home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / 97aug / nat-minutes-97aug.txt

< prev

next >

Wrap

Text File  |  1997-10-10  |  18KB  |  386 lines

---

1.              NAT BOF meeting minutes at the 39th IETF at Munich
2.  
3. ------------------------------------------------------------------------
4.  
5. Network Address Translator (NAT) BOF at the 39th IETF at Munich was
6. presided over by Pyda Srisuresh under the auspices of the transport area.
7. More than 100 people from most of the IETF areas attended the BOF. Slides
8. were used during the presentations by Yakov Rekhter, Pyda SriSuresh and
9. Steve Deering. I will try to have these slides available for view in the
10. next couple of days.
11.  
12. Much thanks to Bertrand Buclin for painstakingly taking the BOF notes and
13. sending me by e-mail in a very short time.
14.  
15. We now have a mailing list created to discusss nat issues. The NAT mailing
16. list is formed to address NAT related topics and issues such as NAT
17. friendly application design rules, exploration of specific problems people
18. think NATs create, identify topologies that NAT boxes do not seem to
19. support, DNS, security, mobility and IPv6 issues effected by NATs etc.
20.  
21. Initial membership consists of everyone who signed up at the Munich BOF
22. (stated more accurately, everyone whose e-mail IDs we could decipher). If
23. you do not want to get the mailing list please send email to
24. majordomo@livingston.com with line "unsubscribe nat" in the body of
25. message.
26.  
27. Details of the mailing list are as follows:
28.  
29.         Mailing List:      nat@livingston.com
30.         To join the list:  Send email to nat-request@livingston.com with
31.                            "subscribe" in the body of the message.
32.         To leave the list: Send email to nat-request@livingston.com with
33.                            "unsubscribe" in the body of the message.
34.  
35. Below are the minutes of NAT BOF, followed by the list of attendees.
36.  
37. Cheers,
38. suresh
39. (Pyda Srisuresh)
40.  
41. ------------------------------------------------------------------------
42.  
43. Start of NAT BOF Meeting Minutes
44.  
45. Sequence of Events:
46.  
47.      1. Agenda presentation by Suresh
48.      2. Word from Scott Bradner, Transport Area Director
49.      3. Statement of Objective
50.      4. Overview on NAT by Yakov Rekhter
51.      5. Talk on IP security considerations by Steve Bellovin
52.      6. Presentation of new internet draft on NAT by Suresh
53.      7. "Is NAT an alternative to IPv6 transition" by Steve Deering
54.      8. Wrap up and closure by Scott Bradner
55.  
56. 1. Agenda presentation by suresh
57.  
58. Suresh presented the following agenda:
59.  
60.      1. Word from the AD.
61.      2. Statement of objective.
62.      3. Overview on NAT by Yakov Rekhter
63.      4. Present new internet draft on NAT
64.      5. Comments from audience
65.  
66. 2. Word from Scott Bradner, Transport area director
67.  
68. NATs have been seen as something evil and ugly in the IETF. However, NAT is
69. there and is being used, so the IESG decided to investigate how much NAT
70. should be standardized. The internet-draft from Suresh and Kjeld started
71. the discussion going and the IESG decided to use this as a basis to reopen
72. the discussion within IETF with a BOF session. The arrival of the intranet
73. concept and the draconian approach used by some of the ISPs in address
74. allocation has forced people to revisit the applicability of NATs.
75.  
76. 3. Statement of Objective
77.  
78. Suresh stated the objective of the meeting to be the following:
79.  
80.    * Collect input on what NAT means to different people.
81.    * Explore specific problems people think NATs create.
82.    * Identify topologies that NATs do not support.
83.    * Summarize NAT issues, caveats and resolutions.
84.    * Determine need to form a work group.
85.  
86. 4. Overview on NAT by Yakov Rekhter
87.  
