home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / ssh / ssh-minutes-94dec.txt

< prev

next >

Wrap

Text File  |  1995-02-22  |  9KB  |  183 lines

---

1.  
2. CURRENT_MEETING_REPORT_
3.  
4. Reported by Barbara Fraser/CERT Coordination Center
5.  
6. Minutes of the Site Security Handbook Working Group (SSH)
7.  
8.  
9. Agenda
10.  
11.    o Discuss and decide which document to develop first
12.       -  Site Security Handbook for System and Network Administrators
13.       -  Site Security Handbook for Users
14.    o Create editorial board
15.    o Begin development of the first document
16.  
17.  
18. Discussion
19.  
20. There was considerable discussion about the two site security documents.
21. There were mixed feelings about which document to create first, as well
22. as whether to create the documents in parallel or serially.  One point
23. was made that even though it is incomplete and dated, system and network
24. administrators have RFC 1244 but users have nothing, hence work should
25. begin with the users' document.  Another point of view was that the
26. system and network administrators' document would produce information
27. that could then quickly be adapted to the user.  After more discussion,
28. it was generally decided that they should be created serially because
29. there are not enough writers to create them in parallel.  However, as
30. material is developed for the first document, pieces will be saved that
31. are thought to be suitable for the second document.
32.  
33. It was decided that the group would begin with the Site Security
34. Handbook for System and Network Administrators.
35.  
36.  
37. Editorial Board
38.  
39. In order to produce a new document in a reasonably short period of time,
40. it will be necessary for a number of people to write small sections.
41. These will then be merged to produce the completed document.  It was
42. acknowledged that significant editorial work will be needed in order to
43. produce a document that reads as if a single person had written it.  The
44. following people have offered to be on the editorial board:  Barbara
45. Fraser, Gary Malkin, Uri Blumenthal, Jules Aronson, Nevil Brownlee and
46. Erik Buttman.
47.  
48.  
49. Procedure for Creating the Document
50.  
51. The group discussed how they would go about the process of creating a
52. new document and decided on the following steps:
53.  
54.   A. Split up RFC 1244 into pieces and categorize contents
55.   B. Identify list of topics and writing assignments
56.   C. Update reference RFCs (Joyce Reynolds)
57.   D. Create outline
58.   E. Create draft
59.  
60. The purpose of activity ``A'' is to 1) review a chapter of the current
61. RFC, 2) decide whether it (and its subsections) applies to
62. system/network administrators or end users, or both, and 3) tag the
63. pieces with topics.  This will make it easy for writers to identify the
64. pieces that pertain to their areas.
65.  
66. This activity will result in two lists, one for each document.  Each
67. entry in a list should be a ``chapter.section'' followed by the topics
68. related to it.
69.  
70. The following people volunteered to help:
71.  
72.     __________________________________________________________________
73.    ||                                       |                        ||
74.    || Introduction                          |Barbara Fraser          ||
75.    ||_______________________________________|________________________||
76.    ||                                       |                        ||
77.    || Establishing Site Policy              |Gary Malkin,            ||
78.    ||                                       |Scott Behnke            ||
79.    ||_______________________________________|________________________||
80.    ||                                       |                        ||
81.    || Incident Handling                     |Klaus-Peter Kossakowski ||
82.    ||_______________________________________|________________________||
83.    ||                                       |                        ||
84.    || Establishing Procedures to            |Nevil Brownlee          ||
85.    || Prevent Security Problems             |                        ||
86.    ||_______________________________________|________________________||
87.    ||                                       |                        ||
88.    || Types of Security Procedures          |Nevil Brownlee          ||
89.    ||_______________________________________|________________________||
90.    ||                                       |                        ||
91.    || Establishing Post-Incident Procedures |Klaus-Peter Kossakowski,||
92.    ||                                       |Gary Malkin             ||
93.    ||_______________________________________|________________________||
94.    ||                                       |                        ||
95.    || Bibliography                          |  Scott Behnke          ||
96.    ||_______________________________________|________________________||
97.  
98.  
99. The group began activity ``B'' by creating a list of topics from the
100. current document as well as from those mentioned at the BOF held at the
101. Toronto IETF. This list is a beginning and the group acknowledged that
102. some additions may be needed as time goes along.  The list of starting
103. topics along with volunteer writers is included below.  Occasionally
104. specific, narrow subjects came up that were not complete sections in and
105. of themselves.  So that they do not get forgotten, they have been
106. explicitly mentioned below, under one of the topic areas.  Topics with
107. no assigned writer have `???'  in the author field.
108.  
109. The writer's job is to take existing RFC 1244 material and modify it to
110. meet today's needs.  This may include adding or deleting, or otherwise
111. changing the content.
112.  
113.  ________________________________________________________________________
114. ||_Policy________________________________|Gary_Malkin__________________ ||
115. ||_Passwords_____________________________|Barbara_Fraser________________||
116. ||_Network_Configuration_________________|Cole_Libby____________________||
117. || System Configuration                  |Jules Aronson                 ||
118. || (this topic should include DHCP and   |                              ||
119. ||_backups_as_well_as_other_topics)______|______________________________||
120. ||_Firewalls_____________________________|Cole_Libby____________________||
121. || Incident Response                     |Klaus-Peter Kossakowski,      ||
122. ||_______________________________________|Erik_Guttman__________________||
123. || Access                                |Sepi Boroumand, Nevil Brownlee||
124. || (this topic should include modems and |                              ||
125. || other external access methods along   |                              ||
126. ||_with_other_topics)____________________|______________________________||
127. || Post Incident Processing              |???                           ||
128. ||_(including_issues_relating_to_backups)|______________________________||
129. ||_Cryptography__________________________|Uri_Blumenthal________________||
130. || Available Security Technology         |???                           ||
131. ||_(applications_-_tools)________________|______________________________||
132. ||_Threats/Risks/Asset_Identification____|???___________________________||
133. ||_Training_*____________________________|______________________________||
134. ||_Protecting_the_Infrastructure_________|Gary_Malkin___________________||
135. ||_______________________________________|______________________________||
136.  
137.    * The group will not include training at this point other than a
138.      mention of the need for training in the Introduction.  The
139.      relationship between administrators and end users will need to be
140.      described.
141.  
142.  
143. Goals and Milestones
144.  
145. By the end of January, the group will have topics from RFC 1244
146. separated into lists and have a draft outline for the system
147. administrators' handbook.  Two weeks before the April IETF, draft
148. sections will be completed by the authors and merged into a first
149. Internet-Draft.  At the April IETF, there will be a detailed review of
150. the draft sections and a review of overall document content (including
151. identification of holes).
152.  
153.  
154. Miscellaneous
155.  
156. The group agreed that they want to create a checklist to accompany the
157. system administrators' handbook as an appendix.
158.  
159. The group discussed the users' handbook and decided that it must be
160. short and easy to read.  The notion of a pamphlet containing a bulleted
161. list was discussed.
162.  
163. It was also decided that the group needs to ensure that the document
164. provides something directed to users who have machines on their desks
165. that are configured with a network protocol stack.  These users need to
166. be made aware of the additional issues like:  running servers, attaching
167. modems, bringing up SLIP/PPP connections, etc.
168.  
169.  
170. Housekeeping
171.  
172. There will be several lists maintained on the archive area:  list of
173. topics for the Site Security Handbook for System and Network
174. Administrators, list of topics/bullets for the Site Security Handbook
175. for Users' and writing assignments.
176.  
177.  
178. Next IETF
179.  
180. The group plans to schedule two back-to-back sessions to review each
181. section of the draft document.
182.  
183.