home *** CD-ROM | disk | FTP | other *** search
/ PC go! 1996 January / Image.iso / pcgo / extra2 / faq / firewl.txt < prev    next >
Encoding:
Text File  |  1994-07-11  |  23.7 KB  |  593 lines
  1. Internet Firewalls Frequently Asked Questions
  2. ---------------------------------------------
  3.  
  4. About the FAQ
  5. -------------
  6. This FAQ is not an advertisement or endorsement for any
  7. product, company, or consultant. The maintainer welcomes input
  8. and comments on the contents of this FAQ. Comments related
  9. to the FAQ should be addressed to Fwalls-FAQ@tis.com.
  10.  
  11.  
  12. Contents:
  13. ---------
  14. 1: What is a network firewall?
  15. 2: Why would I want a firewall?
  16. 3: What can a firewall protect against?
  17. 4: What can't a firewall protect against?
  18. 5: What are good sources of print information on firewalls?
  19. 6: Where can I get more information on firewalls on the  network?
  20. 7: What are some commercial products or consultants who sell/service firewalls?
  21. 8: What are some of the basic design decisions in a firewall?
  22. 9: What are proxy servers and how do they work?
  23. 10: What are some cheap packet screening tools?
  24. 11: What are some reasonable filtering rules for my Cisco?
  25. 12: How do I make DNS work with a firewall?
  26. 13: How do I make FTP work through my firewall?
  27. 14: How do I make Telnet work through my firewall?
  28. 15: How do I make Finger and whois work through my firewall?
  29. 16: How do I make gopher, archie, and other services work through my firewall?
  30. 17: What are the issues about X-Window through a firewall?
  31.  
  32. ---------------------------
  33.  
  34. Date: Thu Mar 3 12:35:59 1994
  35. From: Fwalls-FAQ@tis.com
  36. Subject: 1: What is a network firewall?
  37.  
  38. A firewall is any one of several ways of protecting one
  39. network from another untrusted network. The actual mechanism
  40. whereby this is accomplished varies widely, but in
  41. principle, the firewall can be thought of as a pair of
  42. mechanisms: one which exists to block traffic, and the other
  43. which exists to permit traffic. Some firewalls place a
  44. greater emphasis on blocking traffic, while others emphasize
  45. permitting traffic.
  46.  
  47. ---------------------------
  48.  
  49. Date: Thu Mar 3 12:36:15 1994
  50. From: Fwalls-FAQ@tis.com
  51. Subject: 2: Why would I want a firewall?
  52.  
  53. The Internet, like any other society, is plagued with the
  54. kind of jerks who enjoy the electronic equivalent of writing
  55. on other people's walls with spraypaint, tearing their
  56. mailboxes off, or just sitting in the street blowing their
  57. car horns. Some people try to get real work done over the
  58. Internet, and others have sensitive or proprietary data they
  59. must protect. A firewall's purpose is to keep the jerks out
  60. of your network while still letting you get your job done.
  61.  
  62. Many traditional-style corporations and data centers have
  63. computing security policies and practices that must be
  64. adhered to. In a case where a company's policies dictate how
  65. data must be protected, a firewall is very important, since
  66. it is the embodiment of the corporate policy. Frequently,
  67. the hardest part of hooking to the Internet, if you're a
  68. large company, is not justifying the expense or effort, but
  69. convincing management that it's safe to do so. A firewall
  70. provides not only real security - it often plays an
  71. important role as a security blanket for management.
  72.  
  73. Lastly, a firewall can act as your corporate "ambassador" to
  74. the Internet. Many corporations use their firewall systems
  75. as a place to store public information about corporate
  76. products and services, files to download, bug-fixes, and so
  77. forth. Several of these systems have become important parts
  78. of the Internet service structure (e.g.: UUnet.uu.net,
  79. gatekeeper.dec.com) and have reflected well on their
  80. corporate sponsors.
  81.  
  82. ---------------------------
  83.  
  84. Date: Thu Mar 3 13:24:13 1994
  85. From: Fwalls-FAQ@tis.com
  86. Subject: 3: What can a firewall protect against?
  87.  
  88. Some firewalls permit only Email traffic through them,
  89. thereby protecting the network against any attacks other
  90. than attacks against the Email service. Other firewalls
  91. provide less strict protections, and block services that are
  92. known to be problems.
  93.  
