home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1993 / Internet Info CD-ROM (Walnut Creek) (1993).iso / inet / rfc / rfc1281 < prev    next >
Encoding:
Text File  |  1991-11-27  |  22.1 KB  |  563 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                          R. Pethia
  8. Request for Comments: 1281                Software Engineering Institute
  9.                                                               S. Crocker
  10.                                        Trusted Information Systems, Inc.
  11.                                                                B. Fraser
  12.                                           Software Engineering Institute
  13.                                                            November 1991
  14.  
  15.  
  16.           Guidelines for the Secure Operation of the Internet
  17.  
  18. Status of this Memo
  19.  
  20.    This memo provides information for the Internet community.  It does
  21.    not specify an Internet standard.  Distribution of this memo is
  22.    unlimited.
  23.  
  24. Preamble
  25.  
  26.    The purpose of this document is to provide a set of guidelines to aid
  27.    in the secure operation of the Internet.  During its history, the
  28.    Internet has grown significantly and is now quite diverse.  Its
  29.    participants include government institutions and agencies, academic
  30.    and research institutions, commercial network and electronic mail
  31.    carriers, non-profit research centers and an increasing array of
  32.    industrial organizations who are primarily users of the technology.
  33.    Despite this dramatic growth, the system is still operated on a
  34.    purely collaborative basis.  Each participating network takes
  35.    responsibility for its own operation.  Service providers, private
  36.    network operators, users and vendors all cooperate to keep the system
  37.    functioning.
  38.  
  39.    It is important to recognize that the voluntary nature of the
  40.    Internet system is both its strength and, perhaps, its most fragile
  41.    aspect.  Rules of operation, like the rules of etiquette, are
  42.    voluntary and, largely, unenforceable, except where they happen to
  43.    coincide with national laws, violation of which can lead to
  44.    prosecution.  A common set of rules for the successful and
  45.    increasingly secure operation of the Internet can, at best, be
  46.    voluntary, since the laws of various countries are not uniform
  47.    regarding data networking.  Indeed, the guidelines outlined below
  48.    also can be only voluntary.  However, since joining the Internet is
  49.    optional, it is also fair to argue that any Internet rules of
  50.    behavior are part of the bargain for joining and that failure to
  51.    observe them, apart from any legal infrastructure available, are
  52.    grounds for sanctions.
  53.  
  54.  
  55.  
  56.  
  57.  
  58. Pethia, Crocker, & Fraser                                       [Page 1]
  59.  
  60. RFC 1281          Guidelines for the Secure Operation      November 1991
  61.  
  62.  
  63. Introduction
  64.  
  65.    These guidelines address the entire Internet community, consisting of
  66.    users, hosts, local, regional, domestic and international backbone
  67.    networks, and vendors who supply operating systems, routers, network
  68.    management tools, workstations and other network components.
  69.  
  70.    Security is understood to include protection of the privacy of
  71.    information, protection of information against unauthorized
  72.    modification, protection of systems against denial of service, and
  73.    protection of systems against unauthorized access.
  74.  
  75.    These guidelines encompass six main points.  These points are
  76.    repeated and elaborated in the next section.  In addition, a
  77.    bibliography of computer and network related references has been
  78.    provided at the end of this document for use by the reader.
  79.  
  80.  Security Guidelines
  81.  
  82.    (1)  Users are individually responsible for understanding and
  83.         respecting the security policies of the systems (computers and
  84.         networks) they are using.  Users are individually accountable
  85.         for their own behavior.
  86.  
  87.    (2)  Users have a responsibility to employ available security
  88.         mechanisms and procedures for protecting their own data.  They
  89.         also have a responsibility for assisting in the protection of
  90.         the systems they use.
  91.  
  92.    (3)  Computer and network service providers are responsible for
  93.         maintaining the security of the systems they operate.  They are
  94.         further responsible for notifying users of their security
  95.         policies and any changes to these policies.
  96.  
  97.    (4)  Vendors and system developers are responsible for providing
  98.         systems which are sound and which embody adequate security
  99.         controls.
  100.  
  101.    (5)  Users, service providers, and hardware and software vendors are
  102.         responsible for cooperating to provide security.
  103.  
  104.    (6)  Technical improvements in Internet security protocols should be
  105.         sought on a continuing basis.  At the same time, personnel
  106.         developing new protocols, hardware or software for the Internet
  107.         are expected to include security considerations as part of the
  108.         design and development process.
  109.  
