home *** CD-ROM | disk | FTP | other *** search
/ Just Call Me Internet / Just Call Me Internet.iso / docs / protocol / rfc / rfc_txt / rfc2000 / rfc2179.txt < prev    next >
Text File  |  1997-08-06  |  21KB  |  564 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                           A. Gwinn
  8. Request for Comments: 2179                     Networld+Interop NOC Team
  9. Category: Informational                                        July 1997
  10.  
  11.  
  12.                     Network Security For Trade Shows
  13.  
  14. Status of this Memo
  15.  
  16.    This memo provides information for the Internet community.  This memo
  17.    does not specify an Internet standard of any kind.  Distribution of
  18.    this memo is unlimited.
  19.  
  20. Abstract
  21.  
  22.    This document is designed to assist vendors and other participants in
  23.    trade shows, such as Networld+Interop, in designing effective
  24.    protection against network and system attacks by unauthorized
  25.    individuals.  Generally, it has been observed that many system
  26.    administrators and trade show coordinators tend to overlook the
  27.    importance of system security at trade shows. In fact, systems at
  28.    trade shows are at least as prone to attack as office-based
  29.    platforms. Trade show systems should be treated as seriously as an
  30.    office computer. A breach of security of a trade show system can
  31.    render -- and has rendered -- an exhibitor's demonstrations
  32.    inoperable -- sometimes for the entire event!
  33.  
  34.    This document is not intended to replace the multitudes of
  35.    comprehensive books on the subject of Internet security.  Rather, its
  36.    purpose is to provide a checklist-style collection of frequently
  37.    overlooked, simple ways to minimize the chance of a costly attack.
  38.    We encourage exhibitors to pay special attention to this document and
  39.    share it with all associated representatives.
  40.  
  41. Physical Security
  42.  
  43.    Before addressing technical security issues, one of the most
  44.    frequently underrated and overlooked security breaches is the simple
  45.    low-tech attack.  The common victim is the one who leaves a console
  46.    logged in, perhaps as root, and leaves the system.  Other times, an
  47.    anonymous "helpful soul" might ask for a password in order to assist
  48.    the user in "identifying a problem."  This type of method allows an
  49.    intruder, especially one logged in as "root", access to system files.
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58. Gwinn                        Informational                      [Page 1]
  59.  
  60. RFC 2179            Network Security For Trade Shows           July 1997
  61.  
  62.  
  63.    Tips:
  64.  
  65.    * Educate sales and support staff regarding system logins, especially
  66.      "root" or other privileged accounts.
  67.    * Identify individuals who are not using exhibit systems for their
  68.      intended purpose, especially non-booth personnel.
  69.    * Request identification from anyone wishing to access systems
  70.      for maintenance purposes unless their identities are known.
  71.  
  72. System Security
  73.  
  74.    This section discusses technical security procedures for workstations
  75.    on the vendor network.  Although specifics tend to be for Unix
  76.    systems, general procedures apply to all platforms.
  77.  
  78. Password Security
  79.  
  80.    Lack of passwords or easy to guess passwords are a relatively low-
  81.    tech door into systems, but are responsible for a significant number
  82.    of breakins. Good passwords are a cornerstone of system security.
  83.  
  84.    By default, PC operating systems like Windows 95 and MacOS do not
  85.    provide adequate password security. The Windows login password
  86.    provides no security (hitting the "ESC" key allows the user to bypass
  87.    password entry). Password security for these machines is possible,
  88.    but is beyond the scope of this document.
  89.  
  90.    Tips:
  91.  
  92.    * Check /etc/passwd on Unix systems and the user administration
  93.      application on other systems for lack of passwords. Some vendors
  94.      ship systems with null passwords, in some cases even for
  95.      privileged accounts.
  96.    * Change passwords, especially system and root passwords.
  97.    * Mix case, numbers and punctuation, especially on privileged
  98.      accounts.
  99.    * Change system passwords on a regular basis.
  100.    * Do not use passwords relating to the event, the company, or
  101.      products being displayed.  Systems personnel at Networld+Interop,
  102.      when asked to assist booth personnel, often guess even root
  103.      passwords!
  104.  
  105.  
  106.  
  107.  
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114. Gwinn                        Informational                      [Page 2]
  115.  
  116. RFC 2179            Network Security For Trade Shows           July 1997
  117.  
  118.  
