home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / ssphwg / ssphwg-minutes-90may.txt < prev    next >
Encoding:
Text File  |  1993-02-17  |  10.9 KB  |  365 lines
  1.  
  2.  
  3. CURRENT_MEETING_REPORT_
  4.  
  5.  
  6.  
  7. Reported by Joyce K. Reynolds/ISI and J. Paul Holbrook/ CERT
  8.  
  9. Agenda
  10.  
  11.  
  12.   1. SSPHWG Charter
  13.   2. Discussion on current security policy and relationship to the
  14.      Security Policy Working Group (SPWG).
  15.   3. Goals and directions of the SSPHWG (strawman proposal by J. Paul
  16.      Holbrook)**.
  17.      **NOTE: The strawman proposal is included at the end of this
  18.      report.
  19.   4. Needs and requirements.
  20.   5. Timeframe for writing and submission for publication of the
  21.      handbook.
  22.   6. Review of plans/action items for next round of meetings.
  23.  
  24.      (a) Next meeting in Los Angeles, Tuesday, June 12th at
  25.          USC/Information Sciences Institute.
  26.      (b) Next IETF meeting in August at University of British Columbia.
  27.  
  28.  
  29. Needs:
  30.  
  31. If there is a ``real threat'', who are the legitimate contact points:
  32.  
  33.  
  34.    o technical
  35.    o administrative
  36.  
  37. Phone Calls to Site(s) Three scenarios presented.  You are at your site
  38. and a someone calls, stating that:
  39.  
  40.   1. They have a worm program, and would like permission to unleash it
  41.      onto your site's network.
  42.   2. They are the F.B.I., and are calling with the notification of
  43.      intrusion into your site - F.B.I. suggests to keep the net open to
  44.      watch the intruder.
  45.   3. He is a hacker.  The hacker states that he has capability to crack
  46.      your site's passwords, etc.
  47.  
  48. What procedures and policies should be in place so that you and your
  49. site can deal with the above situations?
  50.  
  51.  
  52.                           WHO YA GONNA CALL???
  53.  
  54.                    WHAT ARE THE LEGAL IMPLICATIONS??
  55.  
  56.                                    1
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63. Overview
  64.  
  65. Who are the customers of our Handbook:
  66.  
  67.    o system administrators
  68.    o site decision makers
  69.    o site auditing the teams (?)
  70.  
  71. This Handbook will NOT be a guide on how to do:
  72.  
  73.  
  74.    o risk assessment
  75.    o contingency planning
  76.  
  77.  
  78. This Handbook will promote and encourage people to hook into already
  79. existing mechanisms, even if the site doesn't have security procedures
  80. in place.  They may have emergency procedures and policies that could be
  81. relevant.
  82.  
  83. Focus on things related to the network:
  84.  
  85.    o prevention
  86.    o response
  87.    o cleanup/followup
  88.  
  89. Assumptions:
  90.  
  91.    o network-connected
  92.    o hosts
  93.    o network devices
  94.       -  terminal servers
  95.       -  modems
  96.  
  97. Point out ``natural'' conflicts that will occur.
  98.  
  99. Physical security statement in this handbook (??)  We could point out
  100. some of the risks.
  101.  
  102.    o What kinds of items should be in the handbook??
  103.    o What issues should be addressed??
  104.  
  105.  
  106.  
  107.                                    2
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114. List and discussion of issues
  115.  
  116.  
  117.   1. Physical Security
  118.   2. Site Security Boundary
  119.  
  120.        o Model :  definition of terms
  121.        o Clues on what to do when you must cross organizational
  122.          boundaries:
  123.        o defining contact points
  124.         (a) technical
  125.         (b) administrative
  126.         (c) response teams
  127.         (d) investigative
  128.        o Invisible/Visible
  129.         (a) legal
  130.         (b) vendors (products or providers)
  131.         (c) press (policy and procedures)
  132.         (d) service providers
  133.  
  134.   3. Updates
  135.        o Procedures
  136.        o Tools
  137.   4. Education of Users
  138.   5. Historical (collection of information) [collection and protection
  139.      of evidence] [facts versus assumption or -----]
  140.   6. Policy issues (Privacy)
  141.   7. System Administrator's and Network Administrator's rights,
  142.      responsibilities, AND liabilities
  143.   8. Rights and responsibilities of Users
  144.   9. Formal and Informal legal procedures
  145.  
