home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / jul93blt.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  15.2 KB  |  311 lines
  1.  
  2.                          CSL BULLETIN
  3.                            July 1993
  4.  
  5.  
  6. CONNECTING TO THE INTERNET:  SECURITY CONSIDERATIONS
  7.  
  8. This bulletin focuses on security considerations for organizations
  9. considering Internet connections.  Spurred by developments in high-
  10. speed networking technology and the National Research and Education
  11. Network (NREN), many organizations and individuals are looking at
  12. the Internet as a means for expanding their research interests and
  13. communications.  Consequently, the Internet is now growing faster
  14. than any telecommunications system thus far, including the
  15. telephone system.
  16.  
  17. New users of the Internet may fail to realize, however, that their
  18. sites could be at risk to threats such as intruders who use the
  19. Internet as a means for attacking systems and causing various forms
  20. of computer security incidents.  Consequently, new Internet sites
  21. are often prime targets for malicious activity, including break-
  22. ins, file tampering, and service disruptions.  Such activity may be
  23. difficult to discover and correct, may be highly embarrassing to
  24. the organization, and can be very costly in terms of lost
  25. productivity and damage to data.
  26.  
  27. New and existing Internet users need to be aware of the high
  28. potential for computer security incidents from the Internet and the
  29. steps they should take to secure their sites.  Many tools and
  30. techniques now exist to provide sites with a higher level of
  31. assurance and protection.
  32.  
  33. The Internet
  34. The Internet is a world-wide "network of networks" that use the
  35. TCP/IP protocol suite for communications.  The component networks
  36. are interconnected at various points to provide multiple routes to
  37. destinations and a high level of overall service to users.  Many
  38. academic, business, and government organizations are connected to
  39. the Internet.  In 1993, over five million users were connected,
  40. with roughly half being business users.
  41.  
  42. The Internet provides several types of services, including terminal
  43. emulation and remote system access (telnet), file exchange (ftp),
  44. electronic mail (smtp), and a number of other services for
  45. information exchange.
  46.  
  47. As outlined in CSL Bulletin TCP/IP or OSI?  Choosing a Strategy for
  48. Open Systems, NIST advises that agencies procure Open Systems
  49. Interconnect (OSI) networking products for new network
  50. implementations and for multivendor information exchange.  At the
  51. same time, it is practical for agencies to consider connections to
  52. the Internet for the purpose of exchanging e-mail and files with
  53. the large number of existing Internet sites.
  54.  
  55. Security Problems on the Internet
  56. In recent years, a number of security problems with the Internet
  57. have become apparent.  Newspapers have carried stories of high-
  58. profile "cracker" attacks via the Internet against government,
  59. business, and academic sites.  Crackers often roam the Internet
  60. with impunity, covering their tracks by moving from system to
  61. system.  Intruders have been known to use systems illegally to
  62. exchange copyrighted software, to obtain sensitive information such
  63. as business secrets, and in general to cause mischief.  System
  64. administrators are often unaware of break-ins and unauthorized
  65. users until they learn by accident.  A number of factors have
  66. contributed to this state of affairs.
  67.  
  68. Complexity of Configuration:  Many sites connect systems to the
  69. Internet with little thought to the complexity of system
  70. administration and the increased potential for abuse from the
  71. Internet.  New systems often arrive "out of the box" with network
  72. access controls configured for maximum, i.e., least secure, access. 
  73. The access controls are usually complex to configure and monitor. 
  74. As a result, controls that are accidentally misconfigured can
  75. result in unauthorized access.
  76.  
  77. Ease of Spying and Spoofing:  The vast majority of Internet traffic
  78. is unencrypted and therefore easily readable.  As a result, e-mail,
  79. passwords, and file transfers can be monitored and captured using
  80. readily available software.  Intruders have been known to monitor
  81. connections to well-known Internet sites for the purpose of gaining
  82. information that would allow them to crack security or to steal
  83. valuable information.  This information sometimes permits intruders
  84. to spoof legitimate connections, i.e., trick system security into
  85. permitting normally disallowed network connections.
  86.  
  87. Inherent Problems with TCP/IP Protocols:  The TCP/IP protocol
  88. suite, as implemented in the Internet, does not contain provisions
  89. for network security.  A number of the TCP/IP services, e.g.,
  90. rlogin, rsh, etc., rely on mutually trusting systems and are
  91. inherently vulnerable to misuse and spoofing.  Ironically, some of
  92. these services, e.g., nis and nfs, are widely used to coordinate
  93. local area network security and to distribute system resources
  94. among other local systems.  If the vulnerabilities in these
  95. services are exploited, security on the local area network could be
  96. badly compromised.
  97.  
  98. Wide-Open Network Policies:  Many sites are configured
  99. unintentionally for wide-open Internet access without regard to the
  100. potential for abuse from the Internet.  Some systems still employ
  101. password-less guest accounts or anonymous ftp accounts that can be
  102. written to without restriction.  Others keep sensitive information
  103. on network-accessible systems where it can be easily read.  The
  104. vast majority of sites permit more TCP/IP services than they
  105. require for their operations and do not attempt to limit access to
  106. information about their computers that could prove valuable to
  107. intruders.
