home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / sys / novell / 9654 < prev    next >
Encoding:
Text File  |  1992-11-19  |  3.8 KB  |  69 lines
  1. Newsgroups: comp.sys.novell
  2. Path: sparky!uunet!ornl!rsg1.er.usgs.gov!darwin.sura.net!zaphod.mps.ohio-state.edu!moe.ksu.ksu.edu!usenet-feed.cc.umr.edu!mcs213f.cs.umr.edu!rfranken
  3. From: rfranken@mcs213f.cs.umr.edu (Richard Brett Frankenberger)
  4. Subject: Re: Security Patches - How Secure???     
  5. References: <1992Nov19.030232.10943@umr.edu> <1992Nov19.083022.61028@cc.usu.edu>
  6. Date: Thu, 19 Nov 1992 16:26:36 GMT
  7. Nntp-Posting-Host: mcs213f.cs.umr.edu
  8. Organization: University of Missouri - Rolla
  9. Sender: cnews@umr.edu (UMR Usenet News Post)
  10. Message-ID: <1992Nov19.162636.18989@umr.edu>
  11. Lines: 56
  12.  
  13.  
  14. >    Rather than expend lots of bandwidth on inconclusive results may
  15. >I recommend reading up on Kerberos, part of the MIT Project Athena, as
  16. >a start. There is no 100% guaranteed, foolproof, absolute, "statement", 
  17. >way of preventing spoofing or other break-ins; people are deviously clever.
  18. >Don't forget to shred and burn your user's scrap paper, check their picture
  19. >idents, voice prints, telephone lines, leakage of video display signals
  20. >(Tempest qualification) and so on. Certainly never put info on a Unix machine 
  21. >because it leaks like a sieve. And watchout for spoof servers (while the real 
  22. >ones are unplugged) and bogus backup tapes. Kerberos makes a good try at 
  23. >net.security, but it is not without cost and pain. Meanwhile, ordinary users 
  24. >are the largest security holes, by far. In other words, if the game is
  25. >security then view the whole situation.
  26. >    Joe D.
  27.  
  28. Basically, I agree with everything you said.  I was not intending to imply that
  29. forging netware packets is the only loophole to allow someone to gain access to
  30. that which he should not have access to.  In fact, a HACK scheme such as the one
  31. I was inquriring about that requires the wire to be monitored is difficult to
  32. implement, and is certainly not a major security risk.  
  33.  
  34. The servers I manage has none of Novell's patches installed on them.  It isn't
  35. necessary.  (They are 3.11, so they don't have the null password bug).  All the
  36. other things you mention above are indeed much greater security risks, but I 
  37. know about them.  I know someone can break into the server room and steal the
  38. server, or someone can pretend to be a server and get passwords when a user
  39. attempts to log on to them.  
  40.  
  41. What I did not know is whether or not wire-monitoring was still a viable way of
  42. forging packets.  Whether it is or not, I am not going to dump NetWare because
  43. it is too insecure.  I am willing to live with such a system; however, I just
  44. wanted to know EXACTLY what my risks are.  As I said, I already know all the
  45. other risks you mentioned, so I am not concerned with them.  I have deemed
  46. them not worth worrying about in my situation.
  47.  
  48. Now, as to the question of will wire-monitoring allow a packet signature to be
  49. forged.  I will give credit to Novell here ... it now appears that wire-
  50. monitoring will NOT allow a hacker to forge a packet signature.  I have
  51. received an E-Mail reply to my post stating that wire-monitoring will NOT
  52. give a hacker sufficient information to forge a packet signature.  The reply
  53. included sufficient details of the algorithm to at least temporarily convince
  54. me that this is in fact the case (of course, he could be lying, and maybe he
  55. isn't even who he says he is, but I am not that paranoid).  So, it appears that
  56. wire-monitoring is NOT a threat as far as forging a packet and gaining
  57. access.  (Of course, wire-monitoring will continue to allow a user to see any
  58. unencrypted data that goes past).
  59. I realize that this post would not convince me that wire-monitoring is not a 
  60. threat (except that I wrote it) because it doesn't say HOW it prevents wire- 
  61. monitoring from working.  However, I am not in to quoting other person's private
  62. E-Mail on the net, so I am not going to repeat what he said.  Perhaps he will
  63. post it here ...
  64.  
  65.       - Brett   (rfranken@cs.umr.edu)
  66.  
  67.  
  68.  
  69.