home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / nasreq / nasreq-minutes-93mar.txt < prev    next >
Text File  |  1993-04-29  |  13KB  |  307 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4.  
  5. Reported by Larry Blunk/Merit, Allan Rubens/Merit and
  6. John Vollbrecht/Merit
  7.  
  8. Minutes of the Network Access Server Requirements Working Group (NASREQ)
  9.  
  10. Agenda
  11.  
  12.  
  13.    o Quick Introduction and Review.
  14.    o User/NAS Authentication Issues.  Review of Write Ups.
  15.    o Server Requirements Discussion.
  16.    o NAS/AAA Architecture Options Vendor Presentations/discussions.
  17.    o Plan for Future Work.
  18.  
  19.  
  20. Review
  21.  
  22. The meeting started out with a review of what this Group is trying to
  23. accomplish.  Its primary purpose is to establish a set of requirements
  24. for authentication, authorization, and accounting (AAA) capabilities in
  25. a network access server (NAS). This has been difficult because standards
  26. to address the required interfaces are not well defined.  The focus has
  27. shifted to outlining requirements for standards that need to be
  28. developed.
  29.  
  30. This meeting attempted to focus on the NAC/NAS interface and the NAS/AAA
  31. server interface separately.  It was pointed out that all parts of the
  32. authentication process need to be considered when evaluating a
  33. particular scheme, so such a distinction needed to be made carefully.
  34.  
  35. The term NAC (Network Access Client) was suggested quite early in the
  36. meeting to replace the term ``user'' in order to prevent confusion about
  37. the problem being addressed.  A NAC is as a device such as a workstation
  38. or router that wishes to attach to the NAS.
  39.  
  40. NAC/NAS Authentication
  41.  
  42. John Vollbrecht presented three models for NAC/NAS authentication which
  43. he has described in postings to the nasreq mailing list.  The models
  44. presented were:
  45.  
  46.  
  47.   1. NAC id and password in the clear.
  48.   2. One way authentication of NAC to NAS, password not in clear.
  49.   3. Mutual authentication of NAC and NAS, again no password in the
  50.      clear.
  51.  
  52.  
  53. There was some discussion of whether the first approach was desirable
  54.  
  55.                                    1
  56.  
  57.  
  58.  
  59.  
  60.  
  61. since it puts the user password in the clear.  It was pointed out that
  62. this is the predominant way of doing authentication at this time.  It
  63. was also pointed out that the connection between NAC and NAS would be
  64. coming under more serious attacks as time goes on and technology becomes
  65. more dispersed and better understood.
  66.  
  67. Jeff Schiller pointed out, and the Group endorsed, that any
  68. authentication methods or protocols adopted by this Group need to
  69. preserve the same degree of security provided by the underlying
  70. authentication mechanism.  That is, inserting a NAS should not make the
  71. process more vulnerable than it was without a NAS.
  72.  
  73. There was some concern that the NAS needs to be an identifiable entity
  74. to prevent spoofing.  There was a question as to whether mutual NAS/NAC
  75. authentication is necessary.  One might be willing to trust that the
  76. connection is being made to the phone number being called.
  77.  
  78. Although many people at the meeting thought that it wasn't really
  79. necessary at this time, there still may be a need in the larger
  80. community.  It is not the role of the Group to decide what level of
  81. security is needed but to provide for mechanisms to achieve various
  82. levels of security that can be selected by the NAS providers.  Jeff
  83. Shiller noted that it is not very difficult to provide mutual
  84. authentication, so it should be provided for.
  85.  
  86. Another question that arose was ``Even after you mutually authenticate
  87. with the NAS, how can you be assured that the NAS really is one provided
  88. by the network you think you're calling into?''  One could envision
  89. someone advertising a phone number to use that is really connected to a
  90. machine that picks up user ids and passwords or logs all data.  To avoid
  91. this, you may want to know that the particular NAS you've called into is
  92. really a NAS provided by the administrator of the network the NAS
  93. resides on.  Using the concept of Group membership for this problem
  94. makes it addressable as an authorization (as opposed to authentication)
  95. issue.
  96.  
  97. It was also pointed out during this discussion that only NAC/NAS
  98. authentication is being considered here.  While the same mechanisms
  99. might be used between a host system or a server and the authentication
  100. server, this would be done separately from the NAC/NAS authentication.
  101. The NAS is not meant to act as a security front end for a set of
  102. servers.
  103.  
