home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / drafts / draft_ietf_j_p / draft-ietf-mobileip-ft-req-00.txt < prev    next >
Text File  |  1997-01-24  |  24KB  |  595 lines
  1. Mobile IP Working Group                                         V. Gupta
  2. INTERNET DRAFT                                          SUN Microsystems
  3.                                                                 S. Glass
  4.                                                             FTP Software
  5.                                                         January 20, 1997
  6.  
  7.  
  8.         Firewall Traversal for Mobile IP: Goals and Requirements
  9.                    draft-ietf-mobileip-ft-req-00.txt
  10.  
  11. Status of this Memo
  12.  
  13.    This document is a submission by the Mobile IP Working Group of the
  14.    Internet Engineering Task Force (IETF). Comments should be submitted
  15.    to the mobile-ip@SmallWorks.COM mailing list.
  16.  
  17.    Distribution of this memo is unlimited.
  18.  
  19.    This document is an Internet-Draft. Internet-Drafts are working
  20.    documents of the Internet Engineering Task Force (IETF), its areas,
  21.    and its working groups.  Note that other groups may also distribute
  22.    working documents as Internet-Drafts.
  23.  
  24.    Internet-Drafts are draft documents valid for a maximum of six months
  25.    and may be updated, replaced, or obsoleted by other documents at any
  26.    time.  It is inappropriate to use Internet-Drafts as reference
  27.    material or to cite them other than as "work in progress."
  28.  
  29.    To learn the current status of any Internet-Draft, please check the
  30.    "1id-abstracts.txt" listing contained in the Internet-Drafts Shadow
  31.    Directories on ftp.is.co.za (Africa), nic.nordu.net (Europe),
  32.    munnari.oz.au (Pacific Rim), ds.internic.net (US East Coast), or
  33.    ftp.isi.edu (US West Coast).
  34.  
  35.  
  36. Abstract
  37.  
  38.    This document discusses problems arising out of the use of Mobile IP
  39.    in a security conscious Internet and presents a list of solution
  40.    requirements deemed important. These problems may need to be resolved
  41.    in several stages. A priority order in which these problems should be
  42.    solved is also proposed.
  43.  
  44.    All firewalls are assumed to implement standard mechanisms [RFCs
  45.    1825,1826,1827] for authentication and encryption proposed by the
  46.    IPSec working group of the IETF.
  47.  
  48.  
  49.  
  50.  
  51.  
  52. Gupta & Glass            Expires July 20, 1997                  [Page 1]
  53.  
  54.  
  55.  
  56.  
  57.  
  58. INTERNET DRAFT      Firewall Traversal for Mobile IP        January 1997
  59.  
  60.  
  61.    1. Introduction
  62.  
  63.    The IETF Mobile IP protocol [Per96a] allows a mobile node (MN) to
  64.    continue sending and receiving IP datagrams using a fixed address,
  65.    its home address, even when it is no longer connected to its home
  66.    subnet. When a mobile node visits a foreign subnet, it obtains a
  67.    care-of address on that network and registers that address with its
  68.    home agent (HA), a special entity residing on its home subnet. The
  69.    home agent, in turn, intercepts datagrams meant for the mobile node
  70.    and tunnels them to the registered care-of address. Tunneling refers
  71.    to the process of enclosing the original datagram, as data, inside
  72.    another datagram with a new IP header [Per96b, Per96c]. The new
  73.    header carries the mobile node's care-of address in the destination
  74.    field. The care-of address may belong to a specially designated node
  75.    -- the foreign agent (FA) -- or may be a temporary address assigned
  76.    to one of the interfaces of the mobile node, e.g. through DHCP or
  77.    PPP. In the latter case, the mobile node is said to have a co-located
  78.    care-of address. This mode of operation obviates the need for
  79.    explicit mobility support, in the form of a FA, on the foreign
  80.    subnet.  The recipient of a tunneled packet recovers the original
  81.    datagram before processing it further.
  82.  
