home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / spwg / spwg-minutes-91mar.txt

< prev

next >

Wrap

Text File  |  1993-02-17  |  5KB  |  135 lines

---

1.  
2.  
3. CURRENT_MEETING_REPORT_
4.  
5.  
6. Reported by Richard Pethia/CERT
7.  
8. SPWG Minutes
9.  
10. The security policy Working Group (spwg) met during the Twentieth
11. Internet Engineering Task Force (IETF) meeting in St.  Louis, on
12. Tuesday, March 12, 1991.  The latest draft of the Proposed Security
13. Policy was presented and discussed.
14.  
15. Discussion during the meeting focused on two areas of concern:  user
16. authentication and local security.
17.  
18. User Authentication
19.  
20. While there is general agreement that individual users should be held
21. accountable for their actions, there is not the same level of agreement
22. that all users should be unambiguously identified for all types of
23. Internet access.
24.  
25. Proponents of strong, mandatory, user authentication and access control
26. mechanisms point to problems caused by ``general use'' accounts and
27. ``open'' (without password) terminal servers where individuals take
28. advantage of these open systems and use them as platforms to attack
29. (access without authorization) other Internet systems.  This group
30. believes the use of simple user authentication and access control
31. mechanisms would significantly reduce the problem.  Steve Wolff,
32. National Science Foundation (NSF), supported this position and indicated
33. that it is NSF's position that individual user authentication and
34. accountability should be required for access to NSFNET.
35.  
36. Opponents to this view believe enforced, unambiguous identification for
37. all Internet access would potentially restrict the utility of the
38. network (e.g., not allow a university library to set up ``open''
39. terminals that allow the university's students to browse the information
40. resource), or would place an administrative burden (e.g., issuing all
41. university students unique account names and passwords, and managing
42. those accounts and passwords) on sites that would be too expensive for
43. some sites to bear, or could, in some way, infringe on a person's
44. privacy by collecting data on the person's actions.
45.  
46. Rather than attempt to resolve the controversy at this point in time, it
47. was decided that the proposal would be changed to remove the phrases
48. that called for a ban on ``open'' servers and stress the importance of
49. individuals' accountability for their actions.
50.  
51.                                    1
52.  
53.  
54.  
55.  
56.  
57.  
58. Local Security
59.  
60. Another area of concern was the elaboration section of item 3 (local
61. security).  Included in this section was a listing of five elements
62. needed for good local security.  This listing treated local security in
63. greater depth than any other issue in the document.  To balance the
64. discussion of issues, the list was removed from the body of the proposal
65. and included as an appendix.  In addition, it was decided that two of
66. the elements listed would be modified according to suggestions and
67. comments received.  The group discussed that there are trade-offs
68. between strict security and the usability of systems.  A paragraph would
69. be added to touch on this subject.
70.  
71. Additional discussion centered around how the document would be used and
72. interpreted.  Some people felt that since the title included the word
73. ``policy'', it would be used as if it were legally enforceable.  For
74. this reason the title of the document was changed to ``Guidelines for
75. the Secure Operation of the Internet''.  Necessary changes within the
76. body of the document would be made to match the title change.
77.  
78. The group felt that it was necessary to push forward with the document.
79. Vint Cerf suggested that the nature of this document was unique within
80. the document collection of the IETF and that it would be helpful to have
81. it reviewed by the Internet Advisory Board (IAB). The IAB could then
82. advise the group as to how the document should be handled.  To that end,
83. the following schedule was set.
84.  
85.  
86.  
87. March 18               Final draft completed
88. March 19               Draft emailed to internet-drafts@nri.reston.va.us
89. April 3                Document to be discussed during IAB
90.                        teleconference.
91.  
92.  
93.  
94. Whether or not the Working Group meets at the next IETF will be based
95. upon the outcome of the IAB's review of the document.
96.  
97. Attendees
98.  
99. Warren Benson            wbenson@zeus.unomaha.edu
100. David Benton             benton@bio.nlm.nih.gov
101. Randy Butler             rbutler@ncsa.uiuc.edu
102. Vinton Cerf              vcerf@NRI.Reston.VA.US
103. Martina Chan             mchan@mot.com
104. Stephen Crocker          crocker@tis.com
105.  
106.                                    2
107.  
108.  
109.  
110.  
111.  
112.  
113. Jeffrey Edelheit         edelheit@smiley.mitre.org
114. Fred Engel               engel@concord.com
115. Barbara Fraser           byf@cert.sei.cmu.edu
116. Neil Haller              nmh@bellcore.com
117. Sergio Heker             heker@jvnc.net
118. J. Paul Holbrook         holbrook@cic.net
119. Philip Karn              karn@thumper.bellcore.com
120. April Merrill
121. Richard Pethia           rdp@cert.sei.cmu.edu
122. Robert Reschly           reschly@brl.mil
123. Jeffrey Schiller         jis@mit.edu
124. Tim Seaver               tas@mcnc.org
125. Albert Soule             als@sei.cmu.edu
126. Mike Turico              mturico@mot.com
127. Daniel Weidman           weidman@wudos2.wustl.edu
128. Stephen Wolff            steve@nsf.gov
129. C. Philip Wood           cpw@lanl.gov
130. Osmund deSouza           desouza@osdpc.ho.att.com
131.  
132.  
133.  
134.                                    3
135.