  110.  
  111.  
  112.  
  113.  
  114. Pethia, Crocker, & Fraser                                       [Page 2]
  115.  
  116. RFC 1281          Guidelines for the Secure Operation      November 1991
  117.  
  118.  
  119. Elaboration
  120.  
  121.    (1)  Users are individually responsible for understanding and
  122.         respecting the security policies of the systems (computers and
  123.         networks) they are using.  Users are individually accountable
  124.         for their own behavior.
  125.  
  126.         Users are responsible for their own behavior.  Weaknesses in
  127.         the security of a system are not a license to penetrate or
  128.         abuse a system.  Users are expected to be aware of the security
  129.         policies of computers and networks which they access and to
  130.         adhere to these policies.  One clear consequence of this
  131.         guideline is that unauthorized access to a computer or use of a
  132.         network is explicitly a violation of Internet rules of conduct,
  133.         no matter how weak the protection of those computers or networks.
  134.  
  135.         There is growing international attention to legal prohibition
  136.         against unauthorized access to computer systems, and several
  137.         countries have recently passed legislation that addresses the
  138.         area (e.g., United Kingdom, Australia).  In the United States,
  139.         the Computer Fraud and Abuse Act of 1986, Title 18 U.S.C.
  140.         section 1030 makes it a crime, in certain situations, to access
  141.         a Federal interest computer (federal government computers,
  142.         financial institution computers, and a computer which is one of
  143.         two or more computers used in committing the offense, not all of
  144.         which are located in the same state) without authorization.
  145.         Most of the 50 states in the U.S have similar laws.
  146.  
  147.         Another aspect of this part of the policy is that users are
  148.         individually responsible for all use of resources assigned to
  149.         them, and hence sharing of accounts and access to resources is
  150.         strongly discouraged.  However, since access to resources is
  151.         assigned by individual sites and network operators, the
  152.         specific rules governing sharing of accounts and protection of
  153.         access is necessarily a local matter.
  154.  
  155.    (2)  Users have a responsibility to employ available security
  156.         mechanisms and procedures for protecting their own data.  They
  157.         also have a responsibility for assisting in the protection of
  158.         the systems they use.
  159.  
  160.         Users are expected to handle account privileges in a
  161.         responsible manner and to follow site procedures for the
  162.         security of their data as well as that of the system.  For
  163.         systems which rely upon password protection, users should
  164.         select good passwords and periodically change them.  Proper
  165.         use of file protection mechanisms (e.g., access control lists)
  166.         so as to define and maintain appropriate file access control
  167.  
  168.  
  169.  
  170. Pethia, Crocker, & Fraser                                       [Page 3]
  171.  
  172. RFC 1281          Guidelines for the Secure Operation      November 1991
  173.  
  174.  
  175.         is also part of this responsibility.
  176.  
  177.    (3)  Computer and network service providers are responsible for
  178.         maintaining the security of the systems they operate.  They are
  179.         further responsible for notifying users of their security
  180.         policies and any changes to these policies.
  181.  
  182.         A computer or network service provider may manage resources on
  183.         behalf of users within an organization (e.g., provision of
  184.         network and computer services with a university) or it may
  185.         provide services to a larger, external community (e.g., a
  186.         regional network provider).  These resources may include host
  187.         computers employed by users, routers, terminal servers, personal
  188.         computers or other devices that have access to the Internet.
  189.  
  190.         Because the Internet itself is neither centrally managed nor
  191.         operated, responsibility for security rests with the owners and
  192.         operators of the subscriber components of the Internet.
  193.         Moreover, even if there were a central authority for this
  194.         infrastructure, security necessarily is the responsibility of
  195.         the owners and operators of the systems which are the primary
  196.         data and processing resources of the Internet.
  197.  
  198.         There are tradeoffs between stringent security measures at a
  199.         site and ease of use of systems (e.g., stringent security
  200.         measures may complicate user access to the Internet).  If a site
  201.         elects to operate an unprotected, open system, it may be
  202.         providing a platform for attacks on other Internet hosts while
  203.         concealing the attacker's identity.  Sites which do operate
  204.         open systems are nonetheless responsible for the behavior of
  205.         the systems' users and should be prepared to render assistance
  206.         to other sites when needed.  Whenever possible, sites should
  207.         try to ensure authenticated Internet access.  The readers are
  208.         directed to appendix A for a brief descriptive list of elements
  209.         of good security.
  210.  