88. Yakov Rekhter presented NATs (with no application specific knowledge) and
89. Application Level Gateways (ALGs) as devices helping interconnect disparate
90. routing realms. The Internet model was that there should be a single
91. routing realm in the world. However, reality shows that there are more than
92. one realm (for example, RFC1918 acknowledges the existing of multiple
93. realms with the provision of re-usable address ranges). Two options for
94. interconnecting realms are either ALGs or NATs. Both NATs and ALGs help
95. interconnecting routing realms with either distinct or overlapping address
96. spaces.
97.  
98. There are two flavors of ALGs, Non-transparent and Transparent. A
99. non-transparent ALG, by its name is visible to end users and requires users
100. to establish explicit connection with the ALG, whereas the transparent ALGs
101. are non-visible and users are not aware of the ALG presence during their
102. transactions. Non-transparent ALGs allow for other-than-address based
103. authentication, whereas transparant ALGs relying solely on address based
104. authentication.
105.  
106. NATs modify addresses in IP header and adjust transport layer (TCP/UDP)
107. checksum. But, NATs are application independent and do not understand
108. syntax and semantics of application data stream. NATs can use dynamic or
109. static address mapping. Static is more robust because there is no need to
110. determine if the mapping would be terminated. Dynamic mapping could be
111. driven either by DNS requests, or by the data traffic (although the latter
112. is the most common). NATs deal very poorly with application data that
113. contain IP addresses. E.g., FTP PORT command.
114.  
115. ALGs are application specific and may not be very efficient from
116. performance stand point. As a middle ground between ALGs and NATs, Yakov
117. suggests the use of ATs, which are NATs with application specific knowledge
118. where possible, combined with ALGs for all other types of applications.
119.  
120. Specifically, ATs could incorporate DNS ALG functionality for the
121. interconnecting routing realms. FQDNs have to be unique across realms.
122. Usually, also DNS zones are constrained to a single realm. An AT should
123. modify DNS RRs data when it traverse the gateway.
124.  
125. End-to-end IP security is jeopardized when packets cross routing realms, as
126. NATs, ALGs and ATs alike perform routing address translations. IPSEC
127. assumes that addresses are preserved on an end to end basis. IP SEC does
128. not support applications crossing multiple realms. However, IPSEC is not
129. the only way to achieve security. Yakov suggests enhancements to IP
130. security to support communications spanning multiple routing realms.
131.  
132. The major use of NATs today is to interconnect routing realms based on
133. RFC1918 private addresses. It also improves the address space utilization,
134. and thus reduce the rate of consumption of IPv4 addresses. Enables
135. scaleable routing via topologically significant address assignment while
136. limiting the impact of renumbering to AT itself. It also provides scaleable
137. routing support for multihomed sites and improves path symmetry for those.
138. Finally, they could used for migration from IPv4 to IPv6. Drawbacks are
139. unpredictable failure modes when dealing with an application that is not
140. supported via the ALG functionality but carries IP address at the
141. application layer. IP SEC for inter-realm connectivity is problematic.
142.  
143. NGTRANS has a proposal on the table called No-NAT (NNAT) which addresses
144. most of the drawbacks of NAT, however this proposal needs to be further
145. developed to see if it is a viable alternative.
146.  
147. 5. Talk on IP security considerations by Steve Bellovin
148.  
149. The very issue of security is to establish trust. IPSEC's purpose is to not
150. trust the network, and establish trustable mechanisms between hosts. The
151. main use of IPSEC is either host to host, or firewall to firewall (VPNs).
152. In most case, all the hosts behind a firewall are considered as 'secure'
153. thanks to the firewall. The main thing to worry when deploying IPSEC is
154. determining the trust boundaries. With NATs, when DNSSEC is used, the
155. signatures on the responses must be cut off. On a general basis, NATs
156. prevent most of the services relying upon cryptographic services (e.g.
