:
  439.     
  440.         signature level = [number]
  441.     
  442.         Replace [number] with 0, 1, 2, or 3. The default is 1.
  443.     
  444.     
  445.     To automatically update the NETX.EXE file for all workstations, 
  446.     copy the NETX.EXE file to SYS:PUBLIC and add the following line 
  447.     to the system login script:
  448.     
  449.         #WSUPDATE SYS:PUBLIC\NETX.EXE ALL_LOCAL:NETX.EXE
  450.     
  451.     For more information on using WSUPDATE, see pages 515-519 in 
  452.     "NetWare Version 3.11 Utilities Reference."
  453.     
  454.     
  455.     Windows Workstations
  456.     --------------------
  457.     Copy the files listed below to the WINDOWS/SYSTEM directory of each 
  458.     workstation's boot disk:
  459.  
  460.     NETWARE.DRV
  461.     VNETWARE.386
  462.     NWPOPUP.EXE
  463.     VIPX.386
  464.     
  465.     You can use WSUPDATE to automatically copy the new files to several 
  466.     workstations. For more information on using WSUPDATE, see 
  467.     pages 515-519 in "NetWare Version 3.11 Utilities Reference."
  468.     
  469.     Add the following parameter to the NET.CFG file of each 
  470.     workstation:
  471.     
  472.          signature level = [number]
  473.     
  474.     Replace [number] with 0, 1, 2, or 3. The default is 1.
  475.     
  476.     
  477.     New Parameter for Windows on the Network
  478.     ----------------------------------------
  479.     A new NET.CFG parameter for packet signing is available for 
  480.     workstations that load Windows from the network and run in 
  481.     enhanced (386) mode:
  482.     
  483.          sign 386 mode = [number]
  484.     
  485.     Replace [number] with 0, 1, or 2. The default is 1, which disables 
  486.     interrupts and preserves the 386 32-bit registers. Choose 0 to
  487.     enable interrupts at this workstation. Choose 2 to force 16-bit
  488.     signing at this workstation.
  489.     
  490.     NOTE:     The new NETX shell can detect workstation type (16- or
  491.               32-bit) and automatically adjust to 16- or 32-bit code.
  492.     
  493.     
  494. Installing NCP Packet Signature on the OS/2 Workstations.
  495. --------------------------------------------------------------
  496. NCP packet signature requires OS/2 version 2.0 and the NetWare 
  497. Requester for OS/2 v2.0, NSD #2.  The self-extracting ZIP file SECOS2.EXE
  498. contains the complete NSD #2.
  499.  
  500. Copy the file SECOS2.EXE (self-extracting ZIP file) to a directory on the
  501. network or your local hard drive.  Change to that drive and make the direct-
  502. ory containing SECOS2.EXE your current directory.  Format a high-density 
  503. 5-1/4" or 3-1/2" diskette and give it a volume name of REQUESTER by using
  504. LABEL (provided with the client operating system). 
  505.  
  506. Run SECOS2.EXE as follows (where X: is the drive letter of the formatted 
  507. REQUESTER diskette).
  508.  
  509.     "SECOS2 -D X:"
  510.  
  511.  
  512. This procedure unZIPs the update files onto the floppy diskette in the 
  513. correct directory structure.
  514.  
  515. Run the INSTALL program from the REQUESTER diskette and follow the 
  516. instructions.
  517.  
  518. Add the following parameter to the NetWare Requester area of the 
  519. NET.CFG file for each workstation:
  520.  
  521.     signature level [number]
  522.  
  523.     Replace [number] with 0, 1, 2, or 3. The default is 1.
  524.  
  525.  
  526. Enabling Packet Burst (optional)
  527. --------------------------------
  528. The packet burst loadable module, PBURST.NLM, must be loaded 
  529. on NetWare v3.11 servers in order for NCP packet signature to 
  530. work. However, using the packet burst protocol to transfer data 
  531. between servers and clients is optional.
  532.  
  533. Packet burst is a protocol built on top of IPX that speeds the
  534. transfer of multiple-packet NCP reads and writes. The packet burst
  535. protocol eliminates the need to sequence and acknowledge each
  536. packet. With packet burst, the server or client sends a whole set
  537. (or burst) of packets before it requires an acknowledgment.
  538.  
  539. By allowing multiple packets to be acknowledged, the packet burst 
  540. protocol reduces network traffic. The packet burst protocol also 
  541. monitors dropped packets and retransmits only the missing 
  542. packets.
  543.  
