home *** CD-ROM | disk | FTP | other *** search
/ CU Amiga Super CD-ROM 27 / CU Amiga Magazine's Super CD-ROM 27 (1998)(EMAP Images)(GB)[!][issue 1998-10].iso / CUCD / Sound / SPlayer / Socks5 / doc / rfc1928.txt next >
Text File  |  1996-04-29  |  20KB  |  452 lines
  1.  
  2. Network Working Group                                           M. Leech
  3. Request for Comments: 1928                    Bell-Northern Research Ltd
  4. Category: Standards Track                                       M. Ganis
  5.                                          International Business Machines
  6.                                                                   Y. Lee
  7.                                                   NEC Systems Laboratory
  8.                                                                 R. Kuris
  9.                                                        Unify Corporation
  10.                                                                D. Koblas
  11.                                                   Independent Consultant
  12.                                                                 L. Jones
  13.                                                  Hewlett-Packard Company
  14.                                                               March 1996
  15.  
  16.                         SOCKS Protocol Version 5
  17.  
  18. Status of this Memo
  19.  
  20.    This document specifies an Internet standards track protocol for the
  21.    Internet community, and requests discussion and suggestions for
  22.    improvements.  Please refer to the current edition of the "Internet
  23.    Official Protocol Standards" (STD 1) for the standardization state
  24.    and status of this protocol.  Distribution of this memo is unlimited.
  25.  
  26. Acknowledgments
  27.  
  28.    This memo describes a protocol that is an evolution of the previous
  29.    version of the protocol, version 4 [1]. This new protocol stems from
  30.    active discussions and prototype implementations.  The key
  31.    contributors are: Marcus Leech: Bell-Northern Research, David Koblas:
  32.    Independent Consultant, Ying-Da Lee: NEC Systems Laboratory, LaMont
  33.    Jones: Hewlett-Packard Company, Ron Kuris: Unify Corporation, Matt
  34.    Ganis: International Business Machines.
  35.  
  36. 1.  Introduction
  37.  
  38.    The use of network firewalls, systems that effectively isolate an
  39.    organizations internal network structure from an exterior network,
  40.    such as the INTERNET is becoming increasingly popular.  These
  41.    firewall systems typically act as application-layer gateways between
  42.    networks, usually offering controlled TELNET, FTP, and SMTP access.
  43.    With the emergence of more sophisticated application layer protocols
  44.    designed to facilitate global information discovery, there exists a
  45.    need to provide a general framework for these protocols to
  46.    transparently and securely traverse a firewall.
  47.  
  48. Leech, et al                Standards Track                     [Page 1]
  49.  
  50. RFC 1928                SOCKS Protocol Version 5              March 1996
  51.  
  52.    There exists, also, a need for strong authentication of such
  53.    traversal in as fine-grained a manner as is practical. This
  54.    requirement stems from the realization that client-server
  55.    relationships emerge between the networks of various organizations,
  56.    and that such relationships need to be controlled and often strongly
  57.    authenticated.
  58.  
  59.    The protocol described here is designed to provide a framework for
  60.    client-server applications in both the TCP and UDP domains to
  61.    conveniently and securely use the services of a network firewall.
  62.    The protocol is conceptually a "shim-layer" between the application
  63.    layer and the transport layer, and as such does not provide network-
  64.    layer gateway services, such as forwarding of ICMP messages.
  65.  
  66. 2.  Existing practice
  67.  
  68.    There currently exists a protocol, SOCKS Version 4, that provides for
  69.    unsecured firewall traversal for TCP-based client-server
  70.    applications, including TELNET, FTP and the popular information-
  71.    discovery protocols such as HTTP, WAIS and GOPHER.
  72.  
  73.    This new protocol extends the SOCKS Version 4 model to include UDP,
  74.    and extends the framework to include provisions for generalized
  75.    strong authentication schemes, and extends the addressing scheme to
  76.    encompass domain-name and V6 IP addresses.
  77.  
  78.    The implementation of the SOCKS protocol typically involves the
  79.    recompilation or relinking of TCP-based client applications to use
  80.    the appropriate encapsulation routines in the SOCKS library.
  81.  
  82. Note:
  83.  