  108.  
  109. Recommendations for New and Existing Internet Connections
  110. New and existing Internet sites need to take strong and specific
  111. measures to improve computer security.  These measures include
  112. creating a TCP/IP service access policy, using strong
  113. authentication, and using a secure Internet gateway that can imple-
  114. ment network access policies.
  115.  
  116.   ╔════════════■Service Access Policy■════════════╗
  117.   ║ ┌─────────────────┐                           ║
  118.   ║ │                 │                           ║
  119.   ║ │     Local       │              ┌──────────┐ ║
  120.   ║ │     Area        │    strong    │  Secure  ├─╫─■ INTERNET
  121.   ║ │     Network     │authentication│  Gateway ├─╫─■ OSI WANs
  122.   ║ │     Systems     │              └──────────┘ ║
  123.   ║ │                 │                           ║
  124.   ║ └─────────────────┘                           ║
  125.   ╚═══════════════════════════════════════════════╝
  126.  
  127. Network Service Policy:  The first step is to create a policy that
  128. details what types of connectivity will be permitted.  If, for
  129. example, e-mail is the only service required, then other forms of
  130. access such as telnet and ftp can be restricted and overall risks
  131. reduced.  Eliminating the TCP/IP services that are not needed will
  132. help to provide a simpler, more manageable network environment. 
  133. The following figure is a partial list of TCP/IP services that
  134. should be restricted or blocked from passing through a site's
  135. Internet gateway:
  136.  
  137.                     High-Risk TCP/IP Services
  138.  DNS zone transfers  leaks names of internal
  139. systems  tftp  intruders can read
  140. password file  RPC (eg., NIS,
  141. NFS)  intruders can read/write
  142. files  rlogin, rsh, etc.  relies on mutually
  143. trusting systems  X windows,        
  144. OpenWindows  intruders can monitor
  145. users' sessions  telnet, ftp, smtp  can be abused, access
  146. should be re-
  147.  stricted to selected
  148. systems
  149. Strong Authentication:  Systems that can be accessed from the
  150. Internet or via modem should require strong authentication such as
  151. provided by smart cards and authentication tokens.  These systems
  152. use one-time passwords that cannot be spoofed, regardless of
  153. whether the passwords are monitored.  CSL Bulletin Advanced
  154. Authentication Technology contains more information on strong
  155. authentication techniques.
  156.  
  157. Secure Gateways:  Secure gateways, or firewalls, are highly
  158. effective for improving site network security.  A secure gateway is
  159. a collection of systems and routers placed at a site's central
  160. connection to a network whose main purpose is to restrict access to
  161. internal systems.  A secure gateway forces all network connections
  162. to pass through the gateway where they can be examined and
  163. evaluated.  The secure gateway may then restrict access to or from
  164. selected systems or block certain TCP/IP services or provide other
  165. security features.  A simple network usage policy that can be
  166. implemented by a secure gateway is to provide access from internal
  167. to external systems, but little or no access from external to
  168. internal systems (except perhaps for e-mail).
  169.  
  170. For small sites, a simple router with packet-filtering capability
  171. may serve as an effective gateway.  This type of router can
  172. typically restrict access to selected systems and services by
  173. examining each packet according to a sequence of filtering rules. 
  174. A more flexible and robust approach is to combine the router with
  175. other systems capable of logging network access and restricting
  176. access and services on a finer basis.  Some secure gateways
  177. implement proxy services that require all ftp or telnet connections
  178. to be first authenticated at the gateway before being allowed to
  179. continue.
  180.  
  181. Without a secure gateway, a site's security depends entirely on the
  182. collective security of its individual systems.  As the number of
  183. systems increases, it becomes more difficult to ensure that network
  184. security policies are enforced.  Errors and simple mistakes in one
  185. system's configuration can cause problems for other interconnected
  186. systems.
  187.  
  188. Securing Modem Pools:  Unrestricted incoming and outgoing modem
  189. pools (including PABX systems) can create backdoors that would let
  190. intruders get around the access controls of secure gateways.  Modem
  191. pools need to be configured to deny access to unauthorized users. 
  192. Systems that can be accessed from modem pools should require strong
  193. authentication such as one-time passwords.  Modem pools should not
  194. be configured for outgoing connections unless access can be
  195. carefully controlled.
  196.  
  197. Securing Public Access Systems:  Public access systems such as
  198. anonymous ftp archives are often prime targets for abuse.  Such
  199. systems, if misconfigured to allow writing, can permit intruders to
  200. destroy or alter data or software, which can prove highly
  201. embarrassing to the organization.  CSL Bulletin Security Issues in
  202. Public Access Systems provides guidance on securing public access
  203. systems.
  204.  
  205. System Security Tools:  The existence of a secure gateway does not
  206. negate the need for stronger system security.  Many tools are
  207. available for system administrators to enhance system security and
  208. provide additional audit capability.  Such tools can check for
  209. strong passwords, log connection information, detect changes in
  210. system files, and provide other features that will help
  211. administrators to detect signs of intruders and break-ins.