  544. The NetWare server requires the PBURST.NLM to be loaded in order 
  545. to transfer data in packet bursts. For a workstation to send and 
  546. receive packet burst data, it requires the BNETX.EXE file and a new
  547. parameter in its NET.CFG file.
  548.  
  549. NOTE:     The packet burst protocol is not supported by expanded
  550.           memory or extended memory workstation shells, or by OS/2
  551.           workstations.
  552.  
  553. Use this procedure to enable DOS workstations to send and receive 
  554. packet burst data.
  555.  
  556.      1.   Replace the existing workstation shell with the BNETX.EXE
  557.           file.
  558.  
  559.      2.   Edit the NET.CFG file to include the following parameter:
  560.  
  561.           PB BUFFERS=x
  562.  
  563.           Replace x with the number of packet burst buffers. The
  564.           faster the CPU, the higher the number should be. The
  565.           limits are 0 to 10. Novell recommends a setting of 2. The
  566.           packet burst protocol adjusts the buffers automatically
  567.           for optimum performance.
  568.  
  569. To disable packet burst on a workstation, omit the PB Buffers 
  570. parameter from its NET.CFG file, or set the PB Buffers to 0.
  571.  
  572.  
  573. Changing the Signature Level for CLIB NLMs
  574. ------------------------------------------
  575. Loadable modules that use CLIB are assigned a default NCP packet 
  576. signature level of 1, which means packets are signed only if the 
  577. client requests it. This section describes how to change the
  578. default.
  579.  
  580. Prerequisites for Using CLIB v3.11c
  581.  
  582. Do not use CLIB v3.11c on a server running Novell's global 
  583. messaging software if the NGM is below version 1.0c. NGM v1.0c is 
  584. scheduled for release in December 1992.
  585.  
  586. If you are using NetWare for NFS version 1.2 Rev A, install patch 
  587. PTF-F113 before you load CLIB. This patch is available in the 
  588. NOVLIB area on NetWire, library 8, and it is called NFS113.ZIP. If 
  589. this error message appears when you load the patch, the patch is 
  590. unnecessary:
  591.  
  592.      Inverted file found, no update can be done
  593.  
  594. If you are using DAL Server (DALSVR), install patch PTF-A-131 
  595. before you load CLIB. This patch is available in the NOVLIB area on
  596. NetWire, library 7, and it is called SQL30.ZIP.
  597.  
  598.  
  599. PATCH311.NLM
  600. ------------
  601. You no longer need to load PATCH311.NLM if you are using CLIB v3.11c.  If you
  602. are using a NLM that autoloads PATCH311.NLM, we have included a dummy version
  603. of the file.  You installed it into SYS:SYSTEM when the SECSYS.EXE file was
  604. extracted.
  605.  
  606.  
  607. Packet Signature for All CLIB NLMs
  608. ----------------------------------
  609. To change the packet signature level for all NLMs that use CLIB,
  610. use the following command format when you load CLIB:
  611.  
  612.      LOAD CLIB /L[number]
  613.  
  614. Replace [number] with 0, 1, 2, or 3. The default is 1.
  615.  
  616. NOTE:     To make sure CLIB uses the correct signature level when
  617.           it is automatically loaded by other NLMs, put the above
  618.           command in the AUTOEXEC.NCF file.
  619.  
  620. Packet Signature for One NLM
  621. ----------------------------
  622. To change the packet signature level for a single NLM, use the 
  623. following command format when you load the NLM:
  624.  
  625.      LOAD loadable_module CLIB_OPT/L[number]
  626.  
  627. Replace [number] with 0, 1, 2, or 3. The default is 1.
  628.  
  629.  
  630. Packet Signature Considerations for Job Servers
  631. -----------------------------------------------
  632. Network supervisors should be aware that some job servers do not 
  633. support NCP packet signature. A job server may produce unsigned 
  634. sessions if:
  635.  
  636. *    It does not operate on top of DOS
  637.  
  638. *    It does not use standard NetWare shells
  639.  
  640. *    It is not an NLM
  641.  
  642. *    It uses its own implementation of the NCP engine (such as 
  643.      embedded print servers in printers).
  644.  
  645. Minimizing Risks
  646. ----------------
  647. To minimize security risks associated with job servers:
  648.  
  649. *    Install queues only on servers with signature level 3.
  650.  
  651. *    Do not allow privileged users to put jobs in queues on servers
  652.      with signature levels below 3.
  653.  
  654. *    Make sure the job server's account is unprivileged.
  655.  
  656. *    Disable the job server's ability to change to client rights.
