home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 911105-01 < prev    next >
Encoding:
Internet Message Format  |  1991-11-17  |  2.8 KB
  1. From: prl@iis.ethz.ch (Peter Lamb)
  2. Newsgroups: alt.security,comp.unix.admin
  3. Subject: Re: NIS and password security
  4. Keywords: NIS, YP, passwords
  5. Message-ID: <prl.689340261@iis>
  6. Date: 5 Nov 91 11:24:21 GMT
  7. References: <1991Nov3.162147.14010@frcs.Alt.ZA> <prl.689243758@iis> <dank.689273862@blacks>
  8. Organization: Swiss Federal Institute of Technology (ETH), Zurich, CH
  9.  
  10. dank@blacks.jpl.nasa.gov (Dan Kegel) writes:
  11.  
  12. >prl@iis.ethz.ch (Peter Lamb) writes:
  13. >>Without a firewall, NIS permits your passwd and passwd.adjunct maps
  14. >>to be read from any machine that can route packets to and from your
  15. >>server.
  16.  
  17. >This is supposedly fixed in NIS 3.0, which I think will ship with
  18. >SunOS 4.1.2.
  19.  
  20. Good. I had been unable to find out a shipping date for NIS 3.0.
  21.  
  22. >In the meantime, connect your local net to the Internet
  23. >through a Cisco router, and refuse to route packets using the sunrpc
  24. >tcp or udp ports (is that right, Peter?)
  25.  
  26. Nope. Disabling access to the sunrpc port (port #111, tcp & udp,
  27. usually served by portmapper) will stop some attacks,
  28. most notably the ones possible using vendor-supplied utilities, and
  29. the most obvious of the do-it-yourself attacks, but will not prevent
  30. more intelligent attacks. It is necessary to block access on all
  31. ports 600-1023 to prevent the attacks reliably. Then it doesn't
  32. really matter if the portmapper can be addressed or not. (Un)fortunately,
  33. this blocks access to all RPC services which use a Unix privileged port
  34. but it is the only reliable method, since RPC-to-port registration
  35. is pseudo-random (in that range).
  36.  
  37. Disabling access to port nfs/udp (port #2049) in the firewall is probably
  38. a good idea too.
  39.  
  40. None of this helps, of course, if a machine on the wrong side of the
  41. firewall gets cracked by some other method.
  42.  
  43. >A second wall of protection can be had by replacing passwd with npasswd, 
  44. >which will prevent people from using easily-crackable passwords.
  45. >Npasswd (with my local changes) is available for ftp from blacks.jpl.nasa.gov 
  46. >in pub/security.
  47. >- Dan Kegel (dank@blacks.jpl.nasa.gov)
  48.  
  49. Yes, this is a good precaution. After installing this, you should make
  50. a copy of the password file, and then insist that everyone run their
  51. current password through npasswd, and change it if the current password
  52. was unacceptable, and after a reasonable delay, diff the old
  53. username:passwd fields of the old and new files to make sure that every
  54. password has been vetted (this allows users to keep their old password
  55. if it was OK, since each password has only a 1/4096 probability of
  56. having the same encryption if the password text itself is the same).
  57.  
  58. Choosing a non-obvious NIS domain-name will also make it more difficult
  59. for a remote cracker to gain access to your NIS maps (yes, this is
  60. security-through-obscurity).
  61.  
  62. Using Kerberos/Hesiod is a good alternative.
  63.  
  64. Peter Lamb (prl@iis.ethz.ch)
  65.  
  66.