  119. Extra Privileged Accounts
  120.  
  121.    Some system vendors have been known to ship systems with multiple
  122.    privileged accounts (for example, Unix systems with accounts that
  123.    have root privileges [UID=0]). Some vendors may include a separate
  124.    system administration account that places a user in a specific
  125.    administrative program. Each additional privileged account presents
  126.    yet another opportunity for abuse.
  127.  
  128.    Generally, if a Unix system does not need additional root accounts,
  129.    these can be disabled by placing "*" in the password field of
  130.    /etc/passwd, or by using the administrative tool when a system
  131.    employees enhanced security. Verify all systems for extra privileged
  132.    accounts and either disable them or change their password as
  133.    appropriate.
  134.  
  135.    Make certain that privileged accounts are inaccessible from anywhere
  136.    other than the system console.  Frequently systems rely on files such
  137.    as /etc/securettys for a list of "secure" terminals.  As a general
  138.    rule, unless a terminal is in this file, a root login is not
  139.    possible.  Specific use of this feature should be covered in the
  140.    system's documentation files.
  141.  
  142.    Tips:
  143.  
  144.    * Check /etc/passwd on Unix systems and the user administration
  145.      application on other systems for additional privileged accounts.
  146.    * Disable remote login for privileged accounts.
  147.    * Disable any unnecessary privileged accounts.
  148.    * Limit logins from root accounts to "secure" terminals or the
  149.      system console.
  150.  
  151. Use of Authentication Tokens
  152.  
  153.    Authentication tokens such as SecureID, Cryptocard, DES Gold and
  154.    others, provide a method of producing "one-time" passwords.  The
  155.    principle advantage in a trade-show environment is to render
  156.    worthless, packets captured by sniffers on the network.  It should be
  157.    treated as fact, that there are many packet sniffers and other
  158.    administration tools constantly (legitimately) watching the network-
  159.    -especially at a large network-oriented trade show. Typed passwords,
  160.    by default, are sent clear text across the network, allowing others
  161.    to view them. Authentication tokens provide a password that is only
  162.    valid for that one instance, and are useless after that.  A logical
  163.    extension of the use of authentication tokens would be to use them
  164.    for "trips home" (from the show network to a home site) to minimize
  165.    the chance of off-site security problems.
  166.  
  167.  
  168.  
  169.  
  170. Gwinn                        Informational                      [Page 3]
  171.  
  172. RFC 2179            Network Security For Trade Shows           July 1997
  173.  
  174.  
  175.    An alternative to these tokens is the secure shell ("ssh") protocol
  176.    which provides an encrypted connection between clients and servers.
  177.    This connection can carry both login traffic and arbitrary port-to-
  178.    port communication, and is a powerful tool for securing an in-booth
  179.    network and communications to and from remote systems.
  180.  
  181.    Tips:
  182.  
  183.    * Contact vendors of authentication tokens/cards for further
  184.      information as to how to integrate into specific environments, or
  185.      on to specific platforms.
  186.    * The public-domain utility "cryptosu" (csu), when used with a
  187.      Cryptocard, provides a replacement for Unix's "su" command,
  188.      employing a challenge/response style of authentication for root
  189.      access.
  190.    * Explore the use of ssh clients and servers.
  191.  
  192. Anonymous FTP
  193.  
  194.    Anonymous FTP accounts can easily turn into a security hole.  Disable
  195.    this service if not specifically needed.  In the event that anonymous
  196.    FTP is to be used, the following tips may help secure it.
  197.  
  198.    * When a user logs in as "anonymous", they should be locked into a
  199.      specific directory tree. Be sure that FTPd properly chroots to the
  200.      appropriate directory. A "cd /" should put an anonymous user at the
  201.      top of the "public" tree, and not the system's root directory.
  202.    * Some systems may allow symbolic links (or "shortcuts") to take a
  203.      user outside the allowed tree. Verify all links inside the
  204.      anonymous FTP hierarchy.
  205.    * Make sure that ftp's root directory is "owned" by someone other
  206.      than the 'ftp' account. Typically, it should be owned by "root".
  207.    * Do not use a world-writable incoming directory unless absolutely
  208.      necessary. Many sites use these as a way for users to transfer
  209.      files into the site. This can, and frequently does, turn into an
  210.      archive for stolen software (referred to by the pirate community as
  211.      "warez").
