home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.b15 < prev    next >
Encoding:
Text File  |  2003-06-11  |  9.4 KB  |  407 lines
  1.              The Computer Incident Advisory Capability
  2.  
  3.                          ___  __ __    _     ___
  4.  
  5.                         /       |     / \   /
  6.  
  7.                         \___  __|__  /___\  \___
  8.  
  9.         _____________________________________________________
  10.  
  11.                          Information Bulletin
  12.  
  13.  
  14.  
  15.            Network Intrusions through TCP/IP and DECnet Gateways
  16.  
  17.  
  18.  
  19. February 28, 1991, 1600 PST                                 Number B-15
  20.  
  21. ________________________________________________________________________
  22.  
  23. PROBLEM:   The use of multiple network protocol  computers (gateways)
  24.  
  25. can allow an intruder to gain unauthorized access to critical system
  26.  
  27. files.  
  28.  
  29. PLATFORM: Multiple platforms, including  DEC, VMS, ULTRIX, and
  30.  
  31. Sun computers.  Attacks involve X.25 networks as well as networks
  32.  
  33. supporting TCP/IP and DECnet protocols.  
  34.  
  35. DAMAGE:   Possible compromise of user accounts and other system files
  36.  
  37. SOLUTIONS:  Varied (depending on system configuration and required
  38.  
  39. functionality).  See appendix  for details.  
  40.  
  41. ________________________________________________________________________
  42.  
  43.                    Critical Network Intrusion Facts
  44.  
  45.  
  46.  
  47. CIAC has learned of a new series of attacks on computers connected to a
  48.  
  49. variety of networks.  The common element in these attacks is the use of
  50.  
  51. computers supporting multiple network protocols, especially TCP/IP and
  52.  
  53. DECnet protocols.  These multi-protocol (gateway) computers can enable
  54.  
  55. intruders on TCP/IP networks to obtain unauthorized access to files
  56.  
  57. using DECnetUs default FAL1 account. Some attacks have resulted in
  58.  
  59. attackers obtaining unauthorized copies of the UNIX password file and
  60.  
  61. the VMS RIGHTSLIST.DAT2 file.
  62.  
  63.  
  64.  
  65. CIAC recommends that during this time of increased threat you pay
  66.  
  67. special attention to VAX/VMS computers offering ANONYMOUS  FTP service
  68.  
  69. and ULTRIX computers offering the DECnet-Internet Gateway services.
  70.  
  71. These services have been exploited by intruders on TCP/IP networks to
  72.  
  73. gain unauthorized access to remote files via DECnet. Some DECnet
  74.  
  75. networks have been configured to a lower level of DECnet security in
  76.  
  77. order to provide increased network functionality and ease of use.  This
  78.  
  79. configuration often used under the assumption that access to DECnet is
  80.  
  81. limited to local users on the local DECnet network. However, the
  82.  
  83. existence of TCP/IP-DECnet gateway computers connected to both the
  84.  
  85. Internet and the local DECnet results in an increased risk of external,
  86.  
  87. unauthorized access to computers on the DECnet network. This includes
  88.  
  89. systems running VMS DECnet, ULTRIX DECnet, and Sunlink DNI DECnet.
  90.  
  91.  
  92.  
  93. CIAC recommends that you follow appropriate procedures to secure your
  94.  
  95. system(s)  against this current threat.  Possible actions are described
  96.  
  97. in the appendix to this notice.  The actions you should take depend on
  98.  
  99. the type of system (VMS or UNIX) and tradeoffs between your security
  100.  
  101. needs and your functionality requirements.
  102.  
  103.  
  104.  
  105. For additional information or assistance, please contact CIAC   
  106.  
  107.  
  108.  
  109.         Hal R. Brand
  110.  
  111.         (415) 422-6312 or (FTS) 532-6312
  112.  
  113.  
  114.  
  115.         Call CIAC at (415) 422-8193 or (FTS) 532-8193.
  116.  
  117.  
  118.  
  119.         send FAX messages to:  (415) 423-0913 or (FTS) 543-0913
  120.  
  121.  
  122.  
  123. Neither the United States Government nor the University of California
  124.  
  125. nor any of their employees, makes any warranty,  expressed or implied,
  126.  
