home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / spwg / spwg-minutes-90july.txt

< prev

next >

Wrap

Text File  |  1993-02-17  |  20KB  |  516 lines

---

1.  
2.  
3. CURRENT_MEETING_REPORT_
4.  
5.  
6. Reported by Steve Crocker/TIS, Richard Pethia/CERT,
7. J. Paul Holbrook/CERT
8.  
9. SPWG Minutes
10.  
11. The Security Policy Working Group (SPWG) met in Vancouver.  The Chair,
12. Richard Pethia, was unable to attend, and the meeting was co-Chaired by
13. Paul Holbrook and Steve Crocker.
14.  
15. Background
16.  
17. Prior meetings had opened up a range of topics including whether there
18. should be a security policy for the Internet, what aspects of security
19. were important, who should implement the policy, and what means should
20. be used.  A three dimensional framework had been proposed to help
21. categorize the issues.  The three dimensions are:
22.  
23. Security services, including:
24.  
25.  
26.    o Protection of information from unauthorized disclosure
27.    o Protection of information from unauthorized modification
28.    o Protection from denial of service
29.    o Protection from unauthorized use of facilities
30.  
31.  
32. Who is affected
33.  
34.  
35.    o Users
36.    o Host operators
37.    o Local network operators
38.    o Regional and Backbone network operators
39.    o Host operating system vendors
40.    o Network component suppliers, e.g., router vendors
41.  
42.  
43. Means to implement
44.  
45.  
46.    o Administrative
47.    o Technical
48.    o Legal and Legislative
49.  
50.  
51. The Vancouveri Meeting
52.  
53. At the Vancouver meeting, we shifted focus and attempted to find a
54.  
55.                                    1
56.  
57.  
58.  
59.  
60.  
61.  
62. consensus on what the central elements of an Internet policy might be.
63.  
64. The group engaged in an experiment in which each participant attempted
65. to write a set of principles.  This exercise worked very well, and the
66. responses from the group showed a surprising amount of agreement.  Joel
67. Jacobs from Mitre took the task of trying to synthesize the writings of
68. the group into a single strawman security policy.  A summary (and
69. interpretation) of some of the thoughts of the group is included at the
70. end of these minutes.
71.  
72. A fuller summary of the exercise conducted at the Vancouver meeting will
73. be coming out in October.  Some points emerged fairly clearly.  There is
74. a common understanding that sites are fundamentally reponsible for their
75. own security and that in a community as large as the Internet there are
76. some individuals who will attempt to violate the security of systems.
77. Against this backdrop, two ideas emerged fairly clearly as principles to
78. build into the policy.
79.  
80.  
81.   1. Users have a positive obligation to respect the security of the
82.      systems on the Internet.  This includes not attempting to penetrate
83.      systems they don't have access to and not exceeding the authorized
84.      use of the systems they have access to.  As simple as this
85.      statement seems to be, it establishes the idea that security in the
86.      Internet is not a game.  Without a clear statement along these
87.      lines, it might be considered fair game to try to break into
88.      systems just to see if it can be done.
89.   2. Sites and network operators should cooperate with each other on
90.      security matters.
91.      Again, this statement seems simple on its face, but it establishes
92.      the idea that sites, local nets, etc., have an obligation to assist
93.      each other instead of leaving each site strictly to its own
94.      defense.
95.  
96.  
97. These ideas and others will be elaborated upon in the next few months.
98.  
99. Selected Observations
100.  
101. What follows are some of the themes the group seems to agree upon
102. coupled with explanatory paragraphs in which I (Paul Holbrook) try to
103. interpret the thinking of the group.
104.  
105. A caveat:  the information in this document has been filtered several
106. times.  Steve Crocker provided the original bullets, and thus provided
107. his own view of what the group said.  The paragraph after each bullet is
108. my interpretation of what the group was thinking about.  In particular,
109. where the explanation says people `should' do something, that does not
110. mean that everyone agreed to propose this, just that this is one
111. interpretation of where the group was going.  The result is that the
112. people who were at the meeting may not agree with what follows.
113.  
114.  
115.                                    2
116.  
117.  
118.  
119.  
120.  
121.  
122. Internet, regionals/backbones, sites, hosts -- all should have security
123. policies.
124.  
125. Security policies and procedures are needed at all levels of the
126. Internet.  The policies will be different for different groups, and the
127. general level of security expected may be different.  For example, the
128. policy may encourage regional networks to protect the network
129. infrastructure such as the routers and other network equipment, but may
130. put the burden of privacy on hosts.  Thus, a regional would make it's
131. best effort to protect the network, but would not provide a guarantee of
132. privacy for the hosts that use it.
133.  
134. Emphasis on user responsibility, identification, and accountability.
135.  