  212.  
  213. Keeping Up-to-Date
  214. Sites need to be aware of other resources and information that will
  215. permit them to update site security as new vulnerabilities are
  216. discovered and as new tools and techniques to improve security
  217. become available.  In particular, sites need to know who to contact
  218. when trouble arises.
  219.  
  220. Vendor Support:  Several system vendors now regularly distribute
  221. software update notifications and related security information via
  222. e-mail.  Customers need to contact vendors and determine whether
  223. they can receive such information.
  224.  
  225. Incident Handling Teams:  A number of vendors, other businesses,
  226. and government-affiliated organizations have created computer
  227. security incident handling teams.  These groups typically provide
  228. assistance in determining whether an incident has occurred and how
  229. to correct any vulnerabilities that were exploited.  NIST helps to
  230. coordinate the Forum of Incident Response and Security Teams
  231. (FIRST).  FIRST provides guidance and overall coordination of teams
  232. and incident handling information.  For more information about
  233. incident response teams and FIRST, contact NIST (see below).
  234.  
  235. For More Information
  236. NIST will be issuing more guidance on open systems security and on
  237. secure gateways.  For more information on Internet security and
  238. other computer security issues, contact the National Institute of
  239. Standards and Technology at the following address:  NIST, Building
  240. 225, Room A-216, Gaithersburg, MD 20899-0001; telephone (301) 975-
  241. 3359; fax (301) 948-0279.
  242.  
  243. NIST also maintains a computer security bulletin board system (BBS)
  244. and Internet-accessible site for computer security information open
  245. to the public at all times.  These resources provide information on
  246. computer security publications, CSL Bulletins, alert notices,
  247. information about viruses and anti-virus tools, a security events
  248. calendar, and sources for more information.
  249.  
  250. To access the BBS, you need a computer with communications
  251. capability and a modem.  For modems at 2400 bits per second (BPS)
  252. or less, dial (301) 948-5717.  For 9600 BPS, dial (301) 948-5140. 
  253. Modem settings for all speeds are 8 data bits, no parity, 1 stop
  254. bit.
  255.  
  256. Internet users with telnet or ftp capability may telnet to the BBS
  257. at cs-bbs.nist.gov (129.6.54.30).  To download files, users need to
  258. use ftp as follows:  ftp to csrc.nist.gov (129.6.54.11), log into
  259. account anonymous, use your Internet address as the password, and
  260. locate files in directory pub; an index of all files is available
  261. for download.  For users with Internet-accessible e-mail
  262. capability, send e-mail to docserver@csrc.nist.gov with the
  263. following message:  send filename, where filename is the name of
  264. the file you wish to retrieve.  send index will return an index of
  265. available files.
  266.  
  267. References
  268. The sources used to develop this bulletin provide excellent
  269. resources for further information on Internet security and related
  270. topics.  Ordering information is provided when appropriate.  All
  271. references except [1] and [6] are available from the NIST BBS or
  272. via ftp.
  273.  
  274. [1]    Cerf, Vinton, "A National Information Infrastructure," 
  275. Connexions, June 1993.
  276.  
  277. [2]    "TCP/IP or OSI? Choosing a Strategy for Open Systems," CSL
  278.        Bulletin, National Institute of Standards and Technology, June
  279.        1992.  
  280.  
  281. [3]    Bellovin, Steve, "Security Problems in the TCP/IP Protocol
  282.        Suite," Computer Communication Review, April 1989.
  283.  
  284. [4]    Holbrook, Paul, and Joyce Reynolds, "Site Security Handbook,"
  285.        RFC 1244 prepared for the Internet Engineering Task Force,
  286.        1991.  
  287.  
  288. [5]    "Advanced Authentication Technology," CSL Bulletin, National
  289.        Institute of Standards and Technology, November 1991.
  290.  
  291. [6]    Curry, David, Unix System Security, Addison Wesley, 1992.
  292.  
  293. [7]    Ranum, Marcus, "Thinking About Firewalls," Proceedings of
  294.        Second International Conference on System and Network
  295.        Security, April 1993.
  296.  
  297. [8]    "Security Issues in Public Access Systems," CSL Bulletin,
  298.        National Institute of Standards and Technology, May 1993.
  299.  
  300. [9]    Polk, W. Timothy, Automated Tools for Testing Computer System
  301.        Vulnerability, NIST Special Publication 800-6, National
  302.        Institute of Standards and Technology, December 1992.  Order
  303.        from GPO, 202-783-3238, SN003-003-03189-9, or NTIS, 703-487-
  304.        4650, PB93-146025.
  305.  
  306. [10]   Wack, John, Establishing A Computer Security Incident Response
  307.        Capability, NIST Special Publication 800-3, National Institute
  308.        of Standards and Technology, November 1991.  Order from NTIS,
  309.        703-487-4650, PB92-123140.
  310.  
  311.