home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / spwg / spwg-minutes-90july.txt < prev    next >
Encoding:
Text File  |  1993-02-17  |  20.0 KB  |  516 lines
  1.  
  2.  
  3. CURRENT_MEETING_REPORT_
  4.  
  5.  
  6. Reported by Steve Crocker/TIS, Richard Pethia/CERT,
  7. J. Paul Holbrook/CERT
  8.  
  9. SPWG Minutes
  10.  
  11. The Security Policy Working Group (SPWG) met in Vancouver.  The Chair,
  12. Richard Pethia, was unable to attend, and the meeting was co-Chaired by
  13. Paul Holbrook and Steve Crocker.
  14.  
  15. Background
  16.  
  17. Prior meetings had opened up a range of topics including whether there
  18. should be a security policy for the Internet, what aspects of security
  19. were important, who should implement the policy, and what means should
  20. be used.  A three dimensional framework had been proposed to help
  21. categorize the issues.  The three dimensions are:
  22.  
  23. Security services, including:
  24.  
  25.  
  26.    o Protection of information from unauthorized disclosure
  27.    o Protection of information from unauthorized modification
  28.    o Protection from denial of service
  29.    o Protection from unauthorized use of facilities
  30.  
  31.  
  32. Who is affected
  33.  
  34.  
  35.    o Users
  36.    o Host operators
  37.    o Local network operators
  38.    o Regional and Backbone network operators
  39.    o Host operating system vendors
  40.    o Network component suppliers, e.g., router vendors
  41.  
  42.  
  43. Means to implement
  44.  
  45.  
  46.    o Administrative
  47.    o Technical
  48.    o Legal and Legislative
  49.  
  50.  
  51. The Vancouveri Meeting
  52.  
  53. At the Vancouver meeting, we shifted focus and attempted to find a
  54.  
  55.                                    1
  56.  
  57.  
  58.  
  59.  
  60.  
  61.  
  62. consensus on what the central elements of an Internet policy might be.
  63.  
  64. The group engaged in an experiment in which each participant attempted
  65. to write a set of principles.  This exercise worked very well, and the
  66. responses from the group showed a surprising amount of agreement.  Joel
  67. Jacobs from Mitre took the task of trying to synthesize the writings of
  68. the group into a single strawman security policy.  A summary (and
  69. interpretation) of some of the thoughts of the group is included at the
  70. end of these minutes.
  71.  
  72. A fuller summary of the exercise conducted at the Vancouver meeting will
  73. be coming out in October.  Some points emerged fairly clearly.  There is
  74. a common understanding that sites are fundamentally reponsible for their
  75. own security and that in a community as large as the Internet there are
  76. some individuals who will attempt to violate the security of systems.
  77. Against this backdrop, two ideas emerged fairly clearly as principles to
  78. build into the policy.
  79.  
  80.  
  81.   1. Users have a positive obligation to respect the security of the
  82.      systems on the Internet.  This includes not attempting to penetrate
  83.      systems they don't have access to and not exceeding the authorized
  84.      use of the systems they have access to.  As simple as this
  85.      statement seems to be, it establishes the idea that security in the
  86.      Internet is not a game.  Without a clear statement along these
  87.      lines, it might be considered fair game to try to break into
  88.      systems just to see if it can be done.
  89.   2. Sites and network operators should cooperate with each other on
  90.      security matters.
  91.      Again, this statement seems simple on its face, but it establishes
  92.      the idea that sites, local nets, etc., have an obligation to assist
  93.      each other instead of leaving each site strictly to its own
  94.      defense.
  95.  
  96.  
  97. These ideas and others will be elaborated upon in the next few months.
  98.  
  99. Selected Observations
  100.  
  101. What follows are some of the themes the group seems to agree upon
  102. coupled with explanatory paragraphs in which I (Paul Holbrook) try to
  103. interpret the thinking of the group.
  104.  