136. The policy should state clearly that users are responsible for their own
137. actions regardless of the level of security a site maintains.  By
138. analogy, even if you leave your front door unlocked, that doesn't give
139. someone else permission to enter your house.
140.  
141. Sites should also have policies that support identifying and (if
142. necessary) accounting for individual users.  If your site is used to
143. break into another site, that other site may ask for your help in
144. tracking down the problem.  It should be possible for you to figure out
145. what user's account at your site was used.  This requires that all users
146. be individually identified, and that enough accounting records be kept
147. to identify when users were on systems.  (On Unix systems, the normal
148. login accounting may well be sufficient for what we're after here.)
149.  
150. This last requirement is likely to be controversial.  There are sites
151. that keep guest or group accounts for their own convenience, terminal
152. servers that allow access out to the Internet without logging into a
153. local system, and so forth.  There was some irony in this proposal,
154. since we all enjoyed this kind of open access out to the Internet at
155. UBC, yet this was the very kind of access we were proposing limiting.
156.  
157. Emphasis on mutual assistance
158.  
159.    o Preference for investigation
160.    o Concern for privacy
161.  
162. Where possible, sites should assist each other in investigating security
163. incidents.  Sites should provide contact points to help facilitate
164. communication about security problems.
165.  
166. When a security incident occurs, a site has two main choices:
167.  
168.  
169.    o Try to watch or trace the intruder(s) in an effort to see how
170.      widespread the problem is and hopefully identify who is
171.      responsible;
172.    o Identify the vulnerabilities or lapses that led to the incident,
173.      clean up the systems and lock the intruder(s)
174.  
175.                                    3
176.  
177.  
178.  
179.  
180.  
181.  
182. Some people leaned towards encouraging sites to investigate problems.
183. In many cases, locking an intruder out will force them to find another
184. site to use, but will not stop them from breaking into systems.  The
185. decision about what to do about an intrusion will always be up to the
186. site, but the community standard should be to try to solve the problem.
187. This does not necessarily advocate prosecution or law enforcement
188. involvement.  Once an intruder is identified, there are many possible
189. courses of action.
190.  
191. Encouragement to use good security controls
192.  
193. Policies and procedures are not a substitute for putting good security
194. controls in place and making sure systems are securely configured.  The
195. policy should encourage sites to put useful security controls in place.
196.  
197. The_Need_for_Unforgeable_User_Identification_
198.  
199. Vint Cerf/CNRI
200.  
201. FIRST DRAFT
202.  
203. Summary
204.  
205. This brief memorandum motivates the need for Internet mechanisms and
206. facilities for authenticating user identification and for assuring that
207. such identification cannot be forged.
208.  
209. Introduction
210.  
211. The Internet has reached a point in its evolution where some of the
212. services accessible require compensation from the using parties (or an
213. entity which accepts responsibility for paying for services rendered).
214.  
215. At the application level, such compensation is required for use of
216. information services such as bibliographic databases (National Library
217. of Medicine MEDLARS; Research Libraries Information Network, etc.)
218.  
219. Commercial electronic messaging providers (e.g.  MCI Mail, Compuserve,
220. ATT Mail, Sprint Mail, BT Dialcom, QUIK-COMM, etc.)  normally charge for
221. their services.  Some, such as Compuserve and MCI Mail provide access to
222. commercial information services (e.g., Dow Jones News & Retrieval).
223. Under the present terms and conditions, commercial email services do not
224. charge Internet users for delivering email sent from Internet sites to
225. commercial email boxes.  Even if this provision remains in place, there
226. are other services such as fax and hardcopy delivery, bulletin boards
227. and information services which, at present, are not accessible to
228. Internet users because there is no secure way to identify a billable
229. account to which to charge these special services.
230.  
231. Passwords carried in plaintext form across the Internet, whether in a
232. Telnet session or via email, are not sufficiently protected to make the
233.  
234.                                    4
235.  
236.  
237.  
238.  
239.  
240.  
241. risk of compromise acceptable.  Moreover, there is no currently
242. standardized means of authenticating whether the use of a particular
243. billable account is legitimate (once a password is compromised, it can
244. be used at will, for simple, password-based account identification
245. methods.)
246.  
247. Example Requirements
248.  
249. At least two applications need reliable, secure account authentication
250. capability:
251.  
252.    o Remote login
253.    o Email store and forward services
254.  
255. In the first instance, it is required that the user/account
256. identification provided to the server be protected from capture and
257. re-use by hostile third parties and that the serving site can verify
258. that the identification has not been forged.
259.  
260. In the second case, it is required that at an email relay, an arriving
261. message to be passed into the next email system can be reliably and
262. authentically associated with an account in the next email system, if
263. necessary, for purposes of accounting and validation that the message
264. originator is authorized to use the services requested.