  84.    Unless otherwise noted, the decimal numbers appearing in packet-
  85.    format diagrams represent the length of the corresponding field, in
  86.    octets.  Where a given octet must take on a specific value, the
  87.    syntax X'hh' is used to denote the value of the single octet in that
  88.    field. When the word 'Variable' is used, it indicates that the
  89.    corresponding field has a variable length defined either by an
  90.    associated (one or two octet) length field, or by a data type field.
  91.  
  92. 3.  Procedure for TCP-based clients
  93.  
  94.    When a TCP-based client wishes to establish a connection to an object
  95.    that is reachable only via a firewall (such determination is left up
  96.    to the implementation), it must open a TCP connection to the
  97.    appropriate SOCKS port on the SOCKS server system.  The SOCKS service
  98.    is conventionally located on TCP port 1080.  If the connection
  99.    request succeeds, the client enters a negotiation for the
  100.  
  101. Leech, et al                Standards Track                     [Page 2]
  102.  
  103. RFC 1928                SOCKS Protocol Version 5              March 1996
  104.  
  105.    authentication method to be used, authenticates with the chosen
  106.    method, then sends a relay request.  The SOCKS server evaluates the
  107.    request, and either establishes the appropriate connection or denies
  108.    it.
  109.  
  110.    Unless otherwise noted, the decimal numbers appearing in packet-
  111.    format diagrams represent the length of the corresponding field, in
  112.    octets.  Where a given octet must take on a specific value, the
  113.    syntax X'hh' is used to denote the value of the single octet in that
  114.    field. When the word 'Variable' is used, it indicates that the
  115.    corresponding field has a variable length defined either by an
  116.    associated (one or two octet) length field, or by a data type field.
  117.  
  118.    The client connects to the server, and sends a version
  119.    identifier/method selection message:
  120.  
  121.                    +----+----------+----------+
  122.                    |VER | NMETHODS | METHODS  |
  123.                    +----+----------+----------+
  124.                    | 1  |    1     | 1 to 255 |
  125.                    +----+----------+----------+
  126.  
  127.    The VER field is set to X'05' for this version of the protocol.  The
  128.    NMETHODS field contains the number of method identifier octets that
  129.    appear in the METHODS field.
  130.  
  131.    The server selects from one of the methods given in METHODS, and
  132.    sends a METHOD selection message:
  133.  
  134.                          +----+--------+
  135.                          |VER | METHOD |
  136.                          +----+--------+
  137.                          | 1  |   1    |
  138.                          +----+--------+
  139.  
  140.    If the selected METHOD is X'FF', none of the methods listed by the
  141.    client are acceptable, and the client MUST close the connection.
  142.  
  143.    The values currently defined for METHOD are:
  144.  
  145.           o  X'00' NO AUTHENTICATION REQUIRED
  146.           o  X'01' GSSAPI
  147.           o  X'02' USERNAME/PASSWORD
  148.           o  X'03' to X'7F' IANA ASSIGNED
  149.           o  X'80' to X'FE' RESERVED FOR PRIVATE METHODS
  150.           o  X'FF' NO ACCEPTABLE METHODS
  151.  
  152.    The client and server then enter a method-specific sub-negotiation.
  153.  
  154. Leech, et al                Standards Track                     [Page 3]
  155.  
  156. RFC 1928                SOCKS Protocol Version 5              March 1996
  157.  
  158.    Descriptions of the method-dependent sub-negotiations appear in
  159.    separate memos.
  160.  
  161.    Developers of new METHOD support for this protocol should contact
  162.    IANA for a METHOD number.  The ASSIGNED NUMBERS document should be
  163.    referred to for a current list of METHOD numbers and their
  164.    corresponding protocols.
  165.  
  166.    Compliant implementations MUST support GSSAPI and SHOULD support
  167.    USERNAME/PASSWORD authentication methods.
  168.  
  169. 4.  Requests
  170.  
  171.    Once the method-dependent subnegotiation has completed, the client
  172.    sends the request details.  If the negotiated method includes
  173.    encapsulation for purposes of integrity checking and/or
  174.    confidentiality, these requests MUST be encapsulated in the method-
  175.    dependent encapsulation.
  176.  