  94. Generally, firewalls are configured to protect against
  95. unauthenticated interactive logins from the "outside" world.
  96. This, more than anything, helps prevent vandals from logging
  97. into machines on your network. More elaborate firewalls
  98. block traffic from the outside to the inside, but permit
  99. users on the inside to communicate freely with the outside.
  100. The firewall can protect you against any type of network
  101. borne attack if you unplug it.
  102.  
  103. Firewalls are also important since they can provide a single
  104. "choke point" where security and audit can be imposed.
  105. Unlike in a situation where a computer system is being attacked
  106. by someone dialing in with a modem, the firewall can act as
  107. an effective "phone tap" and tracing tool.
  108.  
  109. ---------------------------
  110.  
  111. Date: Thu Mar 3 14:02:07 1994
  112. From: Fwalls-FAQ@tis.com
  113. Subject: 4: What can't a firewall protect against?
  114.  
  115.         Firewalls can't protect against attacks that don't
  116. go through the firewall. Many corporations that connect to
  117. the Internet are very concerned about proprietary data
  118. leaking out of the company through that route. Unfortunately
  119. for those concerned, a magnetic tape can just as effectively
  120. be used to export data. Firewall policies must be realistic,
  121. and reflect the level of security in the entire network. For
  122. example, a site with top secret or classified data doesn't
  123. need a firewall at all: they shouldn't be hooking up to the
  124. internet in the first place, or the systems with the really
  125. secret data should be isolated from the rest of the
  126. corporate network.
  127.  
  128.             Firewalls can't protect very well against things
  129. like viruses. There are too many ways of encoding binary
  130. files for transfer over networks, and too many different
  131. architectures and viruses to try to search for them all.
  132. In other words, a firewall cannot replace security-
  133. consciousness on the part of your users. In general, a firewall
  134. cannot protect against a data-driven attack -- attacks in which
  135. something is mailed or copied to an internal host where it is
  136. then executed. This form of attack has occurred in the past
  137. against various versions of Sendmail.
  138.  
  139. ---------------------------
  140.  
  141. Date: Thu Mar 3 13:26:36 1994
  142. From: Fwalls-FAQ@tis.com
  143. Subject: 5: What are good sources of print information on firewalls?
  144.  
  145. There are several books that touch on firewalls. The best
  146. known are:
  147.  
  148. Cheswick and Bellovin, "Firewalls and Internet Security:
  149. Repelling the Wily Hacker"  Addison-Wesley, ??, 1994
  150.  
  151. Garfinkel  and Spafford, "Practical UNIX Security"  O'Reilly
  152. and associates (discusses primarily host security)
  153.  
  154. ---------------------------
  155.  
  156. Date: Thu Mar 3 13:48:14 1994
  157. From: Fwalls-FAQ@tis.com
  158. Subject: 6: Where can I get more information on firewalls on the network?
  159.  
  160. Ftp.greatcircle.com - Firewalls mailing list archives.
  161.                 Directory: pub/firewalls
  162.  
  163. Ftp.tis.com - Internet firewall toolkit and papers.
  164.                 Directory: pub/firewalls
  165.  
  166. Research.att.com - Papers on firewalls and breakins.
  167.                 Directory: dist/internet_security
  168.  
  169. Net.Tamu.edu - Texas AMU security tools.
  170.                 Directory: pub/security/TAMU
  171.  
  172.         The internet firewalls mailing list is a forum for firewall
  173. administrators and implementors. To subscribe to Firewalls, send
  174. "subscribe firewalls"
  175. in the body of a message (not on the "Subject:" line) to
  176. "Majordomo@GreatCircle.COM". Archives of past Firewalls postings are
  177. available for anonymous FTP from ftp.greatcircle.com in pub/firewalls/archive
  178.  
  179. ---------------------------
  180.  
  181. Date: Thu Mar 3 12:38:10 1994
  182. From: Fwalls-FAQ@tis.com
  183. Subject: 7: What are some commercial products or consultants who sell/service firewalls?
  184.  
  185. We feel this topic is too sensitive to address in a FAQ, as
  186. well as being difficult to maintain an up-to-date list.
  187.  
  188.  
  189. ---------------------------
  190.  
  191. Date: Thu Mar 3 12:38:31 1994
  192. From: Fwalls-FAQ@tis.com
  193. Subject: 8: What are some of the basic design decisions in a firewall?
  194.  
