home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / ssh / ssh-minutes-94jul.txt

< prev

next >

Wrap

Text File  |  1994-11-18  |  5KB  |  142 lines

---

1.  
2. Site Security Handbook BOF (SSH)
3.  
4. Reported by Joyce K. Reynolds/ISI and Barbara Fraser/CERT Coordination
5. Center
6.  
7.  
8. Introduction
9.  
10. In July 1991, the IETF published RFC 1244, ``Site Security Handbook.''
11. This document represented a first attempt at providing Internet users
12. with guidance on how to deal with security issues in the Internet.
13. Several years have passed and this document has aged accordingly.  The
14. purpose of this BOF was to:
15.  
16.  
17.    o discuss the information provided in RFC 1244,
18.    o identify information topics that are missing and needed,
19.    o identify other documents currently available that are similar, and
20.    o discuss a charter for the working group.
21.  
22.  
23. Discussion
24.  
25. There was a general discussion about the contents of RFC 1244 and a
26. resulting consensus that it needed to be updated.  Several aspects to
27. the revision were mentioned:  scope, audience, size and organization of
28. the information.
29.  
30. Discussion about the scope of the document included a suggestion to
31. define a suite of documents describing all the security aspects of the
32. Internet.  A working group resulting from this BOF could address one or
33. more of those documents.  Concern about the size of RFC 1244 was
34. mentioned.  Some felt that the new document should strive to fit within
35. 50 pages.  This led to discussions about how we could separate material
36. so that we could confine ourselves to a product of only 50 pages.  There
37. was a suggestion to create three documents:
38.  
39.  
40.    o Site Security Procedures Handbook
41.    o Site Security Tools Handbook
42.    o Site Security for Users
43.  
44.  
45. The need for a special short document for end users was discussed.  It
46. was mentioned that the audience has changed from medium-to-large sites,
47. to small sites with no dedicated administrators, to people in their
48. homes.  Looked at another way, with the move to distributed systems,
49. increasingly, every end user is a system administrator.  After much
50. discussion, the group moved back to identifying two audiences:
51. system/network managers, and end users.
52.  
53. The group discussed many areas where updates were needed.  These
54. included:
55.  
56.  
57.    o passwords
58.    o firewalls
59.    o incident response
60.    o general access controls (including anonymous FTP)
61.    o backups
62.    o need to address all external access points
63.    o authentication and other generic security properties
64.    o cryptography expansion
65.    o update referenced RFC numbers
66.    o PEM section
67.    o information/data
68.    o threats
69.    o use of training
70.    o integrity (especially a discussion about various checksuming
71.      methods)
72.  
73.  
74. Another suggestion was to add a ``pull-out'' section with
75. fill-in-the-blanks where a site could tailor the pull out for itself.
76. One example item was the ``single point of contact'' for security
77. problems.
78.  
79. There were several other documents that were mentioned that could serve
80. as a beginning point for the revision work, or as references.  These
81. were:
82.  
83.  
84.    o RFC 1636, a report from the IAB security workshop earlier this year
85.    o The Haller/Atkinson paper on passwords
86.    o NIST draft ``Introduction to Computer Security'' of June 1994
87.  
88.  
89. In addition to discussing content changes, the group also discussed
90. several organizational approaches for the material that will be
91. included.  Possibilities mentioned were:
92.  
93.  
94.    o Life cycle of procedures (this is generally the current
95.      organization of RFC 1244):  policy ! procedures ! incident
96.      handling
97.  
98.    o Where you are in your Internet life:  going to connect to the
99.      Internet, newly connected, or experienced connectee
100.  
101.    o Management, operational, etc.
102.  
103.    o Self-auditing:  with checklists at the end of each chapter
104.  
105.  
106. Other discussion in the group was concerned with whether to embed
107. information on every topic or to include pointers to the information.
108. There was support for both ways with a general feeling that readers
109. don't like to ``follow pointers'' balanced with a desire to keep the
110. document from becoming too large.
111.  
112. A little discussion focused on how to organize the work.  Ideas
113. expressed included:
114.  
115.  
116.    o Pull out enough material and revise it, keeping it to 50 pages,
117.      then move to another document
118.  
119.    o Start with the lowest common denominator, the end user, and work up
120.      to the system/network administrator
121.  
122.    o Start with the system/network administrators since ``that's what we
123.      are most familiar with, and what will be easiest to write''
124.  
125.    o Define criteria to discriminate between users and system
126.      administrators
127.  
128.    o Define outline
129.  
130.    o Pick sections and fill in content, then pick what is appropriate
131.      for users, and what is appropriate for system administrators
132.  
133.  
134. By the end of the BOF there was consensus that we define a charter for a
135. working group.  The working group will create two documents:  one for
136. users and one for system/network administrators.  The effort to create a
137. charter will continue on a to-be-created mailing list:  ssh@cert.org.
138. The old ``ssphwg'' mailing list was found, and one message will be sent
139. to that list announcing the formation of the new list.  This will alert
140. some of the original contributors of RFC 1244 to the new effort.
141.  
142.