home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / ssh / ssh-minutes-94jul.txt < prev    next >
Encoding:
Text File  |  1994-11-18  |  5.0 KB  |  142 lines
  1.  
  2. Site Security Handbook BOF (SSH)
  3.  
  4. Reported by Joyce K. Reynolds/ISI and Barbara Fraser/CERT Coordination
  5. Center
  6.  
  7.  
  8. Introduction
  9.  
  10. In July 1991, the IETF published RFC 1244, ``Site Security Handbook.''
  11. This document represented a first attempt at providing Internet users
  12. with guidance on how to deal with security issues in the Internet.
  13. Several years have passed and this document has aged accordingly.  The
  14. purpose of this BOF was to:
  15.  
  16.  
  17.    o discuss the information provided in RFC 1244,
  18.    o identify information topics that are missing and needed,
  19.    o identify other documents currently available that are similar, and
  20.    o discuss a charter for the working group.
  21.  
  22.  
  23. Discussion
  24.  
  25. There was a general discussion about the contents of RFC 1244 and a
  26. resulting consensus that it needed to be updated.  Several aspects to
  27. the revision were mentioned:  scope, audience, size and organization of
  28. the information.
  29.  
  30. Discussion about the scope of the document included a suggestion to
  31. define a suite of documents describing all the security aspects of the
  32. Internet.  A working group resulting from this BOF could address one or
  33. more of those documents.  Concern about the size of RFC 1244 was
  34. mentioned.  Some felt that the new document should strive to fit within
  35. 50 pages.  This led to discussions about how we could separate material
  36. so that we could confine ourselves to a product of only 50 pages.  There
  37. was a suggestion to create three documents:
  38.  
  39.  
  40.    o Site Security Procedures Handbook
  41.    o Site Security Tools Handbook
  42.    o Site Security for Users
  43.  
  44.  
  45. The need for a special short document for end users was discussed.  It
  46. was mentioned that the audience has changed from medium-to-large sites,
  47. to small sites with no dedicated administrators, to people in their
  48. homes.  Looked at another way, with the move to distributed systems,
  49. increasingly, every end user is a system administrator.  After much
  50. discussion, the group moved back to identifying two audiences:
  51. system/network managers, and end users.
  52.  
  53. The group discussed many areas where updates were needed.  These
  54. included:
  55.  
  56.  
  57.    o passwords
  58.    o firewalls
  59.    o incident response
  60.    o general access controls (including anonymous FTP)
  61.    o backups
  62.    o need to address all external access points
  63.    o authentication and other generic security properties
  64.    o cryptography expansion
  65.    o update referenced RFC numbers
  66.    o PEM section
  67.    o information/data
  68.    o threats
  69.    o use of training
  70.    o integrity (especially a discussion about various checksuming
  71.      methods)
  72.  
  73.  
  74. Another suggestion was to add a ``pull-out'' section with
  75. fill-in-the-blanks where a site could tailor the pull out for itself.
  76. One example item was the ``single point of contact'' for security
  77. problems.
  78.  
  79. There were several other documents that were mentioned that could serve
  80. as a beginning point for the revision work, or as references.  These
  81. were:
  82.  
  83.  
  84.    o RFC 1636, a report from the IAB security workshop earlier this year
  85.    o The Haller/Atkinson paper on passwords
  86.    o NIST draft ``Introduction to Computer Security'' of June 1994
  87.  
  88.  
  89. In addition to discussing content changes, the group also discussed
  90. several organizational approaches for the material that will be
  91. included.  Possibilities mentioned were:
  92.  
  93.  
  94.    o Life cycle of procedures (this is generally the current
  95.      organization of RFC 1244):  policy ! procedures ! incident
  96.      handling
  97.  
  98.    o Where you are in your Internet life:  going to connect to the
  99.      Internet, newly connected, or experienced connectee
  100.  
  101.    o Management, operational, etc.
  102.  
  103.    o Self-auditing:  with checklists at the end of each chapter
  104.  
  105.  
  106. Other discussion in the group was concerned with whether to embed
  107. information on every topic or to include pointers to the information.
  108. There was support for both ways with a general feeling that readers
  109. don't like to ``follow pointers'' balanced with a desire to keep the
  110. document from becoming too large.
  111.  
  112. A little discussion focused on how to organize the work.  Ideas
  113. expressed included:
  114.  
  115.  
  116.    o Pull out enough material and revise it, keeping it to 50 pages,
  117.      then move to another document
  118.  
  119.    o Start with the lowest common denominator, the end user, and work up
  120.      to the system/network administrator
  121.  
  122.    o Start with the system/network administrators since ``that's what we
  123.      are most familiar with, and what will be easiest to write''
  124.  
  125.    o Define criteria to discriminate between users and system
  126.      administrators
  127.  
  128.    o Define outline
  129.  
  130.    o Pick sections and fill in content, then pick what is appropriate
  131.      for users, and what is appropriate for system administrators
  132.  
  133.  
  134. By the end of the BOF there was consensus that we define a charter for a
  135. working group.  The working group will create two documents:  one for
  136. users and one for system/network administrators.  The effort to create a
  137. charter will continue on a to-be-created mailing list:  ssh@cert.org.
  138. The old ``ssphwg'' mailing list was found, and one message will be sent
  139. to that list announcing the formation of the new list.  This will alert
  140. some of the original contributors of RFC 1244 to the new effort.
  141.  
  142.