  195. There are a number of basic design issues that should be
  196. addressed by the lucky person who has been tasked with the
  197. responsibility of designing, specifying, and implementing or
  198. overseeing the installation of a firewall.
  199.  
  200. The first and most important is reflects the policy of how
  201. your company or organization wants to operate the system: is
  202. the firewall in place to explicitly deny all services except
  203. those critical to the mission of connecting to the net, or
  204. is the firewall in place to provide a metered and audited
  205. method of "queuing" access in a non-threatening manner.
  206. There are degrees of paranoia between these positions; the
  207. final stance of your firewall may be more the result of a
  208. political than an engineering decision.
  209.  
  210. The second is: what level of monitoring, redundancy, and
  211. control do you want? Having established the acceptable risk
  212. level (e.g.: how paranoid you are) by resolving the first
  213. issue, you can form a checklist of what should be monitored,
  214. permitted, and denied. In other words, you start by figuring
  215. out your overall objectives, and then combine a needs
  216. analysis with a risk assessment, and sort the almost always
  217. conflicting requirements out into a laundry list that
  218. specifies what you plan to implement.
  219.  
  220. The third issue is financial. We can't address this one here
  221. in anything but vague terms, but it's important to try to
  222. quantify any proposed solutions in terms of how much it will
  223. cost either to buy or to implement. For example, a complete
  224. firewall product may cost between $100,000 at the high end,
  225. and free at the low end. The free option, of doing some
  226. fancy configuring on a Cisco or similar router will cost
  227. nothing but staff time and cups of coffee. Implementing a
  228. high end firewall from scratch might cost several man-
  229. months, which may equate to $30,000 worth of staff salary
  230. and benefits. The systems management overhead is also a
  231. consideration. Building a home-brew is fine, but it's
  232. important to build it so that it doesn't require constant
  233. and expensive fiddling-with. It's important, in other words,
  234. to evaluate firewalls not only in terms of what they cost
  235. now, but continuing costs such as support.
  236.  
  237. On the technical side, there are a couple of decisions to
  238. make, based on the fact that for all practical purposes what
  239. we are talking about is a static traffic routing service
  240. placed between the network service provider's router and
  241. your internal network. The traffic routing service may be
  242. implemented at an IP level via something like screening
  243. rules in a router, or at an application level via proxy
  244. gateways and services.
  245.  
  246. The decision to make here is whether to place an exposed
  247. stripped-down machine on the outside network to run proxy
  248. services for telnet, ftp, news, etc., or whether to set up a
  249. screening router as a filter, permitting communication with
  250. one or more internal machines. There are plusses and minuses
  251. to both approaches, with the proxy machine providing a
  252. greater level of audit and potentially security in return
  253. for increased cost in configuration and a decrease in the
  254. level of service that may be provided (since a proxy needs
  255. to be developed for each desired service). The old trade-off
  256. between ease-of-use and security comes back to haunt us with
  257. a vengeance.
  258.  
  259. ---------------------------
  260.  
  261. Date: Thu Mar 3 13:38:31 1994
  262. From: Fwalls-FAQ@tis.com
  263. Subject: 9: What are proxy servers and how do they work?
  264.  
  265. A proxy server (sometimes referred to as an application
  266. gateway or forwarder) is an application that mediates
  267. traffic between a protected network and the Internet.
  268. Proxies are often used instead of router-based traffic
  269. controls, to prevent traffic from passing directly between
  270. networks. Many proxies contain extra logging or support for
  271. user authentication. Since proxies must "understand" the
  272. application protocol being used, they can also implement
  273. protocol specific security (e.g., an FTP proxy might be
  274. configurable to permit incoming FTP and block outgoing
  275. FTP).
  276.  
  277. Proxy servers are application specific. In order to support
  278. a new protocol via a proxy, a proxy must be developed for
  279. it. SOCKS is a generic proxy system that can be compiled
  280. into a client-side application to make it work through a
  281. firewall. Its advantage is that it's easy to use, but it
  282. doesn't support the addition of authentication hooks or
  283. protocol specific logging.
  284.  
  285. ---------------------------
  286.  
  287. Date: Thu Mar 3 12:47:24 1994
  288. From: Fwalls-FAQ@tis.com
  289. Subject: 10: What are some cheap packet screening tools?
  290.  