  83.    Mobile IP assumes that routing of unicast traffic is based solely on
  84.    the destination address. Many Internet routers now include other
  85.    considerations in their forwarding decision, e.g. in an effort to
  86.    guard against IP-spoofing attacks, source-filtering routers drop
  87.    datagrams that arrive on an interface inconsistent with their source
  88.    address [CA9621]. Such a router, if present on the foreign network,
  89.    will block all datagrams generated by a visiting mobile node carrying
  90.    its home address as source. A solution to this problem is to use a
  91.    reverse tunnel directed from the mobile node's care-of address to its
  92.    home agent [Mont96]. Under this arrangement, datagrams sent from MN
  93.    to a correspondent node (CN) now carry the care-of address (rather
  94.    than the home address) as source in the outermost IP header and pass
  95.    unchallenged through source-filtering routers to the mobile node's
  96.    home agent. The home agent strips the outer IP header and recovers
  97.    the original packet. From then on, the packet is forwarded as if the
  98.    mobile node were on its home subnet.
  99.  
  100.    Additionally, many organizations use firewalls to protect their
  101.    networks from the general Internet. These firewalls impose additional
  102.    constraints, e.g. they may drop unsolicited datagrams from untrusted
  103.    external hosts [ChZw95]. Such a policy is enforced by carefully
  104.    screening the source and destination addresses, as well as ports, on
  105.    all transport level packets.  For TCP packets, the firewall may also
  106.    monitor the ACK bit. In this situation, a mobile node's registration
  107.    requests are likely to be dropped by a firewall  protecting its home
  108.    network. Note that source-filtering is not an issue here because
  109.  
  110.  
  111.  
  112. Gupta & Glass            Expires July 20, 1997                  [Page 2]
  113.  
  114.  
  115.  
  116.  
  117.  
  118. INTERNET DRAFT      Firewall Traversal for Mobile IP        January 1997
  119.  
  120.  
  121.    registration requests arrive with a topologically correct source
  122.    address - namely the current care-of address of the mobile node.
  123.  
  124.    To complicate matters, organizations often hide the topology of their
  125.    internal network by using private addresses. These addresses are not
  126.    advertised to the general Internet. Such addresses include, but are
  127.    not restricted to, those defined in RFC 1918. The Internet's routing
  128.    fabric is unable to route packets to these addresses (resulting in
  129.    ICMP unreachables). To allow connections from the internal network to
  130.    the general Internet, application relays (also called application
  131.    gateways or proxies) are used. In a typical configuration, the
  132.    internal network is separated from the general Internet by a
  133.    "perimeter network" on which the firewall and proxies are located
  134.    [ChZw95] (see Figure 1). Hosts on the peripheral network use public
  135.    addresses, i.e. their addresses are advertised to the general
  136.    Internet. When a host on the internal network wishes to connect to
  137.    the Internet, two separate connections are set up: one between the
  138.    internal host and the proxy and another between the proxy and the
  139.    outside host. To the external host, the user at the other end appears
  140.    to be on the proxy host.
  141.  
  142.                                                                I
  143.                                                                N
  144.                                                                T
  145.           Firewall w/    [FW]                                  E
  146.           application   +---+          +------[R1]-----------  R
  147.           proxies       |   |          |    Exterior/          N
  148.                         |   |          |    Access             E
  149.                         +-+-+          |    Router             T**
  150.                           |            |
  151.              ----+--------+------------+--
  152.                  |  Perimeter Network**
  153.      Interior/   |
  154.      Choke      [R2]
  155.      Router      |
  156.                  |                       * = Uses Private Addresses
  157.            Internal Network*            ** = Uses Public Addresses
  158.  
  159.  
  160.            Figure 1: Screened-subnet firewall architecture.
  161.  
  162.    The use of private addresses on firewall-protected networks poses an
  163.    additional challenge. A mobile node belonging to such a network can
  164.    not use its home address (a private address) to communicate directly
  165.    with correspondent nodes when it is outside the protected domain as
  166.    replies from correspondent nodes to the private address are likely to
  167.    generate a "host unreachable" ICMP message. If, somehow, a reverse
  168.    tunnel can be established from the mobile node to its home agent, the
  169.  
  170.  
  171.  
  172. Gupta & Glass            Expires July 20, 1997                  [Page 3]
  173.  
  174.  
  175.  
  176.  
  177.  
  178. INTERNET DRAFT      Firewall Traversal for Mobile IP        January 1997
  179.  
  180.  
  181.    mobile node can continue using its private home address. Datagrams
  182.    generated by the mobile node using its home address will appear to
  183.    emerge from its home network and connections to external hosts will
  184.    still involve an intermediate proxy.
  185.  