  177.    The SOCKS request is formed as follows:
  178.  
  179.         +----+-----+-------+------+----------+----------+
  180.         |VER | CMD |  RSV  | ATYP | DST.ADDR | DST.PORT |
  181.         +----+-----+-------+------+----------+----------+
  182.         | 1  |  1  | X'00' |  1   | Variable |    2     |
  183.         +----+-----+-------+------+----------+----------+
  184.  
  185.      Where:
  186.  
  187.           o  VER    protocol version: X'05'
  188.           o  CMD
  189.              o  CONNECT X'01'
  190.              o  BIND X'02'
  191.              o  UDP ASSOCIATE X'03'
  192.           o  RSV    RESERVED
  193.           o  ATYP   address type of following address
  194.              o  IP V4 address: X'01'
  195.              o  DOMAINNAME: X'03'
  196.              o  IP V6 address: X'04'
  197.           o  DST.ADDR       desired destination address
  198.           o  DST.PORT desired destination port in network octet
  199.              order
  200.  
  201.    The SOCKS server will typically evaluate the request based on source
  202.    and destination addresses, and return one or more reply messages, as
  203.    appropriate for the request type.
  204.  
  205. Leech, et al                Standards Track                     [Page 4]
  206.  
  207. RFC 1928                SOCKS Protocol Version 5              March 1996
  208.  
  209. 5.  Addressing
  210.  
  211.    In an address field (DST.ADDR, BND.ADDR), the ATYP field specifies
  212.    the type of address contained within the field:
  213.  
  214.           o  X'01'
  215.  
  216.    the address is a version-4 IP address, with a length of 4 octets
  217.  
  218.           o  X'03'
  219.  
  220.    the address field contains a fully-qualified domain name.  The first
  221.    octet of the address field contains the number of octets of name that
  222.    follow, there is no terminating NUL octet.
  223.  
  224.           o  X'04'
  225.  
  226.    the address is a version-6 IP address, with a length of 16 octets.
  227.  
  228. 6.  Replies
  229.  
  230.    The SOCKS request information is sent by the client as soon as it has
  231.    established a connection to the SOCKS server, and completed the
  232.    authentication negotiations.  The server evaluates the request, and
  233.    returns a reply formed as follows:
  234.  
  235.         +----+-----+-------+------+----------+----------+
  236.         |VER | REP |  RSV  | ATYP | BND.ADDR | BND.PORT |
  237.         +----+-----+-------+------+----------+----------+
  238.         | 1  |  1  | X'00' |  1   | Variable |    2     |
  239.         +----+-----+-------+------+----------+----------+
  240.  
  241.      Where:
  242.  
  243.           o  VER    protocol version: X'05'
  244.           o  REP    Reply field:
  245.              o  X'00' succeeded
  246.              o  X'01' general SOCKS server failure
  247.              o  X'02' connection not allowed by ruleset
  248.              o  X'03' Network unreachable
  249.              o  X'04' Host unreachable
  250.              o  X'05' Connection refused
  251.              o  X'06' TTL expired
  252.              o  X'07' Command not supported
  253.              o  X'08' Address type not supported
  254.              o  X'09' to X'FF' unassigned
  255.           o  RSV    RESERVED
  256.           o  ATYP   address type of following address
  257.  
  258. Leech, et al                Standards Track                     [Page 5]
  259.  
  260. RFC 1928                SOCKS Protocol Version 5              March 1996
  261.  
  262.              o  IP V4 address: X'01'
  263.              o  DOMAINNAME: X'03'
  264.              o  IP V6 address: X'04'
  265.           o  BND.ADDR       server bound address
  266.           o  BND.PORT       server bound port in network octet order
  267.  
  268.    Fields marked RESERVED (RSV) must be set to X'00'.
  269.  
  270.    If the chosen method includes encapsulation for purposes of
  271.    authentication, integrity and/or confidentiality, the replies are
  272.    encapsulated in the method-dependent encapsulation.
  273.  
  274. CONNECT
  275.  