157. non-repudiation because the NAT would need to act on proxy of the user and
158. have the user private keys !). Application level security is by definition
159. applying to an environment with different trust boundaries. Re-engineering
160. IPSEC to cope with NAT would mean trusting a third party (the NAT), thus
161. lessening the overall security level (theoretically). For example, with
162. encrypted FTP data channels, NAT would not work unless the NAT device has
163. the decrypting key of one of both parties involved in the transfer, which
164. defeats the purpose of encrypted FTP.
165.  
166. 6. Presentation of new internet draft on NAT by Suresh
167.  
168. New internet draft to replace RFC 1631 was presented by Suresh. The ID is
169. authored by Srisuresh (suresh) and Kjeld Egevang. The new draft extends
170. RFC1631 with the concept of Network Address and Port Translation. There are
171. public domain implementations available from linux and freeBSD.
172.  
173. NAT has significant issues:
174.  
175.    * The biggest issue being that NAT takes away end-to-end significance of
176.      the source and/or destination addresses, TCP/UDP ports.
177.    * NAT expects sessions to be fairly independent. NAT has issues with
178.      session dependency between sessions. An example would be FTP control
179.      session setting up the FTP data sessions. Without following the
180.      contents of the control session, it would be hard to predict the data
181.      session characteristics such as session orientation.
182.    * NAT does not deal with addresses within payload.
183.  
184. The new draft makes a few clarifications and corrections:
185.  
186.    * Correction to the incremental checksum adjustment alogorithm
187.    * ARP responses to NAT addresses on LAN
188.    * As for DNS server deployment, recommends having a DNS Server on
189.      private network to resolve all private names and an External DNS
190.      server to resolve external names. However, centralizing DNS service to
191.      the NAT box could obviate the need to have two different DNS servers,
192.      one for the priavte network and one for the global network.
193.    * Switch over from NAT to NATP.
194.    * In a nutshell, NAT is a hack and does not work with all applications.
195.      So, it is desirable to have application level gateways for the
196.      applications that are not NAT friendly.
197.  
198. Network Address Port Translator:
199.  
200.    * Most popular with ISPs.
201.    * NAPT translates a large pool of private addresses into a single
202.      address, but maps applications to different TCP/UDP port numbers.
203.    * Uses identifier field in ICMP query messages to map to the same field
204.      on the assigned IP address.
205.  
206. Security considerations with NATs:
207.  
208.    * UDP sessions are inherently unsafe. Responses to a datagram could come
209.      from an address different from the target address used by sender. NAT
210.      implementations that do not track datagrams on a per-session basis
211.      could compromise the security even further.
212.    * Multicast sessions (UDP based) are another source for security
213.      weaknesses.
214.    * NAT makes up for the loss of end-to-end address significance by
215.      maintaining a state for each session. This type of state management
216.      for sessions in NAT makes it a target for break-ins that hosts have
217.      had to deal with (.e.g. SYN attacks).
218.  
219. 7. "Is NAT an alternative IPv6 transition" by Steve Deering
220.  
221. Steve does often IPv6 tutorials, and a very frequently asked question is
222. whether NAT is an alternative to IPv6 transition ?
223.  
224. NAT have kept the Internet alive and growing and helped buying time for the
225. development of IPv6... NAT can help avoid renumbering when one changes
226. service provider.
227.  
228. However, NATs do not nicely supports using redundant paths out of a site,
229. and breaks IP mobility in certain (likely) topologies. So, NAT as a new
230. addressing and routing architecture, is a bad idea and significantly
231. inferior to the current one. More complicated, more fragile, less
232. efficient, messy interdependence between IP and DNS, and harder to debug
233. and manage, less accomodating to new applications etc.
234.  
235. 8. Wrap up and closure by Scott Bradner
236.  
237. The issue is not anymore whether NAT is a good thing or not. It is merely
238. whether the IETF should do something about it. Many auestions were raised.
239.  
240.    * If the NAT proposal was put on the standard track, how would one test
241.      multiple interoperable implementations ?
242.    * Either it could be published as an informational document, or it could
243.      evolve toward a NAT Requirements document.
