home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / ssh / ssh-minutes-95apr.txt

< prev

next >

Wrap

Text File  |  1995-05-26  |  5KB  |  153 lines

---

1.  
2. CURRENT_MEETING_REPORT_
3.  
4. Reported by Barbara Fraser/CERT Coordination Center
5.  
6. Minutes of the Site Security Handbook Working Group (SSH)
7.  
8. The Site Security Handbook Working Group met twice during this IETF. The
9. primary purpose was to decide on a final document outline and review the
10. material that had been developed.
11.  
12.  
13. I. Status of Writers and Sections
14.  
15.    o Introduction -- Barbara Fraser
16.      This will be written when there is a draft.
17.  
18.    o Establishing site policy -- Gary Malkin, Scott Behnke
19.      Gary has reviewed the existing section of RFC 1244 and said it fits
20.      into this document and is fairly well up-to-date
21.  
22.    o Establish procedures to prevent problems -- Nevil Brownlee
23.      Nevil was absent at the first meeting but reviewed his material at
24.      the second session.
25.  
26.    o Types of security procedures -- Peter Kossakowski
27.      Peter has reviewed Chapters 5 and 6 and rearranged them into one
28.      eliminating duplication.  He found some gaps and sent the new
29.      chapter to the list.  Erik Guttman will edit.
30.  
31.    o Bibliography -- Scott Behnke
32.      Scott was absent.
33.  
34.  
35. II. Proposed Outline of Document
36.  
37. A draft outline was shown based on list of topics from San Jose.  After
38. much discussion, a few changes were made and it was decided that the
39. following would be our document outline.  Discussion on various topics
40. is included.
41.  
42.  
43. Chapter 1:  Introduction -- Barbara Fraser
44.  
45. Chapter 2:  Site Security Policy -- Gary Malkin
46.  
47. Setting up accounts, keeping information about users, appropriate use,
48. perhaps under policy as account management; needs to have an agreement
49. with users.  May want to be flexible and not recommend specific actions.
50. A policy is also needed to remove users.  It now contains sections on
51. use of resources, responsibilities of users, and handling sensitive
52. information.  Monitoring is a policy issue and it and other legal issues
53. should be mentioned.  Legal advice cannot be given, but readers can be
54. made aware that there are some areas where they will want to check with
55. their legal folks on.
56.  
57.    o Account management
58.       -  Creation
59.       -  Management
60.       -  Termination
61.    o Acceptable Use
62.    o Remote (network) access
63.    o Monitoring/legal issues
64.  
65.  
66.  
67. Chapter 3:  Security Procedures
68.  
69. Procedures might include different types of access, authentication,
70. backups, cryptography, system and network configurations.  The group
71. discussed the word ``access'' and potential confusion with physical
72. access.  The group also talked about dial-in/dial-out (on demand access)
73. access, modems and terminal servers.  The group wants the document to
74. cover security problems of modems on desktops and the dangers of SLIP
75. and PPP access.  The distinction between network (e.g., TELNET) access
76. and dial-up (modem) access was discussed.  Under the topic of
77. cryptography, export and usage restrictions, use in storage versus
78. communications, and authentication versus secrecy are being considered.
79. IPv6 requires cryptography.  The document may mention sites outside the
80. US where encryption can be obtained.  Uri commented that RFC 1244 is not
81. up-to-date.  Encryption algorithms that might be mentioned include DES,
82. IDEA, and public key.  Home-grown solutions will be warned against.
83. Uses of cryptography such as protecting data (storage) and
84. communications should be covered.  An in-depth section on cryptography
85. is not wanted, and there will be a limit to how deeply to go into some
86. aspects.  The sensitive areas like monitoring and cryptography will be
87. identified and the importance of knowing local laws will be stressed.
88.  
89.  
90.    o Authentication -- Barbara Fraser
91.    o Authorization -- Ed Lewis
92.    o Access -- ??
93.    o Modems -- Nevil Brownlee
94.    o Cryptography (uses and methods) -- Uri Blumenthal
95.    o Auditing -- Ed Lewis
96.    o Backups -- Joe Metzger
97.  
98.  
99.  
100. Chapter 4:  Architecture
101.  
102.    o Objectives -- Phillip Nesser
103.       -  Complete defined security plan
104.       -  Separation of services
105.       -  ``Deny all'' vs.  ``Allow all'' philosophies
106.       -  Identification of real needs for services
107.    o Service configurations
108.    o Network configurations -- Cathy Wittbrodt and Gary Malkin
109.       -  Topology (include router placement)
110.       -  Infrastructure elements (include DNS, mail hub, information
111.          servers)
112.       -  Network management
113.    o Firewalls -- Jerry Anderson
114.  
115.  
116. Chapter 5:  Incident Handling - Peter Kossakowski and Erik Guttman
117.  
118.    o Preparing and planning
119.    o Notification and Point of Contacts
120.    o Identifying incidents
121.    o Handling incidents
122.    o Aftermath
123.    o Responsibilities
124.  
125.  
126. Chapter 6:  Maintenance and Evaluation -- Ed Lewis
127.  
128.    o Risk assessments
129.    o Notification of problems/events
130.  
131.  
132. Appendix
133.  
134. The challenge here is to provide information that will not be out of
135. date too soon.
136.  
137.  
138.    o Tools and sites
139.    o Mailing lists and other resources and organizations - Mike Ramsey
140.  
141.  
142. III. Review Material and Drafts
143.  
144. Each of the writers who had submitted material addressed the group and
145. solicited input.  New drafts will be submitted to the list.
146.  
147. All in all, the meetings were very productive and the group plans to
148. have a draft out by the first week of May.  It will not be complete but
149. it will incorporate all the work that has been done to this point.  As
150. the items above indicate, a few able bodied writers are still needed.
151. The group plans to meet twice in Stockholm.
152.  
153.