265.  
266. For example, it should be possible for an Internet user to send email to
267. fax recipients by way of ATT Mail and for ATT Mail to correctly account
268. and bill for this usage.  This means that the originator must supply
269. information associated with a message which identifies account
270. information needed to complete processing of the message at the
271. Internet/commercial email interface.  The provision of this account
272. identifying information needs protection from compromise and validation
273. that its use is legitimate.
274.  
275. Questions
276.  
277.  
278.   1. Can the same techniques work for remote login and store-and-forward
279.      services?
280.   2. Even if a ``password'' can be encrypted for confidentiality and
281.      signed for authenticity, how can the recipient be sure that the
282.      encrypted and signed object has not been hijacked by an abusing
283.      third party?  (i.e.  ``stealing and reuse'')
284.   3. Given that there must be some kind of authenticated exchange
285.      between user and server just to set up an account, can we take
286.      advantage of this to carry out any additional exchanges needed to
287.      support the confidentiality and authenticity required for these
288.      account validation applications?
289.  
290.  
291. Scope_of_the_Internet_Security_Policy_
292.  
293.  
294.                                    5
295.  
296.  
297.  
298.  
299.  
300.  
301. J. Paul Holbrook/CERT/SEI/CMU:
302. This proposal deals with two areas that the Internet Security Policy is
303. concerned with:  the scope of the Internet Policy, and lines of
304. authority or responsibility at a site.  These are separate issues, so
305. I'll treat them that way.
306.  
307. Scope of the Policy
308.  
309. The Internet Security Policy should not mandate security policies for
310. sites beyond what is necessary for maintaining the security of the
311. Internet.  The policy should not mandate the form of a site's internal
312. response to security problems.  However, it should require that a site
313. have policies in place which meet a minimum set of requirements to allow
314. effective prevention of and response to Internet security problems.
315. Helping a site develop a more complete set of security policies and
316. procedures is the goal of the the Site Security Policy Handbook.
317.  
318. The goal of the policy is to ensure that each site responsibly protects
319. and audits access to the Internet, and maintains a point of contact so
320. that each site can get information about security problems and also
321. assist others in dealing with security problems that involve their site.
322.  
323. The policy covers all ``network-capable'' devices that may affect the
324. Internet.  Thus, in addition to hosts, terminal servers, routers, and
325. other network management devices are covered.  Other machines that may
326. indirectly allow unaudited access to the Internet are also covered.  For
327. example, if a host that has access to the Internet also trusts other
328. hosts on a site's local network, the policy covers those other machines
329. as well.  As an example, if an Internet host trusts a local PC via some
330. mechanism such as rlogin or special trusted accounts, a user might be
331. able to use the PC to gain access to the Internet without proper
332. auditing.  In this case, the PC is covered under the policy.  (If the
333. Internet host does not trust the PC, the PC does not come under the
334. policy.)
335.  
336. Site Authority
337.  
338. In this proposal, I use the term `site' to mean every resource-owning
339. organization, including regional networks and other entities.  I've used
340. the terms `MUST' and `SHOULD' in capitals to help point out suggested
341. policy directions.
342.  
343.  
344.  
345.      [Comments in brackets are notes to help explain the reasoning
346.      behind some of the statements.  These comments would not appear
347.      as part of a policy, though they might appear as a commentary
348.      that goes along with the policy.]
349.  
350.  
351.  
352. Site Security Contact
353.  
354.                                    6
355.  
356.  
357.  
358.  
359.  
360.  
361. Every site MUST have a site security contact.  This may or may not be
362. the same as the normal site contact or network manager.  A site security
363. contact can be an individual or an organization.  The site security
364. contact SHOULD be familiar with the technology and security of all
365. systems at that site.  If that is not possible, the security contact
366. MUST be able to get in touch with the people that have this knowledge 24
367. hours a day.
368.  
369.  
370.      [At the CERT we've been in touch with sites only to find out
371.      that they have no idea who is responsible for security or how
372.      to get in touch with them.]
373.      [A point of terminology:  in his `responsibility' writeup,
374.      James VanBokkelen refers to `network managers' and `host
375.      managers'.  The site security contact is a peer to the network
376.      manager; it might even be the same person.  Others in the
377.      Internet community have used the term `site contact', which
378.      I've used because it helps to emphasize that a site security
379.      contact may have to deal with both network and host issues.
380.      Certainly a regional network or other network provider can (and
381.      should) have a `site security contact.'  However, the
382.      terminology is certainly open to change.]
383.  
384.  
385. Security Contact Availability
386.  