244.  
245. Arguments in favor of further work are:
246.  
247.    * Work group could come up with ways to simplify the troubleshooting of
248.      problems involving NATs.
249.    * Proposal is to make at a minimum a NAT BCP.
250.    * A few protocols currently developed are not NAT friendly. Maybe some
251.      protocol design guidelines to help new protocols being NAT friendly
252.      could be useful.
253.    * NATs are usually implemented on firewalls, and since there is a
254.      firewall MIB in the development, then it might be expanded to also
255.      cover NAT features.
256.    * IP mobility issues effected by NAT, NAT use during transition to IPv6,
257.      Best current practices for NAT etc.
258.  
259. NAT has been helping preserving address space. Even though, it should not
260. be included as a recommended practice for the registries when assigning
261. addresses. However, some of them set for themselves the policy of imposing
262. NAT onto their local 'customers'.
263.  
264. Most of the attendance admit that a NAT WG should be set up within the
265. IETF. The NAT WG will itself define the charter and what kind of
266. deliverables it will produce (BCP, FYI or standards).
267.  
268. Jim Bound requested that the NoNAT concept be covered by NGTRANS. Jim also
269. argued on the rationale that NAT is widely deployed and hence that
270. justifies the creation of a WG so that the IETF stick to reality. While the
271. IESG has mandated IPSEC for IPv6 while it can't be exported. This shows
272. inconsistency with the definition of 'sticking to reality'.
273.  
274. ------------------------------------------------------------------------
275.  
276. Start of NAT BOF attendees list
277.  
278. Full Name               e-mail ID
279. -----------------------------------------------------------------------
280. Pyda Srisuresh          suresh@livingston.com
281. Steve Bellovin          smb@research.att.com
282. Scott Bradner           sob@harvard.edu
283. Robert Watson           watson@vbo.dec.com
284. Bertrand Buclin         Bertrand.Buclin@ch.att.com
285. Yanick Pouffary         Pouffary@taec.enet.dec.com
286. Peter Carson            carson@vcx.lkg.dec.com
287. Naoki Matsuhira         matsu@vd.net.fujitsu.co.jp
288. Makoto Nakamura         naka@inf.furukawa.co.jp
289. Francesco Prudente      F.Prudente@telecomitalia.it
290. Jerry Chu               Jerry.chu@eng.sun.com
291. Andrew Malis            malis@casc.com
292. Charlie Muirhead        CMuirhead@incl.com
293. James V. Luciani        luciani@baynetworks.com
294. Tom Meehan              tommeehan@baynetworks.com
295. Alfred Amman            amman@baynetworks.com
296. Wim Biemolf             Wim.Biemolf@sec.nc
297. Matthias Bauer          bauer@uni-erlangen
298. George Swallow          swallow@cisco.com
299. Laurent Dumont          laurent@apple.com
300. Mike Sneed              mikes@pulse.com
301. Bill Sommerfed          sommerfed@apolkly.com
302. Mikiyo Nishida          west@sfc.wide.ad.jp
303. Bredo oeveraas          bredo@ripe.net
304. Lee Wilmot              lee@ripe.net
305. Misjam Kuhne            mis@ripe.net
306. Steve Parker            sparker@eng.sun.com
307. Charles Kunzinger       kunzinge@us.ibm.com
308. Gunnal  Lindberg        lindberg@cdg.chalmers.je
309. Christy Bonafield       cbonafield@nwc.com
310. Siegfried Lofflv        fl@lf.net
311. Bernard Sales           salesb@btmaa.bel.alcatel.be
312. Martial Monfoot         martial.monfort@edfgdf.fr
313. Ross Callon             rcallon@casc.com
