home *** CD-ROM | disk | FTP | other *** search
/ Amiga ISO Collection / AmigaDemoCD2.iso / ASCII / TEXTE / SCENE / HPA / HACKING / intersec.txt < prev    next >
Encoding:
Text File  |  1994-03-26  |  13.8 KB  |  290 lines
  1. @BEGIN_FILE_ID.DIZ
  2. Info on Security of teh Internet
  3. @END_FILE_ID.DIZ
  4.                          CSL BULLETIN
  5.                      HaCkEd bY ReAPeR M/\N
  6.                
  7. July 1993
  8.  
  9.  
  10. CONNECTING TO THE INTERNET:  SECURITY CONSIDERATIONS
  11.  
  12. This bulletin focuses on security considerations for organizations
  13. considering Internet connections.  Spurred by developments in high-
  14. speed networking technology and the National Research and Education
  15. Network (NREN), many organizations and individuals are looking at
  16. the Internet as a means for expanding their research interests and
  17. communications.  Consequently, the Internet is now growing faster
  18. than any telecommunications system thus far, including the
  19. telephone system.
  20.  
  21. New users of the Internet may fail to realize, however, that their
  22. sites could be at risk to threats such as intruders who use the
  23. Internet as a means for attacking systems and causing various forms
  24. of computer security incidents.  Consequently, new Internet sites
  25. are often prime targets for malicious activity, including break-
  26. ins, file tampering, and service disruptions.  Such activity may be
  27. difficult to discover and correct, may be highly embarrassing to
  28. the organization, and can be very costly in terms of lost
  29. productivity and damage to data.
  30.  
  31. New and existing Internet users need to be aware of the high
  32. potential for computer security incidents from the Internet and the
  33. steps they should take to secure their sites.  Many tools and
  34. techniques now exist to provide sites with a higher level of
  35. assurance and protection.
  36.  
  37. The Internet
  38. The Internet is a world-wide "network of networks" that use the
  39. TCP/IP protocol suite for communications.  The component networks
  40. are interconnected at various points to provide multiple routes to
  41. destinations and a high level of overall service to users.  Many
  42. academic, business, and government organizations are connected to
  43. the Internet.  In 1993, over five million users were connected,
  44. with roughly half being business users.
  45.  
  46. The Internet provides several types of services, including terminal
  47. emulation and remote system access (telnet), file exchange (ftp),
  48. electronic mail (smtp), and a number of other services for
  49. information exchange.
  50.  
  51. As outlined in CSL Bulletin TCP/IP or OSI?  Choosing a Strategy for
  52. Open Systems, NIST advises that agencies procure Open Systems
  53. Interconnect (OSI) networking products for new network
  54. implementations and for multivendor information exchange.  At the
  55. same time, it is practical for agencies to consider connections to
  56. the Internet for the purpose of exchanging e-mail and files with
  57. the large number of existing Internet sites.
  58.  
  59. Security Problems on the Internet
  60. In recent years, a number of security problems with the Internet
  61. have become apparent.  Newspapers have carried stories of high-
  62. profile "cracker" attacks via the Internet against government,
  63. business, and academic sites.  Crackers often roam the Internet
  64. with impunity, covering their tracks by moving from system to
  65. system.  Intruders have been known to use systems illegally to
  66. exchange copyrighted software, to obtain sensitive information such
  67. as business secrets, and in general to cause mischief.  System
  68. administrators are often unaware of break-ins and unauthorized
  69. users until they learn by accident.  A number of factors have
  70. contributed to this state of affairs.
  71.  
  72. Complexity of Configuration:  Many sites connect systems to the
  73. Internet with little thought to the complexity of system
  74. administration and the increased potential for abuse from the
  75. Internet.  New systems often arrive "out of the box" with network
  76. access controls configured for maximum, i.e., least secure, access. 
  77. The access controls are usually complex to configure and monitor. 
  78. As a result, controls that are accidentally misconfigured can
  79. result in unauthorized access.
  80.  
  81. Ease of Spying and Spoofing:  The vast majority of Internet traffic
  82. is unencrypted and therefore easily readable.  As a result, e-mail,
  83. passwords, and file transfers can be monitored and captured using
  84. readily available software.  Intruders have been known to monitor
  85. connections to well-known Internet sites for the purpose of gaining
  86. information that would allow them to crack security or to steal
  87. valuable information.  This information sometimes permits intruders
  88. to spoof legitimate connections, i.e., trick system security into
  89. permitting normally disallowed network connections.
  90.  