  276.    In the reply to a CONNECT, BND.PORT contains the port number that the
  277.    server assigned to connect to the target host, while BND.ADDR
  278.    contains the associated IP address.  The supplied BND.ADDR is often
  279.    different from the IP address that the client uses to reach the SOCKS
  280.    server, since such servers are often multi-homed.  It is expected
  281.    that the SOCKS server will use DST.ADDR and DST.PORT, and the
  282.    client-side source address and port in evaluating the CONNECT
  283.    request.
  284.  
  285. BIND
  286.  
  287.    The BIND request is used in protocols which require the client to
  288.    accept connections from the server.  FTP is a well-known example,
  289.    which uses the primary client-to-server connection for commands and
  290.    status reports, but may use a server-to-client connection for
  291.    transferring data on demand (e.g. LS, GET, PUT).
  292.  
  293.    It is expected that the client side of an application protocol will
  294.    use the BIND request only to establish secondary connections after a
  295.    primary connection is established using CONNECT.  In is expected that
  296.    a SOCKS server will use DST.ADDR and DST.PORT in evaluating the BIND
  297.    request.
  298.  
  299.    Two replies are sent from the SOCKS server to the client during a
  300.    BIND operation.  The first is sent after the server creates and binds
  301.    a new socket.  The BND.PORT field contains the port number that the
  302.    SOCKS server assigned to listen for an incoming connection.  The
  303.    BND.ADDR field contains the associated IP address.  The client will
  304.    typically use these pieces of information to notify (via the primary
  305.    or control connection) the application server of the rendezvous
  306.    address.  The second reply occurs only after the anticipated incoming
  307.    connection succeeds or fails.
  308.  
  309. Leech, et al                Standards Track                     [Page 6]
  310.  
  311. RFC 1928                SOCKS Protocol Version 5              March 1996
  312.  
  313.    In the second reply, the BND.PORT and BND.ADDR fields contain the
  314.    address and port number of the connecting host.
  315.  
  316. UDP ASSOCIATE
  317.  
  318.    The UDP ASSOCIATE request is used to establish an association within
  319.    the UDP relay process to handle UDP datagrams.  The DST.ADDR and
  320.    DST.PORT fields contain the address and port that the client expects
  321.    to use to send UDP datagrams on for the association.  The server MAY
  322.    use this information to limit access to the association.  If the
  323.    client is not in possesion of the information at the time of the UDP
  324.    ASSOCIATE, the client MUST use a port number and address of all
  325.    zeros.
  326.  
  327.    A UDP association terminates when the TCP connection that the UDP
  328.    ASSOCIATE request arrived on terminates.
  329.  
  330.    In the reply to a UDP ASSOCIATE request, the BND.PORT and BND.ADDR
  331.    fields indicate the port number/address where the client MUST send
  332.    UDP request messages to be relayed.
  333.  
  334. Reply Processing
  335.  
  336.    When a reply (REP value other than X'00') indicates a failure, the
  337.    SOCKS server MUST terminate the TCP connection shortly after sending
  338.    the reply.  This must be no more than 10 seconds after detecting the
  339.    condition that caused a failure.
  340.  
  341.    If the reply code (REP value of X'00') indicates a success, and the
  342.    request was either a BIND or a CONNECT, the client may now start
  343.    passing data.  If the selected authentication method supports
  344.    encapsulation for the purposes of integrity, authentication and/or
  345.    confidentiality, the data are encapsulated using the method-dependent
  346.    encapsulation.  Similarly, when data arrives at the SOCKS server for
  347.    the client, the server MUST encapsulate the data as appropriate for
  348.    the authentication method in use.
  349.  
  350. 7.  Procedure for UDP-based clients
  351.  
  352.    A UDP-based client MUST send its datagrams to the UDP relay server at
  353.    the UDP port indicated by BND.PORT in the reply to the UDP ASSOCIATE
  354.    request.  If the selected authentication method provides
  355.    encapsulation for the purposes of authenticity, integrity, and/or
  356.    confidentiality, the datagram MUST be encapsulated using the
  357.    appropriate encapsulation.  Each UDP datagram carries a UDP request
  358.    header with it:
  359.  
  360. Leech, et al                Standards Track                     [Page 7]
  361.  
  362. RFC 1928                SOCKS Protocol Version 5              March 1996
  363.  