314. Thomas Rosenstock       thomas.rosenstock@den.siemens.de
315. Allison Mankin          mankin@east.isi.edu
316. Steve Deering           deering@cisco.com
317. Sean kennedy            liam@bbnplanet.com
318. Brian Carpenter         brian@harsley.ibm.com
319. Jamez Skubic            james.skubic@netinsight.se
320. Suran de Sitra          suran@nortel.ca
321. Pedro Roque             roque@cisco.com
322. Yakov Rekhter           yakov@cisco.com
323. Kurt Jaeger             pi@LF.net
324. Vinod Valloppillil      VinodV@microsoft.com
325. Harald Koch             chk@utcc.utoronto.ca
326. Brian Field             bfield@advtech.uswest.com
327. Makoto Nakamura         naka@inf.furukawa.co.jp
328. Gary Malkin             gmalkin@baynetworks.com
329. Paul Raison             praison@baynetworks.com
330. Mike Wittig             mwittig@mail.cybg.com
331. Thomas Oeser            thomas.oeser@isoc.de
332. Philip Smith            philip@uk.uu.net
333. Anne Lord               annel@uk.uu.net
334. Peter Higginson         higginson@mail.dec.com
335. Jack McCann             mccann@zk3.dec.com
336. Mike Shand              shand@mail.dec.com
337. Jim Bound               bound@zk3.dec.com
338. Matt Thomas             matt.thomas@altavista-software.com
339. Mark Hollinger          myth@ucx.lkg.dec.com
340. James Ellil             jte@cert.org
341. Hiroshi Kurakami        kurakami.hiroshi@na.tnl.ntt.co.jp
342. Hirayuki Kitano         kit@icat.or.jp
343. Francesco Iceso         iceso@net.telecomitalia.it
344. Dan Nessett             dan_nessett@3mail.3com.com
345. Juerg Fankhansen        fankhans@cselt_it
346. Dan Madonald            danmad@eng.sun.com
347. Doug Junkins            junkins@nwnet.net
348. Ed Kern                 ejk@digex.net
349. Andrew Partan           asp@part.com
350. Hank Kilmer             hank@rem.com
351. Dorian Kim              dorian@blackrose.org
352. Randy Bush              randy@bogus.com
353. Elfed Weaver            Weaver@hydradra.hy.gb
354. Dave Nolan              noland@emh1.hqisec.army.mil
355. Frank Solensky          solensky@ftp.com
356. Eric Mannie             mannie@helios.iihe.oc.be
357. Terry Davis             terry.l.davis@boeing.com
358. Jeremy Lawrence         jlawrence@cisco.com
359. Kevin Brock             brock@netmanage.com
360. Sara Bitan              sarab@radghard.com
361. Dave Jacobson           dujake@vnet.ibm.com
362. Hoe Trinh               htrinh@raliegh.ibm.com
363. John Tavs               tavs@raleigh.ibm.com
364. Naiwing Shen            nshen@mci.net
365. Sue Thienese            set@bellcore.com
366. Barbara Denny           denny@3com.com
367. Lixia Zhang             lixia@cs.ucla.edu
368. Jeff Haag               jhaag@usr.com
369. Sumit Vakil             svakil@usr.com
370. Pat Calhoun             pcalhoun@usr.com
371. Hamid Asayesh           hamid@eng.sun.com
372. Shohei Takeushi         takeuchi@ccs.mt.nec.co.jp
373. Hiroshi Kitamura        kitamura@ccrle.nec.de
374. Cheryl Madson           cmadson@cisco.com
375. Teno Monohan            tmo@ssh.fi
376. Kurt Dobbins            dobbins@ctron.com
377. Luca Gentili            lucag@cineca.it
378. Raymond Sit             raymond_sit@eem.jf.intel.com
379. Michael Lerpferger      lerperg@fas.harvard.edu
380. Bernard Volz            volz@process.com
381. George Tsirtsis         george.tsirtsis@bt-sys.bt.co.uk
382. Kevin Blakey            kevin@msn.bt.co.uk
383. Philip Bridge           bridge@unisource.ch
384. Brett Chappell          bchappe@nswc.navy.mil
385. Denise Heagerty         denise@dxcoms.cern.ch
386.