  186.    The presence of intermediate firewall(s) disrupts free flow of
  187.    packets from a mobile node on the outside to its home agent on the
  188.    inside. Appropriate security mechanisms are required to successfully
  189.    traverse these firewalls to achieve required connectivity.
  190.  
  191.  
  192.    2. Proposed Solution Framework
  193.  
  194.    The firewall traversal problem in its most general form (e.g.
  195.    multiple firewalls under different administrative controls with
  196.    limited mutual trust) does not lend itself directly to an easy
  197.    solution. Therefore, it is reasonable to try solving this problem in
  198.    several phases starting with the simplest (and still useful) variant
  199.    described below.
  200.  
  201.    Consider Mobile IP operation for a mobile node (e.g. a notebook
  202.    computer belonging to a corporate employee) when it is moved outside
  203.    its firewall protected home domain into the general internet (e.g. a
  204.    university or ISP environment) which imposes no access restrictions
  205.    other than network ingress filtering. In order to reach it's home
  206.    subnet, packets from a mobile node may need to traverse Multiple
  207.    firewalls. However, they all belong to the mobile node's protected
  208.    domain and their existence and relative placement (with respect to a
  209.    mobile node's current location) is known apriori.
  210.  
  211.    The simplified problem does not address the case when some of the
  212.    intermediate firewalls belong to administrative domains other than
  213.    the mobile node's, nor does it address the case when a correspondent
  214.    node (outside the mobile node's protected domain) is itself protected
  215.    by a firewall. This latter issue, however, is orthogonal to mobility
  216.    since the problem is unchanged even when the mobile node is at home.
  217.  
  218.     A reasonable aim is to provide a mobile node with the same
  219.    connectivity (modulo performance penalties) outside its protected
  220.    network that it enjoys at home. Additionally, it should be possible
  221.    to encrypt all traffic to/from the mobile node in an effort to
  222.    preserve the level of privacy that a mobile node enjoys at home.
  223.  
  224.    The problem of dynamically discovering intermediate firewalls should
  225.    be treated separately at a later time (see item (e) in Section 3).
  226.  
  227.  
  228.    3. Issues to Consider
  229.  
  230.  
  231.  
  232. Gupta & Glass            Expires July 20, 1997                  [Page 4]
  233.  
  234.  
  235.  
  236.  
  237.  
  238. INTERNET DRAFT      Firewall Traversal for Mobile IP        January 1997
  239.  
  240.  
  241.    This section discusses several important issues that should be
  242.    considered while solving the firewall traversal problem for Mobile
  243.    IP.
  244.  
  245.    (a) Security processing of registrations requests sent on behalf of
  246.    (or by) a Mobile node must not depend on its reachability at its home
  247.    address. A violation of this assumption will create a circular
  248.    dependency since a Mobile Node's reachability at its home address is
  249.    at best uncertain until the registration request gets past the
  250.    firewall.
  251.  
  252.    Solutions that involve a separate phase in which the mobile node
  253.    negotiates access parameters with the firewall should attempt to
  254.    minimize the number of round-trip delays.
  255.  
  256.    (b) Colocating Home Agent and Firewall functionality on the same host
  257.    considerably simplifies the firewall traversal problem.  However,
  258.    doing so effectively restricts the number of networks with mobility
  259.    support. For example, in Figure 1, hosts on the perimeter network
  260.    would enjoy mobility support but none on the internal network.
  261.    Therefore, a solution must not require Home Agent and Firewall
  262.    functionality to be colocated.
  263.  
  264.    (c) It is possible to configure intermediate firewalls such that UDP
  265.    packets sent to port 434 of "well known" Home Agents are allowed to
  266.    pass through without any IPSEC processing. This solves the firewall
  267.    traversal problem for registration requests but not for reverse
  268.    tunneled traffic. This approach also involves administrative
  269.    maintenance of the list of "well known" home agents and assumes that
  270.    all processes running on port 434 of these hosts are trusted.
  271.    Ideally, a firewall should decide to let in a packet based solely on
  272.    its IPSEC characteristics (e.g. is it authenticated, encrypted or
  273.    both) rather than any higher level information. A solution that does
  274.    not require Firewalls to understand Mobile IP is preferred.
  275.  
