home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / ssh / ssh-minutes-95apr.txt < prev    next >
Encoding:
Text File  |  1995-05-26  |  5.2 KB  |  153 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4. Reported by Barbara Fraser/CERT Coordination Center
  5.  
  6. Minutes of the Site Security Handbook Working Group (SSH)
  7.  
  8. The Site Security Handbook Working Group met twice during this IETF. The
  9. primary purpose was to decide on a final document outline and review the
  10. material that had been developed.
  11.  
  12.  
  13. I. Status of Writers and Sections
  14.  
  15.    o Introduction -- Barbara Fraser
  16.      This will be written when there is a draft.
  17.  
  18.    o Establishing site policy -- Gary Malkin, Scott Behnke
  19.      Gary has reviewed the existing section of RFC 1244 and said it fits
  20.      into this document and is fairly well up-to-date
  21.  
  22.    o Establish procedures to prevent problems -- Nevil Brownlee
  23.      Nevil was absent at the first meeting but reviewed his material at
  24.      the second session.
  25.  
  26.    o Types of security procedures -- Peter Kossakowski
  27.      Peter has reviewed Chapters 5 and 6 and rearranged them into one
  28.      eliminating duplication.  He found some gaps and sent the new
  29.      chapter to the list.  Erik Guttman will edit.
  30.  
  31.    o Bibliography -- Scott Behnke
  32.      Scott was absent.
  33.  
  34.  
  35. II. Proposed Outline of Document
  36.  
  37. A draft outline was shown based on list of topics from San Jose.  After
  38. much discussion, a few changes were made and it was decided that the
  39. following would be our document outline.  Discussion on various topics
  40. is included.
  41.  
  42.  
  43. Chapter 1:  Introduction -- Barbara Fraser
  44.  
  45. Chapter 2:  Site Security Policy -- Gary Malkin
  46.  
  47. Setting up accounts, keeping information about users, appropriate use,
  48. perhaps under policy as account management; needs to have an agreement
  49. with users.  May want to be flexible and not recommend specific actions.
  50. A policy is also needed to remove users.  It now contains sections on
  51. use of resources, responsibilities of users, and handling sensitive
  52. information.  Monitoring is a policy issue and it and other legal issues
  53. should be mentioned.  Legal advice cannot be given, but readers can be
  54. made aware that there are some areas where they will want to check with
  55. their legal folks on.
  56.  
  57.    o Account management
  58.       -  Creation
  59.       -  Management
  60.       -  Termination
  61.    o Acceptable Use
  62.    o Remote (network) access
  63.    o Monitoring/legal issues
  64.  
  65.  
  66.  
  67. Chapter 3:  Security Procedures
  68.  
  69. Procedures might include different types of access, authentication,
  70. backups, cryptography, system and network configurations.  The group
  71. discussed the word ``access'' and potential confusion with physical
  72. access.  The group also talked about dial-in/dial-out (on demand access)
  73. access, modems and terminal servers.  The group wants the document to
  74. cover security problems of modems on desktops and the dangers of SLIP
  75. and PPP access.  The distinction between network (e.g., TELNET) access
  76. and dial-up (modem) access was discussed.  Under the topic of
  77. cryptography, export and usage restrictions, use in storage versus
  78. communications, and authentication versus secrecy are being considered.
  79. IPv6 requires cryptography.  The document may mention sites outside the
  80. US where encryption can be obtained.  Uri commented that RFC 1244 is not
  81. up-to-date.  Encryption algorithms that might be mentioned include DES,
  82. IDEA, and public key.  Home-grown solutions will be warned against.
  83. Uses of cryptography such as protecting data (storage) and
  84. communications should be covered.  An in-depth section on cryptography
  85. is not wanted, and there will be a limit to how deeply to go into some
  86. aspects.  The sensitive areas like monitoring and cryptography will be
  87. identified and the importance of knowing local laws will be stressed.
  88.  
  89.  
  90.    o Authentication -- Barbara Fraser
  91.    o Authorization -- Ed Lewis
  92.    o Access -- ??
  93.    o Modems -- Nevil Brownlee
  94.    o Cryptography (uses and methods) -- Uri Blumenthal
  95.    o Auditing -- Ed Lewis
  96.    o Backups -- Joe Metzger
  97.  
  98.  
  99.  
  100. Chapter 4:  Architecture
  101.  
  102.    o Objectives -- Phillip Nesser
  103.       -  Complete defined security plan
  104.       -  Separation of services
  105.       -  ``Deny all'' vs.  ``Allow all'' philosophies
  106.       -  Identification of real needs for services
  107.    o Service configurations
  108.    o Network configurations -- Cathy Wittbrodt and Gary Malkin
  109.       -  Topology (include router placement)
  110.       -  Infrastructure elements (include DNS, mail hub, information
  111.          servers)
  112.       -  Network management
  113.    o Firewalls -- Jerry Anderson
  114.  
  115.  
  116. Chapter 5:  Incident Handling - Peter Kossakowski and Erik Guttman
  117.  
  118.    o Preparing and planning
  119.    o Notification and Point of Contacts
  120.    o Identifying incidents
  121.    o Handling incidents
  122.    o Aftermath
  123.    o Responsibilities
  124.  
  125.  
  126. Chapter 6:  Maintenance and Evaluation -- Ed Lewis
  127.  
  128.    o Risk assessments
  129.    o Notification of problems/events
  130.  
  131.  
  132. Appendix
  133.  
  134. The challenge here is to provide information that will not be out of
  135. date too soon.
  136.  
  137.  
  138.    o Tools and sites
  139.    o Mailing lists and other resources and organizations - Mike Ramsey
  140.  
  141.  
  142. III. Review Material and Drafts
  143.  
  144. Each of the writers who had submitted material addressed the group and
  145. solicited input.  New drafts will be submitted to the list.
  146.  
  147. All in all, the meetings were very productive and the group plans to
  148. have a draft out by the first week of May.  It will not be complete but
  149. it will incorporate all the work that has been done to this point.  As
  150. the items above indicate, a few able bodied writers are still needed.
  151. The group plans to meet twice in Stockholm.
  152.  
  153.