  212.    * Removing read permissions from the directory permissions (chmod 733
  213.      on Unix systems) prohibits an anonymous user from being able to
  214.      list the contents of a directory. Files can be deposited as usual,
  215.      but not retrieved unless the user knows the exact name of the file.
  216.  
  217. Network File Sharing
  218.  
  219.    Writable file shares without some form of security are invitations to
  220.    destruction of information and demonstrations. Whether using NFS on
  221.    Unix systems, or PC sharing facilities like CIFS, AppleShare, or
  222.    NetWare, close attention should be paid to security of the files
  223.  
  224.  
  225.  
  226. Gwinn                        Informational                      [Page 4]
  227.  
  228. RFC 2179            Network Security For Trade Shows           July 1997
  229.  
  230.  
  231.    exported.  Keep in mind that one's competition frequently shares the
  232.    same network at a trade show!  Security for both read and write
  233.    access should be employed and each access point examined.
  234.  
  235.    Exporting a writable NFS filesystem to the world grants anyone the
  236.    ability to read and write any file in the exported mount point. If
  237.    this is done, for example, with a system directory such as "/" or
  238.    "/etc", it is a simple matter to edit password files to create one-
  239.    self access to a system. Therefore, /etc/exports should be closely
  240.    examined to be certain that nothing of a sensitive nature is exported
  241.    to anyone but another trusted host. Anything exported to the general
  242.    public should be exported "read-only", and verified for the
  243.    information that is available via the file shares.
  244.  
  245.    Tips:
  246.  
  247.    * Do not provide file sharing space unless needed.
  248.    * Verify where exported information will be "visible".
  249.    * Do not maintain any writable shares unless absolutely necessary!
  250.  
  251. Trusted Hosts
  252.  
  253.    Trusted host entries are a method for allowing other hosts
  254.    "equivalent" security access to another host computer. Some vendors
  255.    ship systems with open trusted host files.  Make certain that this
  256.    issue is addressed.
  257.  
  258.    Tips:
  259.  
  260.    * On Unix systems, check for a '+' entry (all systems trusted) in
  261.      /etc/hosts.equiv and all ".rhosts" files (there may be multiple
  262.      .rhosts files) and remove it.
  263.    * Check for an "xhost +" entry in the "...X11/xdm/Xsession" file.
  264.      Most often, an "xhost" entry will appear with a pathname such as
  265.      "/usr/local/lib/xhost +". Remove this.
  266.  
  267. SetUID and SetGID binaries (Unix systems)
  268.  
  269.    On Unix systems, the "suid" bit on a system executable program allows
  270.    the program to execute as the owner. A program that is setUID to
  271.    "root" will allow the program to execute with root privileges. There
  272.    are multiple legitimate reasons for a program to have root
  273.    privileges, and many do. However, it may be unusual to have suid
  274.    programs in individual user directories or other non-system places. A
  275.    scan of the filesystems can turn up any program with its suid or sgid
  276.    bit set.  Before disabling any programs, check the legitimacy of the
  277.    files.
  278.  
  279.  
  280.  
  281.  
  282. Gwinn                        Informational                      [Page 5]
  283.  
  284. RFC 2179            Network Security For Trade Shows           July 1997
  285.  
  286.  
  287.    Tips:
  288.  
  289.    * "find / -user root -perm -4000 -print" will find any occurrence of
  290.      a setuid file anywhere in the system, including those on NFS
  291.      mounted partitions.
  292.    * "find / -group kmem -perm -2000 -print" will do the same for kmem
  293.      group permissions.
  294.  
  295. System Directory Ownership and Write Permissions
  296.  
  297.    Check ownership of all system directories and permissions needed to
  298.    write or modify files. There is no simple way to do this on PC
  299.    operating systems like Windows NT without simply checking all files
  300.    and directories or using a version of "ls" that will list ACLs.
  301.  
  302.    On Unix systems, a directory with permissions such as "drwxrwxrwx"
  303.    (such as /tmp) is world-writable and anyone can create or modify
  304.    files in such area. Pay special attention to "/" and "/etc". These
  305.    should be owned by some system account-not by an individual user.
  306.    When in doubt, contact the vendor of the system software for
  307.    confirmation of the appropriate directory or file permissions.
  308.  
  309. Network Services
  310.  