  105. A caveat:  the information in this document has been filtered several
  106. times.  Steve Crocker provided the original bullets, and thus provided
  107. his own view of what the group said.  The paragraph after each bullet is
  108. my interpretation of what the group was thinking about.  In particular,
  109. where the explanation says people `should' do something, that does not
  110. mean that everyone agreed to propose this, just that this is one
  111. interpretation of where the group was going.  The result is that the
  112. people who were at the meeting may not agree with what follows.
  113.  
  114.  
  115.                                    2
  116.  
  117.  
  118.  
  119.  
  120.  
  121.  
  122. Internet, regionals/backbones, sites, hosts -- all should have security
  123. policies.
  124.  
  125. Security policies and procedures are needed at all levels of the
  126. Internet.  The policies will be different for different groups, and the
  127. general level of security expected may be different.  For example, the
  128. policy may encourage regional networks to protect the network
  129. infrastructure such as the routers and other network equipment, but may
  130. put the burden of privacy on hosts.  Thus, a regional would make it's
  131. best effort to protect the network, but would not provide a guarantee of
  132. privacy for the hosts that use it.
  133.  
  134. Emphasis on user responsibility, identification, and accountability.
  135.  
  136. The policy should state clearly that users are responsible for their own
  137. actions regardless of the level of security a site maintains.  By
  138. analogy, even if you leave your front door unlocked, that doesn't give
  139. someone else permission to enter your house.
  140.  
  141. Sites should also have policies that support identifying and (if
  142. necessary) accounting for individual users.  If your site is used to
  143. break into another site, that other site may ask for your help in
  144. tracking down the problem.  It should be possible for you to figure out
  145. what user's account at your site was used.  This requires that all users
  146. be individually identified, and that enough accounting records be kept
  147. to identify when users were on systems.  (On Unix systems, the normal
  148. login accounting may well be sufficient for what we're after here.)
  149.  
  150. This last requirement is likely to be controversial.  There are sites
  151. that keep guest or group accounts for their own convenience, terminal
  152. servers that allow access out to the Internet without logging into a
  153. local system, and so forth.  There was some irony in this proposal,
  154. since we all enjoyed this kind of open access out to the Internet at
  155. UBC, yet this was the very kind of access we were proposing limiting.
  156.  
  157. Emphasis on mutual assistance
  158.  
  159.    o Preference for investigation
  160.    o Concern for privacy
  161.  
  162. Where possible, sites should assist each other in investigating security
  163. incidents.  Sites should provide contact points to help facilitate
  164. communication about security problems.
  165.  
  166. When a security incident occurs, a site has two main choices:
  167.  
  168.  
  169.    o Try to watch or trace the intruder(s) in an effort to see how
  170.      widespread the problem is and hopefully identify who is
  171.      responsible;
  172.    o Identify the vulnerabilities or lapses that led to the incident,
  173.      clean up the systems and lock the intruder(s)
  174.  
  175.                                    3
  176.  
  177.  
  178.  
  179.  
  180.  
  181.  
  182. Some people leaned towards encouraging sites to investigate problems.
  183. In many cases, locking an intruder out will force them to find another
  184. site to use, but will not stop them from breaking into systems.  The
  185. decision about what to do about an intrusion will always be up to the
  186. site, but the community standard should be to try to solve the problem.
  187. This does not necessarily advocate prosecution or law enforcement
  188. involvement.  Once an intruder is identified, there are many possible
  189. courses of action.
  190.  
  191. Encouragement to use good security controls
  192.  
  193. Policies and procedures are not a substitute for putting good security
  194. controls in place and making sure systems are securely configured.  The
  195. policy should encourage sites to put useful security controls in place.
  196.  
  197. The_Need_for_Unforgeable_User_Identification_
  198.  
  199. Vint Cerf/CNRI
  200.  
  201. FIRST DRAFT
  202.  
  203. Summary
  204.  
  205. This brief memorandum motivates the need for Internet mechanisms and
  206. facilities for authenticating user identification and for assuring that
  207. such identification cannot be forged.
  208.  
  209. Introduction
  210.  
  211. The Internet has reached a point in its evolution where some of the
  212. services accessible require compensation from the using parties (or an
  213. entity which accepts responsibility for paying for services rendered).