  104. Jeff Schiller agreed to review the proposed authentication mechanisms
  105. and provide a set of specifications.  Bill Simpson said that he would
  106. insure that those authentication requirements that impact PPP
  107. authentication protocols are addressed by the PPP Working Group.
  108.  
  109. NAS/AAA Interface Requirements
  110.  
  111. John Vollbrecht then opened discussion of the NAS/AAA interface.  The
  112. environment that a NAS works in may be quite complex.  The MichNet
  113. environment is one where several institutions provide dialup NAS service
  114.  
  115.                                    2
  116.  
  117.  
  118.  
  119.  
  120.  
  121. and allow the others to share usage of the NAS. In this environment it
  122. is necessary for a NAS to be able to authenticate a user at the user's
  123. home authentication server.  The home authentication servers may be
  124. quite diverse, including Kerberos, Unix pw/id, MTS, etc.  The NAS would
  125. also need to interface to multiple authorization and accounting servers.
  126. In this environment it seems that architecturally a common AAA server
  127. that interfaces to the NAS and then to all the servers would be
  128. appropriate - a ``helper''.
  129.  
  130. The interface to the common AAA server could be some existing standard,
  131. if one existed, that would serve the purpose.  The Group had some
  132. discussion of whether such a standard did exist.  No standard appeared
  133. to be appropriate.
  134.  
  135. John next presented in greater detail, the idea of the helper and the
  136. potential benefits of having a standard protocol between the NAS and the
  137. helper.  The helper is a process that interfaces with other servers for
  138. the NAS. A standard NAS/helper interface is then required.
  139.  
  140. This approach could benefit NAS purchasers, vendors, and users.  The
  141. NAS/helper concept allows NAS vendors to implement a standard protocol
  142. for interfacing with AAA rather than implementing a separate interface
  143. for each type of server to be supported.  Users, or third party
  144. implementors, could then provide the special interfaces to AAA servers
  145. in stand alone packages that could augment or replace vendor
  146. implementations.
  147.  
  148. The hope is that the NAS/helper protocol could be defined in a manner
  149. that provides enough functionality and expandability to allow adaptation
  150. to evolving AAA standards.  Network providers could base their choice of
  151. NAS on factors other than the AAA server types supported.
  152.  
  153. NAS/helper Proposal
  154.  
  155. Steve Willens then presented Livingston's RADIUS implementation.  RADIUS
  156. is a system recently developed by Livingston that parallels the
  157. NAS/helper model.  Livingston is willing to make code supporting this
  158. available as part of a NAS/helper standard if the Group thinks that
  159. would be a good idea.
  160.  
  161. Steve described the protocol used and the functions provided by this
  162. system.  He also described how MD5 is used to pass unencrypted passwords
  163. securely from the NAS to the helper.  This allows authentication systems
  164. that need to receive an unencrypted password to be used for the NAC/NAS
  165. authentication.
  166.  
  167. It was suggested that the entire data stream be encrypted, not just the
  168. packet containing the id and password.  There are problems with this due
  169. to PPP and also due to the extra processing load or cost that would be
  170. imposed on the typically inexpensive NAS. It would be unreasonable to
  171. require sending all PPP data encrypted.  It also would require DES or
  172. something which has much tighter export controls.
  173.  
  174.  
  175.                                    3
  176.  
  177.  
  178.  
  179.  
  180.  
  181. Representatives from PSI and JVNCnet saw a real need for a mechanism
  182. like Radius.  Steve offered to make both the RADIUS client and server
  183. software available to others, including other vendors.
  184.  
  185. Plan for Future Work
  186.  
  187. Allan Rubens reminded the Group that there are still a few other issues
  188. that need to be addressed.  One issue deals with how the per port packet
  189. filters are specified and updated.  One proposal was that there should
  190. be a standard MIB for packet filters and that the filters should be
  191. updated using SNMP.
  192.  
  193. There's also the issue of how a NAC specifies what authentication domain
  194. an id belongs to.  It was pointed out that Kerberos provides for this
  195. capability.  There are still major accounting issues that need to be
  196. investigated and discussed.  Steve Kent thought that the issue of
  197. distributed names could be significant.
  198.  
  199. Allan Rubens proposed that the Group attempt to finish up the
  200. ``Requirements Document'' by November.  Some thought that it was too
  201. early.  Others thought that we needed an ``Architecture Document'' first
  202. to clarify what a NAS is and the environment in which it is expected to
  203. operate.  There was some concern that protocols were being defined by a
  204. requirements Group.
  205.  
  206. Action Items
  207.  
  208.  