  211.         Sites (including network service providers) are encouraged to
  212.         develop security policies.  These policies should be clearly
  213.         communicated to users and subscribers.  The Site Security
  214.         Handbook (FYI 8, RFC 1244) provides useful information and
  215.         guidance on developing good security policies and procedures
  216.         at both the site and network level.
  217.  
  218.    (4)  Vendors and system developers are responsible for providing
  219.         systems which are sound and which embody adequate security
  220.         controls.
  221.  
  222.  
  223.  
  224.  
  225.  
  226. Pethia, Crocker, & Fraser                                       [Page 4]
  227.  
  228. RFC 1281          Guidelines for the Secure Operation      November 1991
  229.  
  230.  
  231.         A vendor or system developer should evaluate each system in
  232.         terms of security controls prior to the introduction of the
  233.         system into the Internet community.  Each product (whether
  234.         offered for sale or freely distributed) should describe the
  235.         security features it incorporates.
  236.  
  237.         Vendors and system developers have an obligation to repair
  238.         flaws in the security relevant portions of the systems they
  239.         sell (or freely provide) for use in the Internet.  They are
  240.         expected to cooperate with the Internet community in
  241.         establishing mechanisms for the reporting of security flaws and
  242.         in making security-related fixes available to the community in
  243.         a timely fashion.
  244.  
  245.    (5)  Users, service providers, and hardware and software vendors are
  246.         responsible for cooperating to provide security.
  247.  
  248.         The Internet is a cooperative venture.  The culture and
  249.         practice in the Internet is to render assistance in security
  250.         matters to other sites and networks.  Each site is expected to
  251.         notify other sites if it detects a penetration in progress at
  252.         the other sites, and all sites are expected to help one another
  253.         respond to security violations.  This assistance may include
  254.         tracing connections, tracking violators and assisting law
  255.         enforcement efforts.
  256.  
  257.         There is a growing appreciation within the Internet community
  258.         that security violators should be identified and held
  259.         accountable.  This means that once a violation has been detected,
  260.         sites are encouraged to cooperate in finding the violator and
  261.         assisting in enforcement efforts.  It is recognized that many
  262.         sites will face a trade-off between securing their sites as
  263.         rapidly as possible versus leaving their site open in the hopes
  264.         of identifying the violator.  Sites will also be faced with the
  265.         dilemma of limiting the knowledge of a penetration versus
  266.         exposing the fact that a penetration has occurred.  This policy
  267.         does not dictate that a site must expose either its system or
  268.         its reputation if it decides not to, but sites are encouraged
  269.         to render as much assistance as they can.
  270.  
  271.    (6)  Technical improvements in Internet security protocols should be
  272.         sought on a continuing basis.  At the same time, personnel
  273.         developing new protocols, hardware or software for the Internet
  274.         are expected to include security considerations as part of the
  275.         design and development process.
  276.  
  277.         The points discussed above are all administrative in nature,
  278.         but technical advances are also important.  Existing protocols
  279.  
  280.  
  281.  
  282. Pethia, Crocker, & Fraser                                       [Page 5]
  283.  
  284. RFC 1281          Guidelines for the Secure Operation      November 1991
  285.  
  286.  
  287.         and operating systems do not provide the level of security that
  288.         is desired and feasible today.  Three types of advances are
  289.         encouraged:
  290.  
  291.         (a)  Improvements should be made in the basic security
  292.              mechanisms already in place.  Password security is
  293.              generally poor throughout the Internet and can be
  294.              improved markedly through the use of tools to administer
  295.              password assignment and through the use of better
  296.              authentication technology.  At the same time, the
  297.              Internet user population is expanding to include a
  298.              larger percentage of technically unsophisticated users.
  299.              Security defaults on delivered systems and the controls
  300.              for administering security must be geared to this growing
  301.              population.
  302.  
  303.          (b)  Security extensions to the protocol suite are needed.
  304.               Candidate protocols which should be augmented to improve
  305.               security include network management, routing, file
  306.               transfer, telnet, and mail.
  307.  
  308.          (c)  The design and implementation of operating systems should
  309.               be improved to place more emphasis on security and pay
  310.               more attention to the quality of the implementation of
  311.               security within systems on the Internet.
  312.  
  313. APPENDIX A
  314.  
  315.    Five areas should be addressed in improving local security:
  316.  