  91. Inherent Problems with TCP/IP Protocols:  The TCP/IP protocol
  92. suite, as implemented in the Internet, does not contain provisions
  93. for network security.  A number of the TCP/IP services, e.g.,
  94. rlogin, rsh, etc., rely on mutually trusting systems and are
  95. inherently vulnerable to misuse and spoofing.  Ironically, some of
  96. these services, e.g., nis and nfs, are widely used to coordinate
  97. local area network security and to distribute system resources
  98. among other local systems.  If the vulnerabilities in these
  99. services are exploited, security on the local area network could be
  100. badly compromised.
  101.  
  102. Wide-Open Network Policies:  Many sites are configured
  103. unintentionally for wide-open Internet access without regard to the
  104. potential for abuse from the Internet.  Some systems still employ
  105. password-less guest accounts or anonymous ftp accounts that can be
  106. written to without restriction.  Others keep sensitive information
  107. on network-accessible systems where it can be easily read.  The
  108. vast majority of sites permit more TCP/IP services than they
  109. require for their operations and do not attempt to limit access to
  110. information about their computers that could prove valuable to
  111. intruders.
  112.  
  113. Recommendations for New and Existing Internet Connections
  114. New and existing Internet sites need to take strong and specific
  115. measures to improve computer security.  These measures include
  116. creating a TCP/IP service access policy, using strong
  117. authentication, and using a secure Internet gateway that can imple-
  118. ment network access policies.
  119.  
  120.   ÉÍÍÍÍÍÍÍÍÍÍÍÍþService Access PolicyþÍÍÍÍÍÍÍÍÍÍÍÍ»
  121.   º ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿                           º
  122.   º ³                 ³                           º
  123.   º ³     Local       ³              ÚÄÄÄÄÄÄÄÄÄÄ¿ º
  124.   º ³     Area        ³    strong    ³  Secure  ÃÄ×Äþ INTERNET
  125.   º ³     Network     ³authentication³  Gateway ÃÄ×Äþ OSI WANs
  126.   º ³     Systems     ³              ÀÄÄÄÄÄÄÄÄÄÄÙ º
  127.   º ³                 ³                           º
  128.   º ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ                           º
  129.   ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
  130.  
  131. Network Service Policy:  The first step is to create a policy that
  132. details what types of connectivity will be permitted.  If, for
  133. example, e-mail is the only service required, then other forms of
  134. access such as telnet and ftp can be restricted and overall risks
  135. reduced.  Eliminating the TCP/IP services that are not needed will
  136. help to provide a simpler, more manageable network environment. 
  137. The following figure is a partial list of TCP/IP services that
  138. should be restricted or blocked from passing through a site's
  139. Internet gateway:
  140.  
  141.                     High-Risk TCP/IP Services
  142.  DNS zone transfers  leaks names of internal
  143. systems  tftp  intruders can read
  144. password file  RPC (eg., NIS,
  145. NFS)  intruders can read/write
  146. files  rlogin, rsh, etc.  relies on mutually
  147. trusting systems  X windows,        
  148. OpenWindows  intruders can monitor
  149. users' sessions  telnet, ftp, smtp  can be abused, access
  150. should be re-
  151.  stricted to selected
  152. systems
  153. Strong Authentication:  Systems that can be accessed from the
  154. Internet or via modem should require strong authentication such as
  155. provided by smart cards and authentication tokens.  These systems
  156. use one-time passwords that cannot be spoofed, regardless of
  157. whether the passwords are monitored.  CSL Bulletin Advanced
  158. Authentication Technology contains more information on strong
  159. authentication techniques.
  160.  
  161. Secure Gateways:  Secure gateways, or firewalls, are highly
  162. effective for improving site network security.  A secure gateway is
  163. a collection of systems and routers placed at a site's central
  164. connection to a network whose main purpose is to restrict access to
  165. internal systems.  A secure gateway forces all network connections
  166. to pass through the gateway where they can be examined and
  167. evaluated.  The secure gateway may then restrict access to or from
  168. selected systems or block certain TCP/IP services or provide other
  169. security features.  A simple network usage policy that can be
  170. implemented by a secure gateway is to provide access from internal
  171. to external systems, but little or no access from external to
  172. internal systems (except perhaps for e-mail).
  173.  
  174. For small sites, a simple router with packet-filtering capability
  175. may serve as an effective gateway.  This type of router can
  176. typically restrict access to selected systems and services by
  177. examining each packet according to a sequence of filtering rules. 
  178. A more flexible and robust approach is to combine the router with
  179. other systems capable of logging network access and restricting
  180. access and services on a finer basis.  Some secure gateways
  181. implement proxy services that require all ftp or telnet connections
  182. to be first authenticated at the gateway before being allowed to
  183. continue.
  184.  
  185. Without a secure gateway, a site's security depends entirely on the
  186. collective security of its individual systems.  As the number of
  187. systems increases, it becomes more difficult to ensure that network
  188. security policies are enforced.  Errors and simple mistakes in one
  189. system's configuration can cause problems for other interconnected
  190. systems.
  191.  