  276.    (d) If firewalls are unable to parse Mobile IP registrations,
  277.    complications arise when the mobile node uses a care-of address
  278.    belonging to a Foreign Agent (rather than a co-located address).  The
  279.    main problem is that even if the Foreign Agent (FA) implements IPSEC
  280.    and is able to establish a security association with the Mobile
  281.    Node's firewall (FW), it can not win the Firewall's trust. A valid
  282.    authentication header on a packet generated by a FA only tells a FW
  283.    that the packet was indeed generated by the FA. However, the FW has
  284.    no way of knowing whether it was generated on behalf of a trusted
  285.    mobile node. The FA may have generated this packet on its own and the
  286.    FW may not trust the FA. (Obviously, a mobile node must not divulge
  287.    the secret it shares with the FW to its FA just so registrations can
  288.    go through.)
  289.  
  290.  
  291.  
  292. Gupta & Glass            Expires July 20, 1997                  [Page 5]
  293.  
  294.  
  295.  
  296.  
  297.  
  298. INTERNET DRAFT      Firewall Traversal for Mobile IP        January 1997
  299.  
  300.  
  301.    Consider the case of a FA relaying a mobile node's (MN) registration
  302.    request.  For this request to pass through FW, it must have an
  303.    authenticator based on a security association between FW and MN. We
  304.    could have MN precompute an "IP Authentication Header (AH)" [RFC
  305.    1826] authenticator which, if inserted by the FA in the relayed
  306.    datagram, will pass authentication at the firewall. The tricky part
  307.    here is that the AH authenticator includes the Identifier field of
  308.    the immediately preceding IP header and there is no easy way for MN
  309.    to predetermine its value generated by FA for the relayed request.
  310.  
  311.    There is a questionable solution. The MN could generate its own
  312.    Identifier and convey it to the FA with the understanding that the FA
  313.    must use this value in the IP header of the relayed request. This
  314.    value, the AH authenticator and the firewall address etc could all be
  315.    bundled in a new MN to FA registration extension. With this
  316.    mechanism, the FA need not even be an IPSEC node. For the case we are
  317.    considering (FA belongs to a trusting university/ISP environment), it
  318.    is quite likely that none of the mobility agents are capable of IPSEC
  319.    processing.  However, this approach gets more convoluted when a
  320.    mobile node must separately authenticate itself to multiple firewalls
  321.    (see item (e) below).
  322.  
  323.    In contrast, Mobile nodes operating with a co-located care-of address
  324.    are a lot simpler to deal with. In this case, requests seen by the
  325.    firewall are generated directly by a mobile node for which a trusted
  326.    relationship already exists.
  327.  
  328.    Solving the firewall traversal problem for mobile nodes registered
  329.    through foreign agents may perhaps be postponed to a later phase.
  330.  
  331.    (e) When multiple firewalls within the home domain must be traversed,
  332.    each firewall may require a different level of trust, e.g. a large
  333.    corporation may have one firewall guarding its connection to the
  334.    Internet and another guarding the finance department network from the
  335.    rest of the company (Figure 2). Amongst all the employees that are
  336.    allowed access through the main firewall, only a small subset may be
  337.    allowed in through the finance firewall.
  338.  
  339.  
  340.  
  341.  
  342.  
  343.  
  344.  
  345.  
  346.  
  347.  
  348.  
  349.  
  350.  
  351.  
  352. Gupta & Glass            Expires July 20, 1997                  [Page 6]
  353.  
  354.  
  355.  
  356.  
  357.  
  358. INTERNET DRAFT      Firewall Traversal for Mobile IP        January 1997
  359.  
  360.  
  361.                              [FW1]-------------------- INTERNET
  362.                                |
  363.                                |
  364.                               [R]
  365.                               / \
  366.                              /   \
  367.                  {Engineering}  [FW2]
  368.                                   |
  369.                               {Finance}
  370.  
  371.         Figure 2: Nested firewalls requiring different levels
  372.    of trust.
  373.  
  374.    In this scenario, a mobile node on the outside that wishes to
  375.    communicate with its home agent in the finance network must be able
  376.    to explicitly (separately) authenticate itself to each intervening
  377.    firewall.
  378.  
  379.    (f) Many organizations use firewalls along with private addresses.
  380.    If private addresses are used by the Mobile node's home domain, these
  381.    addresses must not be exposed to routers on the outside. This may
  382.    require additional tunneling e.g. a tunnel from the care-of address
  383.    to at least the (outer most) Firewall may be needed to hide/bury the
  384.    Home Agent's 'private' address as destination on reverse tunneled
  385.    traffic.
