Hi Dan,<br>I'm Raul Siles, an Independent Security Consultant based in Spain and very much interested (between other security topics ;-)) in VoIP security.<br><br>Trying to help with some of your questions:<br>1. Best Practices references: I agree with most of the docs that have already been referenced: NIST, Juniper, NEC and Cisco (in fact I was going to recommend these four) . So, what about referencing the most relevant books in the field?, such as:
<br><br>- Practical VoIP Security<br>
by Thomas Porter<br>
Syngress (ISBN: 1597490601)<br>
<a href="http://www.syngress.com/catalog/?pid=3720">http://www.syngress.com/catalog/?pid=3720</a><br>
<br>- Hacking Exposed VoIP: Voice Over IP Security Secrets & Solutions<br>by David Endler and Mark Collier<br>McGraw-Hill Professional Publishing (ISBN: 0072263644)<br><a href="http://www.hackingvoip.com">http://www.hackingvoip.com
</a><br><br>I know they are not <font face="sans-serif" size="2">publicly available, but I guess they can be really useful for anyone trying to find best practices and solutions to secure its VoIP infrastructure.</font><br>
<br>2. I vote to use the "SEGMENT INTO FUNCTIONAL(?) AREAS" option, with each best practice pointing to the corresponding (multiple) Threat Taxonomy threats (as you've designed).<br><br>I specially like the idea of including a field in each best practice to the tool(s) it protects against. In order to accomplish that, I suggest to include a specific appendix to the final Best Practices document including all the tool references used along the paper. I'd also use a field-base tool entry (as for the best practices) for each tool in this appendix, such as:
<br>- Tool name<br>- Tool reference (unique, and used along the Best Practices paper).<br>- Tool description<br>-  Cross-reference to Threat Taxonomy<br>- Tool reference (URL)<br>- Latest tool version & date<br><br>3. Audience:
<br>- I'd add "VoIP [systems]" to the first item.<br>- I'd include "network, security and application administrators" to the third item.<br><br>4. Roughly speaking, I agree with the roles. I think that once the projects starts, we'll have more info to identify new (or remove) roles. 
<br><br>5. Apart from other activities, I volunteer to keep the tool list I previously mentioned (if it's finally accepted and considered a project requirement).<br><br>6. Questions:<br><br>> 1. What is the best structure of the document? 
<br><br>See my previous answer to item 2.<br><br>> 2. Can one document cover both enterprise and carrier/service provider needs?<br>> 3. If not, do we need to segment the sections?<br><br>I vote for a single document, however, I recommend to include a new field per each best practice to describe if it applies to enterprise, carrier/service provider or both.
<br>Then, the best practice description should have (at most) three sections (General, Enterprise & Carrier/Service Provider), where the last two (if they apply) should detail the specific particularities for these two environments.
<br><br>> 4. Given that we are looking to make a <i>globally-applicable</i> document, do we need/want to go into compliance issues such as privacy, E-911/etc.?<br><br>Perhaps, an independent document section (or appendix) covering these at the US, EU, Asia... levels could be the best approach.
<br><br>> 5. Given that "VoIP" installations today also typically involved
other "unified communications" avenues such as IM and video, how much
of that do we incorporate? Or do we just focus on voice in the first
version and perhaps expand into the other areas in a subsequent
version?
<br><br>I vote for focusing on VoIP in the first version, and once available, expand further versions into UC (IM, video, E-mail...).<br><br>
> 6. Do we want to distribute the document under a license such as Creative Commons?
<br><br>What are the license used for other VOIPSA projects? BTW, I've used Creative Commons in the past and is fine for me.<br><a href="file:///E:/BACKUP/MyWebPage/www.raulsiles.com/OUTPUT/resources/wifi.html"></a><br>Thanks for leading such an interesting project!
<br>--<br>Raul Siles<br>GSE<br><a href="http://www.raulsiles.com">www.raulsiles.com</a><br><br><div><span class="gmail_quote">On 12/2/06, <b class="gmail_sendername"><a href="mailto:dan_york@mitel.com">dan_york@mitel.com</a>
</b> <<a href="mailto:dan_york@mitel.com">dan_york@mitel.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br><font face="sans-serif" size="2">VOIPSA Best Practices list,</font>
<br>
<br><font face="sans-serif" size="2">Welcome to the Best Practices project!
  First off, may I just say a huge thank you to all of you for wanting
to help with this project.  As the list admin, I've been watching
the subscription notices stream in and we're now up around 90 people.  I
recognize many of you from the VOIPSEC mailing list, from Blue Box podcast
listeners, from conferences... but just as many I don't recognize... and
I look forward to working with you all.</font>
<br>
<br><font face="sans-serif" size="2">Thank you for your interest in helping.
 The continued escalation of news reports about VoIP security as well
as increased postings to security lists only highlights how timely and
important this project is.</font>
<br>
<br><font face="sans-serif" size="2">I may be completely naive, but I honestly
don't think this will be an enormously long project.  I think that
with the collective knowledge we have on this list, we can probably lay
out most if not all of the required best practices relatively quickly.