  311.    Any servers not needed should be disabled. The notorious "R services"
  312.    (rexec, rsh, and rlogin) are particularly prone to security problems
  313.    and should be disabled unless specifically needed.  Pay particular
  314.    attention to trusted hosts files, and be aware of the risk of IP
  315.    spoofing attacks from machines "pretending" to be trusted hosts.
  316.  
  317.    Tips:
  318.  
  319.    * On Unix systems, comment out "R services" (rexec, rsh, rlogin) in
  320.      /etc/inetd.conf.
  321.    * Check for other unknown or unneeded services.
  322.  
  323. Trivial File Transfer Protocol (TFTP)
  324.  
  325.    TFTP can be an easy way for an intruder to access system files. It is
  326.    good general practice to disable TFTP.  If TFTP is needed, verify
  327.    that only files targeted for export are accessible.  A simple way to
  328.    check security is to attempt to tftp files such as /etc/passwd or
  329.    /etc/motd to check accessiblity of system files.
  330.  
  331.  
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338. Gwinn                        Informational                      [Page 6]
  339.  
  340. RFC 2179            Network Security For Trade Shows           July 1997
  341.  
  342.  
  343. TCP Connection Monitoring
  344.  
  345.    Public domain software (TCP Wrappers or "tcpd" for Unix systems)
  346.    allow restriction and monitoring of TCP connections on a host by host
  347.    basis. Systems can be configured to notify an administrator and
  348.    syslog when any unauthorized party attempts to access the host. This
  349.    software is available from:
  350.  
  351.    * ftp://info.cert.org/pub/tools/tcp_wrappers/
  352.  
  353. BIND (Berkeley Internet Name Daemon)
  354.  
  355.    Earlier versions of BIND have been prone to various attacks. If a
  356.    host is going to be acting as DNS, use the latest version of BIND.
  357.    It is available at:
  358.  
  359.    * ftp://ftp.isc.org/isc/bind
  360.  
  361. Sendmail and Mailer Security
  362.  
  363.    A great number of previous versions of Sendmail have known security
  364.    holes.  Check installed sendmail for the most recent version.
  365.    Alternatively, consult the operating system vendor to get the most
  366.    recent release for the platform.
  367.  
  368. Web Server Scripting Security
  369.  
  370.    All Web server scripts and binaries should be checked (especially the
  371.    "...httpd/cgi-bin" directory) for those that allow shell commands to
  372.    be executed. Many attacks in recent months have focused on the use of
  373.    utilities such as "phf" for accessing /etc/passwd on a target system.
  374.    Remove any script that is not needed in the course of operation of a
  375.    web server.
  376.  
  377. Other Suggestions
  378.  
  379.    * Check with the vendor of the operating system for known security
  380.      issues. Make certain that all systems have the latest version of
  381.      software--especially security patches to fix specific problems.
  382.  
  383.    * Examine log files on the host frequently. On Unix systems, the
  384.      "last" command will furnish information on recent logins and where
  385.      they came from. The "syslogs" or "Event Viewer" will contain more
  386.      specific information on system events.
  387.  
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394. Gwinn                        Informational                      [Page 7]
  395.  
  396. RFC 2179            Network Security For Trade Shows           July 1997
  397.  
  398.  
  399.    * Web server logfiles (...httpd/log/access_log and
  400.      ...httpd/log/error_log) will contain information on who has been
  401.      accessing a WWW server, what has been accessed, and what has
  402.      failed.
  403.  
  404.    * Good backups are the best defense against system damage. Perform
  405.      backups before placing a system on the trade show network then
  406.      continue backups throughout the show and again following the event.
  407.      A final backup set is useful to examine for possible attempts at
  408.      (or successful) penetrations of system security.
  409.  
  410. General Network Security
  411.  
  412.    As would be expected at network trade shows (large or otherwise),
  413.    there are many entities running packet sniffers. Most are exhibitors
  414.    who have a legitimate need to run them during the course of product
  415.    demonstrations. However, be aware that there are many "listening
  416.    ears" on network segments--any of whom can "hear" or "see"
  417.    information as it crosses the net. Particularly prone to
  418.    eavesdropping are telnet sessions. A good rule of thumb is to assume
  419.    that "when you type your password, the only one that doesn't see it
  420.    is you!"
  421.  
  422.    It is a good practice to not log in (or "su") to an account with
  423.    privileges across the network if at all possible. As mentioned
  424.    previously, authentication tokens and ssh are a simple way to add
  425.    security to system account access.