  386.  
  387.    The problem is complicated when routers within the home domain are
  388.    (by design) kept unaware of external destinations. Analogously, extra
  389.    tunneling may be needed even on the inside, e.g.  in Figure 2, a
  390.    tunnel may be needed between a home agent on the finance network and
  391.    (the proxy) FW1 to hide the 'external' care-of destination address on
  392.    encapsulated packets meant for a mobile node roaming outside.
  393.  
  394.    So far we've only considered the problem of exposing addresses as
  395.    destinations to routers that are unaware of them. To make things
  396.    worse, routers are likely to disallow unknown addresses even in the
  397.    source field of the datagrams they forward.  For example, internal
  398.    routers may disallow an external care-of address as source on reverse
  399.    tunneled traffic. This may necessitate additional tunneling within
  400.    the protected domain even for incoming packets e.g. an external
  401.    care-of address may need to be hidden from R (Figure 2) on reverse-
  402.    tunneled traffic.  Similarly, extra tunneling may be required to hide
  403.    internal addresses (e.g. home agent's) from appearing as source on
  404.    outgoing packets routed by external routers.
  405.  
  406.    Due to the widespread use of private addresses, solutions to the
  407.    firewall traversal problem must accommodate private addresses.
  408.  
  409.  
  410.  
  411.  
  412. Gupta & Glass            Expires July 20, 1997                  [Page 7]
  413.  
  414.  
  415.  
  416.  
  417.  
  418. INTERNET DRAFT      Firewall Traversal for Mobile IP        January 1997
  419.  
  420.  
  421.    (g) Proposals for dynamic discovery of intervening firewalls must not
  422.    rely on firewalls generating ICMP "administratively unreachable"
  423.    messages since many  firewalls are designed to hide as much of their
  424.    presence as possible.
  425.  
  426.    According to Chapman and Zwicky [ChZw95, Chap 6, Section titled
  427.    "Returning ICMP Error Codes"]:
  428.  
  429.    "Returning the new 'host administratively unreachable' or the fact
  430.    that there is a packet filtering system at your site, which you may
  431.    or may not want to do. These codes may also cause excessive reactions
  432.    in faulty IP implementations."
  433.  
  434.    "If your router returns an ICMP error code for every packet that
  435.    violates your filtering policy, you're also giving an attacker a way
  436.    to probe your filtering system. By observing which packets evoke an
  437.    ICMP error response, attackers can discover what types of packets do
  438.    and don't violate your policy. You should not give this information
  439.    away, because it greatly simplifies the attacker's job. The attacker
  440.    knows that packets that don't get the ICMP error are going somewhere,
  441.    and can concentrate on those protocols, where you actually have
  442.    vulnerabilities. You'd rather that the attacker spent plenty of time
  443.    sending you packets you happily throw away."
  444.  
  445.    "All in all, the safest thing to do seems to be to drop packets
  446.    without returning any ICMP error codes. If your router offers
  447.    flexibility, it might make sense to configure it to return ICMP error
  448.    codes to internal systems (which would like to know immediately that
  449.    something is going to fail, rather than wait for a timeout), but not
  450.    to external systems ... "
  451.  
  452.    (h) The Authenticated Firewall Traversal (AFT) working group of the
  453.    IETF has developed the SOCKS protocol [LGLKKJ96] as a general
  454.    mechanism for firewall traversal. The protocol is conceptually a
  455.    "shim-layer" between the application layer and the transport layer,
  456.    and as such does not provide network layer gateway services, such as
  457.    forwarding of ICMP (or even IPinIP) messages. IPinIP messages (from
  458.    HA to MN) would have to be encapsulated within UDP or TCP in order to
  459.    use SOCKS.  Beside the resulting inefficiency, there are other
  460.    concerns regarding its appropriateness for the problem at hand
  461.    [MoGu96].
  462.  
  463.    The SOCKS solution requires that the mobile node -- or another node
  464.    on its behalf -- establish a TCP session to exchange UDP traffic with
  465.    each firewall. SOCKS incurs a minimum delay of four round-trips (six
  466.    with GSS-API) before a client is able to pass data through the
  467.    firewall. It seems unlikely that this negotiation will be efficient
  468.    enough to allow a mobile node to change its point of attachment as
  469.  
  470.  
  471.  
  472. Gupta & Glass            Expires July 20, 1997                  [Page 8]
  473.  