  127. or assumes any legal liability or responsibility for the accuracy,
  128.  
  129. completeness, or usefulness of any information, product, or process
  130.  
  131. disclosed, or represents that its use would not infringe privately
  132.  
  133. owned rights.  Reference herein to any specific commercial products,
  134.  
  135. process, or service by trade name, trademark manufacturer, or
  136.  
  137. otherwise, does not necessarily constitute or imply its endorsement,
  138.  
  139. recommendation, or favoring by the United States Government or the
  140.  
  141. University of California.  The views and opinions of authors expressed
  142.  
  143. herein do not necessarily state or reflect those of the United States
  144.  
  145. Government nor the University of California, and shall not be used for
  146.  
  147. advertising or product endorsement purposes.  Appendix
  148.  
  149.  
  150.  
  151. I. SECURING ANONYMOUS FTP ON VAX/VMS COMPUTERS
  152.  
  153.  
  154.  
  155. Procedure:
  156.  
  157.         (login as SYSTEM)
  158.  
  159.         $ set def sys$system
  160.  
  161.         $ run authorize
  162.  
  163.         UAF> mod anonymous/defpriv=nonetmbx/priv=nonetmbx
  164.  
  165.         UAF> show anonymous
  166.  
  167.         (Inspect the anonymous account to be sure that: )
  168.  
  169.         (       * The only privilege is TMPMBX )
  170.  
  171.         (       * Only NETWORK access is allowed )
  172.  
  173.         UAF> exit
  174.  
  175.         $ logout
  176.  
  177.  
  178.  
  179. Positive Impacts:
  180.  
  181. DECNet network security is greatly improved by preventing FTP users of
  182.  
  183. the ANONYMOUS account from accessing files via DECNET. Security of the
  184.  
  185. VAX/VMS computer is also improved by preventing DECNET access to the
  186.  
  187. ANONYMOUS account.
  188.  
  189.  
  190.  
  191. Negative Impacts:
  192.  
  193. Anonymous FTP users will no longer be able to access remote files via
  194.  
  195. DECNET.
  196.  
  197.  
  198.  
  199. Mitigation of Negative Impacts:
  200.  
  201. FTP users requiring access to remote files via DECNET can be given
  202.  
  203. accounts on the VAX/VMS system. If necessary, these accounts can be
  204.  
  205. configured to permit only NETWORK access with only TMPMBX and NETMBX
  206.  
  207. privileges.
  208.  
  209.  
  210.  
  211. Alternate Strategies:
  212.  
  213. Some TCP/IP implementations (notably MultiNet) provide a mechanism to
  214.  
  215. lock ANONYMOUS users into a directory tree. CIAC strongly recommends use
  216.  
  217. of this feature where possible.
  218.  
  219.  
  220.  
  221.  
  222.  
  223. II. SECURING ULTRIX COMPUTERS RUNNING THE DECNET-INTERNET GATEWAY SOFTWARE
  224.  
  225.  
  226.  
  227. Procedure:
  228.  
  229.         (login as root)
  230.  
  231.         # cd /etc
  232.  
  233.         # cp inetd.conf inetd.conf-saved
  234.  
  235.         (edit the file inetd.conf)
  236.  
  237.         ( place the "#" character in from of the line: )
  238.  
  239.         (       ftp     stream  tcp     nowait  /usr/etc/ftpd.gw ftpd.gw )
  240.  
  241.         ( add this line just after the line just modified: )
  242.  
  243.         (       ftp     stream  tcp     nowait  /usr/etc/ftpd ftpd )
  244.  
  245.         ( save the file and exit the editor )
  246.  
  247.         (Restart the inetd daemon. For example: )
  248.  
  249.         (   # ps -ax | grep inetd )
  250.  
  251.         (   Look at the output and find the process number of /etc/inetd )
  252.  
  253.         (   # kill -9 <process-number> )
  254.  
  255.         (   # /etc/inetd )
  256.  
  257.         # exit
  258.  
  259.  
  260.  
  261. Positive Impacts:
  262.  
  263. DECNet network security is greatly improved by preventing FTP access to
  264.  
  265. remote files via DECNET through the ULTRIX computer.
  266.  
  267.  
  268.  