  209. Steve Willens       Agreed to head up an effort to define a
  210.                     NAS-``helper'' protocol as an RFC. Representatives
  211.                     from at least two other vendors volunteered to help
  212.                     with this effort.  The NASREQ Charter will be
  213.                     updated to reflect the current goals of this Group
  214.                     and discussions will take place to determine if this
  215.                     protocol should be defined as a product of this
  216.                     Working Group.  It was pointed out that the
  217.                     NAS-helper model is just one way of addressing NAS
  218.                     AAA issues and that the Group needs to still be open
  219.                     to other approaches.
  220.                     Steve will publish the names of people participating
  221.                     in the Protocol definition and invites participation
  222.                     from anyone else interested.  A goal is to have some
  223.                     working documents available for the Amsterdam IETF
  224.                     and a Draft RFC for November.  Steve will advise if
  225.                     these goals are realistic.
  226. Jeff Schiller       Volunteered to describe a set of NAC/NAS
  227.                     authentication protocols.  Hopefully these will be
  228.                     available by the Amsterdam IETF so they can be
  229.                     passed to the PPP Working Group.
  230. Bill Simpson        Agreed to take the descriptions that Jeff works up
  231.  
  232.                                    4
  233.  
  234.  
  235.  
  236.  
  237.  
  238.                     to the PPP Working Group.
  239. Rubens or Vollbrecht   Will rework the Working Group Charter to include
  240.                     the possibility of coming up with an RFC for a
  241.                     NAS/helper interface protocol.
  242. Jim Barnes          Has volunteered to Chair a meeting of this Working
  243.                     Group at the next IETF in Amsterdam.  A meeting had
  244.                     not been scheduled earlier because neither of the
  245.                     Chairs was able to commit to being at the meeting.
  246.                     It seems that it would be good to have a meeting
  247.                     there, if only to allow more people to hear about
  248.                     what we are doing and to get more input from a
  249.                     European view.  Unless there are strong objections
  250.                     we will schedule a meeting in Amsterdam with Jim
  251.                     chairing it.
  252.  
  253.  
  254.  
  255. Attendees
  256.  
  257. Vikas Aggarwal           aggarwal@jvnc.net
  258. Jim Barnes               barnes@xylogics.com
  259. Ed Brencovich            edb@dss.com
  260. Sandy Bryant             slb@virginia.edu
  261. John Campbell            jrcamp@nosc.mil
  262. John Chang               changj@ralvm6.vnet.ibm.com
  263. David Conrad             davidc@iij.ad.jp
  264. Avi Elenko               avi@dss.com
  265. Jonathan Fellows         jonf@gdstech.grumman.com
  266. Antonio Fernandez        afa@thumper.bellcore.com
  267. Jisoo Geiter             geiter@mitre.org
  268. Richard Graveman         rfg@ctt.bellcore.com
  269. Terry Gray               gray@cac.washington.edu
  270. Richard Harris           rharris@atc.boeing.com
  271. Susan Harris             srh@umich.edu
  272. Frank Heath              heath@cmc.com
  273. David Katinsky           dmk@pilot.njin.net
  274. Charles Kaufman          kaufman@zk3.dec.com
  275. Stephen Kent             kent@bbn.com
  276. Hock-Koon Lim            lim@po.cwru.edu
  277. John Linn                linn@gza.com
  278. Steven Lunt              lunt@bellcore.com
  279. Cynthia Mills            cmills@bbn.com
  280. Bob Morgan               morgan@networking.stanford.edu
  281. Clifford Neuman          bcn@isi.edu
  282. David O'Leary            doleary@cisco.com
  283. Brad Parker              brad@fcr.com
  284. Brad Passwaters          bjp@sura.net
  285. April Richstein          amr@tycho.ncsc.mil
  286. Allan Rubens             acr@merit.edu
  287. Jeffrey Schiller         jis@mit.edu
  288. William Simpson          Bill.Simpson@um.cc.umich.edu
  289. Bob Stewart              rlstewart@eng.xyplex.com
  290.  
  291.                                    5
  292.  
  293.  
  294.  
  295.  
  296.  
  297. Theodore Ts'o            tytso@mit.edu
  298. John Vollbrecht          jrv@merit.edu
  299. Richard Warwick          richard@dss.com
  300. James Weatherford        weatherf@nosc.mil
  301. Steve Willens            steve@livingston.com
  302. Cathy Wittbrodt          cjw@barrnet.net
  303.  
  304.  
  305.  
  306.                                    6
  307.