  474.  
  475.  
  476.  
  477.  
  478. INTERNET DRAFT      Firewall Traversal for Mobile IP        January 1997
  479.  
  480.  
  481.    often as once per second, as specified in [Per96a].
  482.  
  483.    Given the likelihood that most firewalls in the future will be based
  484.    on IPSEC mechanisms, it is imperative that a solution be based on
  485.    standard IPSEC protocols, e.g. ISAKMP/Oakley.
  486.  
  487.  
  488.    4. Security Considerations
  489.  
  490.    Mobile IP assumes that routing of unicast datagrams is based solely
  491.    on the destination address. Packet filtering routers and Firewalls
  492.    include additional considerations in their routing decisions. Special
  493.    mechanisms are needed to ensure Mobile IP operation in the presence
  494.    of these and related (e.g. use of private addresses) security
  495.    measures currently becoming popular on the Internet.
  496.  
  497.    Acknowledgments
  498.  
  499.    Ideas in this document have benefited from discussions with at least
  500.    the following people: Gabriel Montenegro, Rich Skrenta and Tsutomo
  501.    Shimomura.
  502.  
  503.    References
  504.  
  505.       [CA9621] CERT Advisory CA-96.21, "TCP SYN Flooding and IP
  506.            Spoofing Attacks", available at ftp://info.cert.org/pub/
  507.            cert_advisories/CA-96.21.tcp_syn_flooding.
  508.  
  509.       [ChZw95] D. B. Chapman and E. Zwicky, "Building Internet
  510.            Firewalls", O'Reilly & Associates, Inc., Sept. 1995.
  511.  
  512.       [LGLK96] M. Leech, M. Ganis, Y. Lee, R. Kuris, D. Koblas and
  513.            L. Jones, "SOCKS Protocol Version 5", RFC 1928, March 1996.
  514.  
  515.       [Leec96] M. Leech, "Username/Password Authentication for SOCKS
  516.            V5", RFC 1929, March 1996.
  517.  
  518.       [McMa96] P. McMahon, "GSS-API Authentication Method for SOCKS
  519.            Version 5", RFC 1961, June 1996.
  520.  
  521.       [Mont96] G. Montenegro, "Bi-directional Tunneling for Mobile IP",
  522.            Draft <draft-montenegro-tunneling-01.txt>-- work in progress,
  523.            Sept. 1996.
  524.  
  525.       [MoGu96] G. Montenegro and V. Gupta, "Firewall Support for Mobile
  526.            IP". Draft <draft-montenegro-firewall-sup-00.txt>, work
  527.            in progress, Sept. 1996.
  528.  
  529.  
  530.  
  531.  
  532. Gupta & Glass            Expires July 20, 1997                  [Page 9]
  533.  
  534.  
  535.  
  536.  
  537.  
  538. INTERNET DRAFT      Firewall Traversal for Mobile IP        January 1997
  539.  
  540.  
  541.       [Per96a] C. Perkins, "IP Mobility Support", RFC 2002.
  542.  
  543.       [Per96b] C. Perkins, "IP Encapsulation within IP", RFC 2003.
  544.  
  545.       [Per96c] C. Perkins, "Minimal Encapsulation within IP", RFC 2004.
  546.  
  547.  
  548. Author's Address
  549.  
  550.    Vipul Gupta
  551.    Sun Microsystems, Inc.
  552.    2550 Garcia Avenue
  553.    Mailstop UMPK 15-214
  554.    Mountain View, CA 94043-1100
  555.  
  556.    Tel: (415) 786 3614
  557.    Fax: (415) 786 6445
  558.  
  559.    EMail: vipul.gupta@eng.sun.com
  560.  
  561.    Steven M. Glass
  562.    FTP Software
  563.    2 High Street
  564.    North Andover, MA 01949
  565.  
  566.    Tel: (508) 685 4000
  567.    Fax: (508) 684 6105
  568.  
  569.    EMail: glass@ftp.com
  570.  
  571.  
  572.  
  573.  
  574.  
  575.  
  576.  
  577.  
  578.  
  579.  
  580.  
  581.  
  582.  
  583.  
  584.  
  585.  
  586.  
  587.  
  588.  
  589.  
  590.  
  591.  
  592. Gupta & Glass            Expires July 20, 1997                 [Page 10]
  593.  
  594.  
  595.