  291. The Texas AMU security tools include software for
  292. implementing screening routers (FTP net.tamu.edu,
  293. pub/security/TAMU).  Karlbridge is a PC-based screening
  294. router kit (FTP nisca.acs.ohio-state.edu, pub/kbridge). A
  295. version of the Digital Equipment Corporation "screend"
  296. kernel screening software is ported or is in the process of
  297. being ported to BSD/386. Many other commercial routers
  298. support screening of various forms.
  299.  
  300. ---------------------------
  301.  
  302. Date: Thu Mar 3 13:54:13 1994
  303. From: Fwalls-FAQ@tis.com
  304. Subject: 11: What are some reasonable filtering rules for my Cisco?
  305.  
  306. The following example shows one possible configuration for
  307. using the Cisco as a filtering router.  It is a sample that
  308. shows the implementation of a specific policy. Your policy
  309. will undoubtedly vary.
  310.  
  311. In this example, a company has Class B network address of
  312. 128.88.0.0 and is using 8 bits for subnets. The Internet
  313. connection is on the "red" subnet 128.88.254.0.  All other
  314. subnets are considered trusted or "blue" subnets.
  315.                               
  316.                               
  317.  
  318. Keeping the following points in mind will help in
  319. understanding the configuration fragments:
  320.  
  321. 1. Cisco routers applying filtering to output packets only.
  322.  
  323. 2. Rules are tested in order and stop when the first match
  324. is found.
  325.  
  326. 3. There is an implicit deny rule at the end of an access
  327. list. If no rule permitting traffic is encountered, the
  328. traffic is blocked.
  329.  
  330. The example below concentrates on the filtering parts of a
  331. configuration. Line numbers and formatting have been added
  332. for readability.
  333.  
  334. The policy to be implemented is:
  335.  
  336. - Anything not explicitly permitted is denied.
  337.  
  338. - Traffic between the bastion host and blue net hosts is
  339. allowed.
  340.  
  341. - permit services originating from the blue net.
  342.  
  343. - allow a range of ports for FTP data connections back to
  344. the blue net.
  345.  
  346.  
  347.      1  no ip source-route
  348.      2  !
  349.      3  interface Ethernet 0
  350.      4  ip address 128.88.1.1 255.255.255.0
  351.      5  ip access-group 10
  352.      6  !
  353.      7  interface Ethernet 1
  354.      8  ip address 128.88.254.3 255.255.255.0
  355.      9  ip access-group 11
  356.     10  !
  357.     11  access-list 10 permit ip 128.88.254.2 0.0.0.0
  358.             128.88.0.0 0.0.255.255
  359.     12  access-list 10 deny tcp 0.0.0.0 255.255.255.255
  360.             128.88.0.0 0.0.255.255 lt 1025
  361.     13  access-list 10 deny tcp 0.0.0.0 255.255.255.255
  362.             128.88.0.0 0.0.255.255 gt 4999
  363.     14  access-list 10 permit tcp 0.0.0.0 255.255.255.255
  364.             128.88.0.0 0.0.255.255
  365.     15  !
  366.     16  access-list 11 permit ip 128.88.0.0 0.0.255.255
  367.             128.88.254.2      0.0.0.0
  368.     17  access-list 11 deny tcp 128.88.0.0 0.0.255.255
  369.          0.0.0.0 255.255.255.255 eq 25
  370.     18  access-list 11 permit tcp 128.88.0.0 0.0.255.255
  371.          0.0.0.0 255.255.255.255
  372.  
  373. Explanation of Lines:
  374.  
  375. Line 1  Although this is not a filtering rule, it is good to
  376. include here. This prevents  a form of address spoofing that
  377. can be used to attack router-based firewalls. Some routers
  378. with older firmware do not implement this option correctly.
  379.  
  380. Line 5  Ethernet 0 is on the red net.  Extended access list
  381. 10 will be applied to output on this interface.  You can
  382. also think of output from the red net as input on the blue
  383. net.
  384.  
  385. Line 9  Ethernet 1 is on the blue net.  Extended access list
  386. 11 will be applied to output on this interface.
  387.  
  388. Line 11 Allow all traffic from the gateway machine to the
  389. blue net.
  390.  
  391. Lines 12-14 Allow connections originating from the red net
  392. that come in between ports 1024 and 5000.  This is to allow
  393. ftp data connections back into the blue net.  5000 was
  394. chosen as the upper limit as it is where OpenView starts.