  214.  
  215. At the application level, such compensation is required for use of
  216. information services such as bibliographic databases (National Library
  217. of Medicine MEDLARS; Research Libraries Information Network, etc.)
  218.  
  219. Commercial electronic messaging providers (e.g.  MCI Mail, Compuserve,
  220. ATT Mail, Sprint Mail, BT Dialcom, QUIK-COMM, etc.)  normally charge for
  221. their services.  Some, such as Compuserve and MCI Mail provide access to
  222. commercial information services (e.g., Dow Jones News & Retrieval).
  223. Under the present terms and conditions, commercial email services do not
  224. charge Internet users for delivering email sent from Internet sites to
  225. commercial email boxes.  Even if this provision remains in place, there
  226. are other services such as fax and hardcopy delivery, bulletin boards
  227. and information services which, at present, are not accessible to
  228. Internet users because there is no secure way to identify a billable
  229. account to which to charge these special services.
  230.  
  231. Passwords carried in plaintext form across the Internet, whether in a
  232. Telnet session or via email, are not sufficiently protected to make the
  233.  
  234.                                    4
  235.  
  236.  
  237.  
  238.  
  239.  
  240.  
  241. risk of compromise acceptable.  Moreover, there is no currently
  242. standardized means of authenticating whether the use of a particular
  243. billable account is legitimate (once a password is compromised, it can
  244. be used at will, for simple, password-based account identification
  245. methods.)
  246.  
  247. Example Requirements
  248.  
  249. At least two applications need reliable, secure account authentication
  250. capability:
  251.  
  252.    o Remote login
  253.    o Email store and forward services
  254.  
  255. In the first instance, it is required that the user/account
  256. identification provided to the server be protected from capture and
  257. re-use by hostile third parties and that the serving site can verify
  258. that the identification has not been forged.
  259.  
  260. In the second case, it is required that at an email relay, an arriving
  261. message to be passed into the next email system can be reliably and
  262. authentically associated with an account in the next email system, if
  263. necessary, for purposes of accounting and validation that the message
  264. originator is authorized to use the services requested.
  265.  
  266. For example, it should be possible for an Internet user to send email to
  267. fax recipients by way of ATT Mail and for ATT Mail to correctly account
  268. and bill for this usage.  This means that the originator must supply
  269. information associated with a message which identifies account
  270. information needed to complete processing of the message at the
  271. Internet/commercial email interface.  The provision of this account
  272. identifying information needs protection from compromise and validation
  273. that its use is legitimate.
  274.  
  275. Questions
  276.  
  277.  
  278.   1. Can the same techniques work for remote login and store-and-forward
  279.      services?
  280.   2. Even if a ``password'' can be encrypted for confidentiality and
  281.      signed for authenticity, how can the recipient be sure that the
  282.      encrypted and signed object has not been hijacked by an abusing
  283.      third party?  (i.e.  ``stealing and reuse'')
  284.   3. Given that there must be some kind of authenticated exchange
  285.      between user and server just to set up an account, can we take
  286.      advantage of this to carry out any additional exchanges needed to
  287.      support the confidentiality and authenticity required for these
  288.      account validation applications?
  289.  
  290.  
  291. Scope_of_the_Internet_Security_Policy_
  292.  
  293.  
  294.                                    5
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301. J. Paul Holbrook/CERT/SEI/CMU:
  302. This proposal deals with two areas that the Internet Security Policy is
  303. concerned with:  the scope of the Internet Policy, and lines of
  304. authority or responsibility at a site.  These are separate issues, so
  305. I'll treat them that way.
  306.  
  307. Scope of the Policy
  308.  
  309. The Internet Security Policy should not mandate security policies for
  310. sites beyond what is necessary for maintaining the security of the
  311. Internet.  The policy should not mandate the form of a site's internal
  312. response to security problems.  However, it should require that a site
  313. have policies in place which meet a minimum set of requirements to allow
  314. effective prevention of and response to Internet security problems.
  315. Helping a site develop a more complete set of security policies and
  316. procedures is the goal of the the Site Security Policy Handbook.