 In fact, I think the thing that may take us the longest may be agreeing
on how to structure the document. I would like to think that this is a
project we can complete over the next couple of months, realizing that
the holidays are in here, of course.  We'll see.</font>
<br>
<br><font face="sans-serif" size="2">But before I talk about the project,
let me just make a couple of points about my style and availability, given
that many/most of you have not worked with me before:</font>
<br>
<br><font face="sans-serif" size="2">1. As you'll see below, I've laid out
a *suggestion* for how I think things should be structured... but please
keep in mind that those are *suggestions*... I *very* much want to hear
your feedback and am definitely open to change.</font>
<br><font face="sans-serif" size="2">2. Please know that I am VERY open to
feedback/criticism/suggestions.  I have a very thick skin and enough
self-confidence that I'm perfectly okay if you tell me an idea (or text)
of mine is very dumb. (Preferably being polite while doing so.)  Please
do so...  my objective is to get the best possible set of Best Practices
that we can- as quickly as we can... I'm not interested in having egos
(including my own) get in the way.</font>
<br><font face="sans-serif" size="2">3. Unfortunately I'm getting on a plane
Monday afternoon (Dec 4th, Eastern US time) heading to London, UK, where
I'll be through the end of the week (Dec 8th).  There will be periods
where my email connectivity will be limited and, of course, my Verizon
blackberry will not work for email there.  (The perils of living in
Burlington, Vermont, where GSM coverage is limited.)  <br>
It would actually be far better for me to wait a week to launch this project,
but I very much want to get it moving so that we can get some work done
before the holiday break.  <br>
I'll be back in the office Dec 11th and don't expect to be travelling after
that until late January.</font>
<br>
<br><font face="sans-serif" size="2">So on to the project.  If you go
to the main project page in the VOIPSA wiki:</font>
<br>
<br><font face="sans-serif" size="2">  <a href="http://wiki.voipsa.org/tiki-index.php?page=BestPracticesHome" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://wiki.voipsa.org/tiki-index.php?page=BestPracticesHome
</a></font>
<br>
<br><font face="sans-serif" size="2">you will see that tonight I've created
the following pages:</font>
<br>
<br><font face="sans-serif" size="2">- A proposed development process and
document structure:  <a href="http://wiki.voipsa.org/tiki-index.php?page=Development+Process" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://wiki.voipsa.org/tiki-index.php?page=Development+Process
</a></font>
<br><font face="sans-serif" size="2">- A list of proposed volunteer roles:
 <a href="http://wiki.voipsa.org/tiki-index.php?page=Volunteer+Opportunities%2FTeam+Structure" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://wiki.voipsa.org/tiki-index.php?page=Volunteer+Opportunities%2FTeam+Structure
</a></font>
<br><font face="sans-serif" size="2">- Examples of generic best practice
statements:  <a href="http://wiki.voipsa.org/tiki-index.php?page=Examples+of+Best+Practices" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://wiki.voipsa.org/tiki-index.php?page=Examples+of+Best+Practices
</a></font>
<br><font face="sans-serif" size="2">- References to other "Best Practices"
documents:  <a href="http://wiki.voipsa.org/tiki-index.php?page=Best+Practices+References+" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://wiki.voipsa.org/tiki-index.php?page=Best+Practices+References+
</a></font>
<br>
<br><font face="sans-serif" size="2">What I would be most interested in feedback
on over the next week is the following:</font>
<br>
<br><font face="sans-serif" size="2">1. Can anyone point to other Best Practices
documents that we can add to the reference page?  They need to be
publicly available (i.e. not requiring registration) so that people can
see them.</font>
<br><font face="sans-serif" size="2">2. What do people think about how we
should best structure the document?  (See my notes on the Development
Process page.)</font>
<br><font face="sans-serif" size="2">3. Do you agree with what I identified
as the target audience?  </font>
<br><font face="sans-serif" size="2">4. I've identified about 10 potential
volunteer roles... do you agree with my thoughts? </font>
<br><font face="sans-serif" size="2">5. If so,  anyone already willing
to step forward and say how they'll contribute?</font>
<br><font face="sans-serif" size="2">6. Any thoughts on the questions I raise
at the bottom of the Development Process page?</font>
<br>
<br><font face="sans-serif" size="2">Two final notes:</font>
<br>
<br><font face="sans-serif" size="2">- Like other VOIPSA lists, this one
is set so that, with most mail clients, if you just hit Reply your message
will go back to only the *sender*.  If you want it to go back to the
list, you'll need to do "Reply to All".</font>
<br><font face="sans-serif" size="2">- This mailing list has a *public* message
archive and the wiki is entirely public, so please just do realize that
everything you send on this list or add to the wiki is visible to anyone
on the Internet.</font>
<br>
<br><font face="sans-serif" size="2">With that, I'll again say thank you
for joining this project and I look forward to working with all of you
to make it happen.  If you have any questions about all of this, please
do feel free to email or call.</font>
<br>
<br><font face="sans-serif" size="2">Thank you,</font>
<br><font face="sans-serif" size="2">Dan</font>
<br><span class="sg">
<br><font face="sans-serif" size="2">-- <br>
Dan York, CISSP<br>
Dir of IP Technology, Office of the CTO<br>
Mitel Corp.     <a href="http://www.mitel.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.mitel.com</a><br>
<a href="mailto:dan_york@mitel.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">dan_york@mitel.com</a> +1-613-592-2122<br>
PGP key (F7E3C3B4) available for <br>
secure communication<br>
<br>
</font>
</span><br>_______________________________________________<br>bestpractices mailing list<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:bestpractices@voipsa.org">bestpractices@voipsa.org</a><br>
<a onclick="return top.js.OpenExtLink(window,event,this)" href="http://voipsa.org/mailman/listinfo/bestpractices_voipsa.org" target="_blank">http://voipsa.org/mailman/listinfo/bestpractices_voipsa.org</a><br><br><br></blockquote>
</div><br>