  657.  
  658.  
  659. Disabling Change to Client Rights
  660. ---------------------------------
  661. To prevent a job server from assuming the rights of a client, put
  662. the following new SET command in the server's AUTOEXEC.NCF file:
  663.  
  664.      SET Allow Change to Client Rights = OFF
  665.  
  666. The default is ON, because certain job servers and third-party 
  667. applications cannot function without changing to client rights.
  668.  
  669.  
  670. Troubleshooting Tips
  671. --------------------
  672. This section describes some solutions to problems that may be 
  673. associated with using NCP packet signatures.
  674.  
  675.     Clients Cannot Log In
  676.     ---------------------
  677.     Make sure the old *.COM shells are renamed or removed from the 
  678.     directory where the new *.EXE shells reside.
  679.     
  680.     Make sure the packet signature levels on the server and the client 
  681.     are correct.
  682.     
  683.     The following situations do not allow logging in:
  684.     
  685.     *    Server packet signature = 3, client signature = 0
  686.     
  687.     *    Server packet signature = 0, client signature = 3
  688.     
  689.     *    Utilities are old and do not support packet signature
  690.     
  691.     *    Shells or requesters are old and do not support packet
  692.          signature
  693.     
  694.     "Error Receiving From the NetWork" Appears
  695.     ------------------------------------------
  696.     The client is using an old utility, such as LOGIN.EXE file that 
  697.     does not include NCP packet signature. Make sure the new LOGIN.EXE
  698.     and other new utilities are installed on all servers on the network.
  699.     
  700.     Third-party NLMs Do Not Work
  701.     ----------------------------
  702.     If the SET parameter Allow Change to Client Rights is turned OFF, 
  703.     some third-party NLMs may not function. Turn this parameter ON.
  704.     
  705.     Unsecure Clients Log In to Secure Server
  706.     ----------------------------------------
  707.     The clients are using an old LOGIN.EXE file that does not include 
  708.     NCP packet signature. Set the sever security level to 3 and make sure
  709.     the new LOGIN.EXE and other new utilities are installed on all servers
  710.         on the network.
  711.     
  712.     Add a preferred server statement to the NET.CFG file for all
  713.     clients that have access to secure servers (level 3).
  714.     
  715.     
  716. Network Security Guidelines
  717. ---------------------------
  718. In addition to installing NCP packet signature, network supervisors
  719. can use other NetWare security features and protective measures to 
  720. keep their network data secure.
  721.  
  722. The following security guidelines are suggested:
  723.  
  724. *    Use only the most current versions of system software, client 
  725.      software, and patches.
  726.  
  727. *    Regularly check for viruses.
  728.  
  729. *    Use the SECURITY utility to detect vulnerable access points to
  730.      the server.
  731.  
  732. *    Lock NetWare servers in a secure room.
  733.  
  734. *    Issue the SECURE CONSOLE command from the NetWare 
  735.      console. The system will only load NLMs from SYS:SYSTEM.
  736.  
  737. *    Select "Lock File Server Console" from the MONITOR main 
  738.      menu when the NetWare console is not in use.
  739.  
  740. *    Always use a password different from the SUPERVISOR 
  741.      password for RCONSOLE.
  742.  
  743. *    Limit the number of users with SUPERVISOR rights.
  744.  
  745. *    Log in as SUPERVISOR as little as possible.
  746.  
  747. *    Use access control features in NetWare to limit users to 
  748.      necessary applications and data.
  749.  
  750. *    Enable intruder detection and lockout.
  751.  
  752. *    Advise users to log out when their workstations are
  753.      unattended.
  754.  
  755. *    Secure unattended workstations.
  756.  
  757. *    Require passwords of at least five characters on all accounts.
  758.  
  759. *    Force password changes at least every three months.
  760.  
  761. *    Require unique passwords.
  762.  
  763. *    Limit the number of grace logins.
  764.  
  765. *    Limit concurrent connections.
  766.  
  767. *    Enforce LOGIN time restrictions and station restrictions.
  768.  
  769. *    Train users and administrators on the use of NetWare security 
  770.      features.
  771.  
  772. NCP Packet Signature for NetWare v3.11  PATENT PENDING - Novell, Inc.
  773.  
  774.  
  775. ---------------------------------------------------------------------------
  776. Dirk W. Howard              These are my personal opinions.  No one else 
  777. Novell Technical Support    in their right mind would claim them.
  778. dhoward@novell.com
  779. ---------------------------------------------------------------------------
  780.