  364.       +----+------+------+----------+----------+----------+
  365.       |RSV | FRAG | ATYP | DST.ADDR | DST.PORT |   DATA   |
  366.       +----+------+------+----------+----------+----------+
  367.       | 2  |  1   |  1   | Variable |    2     | Variable |
  368.       +----+------+------+----------+----------+----------+
  369.  
  370.      The fields in the UDP request header are:
  371.  
  372.           o  RSV  Reserved X'0000'
  373.           o  FRAG    Current fragment number
  374.           o  ATYP    address type of following addresses:
  375.              o  IP V4 address: X'01'
  376.              o  DOMAINNAME: X'03'
  377.              o  IP V6 address: X'04'
  378.           o  DST.ADDR       desired destination address
  379.           o  DST.PORT       desired destination port
  380.           o  DATA     user data
  381.  
  382.    When a UDP relay server decides to relay a UDP datagram, it does so
  383.    silently, without any notification to the requesting client.
  384.    Similarly, it will drop datagrams it cannot or will not relay.  When
  385.    a UDP relay server receives a reply datagram from a remote host, it
  386.    MUST encapsulate that datagram using the above UDP request header,
  387.    and any authentication-method-dependent encapsulation.
  388.  
  389.    The UDP relay server MUST acquire from the SOCKS server the expected
  390.    IP address of the client that will send datagrams to the BND.PORT
  391.    given in the reply to UDP ASSOCIATE.  It MUST drop any datagrams
  392.    arriving from any source IP address other than the one recorded for
  393.    the particular association.
  394.  
  395.    The FRAG field indicates whether or not this datagram is one of a
  396.    number of fragments.  If implemented, the high-order bit indicates
  397.    end-of-fragment sequence, while a value of X'00' indicates that this
  398.    datagram is standalone.  Values between 1 and 127 indicate the
  399.    fragment position within a fragment sequence.  Each receiver will
  400.    have a REASSEMBLY QUEUE and a REASSEMBLY TIMER associated with these
  401.    fragments.  The reassembly queue must be reinitialized and the
  402.    associated fragments abandoned whenever the REASSEMBLY TIMER expires,
  403.    or a new datagram arrives carrying a FRAG field whose value is less
  404.    than the highest FRAG value processed for this fragment sequence.
  405.    The reassembly timer MUST be no less than 5 seconds.  It is
  406.    recommended that fragmentation be avoided by applications wherever
  407.    possible.
  408.  
  409.    Implementation of fragmentation is optional; an implementation that
  410.    does not support fragmentation MUST drop any datagram whose FRAG
  411.    field is other than X'00'.
  412.  
  413. Leech, et al                Standards Track                     [Page 8]
  414.  
  415. RFC 1928                SOCKS Protocol Version 5              March 1996
  416.  
  417.    The programming interface for a SOCKS-aware UDP MUST report an
  418.    available buffer space for UDP datagrams that is smaller than the
  419.    actual space provided by the operating system:
  420.  
  421.           o  if ATYP is X'01' - 10+method_dependent octets smaller
  422.           o  if ATYP is X'03' - 262+method_dependent octets smaller
  423.           o  if ATYP is X'04' - 20+method_dependent octets smaller
  424.  
  425. 8.  Security Considerations
  426.  
  427.    This document describes a protocol for the application-layer
  428.    traversal of IP network firewalls.  The security of such traversal is
  429.    highly dependent on the particular authentication and encapsulation
  430.    methods provided in a particular implementation, and selected during
  431.    negotiation between SOCKS client and SOCKS server.
  432.  
  433.    Careful consideration should be given by the administrator to the
  434.    selection of authentication methods.
  435.  
  436. 9.  References
  437.  
  438.    [1] Koblas, D., "SOCKS", Proceedings: 1992 Usenix Security Symposium.
  439.  
  440. Author's Address
  441.  
  442.        Marcus Leech
  443.        Bell-Northern Research Ltd
  444.        P.O. Box 3511, Stn. C,
  445.        Ottawa, ON
  446.        CANADA K1Y 4H7
  447.  
  448.        Phone: (613) 763-9145
  449.        EMail: mleech@bnr.ca
  450.  
  451. Leech, et al                Standards Track                     [Page 9]
  452.