  426.  
  427. Packet Filtering
  428.  
  429.    Many routers support basic packet filtering.  If a router can be
  430.    deployed between the local network and the show's network, general
  431.    basic packet filtering should be employed.  Below is a good "general"
  432.    packet filter approach. The approach itself is ordered into
  433.    categories:
  434.  
  435.    * General global denials/acceptance.
  436.    * Specific global service denials.
  437.    * Specific service acceptance.
  438.    * Final denial of all other TCP/UDP services.
  439.  
  440.    Based on the theory of denying everything that you don't know is
  441.    acceptable traffic, a good approach to a filter ruleset, in order of
  442.    execution priority, might be:
  443.  
  444.  
  445.  
  446.  
  447.  
  448.  
  449.  
  450. Gwinn                        Informational                      [Page 8]
  451.  
  452. RFC 2179            Network Security For Trade Shows           July 1997
  453.  
  454.  
  455.    General Global Denials/Acceptance
  456.  
  457.    1 Filter spoofed source addresses by interface. Match source
  458.      addresses to routing information available for the interface.
  459.      Discard packets with source addresses arriving on one interface
  460.      (from the "outside" for example) claiming a source address on
  461.      another interface (the "inside").
  462.    2 Filter all source routed packets unless source routing is
  463.      specifically needed.
  464.    3 Allow outbound connections from "inside" hosts.
  465.    4 Allow established TCP connections (protocol field contains 6 and
  466.      the TCP flags field either contains ACK or does NOT contain SYN
  467.      bit). Only filter requests for 'new' connections.
  468.    5 Filter 'new' connections with source port of 25. Prevents people
  469.      from pretending to be a remote mail server.
  470.    6 Filter loopback address (source address 127.0.0.1). Prevents
  471.      packets from a misconfigured DNS resolver.
  472.  
  473.    Specific Global Service Denials
  474.  
  475.    1 Specifically block all "R-command" ports
  476.      (destination ports 512-515).
  477.    2 Block telnet (destination port 23) from any host not requiring
  478.      telnet access from the outside. (If you use ssh, you can
  479.      block it from all hosts!)
  480.    3 Add specific filters to deny other specific protocols to the
  481.      network, as needed.
  482.  
  483.    Specific Host/Service Acceptance
  484.  
  485.    1 Add specific access to specific "public" hosts' services
  486.      (unsecure FTP or WWW servers).
  487.    2 Allow SMTP (source and destination port 25) for electronic mail
  488.      to the mail server(s).
  489.    3 Allow inbound FTP connections (source port 20) to the FTP server(s).
  490.    4 Allow DNS (source and destination port 53, UDP & TCP) to name servers.
  491.      If zone transfers are not needed, block the TCP ports.
  492.    5 Allow RIP packets in (source and destination port 520, UDP), if
  493.      appropriate.
  494.    6 Add specific filters to allow other desired specific protocols
  495.      or to open certain ports to specific machines.
  496.  
  497.    Final Service Denial
  498.  
  499.    1 Deny all other UDP and TCP services not allowed by the previous
  500.      filters.
  501.  
  502.  
  503.  
  504.  
  505.  
  506. Gwinn                        Informational                      [Page 9]
  507.  
  508. RFC 2179            Network Security For Trade Shows           July 1997
  509.  
  510.  
  511. Author's Address
  512.  
  513.    R. Allen Gwinn, Jr.
  514.    Associate Director, Computing
  515.    Business Information Center
  516.    Southern Methodist University
  517.    Dallas, TX  75275
  518.  
  519.    Phone:  214/768-3186
  520.    EMail:  allen@mail.cox.smu.edu  or  allen@radio.net
  521.  
  522.  
  523. Contributing Writer
  524.  
  525.    Stephen S. Hultquist
  526.    President
  527.    Worldwide Solutions, Inc.
  528.    4450 Arapahoe Ave., Suite 100
  529.    Boulder, CO  80303
  530.  
  531.    Phone: +1.303.581.0800
  532.    EMail: ssh@wwsi.com
  533.  
  534.  
  535.  
  536.  
  537.  
  538.  
  539.  
  540.  
  541.  
  542.  
  543.  
  544.  
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551.  
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562. Gwinn                        Informational                     [Page 10]
  563.  
  564.