  269. Negative Impacts:
  270.  
  271. Loss of access to remote files via DECNet to FTP users.
  272.  
  273.  
  274.  
  275. Mitigation of Negative Impacts:
  276.  
  277. FTP users requiring access to remote files via DECNET can be given
  278.  
  279. accounts on the ULTRIX computer from which they can copy the remote
  280.  
  281. files via DECNet, and then FTP those files to/from the ULTRIX
  282.  
  283. computer.
  284.  
  285.  
  286.  
  287. III. SECURING DEFAULT FAL ACCESS
  288.  
  289.  
  290.  
  291. Procedure (On VAX/VMS computers):
  292.  
  293.         (login as SYSTEM)
  294.  
  295.         $ mcr ncp set object fal username illegal
  296.  
  297.         $ mcr ncp define object fal username illegal
  298.  
  299.         (Make sure you don't have an account named "illegal".)
  300.  
  301.         $ logout
  302.  
  303.  
  304.  
  305. Procedure (On ULTRIX computers):
  306.  
  307.         (login as root)
  308.  
  309.         # /etc/ncp set object fal default user illegal
  310.  
  311.         # /etc/ncp define object fal default user illegal
  312.  
  313.         (Make sure you don't have an account named "illegal".)
  314.  
  315.         # exit
  316.  
  317.  
  318.  
  319. Procedure (On Sun computers):
  320.  
  321.         (login as root)
  322.  
  323.         # cd /etc
  324.  
  325.         (edit /etc/passwd to remove (or comment-out) the "dni" account)
  326.  
  327.         ( A typical dni account entry line looks like:)
  328.  
  329.         (   dni:*:376:376:default DNI account:/tmp: )
  330.  
  331.         ( and should be deleted or modified to: )
  332.  
  333.         (   #dni:*:376:376:default DNI account:/tmp: )
  334.  
  335.         # exit
  336.  
  337.  
  338.  
  339. Positive Impacts:
  340.  
  341. Local security is greatly improved by preventing DECNet access to local
  342.  
  343. files without specific authorization in the form of a local account or
  344.  
  345. DECNet proxy login. Note that DECNet proxy logins are not supported by
  346.  
  347. Sun's Sunlink DNI product.
  348.  
  349.  
  350.  
  351. Negative Impacts:
  352.  
  353. Loss of legitimate DECNet access to remote files by users not
  354.  
  355. possessing an account on the local computer. Under Sunlink DNI, default
  356.  
  357. access to the NML (Network Management Layer) server will also be lost.
  358.  
  359.  
  360.  
  361. Mitigation of Negative Impacts:
  362.  
  363. The use of DECNet proxy logins can provide access to legitimate users.
  364.  
  365. Alternatively, legitimate users cna be given accounts. Under VAX/VMS,
  366.  
  367. these accounts can be restricted to only NETWORK access and only NETMBX
  368.  
  369. and TMPMBX privileges. Note that DECNet proxy logins are not supported
  370.  
  371. by Sun's Sunlink DNI product.
  372.  
  373.  
  374.  
  375. Alternate Strategies:
  376.  
  377. For VAX/VMS computers, default FAL access to RIGHTSLIST.DAT can be
  378.  
  379. disabled with an ACL (Access Control List) entry. To do this:
  380.  
  381.         (Login as SYSTEM) $ mcr ncp show object fal char (Locate the
  382.  
  383.         "User id" from the output of the previous command ) ( and
  384.  
  385.         substitute appropriately below for <userid>) $ set acl
  386.  
  387.         sys$system:rightslist.dat/acl=(id=<userid>,access=none) ( for
  388.  
  389.         example: ) (  $ set acl
  390.  
  391.         sys$system:rightslist.dat/acl=(id=fal$server,access=none)) $
  392.  
  393.         dir/full sys$system:rightslist.dat ( Verify that the ACL is
  394.  
  395.         properly set. ) (CIAC strongly suggests you also add this ACL
  396.  
  397.         setting command to ) ( sys$manager:systartup_v5.com so that it
  398.  
  399.         will not be lost in case ) ( a new RIGHTSLIST.DAT file is
  400.  
  401.         created. )
  402.  
  403.  
  404.  
  405.  
  406.  
  407.