  192. Securing Modem Pools:  Unrestricted incoming and outgoing modem
  193. pools (including PABX systems) can create backdoors that would let
  194. intruders get around the access controls of secure gateways.  Modem
  195. pools need to be configured to deny access to unauthorized users. 
  196. Systems that can be accessed from modem pools should require strong
  197. authentication such as one-time passwords.  Modem pools should not
  198. be configured for outgoing connections unless access can be
  199. carefully controlled.
  200.  
  201. Securing Public Access Systems:  Public access systems such as
  202. anonymous ftp archives are often prime targets for abuse.  Such
  203. systems, if misconfigured to allow writing, can permit intruders to
  204. destroy or alter data or software, which can prove highly
  205. embarrassing to the organization.  CSL Bulletin Security Issues in
  206. Public Access Systems provides guidance on securing public access
  207. systems.
  208.  
  209. System Security Tools:  The existence of a secure gateway does not
  210. negate the need for stronger system security.  Many tools are
  211. available for system administrators to enhance system security and
  212. provide additional audit capability.  Such tools can check for
  213. strong passwords, log connection information, detect changes in
  214. system files, and provide other features that will help
  215. administrators to detect signs of intruders and break-ins.
  216.  
  217. Keeping Up-to-Date
  218. Sites need to be aware of other resources and information that will
  219. permit them to update site security as new vulnerabilities are
  220. discovered and as new tools and techniques to improve security
  221. become available.  In particular, sites need to know who to contact
  222. when trouble arises.
  223.  
  224. Vendor Support:  Several system vendors now regularly distribute
  225. software update notifications and related security information via
  226. e-mail.  Customers need to contact vendors and determine whether
  227. they can receive such information.
  228.  
  229. Incident Handling Teams:  A number of vendors, other businesses,
  230. and government-affiliated organizations have created computer
  231. security incident handling teams.  These groups typically provide
  232. assistance in determining whether an incident has occurred and how
  233. to correct any vulnerabilities that were exploited.  NIST helps to
  234. coordinate the Forum of Incident Response and Security Teams
  235. (FIRST).  FIRST provides guidance and overall coordination of teams
  236. and incident handling information.  For more information about
  237. incident response teams and FIRST, contact NIST (see below).
  238.  
  239. For More Information
  240. NIST will be issuing more guidance on open systems security and on
  241. secure gateways.  For more information on Internet security and
  242. other computer security issues, contact the National Institute of
  243. Standards and Technology at the following address:  NIST, Building
  244. 225, Room A-216, Gaithersburg, MD 20899-0001; telephone (301) 975-
  245. 3359; fax (301) 948-0279.
  246.  
  247. References
  248. The sources used to develop this bulletin provide excellent
  249. resources for further information on Internet security and related
  250. topics.  Ordering information is provided when appropriate.  All
  251. references except [1] and [6] are available from the NIST BBS or
  252. via ftp.
  253.  
  254. [1]    Cerf, Vinton, "A National Information Infrastructure," 
  255. Connexions, June 1993.
  256.  
  257. [2]    "TCP/IP or OSI? Choosing a Strategy for Open Systems," CSL
  258.        Bulletin, National Institute of Standards and Technology, June
  259.        1992.  
  260.  
  261. [3]    Bellovin, Steve, "Security Problems in the TCP/IP Protocol
  262.        Suite," Computer Communication Review, April 1989.
  263.  
  264. [4]    Holbrook, Paul, and Joyce Reynolds, "Site Security Handbook,"
  265.        RFC 1244 prepared for the Internet Engineering Task Force,
  266.        1991.  
  267.  
  268. [5]    "Advanced Authentication Technology," CSL Bulletin, National
  269.        Institute of Standards and Technology, November 1991.
  270.  
  271. [6]    Curry, David, Unix System Security, Addison Wesley, 1992.
  272.  
  273. [7]    Ranum, Marcus, "Thinking About Firewalls," Proceedings of
  274.        Second International Conference on System and Network
  275.        Security, April 1993.
  276.  
  277. [8]    "Security Issues in Public Access Systems," CSL Bulletin,
  278.        National Institute of Standards and Technology, May 1993.
  279.  
  280. [9]    Polk, W. Timothy, Automated Tools for Testing Computer System
  281.        Vulnerability, NIST Special Publication 800-6, National
  282.        Institute of Standards and Technology, December 1992.  Order
  283.        from GPO, 202-783-3238, SN003-003-03189-9, or NTIS, 703-487-
  284.        4650, PB93-146025.
  285.  
  286. [10]   Wack, John, Establishing A Computer Security Incident Response
  287.        Capability, NIST Special Publication 800-3, National Institute
  288.        of Standards and Technology, November 1991.  Order from NTIS,
  289.        703-487-4650, PB92-123140. 
  290.