  317.    (1)  There must be a clear statement of the local security policy,
  318.         and this policy must be communicated to the users and other
  319.         relevant parties.  The policy should be on file and available
  320.         to users at all times, and should be communicated to users as
  321.         part of providing access to the system.
  322.  
  323.    (2)  Adequate security controls must be implemented.  At a minimum,
  324.         this means controlling access to systems via passwords,
  325.         instituting sound password management, and configuring the
  326.         system to protect itself and the information within it.
  327.  
  328.    (3)  There must be a capability to monitor security compliance and
  329.         respond to incidents involving violation of security.  Logs of
  330.         logins, attempted logins, and other security-relevant events
  331.         are strongly advised, as well as regular audit of these logs.
  332.         Also recommended is a capability to trace connections and other
  333.         events in response to penetrations.  However, it is important
  334.         for service providers to have a well thought out and published
  335.  
  336.  
  337.  
  338. Pethia, Crocker, & Fraser                                       [Page 6]
  339.  
  340. RFC 1281          Guidelines for the Secure Operation      November 1991
  341.  
  342.  
  343.         policy about what information they gather, who has access to it
  344.         and for what purposes.  Maintaining the privacy of network
  345.         users should be kept in mind when developing such a policy.
  346.  
  347.    (4)  There must be an established chain of communication and control
  348.         to handle security matters.  A responsible person should be
  349.         identified as the security contact.  The means for reaching the
  350.         security contact should be made known to all users and should
  351.         be registered in public directories, and it should be easy for
  352.         computer emergency response centers to find contact information
  353.         at any time.
  354.  
  355.         The security contact should be familiar with the technology and
  356.         configuration of all systems at the site or should be able to
  357.         get in touch with those who have this knowledge at any time.
  358.         Likewise, the security contact should be pre-authorized to make
  359.         a best effort to deal with a security incident, or should be
  360.         able to contact those with the authority at any time.
  361.  
  362.    (5)  Sites and networks which are notified of security incidents
  363.         should respond in a timely and effective manner.  In the case
  364.         of penetrations or other violations, sites and networks should
  365.         allocate resources and capabilities to identify the nature of
  366.         the incident and limit the damage.  A site or network cannot be
  367.         considered to have good security if it does not respond to
  368.         incidents in a timely and effective fashion.
  369.  
  370.         If a violator can be identified, appropriate action should be
  371.         taken to ensure that no further violations are caused.  Exactly
  372.         what sanctions should be brought against a violator depend on
  373.         the nature of the incident and the site environment.  For
  374.         example, a university may choose to bring internal disciplinary
  375.         action against a student violator.
  376.  
  377.         Similarly, sites and networks should respond when notified of
  378.         security flaws in their systems.  Sites and networks have the
  379.         responsibility to install fixes in their systems as they become
  380.         available.
  381.  
  382.  
  383.  
  384.  
  385.  
  386.  
  387.  
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394. Pethia, Crocker, & Fraser                                       [Page 7]
  395.  
  396. RFC 1281          Guidelines for the Secure Operation      November 1991
  397.  
  398.  
  399. A Bibliography of Computer and Network Security Related Documents
  400.  
  401. United States Public Laws (PL) and Federal Policies
  402.  
  403.    [1] P.L. 100-235, "The Computer Security Act of 1987", (Contained in
  404.        Appendix C of Citation No. 12, Vol II.), Jan. 8, 1988.
  405.  
  406.    [2] P.L. 99-474 (H.R. 4718), "Computer Fraud and Abuse Act of 1986",
  407.        Oct. 16, 1986.
  408.  
  409.    [3] P.L. 99-508 (H.R. 4952), "Electronic Communications Privacy Act
  410.        of 1986", Oct. 21, 1986.
  411.  
  412.    [4] P.L. 99-591, "Paperwork Reduction Reauthorization Act of 1986",
  413.        Oct. 30, 1986.
  414.  
  415.    [5] P.L. 93-579, "Privacy Act of 1984", Dec. 31, 1984.
  416.  
  417.    [6] "National Security Decision Directive 145", (Contained in
  418.        Appendix C of Citation No. 12, Vol II.).
  419.  
  420.    [7] "Security of Federal Automated Information Systems", (Contained
  421.        in Appendix C of Citation No. 12, Vol II.), Appendix III of,
  422.        Management of Federal Information Resources, Office of Management
  423.        and Budget (OMB), Circular A-130.
  424.  
  425.    [8] "Protection of Government Contractor Telecommunications",
  426.        (Contained in Appendix C of Citation No. 12, Vol II.), National
  427.        Communications Security Instruction (NACSI) 6002.
  428.  