387. The site security contact MUST provide other designated organizations in
388. the Internet with a 24 hour point of contact.  At a minimum, this should
389. be a phone number which is answered during `business hours' 5 days a
390. week, and equipped with an answering machine that is checked at least
391. once every day (including weekends) to cover off hours.  Sites SHOULD
392. consider providing `real time' response:  e.g., home phone numbers,
393. pager numbers, or other means of contacting people.  However, being able
394. to get directly in touch with the security contact at any time is not
395. required.
396.  
397.  
398.      [This is a compromise statement; it's hard to require a site to
399.      provide around-the-clock response without proof that it would
400.      be worth the cost.  At the CERT we've found almost all problems
401.      can be dealt with by having a contact who is available during
402.      business hours.  However, large sites or sites that care about
403.      the availability and security of their systems will probably
404.      want to provide 24 hour access to their security contact.]
405.  
406.  
407. Sites MUST ensure that some backup security contact can be reached if
408. the primary security contact is unavailable.  This can take the form of
409. a secondary contact person or organization.  If outside organizations
410. must use some different procedure to get to the backup security contact,
411.  
412.                                    7
413.  
414.  
415.  
416.  
417.  
418.  
419. sites MUST ensure that these procedures are communicated to the outside
420. organizations.
421.  
422. The `designated' or `outside' organizations have this contact
423. information might be a local Network Control Center or Network
424. Information Center, or might be security response centers such as CERT.
425. Since security organizations might need access to this information
426. anytime, organizations that keep this information MUST make it available
427. 24 hours a day.
428.  
429.  
430.      [ The User Connectivity Problem (UCP) Working Group is working
431.      on the problem of how to get site contact information
432.      propagated around so that network problems can be dealt with.
433.      We should consider using whatever means they come up with for
434.      distributing this kind of information.  In any case, the
435.      specifics of how this works are an operational matter that
436.      doesn't belong in a policy.  ]
437.  
438.  
439. Security Policy Issues
440.  
441. Although the initial response to a security incident is often a
442. technical one, policy issues also need to be dealt with.  Should an
443. intruder be shut out or watched?  Should law enforcement be involved?
444. Should a site disconnect itself from the network to avoid a worm or
445. intruders?  These decisions are not strictly technical; they may affect
446. many people.  Sites MUST ensure that people with the authority to decide
447. these kinds of issues are available in the event of a serious security
448. problem.
449.  
450. If the site security contact does not have the authority to make these
451. kinds of decisions, sites are encouraged to have a 24 hour
452. administrative contact.  (This administrative contact does not need to
453. be visible to people outside the site.)  Sites SHOULD also have policies
454. that state who has the authority to make decisions and take actions in
455. response to security problems, and under what circumstances
456. administrators or decision makers should be brought in on an active
457. security incident.  The goal should be that a site security contact can
458. quickly (i.e., in a few hours) take action to deal with a security
459. problem, if necessary getting in touch with someone who can authorize
460. their actions.
461.  
462. At some sites, policy makers could give advance authorization to the
463. site security contact and other system managers.  For example, the site
464. may give their technical people the authority and license to make their
465. best efforts to deal with security problems.  In this case, the policy
466. also protects the technical people from `retribution' from policy makers
467. after the fact.
468.  
469.  
470.      [The motivation here is that policy makers should be involved
471.      early on if a serious security incident is underway.  Policy
472.  
473.                                    8
474.  
475.  
476.  
477.  
478.  
479.  
480.      makers may have little to do with the day-to-day operation of
481.      systems, but they will be concerned if a serious security
482.      incident has serious impact on a site and it's operation.
483.      Among other things, if decision makers are not involved and
484.      understand the nature of security problems, they might impose
485.      policies after the fact to `deal with the security problem.'
486.      For example, the CERT has heard of sites where the local policy
487.      maker's response to a security incident was to advocate
488.      permanently disconnecting from the Internet.
489.      However, since this issue is mostly a matter of site internal
490.      policies, the Internet Security Policy should not mandate an
491.      administrative contact.  The Site Security Policy Handbook will
492.      help flesh out this area by going into detail about how site
493.      policy makers should be involved in setting security policy and
494.      procedures.]
495.  
496.  
497. Attendees
498.  
499.  
500. Alison Brown             alison@maverick@osc.edu
501. Steve Crocker            crocker@tis.com
502. Terry Gray               gray@cac.washingtom.edu
503. J. Paul Holbrook         ph@sei.cmu.edu
504. Greg Hollingsworth       gregh@mailer.jhuapl.edu
505. Joel Jacobs              jdj@mitre.org
506. David Jordan             ...jordan@emulex.com
507. Tim Seaver               tas@mcnc.org
508. Mark Stein               marks@eng.sun.com
509. Dale Walters
510. John Wieronski           john@osc.edu
511. C. Philip Wood           cpw@lanl.gov
512.  
513.  
514.  
515.                                    9
516.