  146.        o local security/police
  147.        o FBI, Secret Service, etc.
  148.        o Verification of contact
  149.  
  150.  10. Concept of ``Inter-net'', ``Outer-net''
  151.        o circles of trust
  152.        o ``firewall'' type concepts
  153.  11. Procedures with working with response teams
  154.  12. Participation in ``drills'' (?)
  155.  13. ``Security'' of the communications lines (phones, etc.)
  156.  14. ``Insider'' threats to the site
  157.  15. Welcome banners (?)
  158.        o is the access really authorized?
  159.        o how do you know if you're authorized?
  160.  16. Guidelines for acceptable use?
  161.  17. Configuration management
  162.  
  163.        o passwords
  164.        o bug fixes
  165.  
  166.  18. Tools
  167.  
  168.  
  169.                                    3
  170.  
  171.  
  172.  
  173.  
  174.  
  175.  
  176.        o preventive
  177.        o response
  178.        o inventory of tools?
  179.  19. Education
  180.        o legal
  181.        o administrators
  182.        o users (How do they deal with different kinds of threats and
  183.          risks?
  184.  20. Decision making authority
  185.  
  186.        o WHO is authorized to make what decisions?
  187.        o WHAT authority do administrators have?
  188.        o Layout for different cases for example:  call in legal
  189.          investigator, or remove a user
  190.        o ``License to hack'' MUST be authorized in advance??
  191.        o Tiger Teams
  192.  
  193.  21. Emergency response
  194.  22. Resources
  195.        o other security devices
  196.        o other books/lists/informational sources
  197.        o form a subgroup?
  198.  
  199.  
  200. SSPHWG volunteers will take on the task of developing a draft outline to
  201. be presented at the next SSPHWG meeting at USC/Information Sciences
  202. Institute in Marina del Rey on Tuesday, June 12th.  The SSPHWG will be
  203. also be meeting at the next IETF plenary at University of British
  204. Columbia.
  205.  
  206.  
  207.  
  208.                                    4
  209.  
  210.  
  211.  
  212.  
  213.  
  214.  
  215. The following document was sent out to the SSPHWG mailing list several
  216. days before the meeting.  Discussion of this document lead into the
  217. other items noted in the minutes above.  There was no specific action on
  218. this document, as it was intended mainly to make sure everyone agreed
  219. with the general direction of the group.
  220.  
  221. GOALS AND DIRECTIONS OF THE SSPHWG -- A STRAWMAN by J. Paul Holbrook
  222.  
  223. THE NEED
  224.  
  225. Why is there a need for a handbook like this?  Looking at some of the
  226. needs may help us understand what kind of product we want to produce.
  227.  
  228. As a member of the CERT, I've come in contact with many sites trying to
  229. deal with computer security problems.  It's often a rude shock when they
  230. discover someone has compromised their systems.  Even for sites that
  231. have a good technical understanding of how to keep their systems secure,
  232. there are often policy questions that they haven't addressed.  These
  233. policy issues make dealing with the incident much more difficult.  Once
  234. the incident is over, the push to 'make sure this doesn't happen again'
  235. can result in policy made in hast; these policies can be more
  236. restrictive and cumbersome than they need to be.
  237.  
  238. A computer security compromise has much in common with any other
  239. computer 'disaster' such as an equipment breakdown or a fire.  You need
  240. to have plans in place to prevent the problem, to deal with the problem
  241. while it's happening, and to deal with the consequences after the fact.
  242. Although it may seem over-dramatic to compare a security compromise to a
  243. fire, the effect a malicious intruder could have on a site's operations
  244. could be devastating.
  245.  
  246. Another way to look at the question of 'need' is to turn it around:  why
  247. should any site (especially an academic site) care about creating a
  248. computer security policy and procedures?
  249.  
  250.  
  251.    o There is a real threat out there.  Intruders are using common holes
  252.      to break into systems.  Sites need to understand what the threats
  253.      and risks are.
  254.    o Policies and procedures help you maintain the environment you want.
  255.      Many organizations value open communication and sharing.  One
  256.      security incident, and "the powers that be" could force a site into
  257.      a more closed environment.  Policies show that you are aware of the
  258.      problem and are taking steps to deal with it.
