Защиту регистрации можно попытаться взломать, посылая серверу «само¬дельные» пакеты запросов, в которых используется информация из перехва¬ченных пакетов сеансов легальных пользователей. Технически мониторинг всех пакетов сети с шинной топологией возможен на любой рабочей станции при соответствующих возможностях сетевого адаптера и программного обес¬печения. Организационной мерой пресечения попыток таких нарушений является ограничение физического доступа потенциальных нарушителей к станциям сети.
Для архитектуры Ethernet несанкционированное подключение к толстому кабелю можно осуществить незаметно для системы (если передатчик нару¬шителя не обнаружит себя посылкой пакета, в котором будет содержаться адрес узла, отличный от известных администратору сети). При визуальном осмотре кабеля лишний трансивер скорее всего будет замечен.
Для тонкого кабеля незаметное подключение возможно лишь при использо¬вании существующих разъемов (разрыв сегмента на несколько секунд не приведет к потере соединений). При разрезании кабеля и установке новых разъемов эта процедура, занимающая несколько минут, почти наверняка приведет к потере какого-либо установленного соединения, что может при¬влечь внимание пользователей. Драйвер сетевого адаптера сервера этого не заметит, поскольку обрыв кабеля распознается при отсутствии обоих терми¬наторов, а в этом случае на каждом обрезке сегмента останется по одному из них.
Для витой пары дополнительное подключение возможно лишь к свобод¬ным портам хабов, а использование интеллектуальных хабов со встроенной защитой вообще не позволит осуществить подключение без ведома админис¬тратора.
Оптоволокно в качестве среды передачи также сильно затрудняет несанкци¬онированный доступ.
Мониторинг пакетов может иметь целью «подглядывание» пароля, обеспечи¬вающего доступ к важным ресурсам. NetWare-386 по умолчанию использует шифрованные пароли.
Если сервер работает в сети совместно с серверами 2.0 или 2.1х с необновлен¬ными утилитами или со станциями, использующими оболочку из версии 2.x, необходимо разрешить использование и нешифрованных паролей кон¬сольной командой

SET ALLOW UNENCRYPTED PASSWORDS = ON, по умолчанию OFF.

Подделав пакет NCP, пользователь на рабочей станции может выдать себя за более привилегированного пользователя (SUPERVISOR) и получить несанк¬ционированный доступ к системе и ресурсам. Для защиты от подделки пакетов применяется сигнатура пакетов NCP - подпись, меняющаяся от пакета к пакету. Пакеты NCP с некорректной сигнатурой игнорируются, но на станцию, консоль и в журнал системных ошибок отправляется диагности¬ческое сообщение с адресом станции и регистрационным именем.

Уровень сигнатуры для сервера определяется командой SET NCP PACKET SIGNATURE OPTION = 1 (0-3), доступной и из STARTUP. NCF. Во время работы его можно только увели¬чивать. Значения уровней: 0 - сервер никогда не подписывает пакеты; 1 - подписывает только по запросу клиента; 2 - подписывает, если кли¬ент способен подписывать; 3 - всегда подписывает и требует подписи от клиентов (иначе не позволит регистрацию).

Применение сигнатур может снижать производительность сервера, но явля¬ется необходимой мерой предосторожности при наличии на сервере особо ценной информации и доступности станций или кабелей для потенциальных нарушителей. Уровень сигнатур сервера должен быть согласован с возмож¬ностями станций.