home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / spwg / spwg-minutes-91mar.txt < prev    next >
Encoding:
Text File  |  1993-02-17  |  5.1 KB  |  135 lines
  1.  
  2.  
  3. CURRENT_MEETING_REPORT_
  4.  
  5.  
  6. Reported by Richard Pethia/CERT
  7.  
  8. SPWG Minutes
  9.  
  10. The security policy Working Group (spwg) met during the Twentieth
  11. Internet Engineering Task Force (IETF) meeting in St.  Louis, on
  12. Tuesday, March 12, 1991.  The latest draft of the Proposed Security
  13. Policy was presented and discussed.
  14.  
  15. Discussion during the meeting focused on two areas of concern:  user
  16. authentication and local security.
  17.  
  18. User Authentication
  19.  
  20. While there is general agreement that individual users should be held
  21. accountable for their actions, there is not the same level of agreement
  22. that all users should be unambiguously identified for all types of
  23. Internet access.
  24.  
  25. Proponents of strong, mandatory, user authentication and access control
  26. mechanisms point to problems caused by ``general use'' accounts and
  27. ``open'' (without password) terminal servers where individuals take
  28. advantage of these open systems and use them as platforms to attack
  29. (access without authorization) other Internet systems.  This group
  30. believes the use of simple user authentication and access control
  31. mechanisms would significantly reduce the problem.  Steve Wolff,
  32. National Science Foundation (NSF), supported this position and indicated
  33. that it is NSF's position that individual user authentication and
  34. accountability should be required for access to NSFNET.
  35.  
  36. Opponents to this view believe enforced, unambiguous identification for
  37. all Internet access would potentially restrict the utility of the
  38. network (e.g., not allow a university library to set up ``open''
  39. terminals that allow the university's students to browse the information
  40. resource), or would place an administrative burden (e.g., issuing all
  41. university students unique account names and passwords, and managing
  42. those accounts and passwords) on sites that would be too expensive for
  43. some sites to bear, or could, in some way, infringe on a person's
  44. privacy by collecting data on the person's actions.
  45.  
  46. Rather than attempt to resolve the controversy at this point in time, it
  47. was decided that the proposal would be changed to remove the phrases
  48. that called for a ban on ``open'' servers and stress the importance of
  49. individuals' accountability for their actions.
  50.  
  51.                                    1
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58. Local Security
  59.  
  60. Another area of concern was the elaboration section of item 3 (local
  61. security).  Included in this section was a listing of five elements
  62. needed for good local security.  This listing treated local security in
  63. greater depth than any other issue in the document.  To balance the
  64. discussion of issues, the list was removed from the body of the proposal
  65. and included as an appendix.  In addition, it was decided that two of
  66. the elements listed would be modified according to suggestions and
  67. comments received.  The group discussed that there are trade-offs
  68. between strict security and the usability of systems.  A paragraph would
  69. be added to touch on this subject.
  70.  
  71. Additional discussion centered around how the document would be used and
  72. interpreted.  Some people felt that since the title included the word
  73. ``policy'', it would be used as if it were legally enforceable.  For
  74. this reason the title of the document was changed to ``Guidelines for
  75. the Secure Operation of the Internet''.  Necessary changes within the
  76. body of the document would be made to match the title change.
  77.  
  78. The group felt that it was necessary to push forward with the document.
  79. Vint Cerf suggested that the nature of this document was unique within
  80. the document collection of the IETF and that it would be helpful to have
  81. it reviewed by the Internet Advisory Board (IAB). The IAB could then
  82. advise the group as to how the document should be handled.  To that end,
  83. the following schedule was set.
  84.  
  85.  
  86.  
  87. March 18               Final draft completed
  88. March 19               Draft emailed to internet-drafts@nri.reston.va.us
  89. April 3                Document to be discussed during IAB
  90.                        teleconference.
  91.  
  92.  
  93.  
  94. Whether or not the Working Group meets at the next IETF will be based
  95. upon the outcome of the IAB's review of the document.
  96.  
  97. Attendees
  98.  
  99. Warren Benson            wbenson@zeus.unomaha.edu
  100. David Benton             benton@bio.nlm.nih.gov
  101. Randy Butler             rbutler@ncsa.uiuc.edu
  102. Vinton Cerf              vcerf@NRI.Reston.VA.US
  103. Martina Chan             mchan@mot.com
  104. Stephen Crocker          crocker@tis.com
  105.  
  106.                                    2
  107.  
  108.  
  109.  
  110.  
  111.  
  112.  
  113. Jeffrey Edelheit         edelheit@smiley.mitre.org
  114. Fred Engel               engel@concord.com
  115. Barbara Fraser           byf@cert.sei.cmu.edu
  116. Neil Haller              nmh@bellcore.com
  117. Sergio Heker             heker@jvnc.net
  118. J. Paul Holbrook         holbrook@cic.net
  119. Philip Karn              karn@thumper.bellcore.com
  120. April Merrill
  121. Richard Pethia           rdp@cert.sei.cmu.edu
  122. Robert Reschly           reschly@brl.mil
  123. Jeffrey Schiller         jis@mit.edu
  124. Tim Seaver               tas@mcnc.org
  125. Albert Soule             als@sei.cmu.edu
  126. Mike Turico              mturico@mot.com
  127. Daniel Weidman           weidman@wudos2.wustl.edu
  128. Stephen Wolff            steve@nsf.gov
  129. C. Philip Wood           cpw@lanl.gov
  130. Osmund deSouza           desouza@osdpc.ho.att.com
  131.  
  132.  
  133.  
  134.                                    3
  135.