  429. Other Documents
  430.  
  431.    [9] Secure Systems Study Committee, "Computers at Risk: Safe
  432.        Computing in the Information Age", Computer Science and
  433.        Technology Board, National Research Council, 2101 Constitution
  434.        Avenue, Washington, DC 20418, December 1990.
  435.  
  436.   [10] Curry, D., "Improving the Security of Your UNIX System", Report
  437.        No. ITSTD-721-FR-90-21, SRI International, 333 Ravenswood Ave.,
  438.        Menlo Park, CA, 94025-3493, April 1990.
  439.  
  440.   [11] Holbrook P., and J. Reynolds, Editors, "Site Security Handbook",
  441.        FYI 8, RFC 1244, CICNet, ISI, July 1991.
  442.  
  443.   [12] "Industry Information Protection, Vols. I,II,III", Industry
  444.        Information Security Task Force, President's National
  445.        Telecommunications Advisory Committee, June 1988.
  446.  
  447.  
  448.  
  449.  
  450. Pethia, Crocker, & Fraser                                       [Page 8]
  451.  
  452. RFC 1281          Guidelines for the Secure Operation      November 1991
  453.  
  454.  
  455.   [13] Jelen, G., "Information Security: An Elusive Goal", Report No.
  456.        P-85-8, Harvard University, Center for Information Policy
  457.        Research, 200 Akin, Cambridge, MA.  02138, June 1985.
  458.  
  459.   [14] "Electronic Record Systems and Individual Privacy", OTA-CIT-296,
  460.        Congress of the United States, Office of Technology Assessment,
  461.        Washington, D.C. 20510, June 1986.
  462.  
  463.   [15] "Defending Secrets, Sharing Data", OTA-CIT-310, Congress of the
  464.        United States, Office of Technology Assessment, Washington, D.C.
  465.        20510, October 1987.
  466.  
  467.   [16] "Summary of General Legislation Relating to Privacy and Computer
  468.        Security", Appendix 1 of, COMPUTERS and PRIVACY: How the
  469.        Government Obtains, Verifies, Uses and Protects Personal Data,
  470.        GAO/IMTEC-90-70BR, United States General Accounting Office,
  471.        Washington, DC 20548, pp.  36-40, August 1990.
  472.  
  473.   [17] Stout, E., "U.S. Geological Survey System Security Plan - FY
  474.        1990", U.S. Geological Survey ISD, MS809, Reston, VA, 22092, May
  475.        1990.
  476.  
  477. Security Considerations
  478.  
  479.    If security considerations had not been so widely ignored in the
  480.    Internet, this memo would not have been possible.
  481.  
  482.  
  483.  
  484.  
  485.  
  486.  
  487.  
  488.  
  489.  
  490.  
  491.  
  492.  
  493.  
  494.  
  495.  
  496.  
  497.  
  498.  
  499.  
  500.  
  501.  
  502.  
  503.  
  504.  
  505.  
  506. Pethia, Crocker, & Fraser                                       [Page 9]
  507.  
  508. RFC 1281          Guidelines for the Secure Operation      November 1991
  509.  
  510.  
  511. Authors' Addresses
  512.  
  513.    Richard D. Pethia
  514.    Software Engineering Institute
  515.    Carnegie Mellon University
  516.    Pittsburgh, Pennsylvania 15213-3890
  517.  
  518.    Phone:  (412) 268-7739
  519.    FAX:    (412) 268-6989
  520.  
  521.    EMail:  rdp@cert.sei.cmu.edu
  522.  
  523.  
  524.    Stephen D. Crocker
  525.    Trusted Information Systems, Inc.
  526.    3060 Washington Road
  527.    Glenwood, Maryland 21738
  528.  
  529.    Phone:  (301) 854-6889
  530.    FAX:    (301) 854-5363
  531.  
  532.    EMail:  crocker@tis.com
  533.  
  534.  
  535.    Barbara Y. Fraser
  536.    Software Engineering Institute
  537.    Carnegie Mellon University
  538.    Pittsburgh, Pennsylvania 15213-3890
  539.  
  540.    Phone:  (412) 268-5010
  541.    FAX:    (412) 268-6989
  542.  
  543.    EMail:  byf@cert.sei.cmu.edu
  544.  
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551.  
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562. Pethia, Crocker, & Fraser                                      [Page 10]
  563.