  317.  
  318. The goal of the policy is to ensure that each site responsibly protects
  319. and audits access to the Internet, and maintains a point of contact so
  320. that each site can get information about security problems and also
  321. assist others in dealing with security problems that involve their site.
  322.  
  323. The policy covers all ``network-capable'' devices that may affect the
  324. Internet.  Thus, in addition to hosts, terminal servers, routers, and
  325. other network management devices are covered.  Other machines that may
  326. indirectly allow unaudited access to the Internet are also covered.  For
  327. example, if a host that has access to the Internet also trusts other
  328. hosts on a site's local network, the policy covers those other machines
  329. as well.  As an example, if an Internet host trusts a local PC via some
  330. mechanism such as rlogin or special trusted accounts, a user might be
  331. able to use the PC to gain access to the Internet without proper
  332. auditing.  In this case, the PC is covered under the policy.  (If the
  333. Internet host does not trust the PC, the PC does not come under the
  334. policy.)
  335.  
  336. Site Authority
  337.  
  338. In this proposal, I use the term `site' to mean every resource-owning
  339. organization, including regional networks and other entities.  I've used
  340. the terms `MUST' and `SHOULD' in capitals to help point out suggested
  341. policy directions.
  342.  
  343.  
  344.  
  345.      [Comments in brackets are notes to help explain the reasoning
  346.      behind some of the statements.  These comments would not appear
  347.      as part of a policy, though they might appear as a commentary
  348.      that goes along with the policy.]
  349.  
  350.  
  351.  
  352. Site Security Contact
  353.  
  354.                                    6
  355.  
  356.  
  357.  
  358.  
  359.  
  360.  
  361. Every site MUST have a site security contact.  This may or may not be
  362. the same as the normal site contact or network manager.  A site security
  363. contact can be an individual or an organization.  The site security
  364. contact SHOULD be familiar with the technology and security of all
  365. systems at that site.  If that is not possible, the security contact
  366. MUST be able to get in touch with the people that have this knowledge 24
  367. hours a day.
  368.  
  369.  
  370.      [At the CERT we've been in touch with sites only to find out
  371.      that they have no idea who is responsible for security or how
  372.      to get in touch with them.]
  373.      [A point of terminology:  in his `responsibility' writeup,
  374.      James VanBokkelen refers to `network managers' and `host
  375.      managers'.  The site security contact is a peer to the network
  376.      manager; it might even be the same person.  Others in the
  377.      Internet community have used the term `site contact', which
  378.      I've used because it helps to emphasize that a site security
  379.      contact may have to deal with both network and host issues.
  380.      Certainly a regional network or other network provider can (and
  381.      should) have a `site security contact.'  However, the
  382.      terminology is certainly open to change.]
  383.  
  384.  
  385. Security Contact Availability
  386.  
  387. The site security contact MUST provide other designated organizations in
  388. the Internet with a 24 hour point of contact.  At a minimum, this should
  389. be a phone number which is answered during `business hours' 5 days a
  390. week, and equipped with an answering machine that is checked at least
  391. once every day (including weekends) to cover off hours.  Sites SHOULD
  392. consider providing `real time' response:  e.g., home phone numbers,
  393. pager numbers, or other means of contacting people.  However, being able
  394. to get directly in touch with the security contact at any time is not
  395. required.
  396.  
  397.  
  398.      [This is a compromise statement; it's hard to require a site to
  399.      provide around-the-clock response without proof that it would
  400.      be worth the cost.  At the CERT we've found almost all problems
  401.      can be dealt with by having a contact who is available during
  402.      business hours.  However, large sites or sites that care about
  403.      the availability and security of their systems will probably
  404.      want to provide 24 hour access to their security contact.]
  405.  
  406.  
  407. Sites MUST ensure that some backup security contact can be reached if
  408. the primary security contact is unavailable.  This can take the form of
  409. a secondary contact person or organization.  If outside organizations
  410. must use some different procedure to get to the backup security contact,
  411.  
  412.                                    7
  413.  