  259.    o Policies help guide cost-effective decisions.  An academic site may
  260.      decide that the cost of dealing with an incident doesn't warrant
  261.      spending lots of time or money on defenses.  A business may make a
  262.      different decision.
  263.    o Policies And Procedures clarify responsibility and authority.  Do
  264.      you have the authority to look at a student's files?  If so, do
  265.      students know that?
  266.  
  267.  
  268.                                    5
  269.  
  270.  
  271.  
  272.  
  273.  
  274.  
  275. THE CUSTOMERS OF THIS WORK
  276.  
  277. Customers of what we're trying to do:
  278.  
  279.  
  280.    o Systems administrators
  281.    o Site decision makers
  282.    o this includes administrators (in the traditional sense), managers,
  283.      policy makers.  The people who have the 'official' word on what
  284.      goes on at a site
  285.  
  286.  
  287. Some people who are explicitly not customers:
  288.  
  289.    o Programmers
  290.    o End users
  291.  
  292. We don't need to produce a recommended set of security policies and
  293. procedures.  The IETF Security Policy Working Group (SPWG) is working on
  294. that goal.  Instead, what we we will produce is a set of guidelines and
  295. issues that policy makers will need to consider when they make their own
  296. policies and guidelines.  This should be a tool to help people
  297. understand the need for security procedures and policies and how to go
  298. about creating them.  We can include suggestions where appropriate, but
  299. much of the specifics of what a site decides to do will depend on the
  300. local circumstances.  A university might make different choices about
  301. security from a government research lab.
  302.  
  303. THE OUTPUT OF THE GROUP
  304.  
  305. We hope to produce a guide to the kinds of problems sites might face,
  306. the issues they should consider, and guidelines to the kinds of steps
  307. they can take to preventing and dealing with security problems.  This
  308. handbook could be published as an RFC or an FYI.
  309.  
  310. Over time, this handbook might expand to become a more general reference
  311. on site computer security.  Some of the things that might be included:
  312.  
  313.  
  314.    o suggested policies and procedures (perhaps whatever the Security
  315.      policy WG produces)
  316.    o bibliographies of other information to read
  317.    o pointers to tools to help with site security
  318.  
  319.  
  320.  
  321.                                    6
  322.  
  323.  
  324.  
  325.  
  326.  
  327.  
  328. ATTENDEES
  329.  
  330.     Stan Ames                 sra@mbunix.mitre.org
  331.     Tom Bajzek                twb@andrew.cmu.edu
  332.     Pat Barron                pat@transarc.com
  333.     Glee Cady                 ghc@merit.edu
  334.     Jeff Carpenter            jjc@unix.cis.pitt.edu
  335.     John Cavanaugh            john.cavanaugh@stpaul.ncr.com
  336.     Andrew Cherenson          arc@sgi.com
  337.     Richard Colella           colella@osi3.ncsl.nist.gov
  338.     Curtis Cox                zk0001@wnyosi4.navy.mil
  339.     Steve Crumb               scrumb@mot.com
  340.     Hunaid Engineer           hunaid@opus.cray.com
  341.     James Galvin              galvin@tis.com
  342.     Jonathan Goldick          goldick!b.psc.edu
  343.     Martyne Hallgren          martyne@tcgould.tn.cornell.edu
  344.     Greg Hollingsworth        gregh@mailer.jhuapl.edu
  345.     Tracy Laquey              tracy@emx.utexas.edu
  346.     Marilyn Martin            martin@cdnnet.ca
  347.     Donald Morris             morris@ucar.edu
  348.     Gerard Newman             gkn@sds.sdsc.edu
  349.     Marc-Andre Pepin          pepin@crim.ca
  350.     Marsha Perrott            mlp@andrew.cmu.edu
  351.     Richard Pethia            rdp@sei.cmu.edu
  352.     Tod Pike                  tgp@sei.cmu.elu
  353.     Michael Reilly            reilly@nsl.dec.com
  354.     Robert Reschly            reschly@brl.mil
  355.     Tim Seaver                tas@mcnc.org
  356.     Pat Smith                 psmith@merit.edu
  357.     Mary Stahl                stahl@nisc.sri.com
  358.     Allen Sturtevant          sturtevant@ccc.nmfecc.gov
  359.     C Wood                    cpw@lanl.gov
  360.     Aileen Yuan               aileen@gateway.mitre.org
  361.  
  362.  
  363.  
  364.                                    7
  365.