  414.  
  415.  
  416.  
  417.  
  418.  
  419. sites MUST ensure that these procedures are communicated to the outside
  420. organizations.
  421.  
  422. The `designated' or `outside' organizations have this contact
  423. information might be a local Network Control Center or Network
  424. Information Center, or might be security response centers such as CERT.
  425. Since security organizations might need access to this information
  426. anytime, organizations that keep this information MUST make it available
  427. 24 hours a day.
  428.  
  429.  
  430.      [ The User Connectivity Problem (UCP) Working Group is working
  431.      on the problem of how to get site contact information
  432.      propagated around so that network problems can be dealt with.
  433.      We should consider using whatever means they come up with for
  434.      distributing this kind of information.  In any case, the
  435.      specifics of how this works are an operational matter that
  436.      doesn't belong in a policy.  ]
  437.  
  438.  
  439. Security Policy Issues
  440.  
  441. Although the initial response to a security incident is often a
  442. technical one, policy issues also need to be dealt with.  Should an
  443. intruder be shut out or watched?  Should law enforcement be involved?
  444. Should a site disconnect itself from the network to avoid a worm or
  445. intruders?  These decisions are not strictly technical; they may affect
  446. many people.  Sites MUST ensure that people with the authority to decide
  447. these kinds of issues are available in the event of a serious security
  448. problem.
  449.  
  450. If the site security contact does not have the authority to make these
  451. kinds of decisions, sites are encouraged to have a 24 hour
  452. administrative contact.  (This administrative contact does not need to
  453. be visible to people outside the site.)  Sites SHOULD also have policies
  454. that state who has the authority to make decisions and take actions in
  455. response to security problems, and under what circumstances
  456. administrators or decision makers should be brought in on an active
  457. security incident.  The goal should be that a site security contact can
  458. quickly (i.e., in a few hours) take action to deal with a security
  459. problem, if necessary getting in touch with someone who can authorize
  460. their actions.
  461.  
  462. At some sites, policy makers could give advance authorization to the
  463. site security contact and other system managers.  For example, the site
  464. may give their technical people the authority and license to make their
  465. best efforts to deal with security problems.  In this case, the policy
  466. also protects the technical people from `retribution' from policy makers
  467. after the fact.
  468.  
  469.  
  470.      [The motivation here is that policy makers should be involved
  471.      early on if a serious security incident is underway.  Policy
  472.  
  473.                                    8
  474.  
  475.  
  476.  
  477.  
  478.  
  479.  
  480.      makers may have little to do with the day-to-day operation of
  481.      systems, but they will be concerned if a serious security
  482.      incident has serious impact on a site and it's operation.
  483.      Among other things, if decision makers are not involved and
  484.      understand the nature of security problems, they might impose
  485.      policies after the fact to `deal with the security problem.'
  486.      For example, the CERT has heard of sites where the local policy
  487.      maker's response to a security incident was to advocate
  488.      permanently disconnecting from the Internet.
  489.      However, since this issue is mostly a matter of site internal
  490.      policies, the Internet Security Policy should not mandate an
  491.      administrative contact.  The Site Security Policy Handbook will
  492.      help flesh out this area by going into detail about how site
  493.      policy makers should be involved in setting security policy and
  494.      procedures.]
  495.  
  496.  
  497. Attendees
  498.  
  499.  
  500. Alison Brown             alison@maverick@osc.edu
  501. Steve Crocker            crocker@tis.com
  502. Terry Gray               gray@cac.washingtom.edu
  503. J. Paul Holbrook         ph@sei.cmu.edu
  504. Greg Hollingsworth       gregh@mailer.jhuapl.edu
  505. Joel Jacobs              jdj@mitre.org
  506. David Jordan             ...jordan@emulex.com
  507. Tim Seaver               tas@mcnc.org
  508. Mark Stein               marks@eng.sun.com
  509. Dale Walters
  510. John Wieronski           john@osc.edu
  511. C. Philip Wood           cpw@lanl.gov
  512.  
  513.  
  514.  
  515.                                    9
  516.