  395.  
  396. Note: We are assuming this is acceptable for the given
  397. policy. There is no way to tell a Cisco to filter on source
  398. port. Since the rules are tested until the first match we
  399. must use this rather obtuse syntax.
  400.  
  401. Line 16 Allow all blue net packets to the gateway machine.
  402.  
  403. Line 17 Deny SMTP (tcp port 25) mail to the red net.
  404.  
  405. Line 18 Allow all other TCP traffic to the red net.
  406.  
  407. 11.    What are some cheap packet screening tools?
  408.  
  409. The Texas AMU security tools include software for
  410. implementing screening routers (FTP net.tamu.edu,
  411. pub/security/TAMU).  Karlbridge is a PC-based screening
  412. router kit (FTP nisca.acs.ohio-state.edu, pub/kbridge). A
  413. version of the Digital Equipment Corporation "screend"
  414. kernel screening software is ported or is in the process of
  415. being ported to BSD/386. Many other commercial routers
  416. support screening of various forms.
  417.  
  418.  
  419. Cisco.Com has an archive of examples for building firewalls
  420. using Cisco routers, available for FTP from: ftp.cisco.com
  421. in  /pub/acl-examples.tar.Z
  422.  
  423. ---------------------------
  424.  
  425. Date: Thu Mar 3 13:52:47 1994
  426. From: Fwalls-FAQ@tis.com
  427. Subject: 12: How do I make DNS work with a firewall?
  428.  
  429. Some organizations want to hide DNS names from the outside.
  430. Many experts disagree as to whether or not hiding DNS names
  431. is worthwhile, but if site/corporate policy mandates hiding
  432. domain names, this is one approach that is known to work.
  433.  
  434. This approach is one of many, and is useful for
  435. organizations that wish to hide their host names from the
  436. Internet. The success of this approach lies on the fact that
  437. DNS clients on a machine don't have to talk to a DNS server
  438. on that same machine.  In other words, just because there's
  439. a DNS server on a machine, there's nothing wrong with (and
  440. there are often advantages to) redirecting that machine's
  441. DNS client activity to a DNS server on another machine.
  442.  
  443. First, you set up a DNS server on the bastion host that the
  444. outside world can talk to. You set this server up so that it
  445. claims to be authoritative for your domains.  In fact, all
  446. this server knows is what you want the outside world to
  447. know; the names and addresses of your gateways, your
  448. wildcard MX records, and so forth.  This is the "public"
  449. server.
  450.  
  451. Then, you set up a DNS server on an internal machine.  This
  452. server also claims to be authoritiative for your domains;
  453. unlike the public server, this one is telling the truth.
  454. This is your "normal" nameserver, into which you put all
  455. your "normal" DNS stuff.  You also set this server up to
  456. forward queries that it can't resolve to the public server
  457. (using a "forwarders" line in /etc/named.boot on a UNIX
  458. machine, for example).
  459.  
  460. Finally, you set up all your DNS clients (the
  461. /etc/resolv.conf file on a UNIX box, for instance),
  462. including the ones on the machine with the public server, to
  463. use the internal server.  This is the key.
  464.  
  465. An internal client asking about an internal host asks the
  466. internal server, and gets an answer; an internal client
  467. asking about an external host asks the internal server,
  468. which asks the public server, which asks the Internet, and
  469. the answer is relayed back.  A client on the public server
  470. works just the same way.  An external client, however,
  471. asking about an internal host gets back the "restricted"
  472. answer from the public server.
  473.  
  474. This approach assumes that there's a packet filtering
  475. firewall between these two servers that will allow them to
  476. talk DNS to each other, but otherwise restricts DNS between
  477. other hosts.
  478.  
  479. Another trick that's useful in this scheme is to employ
  480. wildcard PTR records in your IN-ADDR.ARPA domains. These
  481. cause an an address-to-name lookup for any of your non-
  482. public hosts to return something like "unknown.YOUR.DOMAIN"
  483. rather than an error.  This satisfies anonymous FTP sites
  484. like ftp.uu.net that insist on having a name for the
  485. machines they talk to. This may fail when talking to sites
  486. that do a DNS cross-check in which the host name is matched
  487. against its address and vice versa.
  488.  
  489. Note that hiding names in the DNS doesn't address the
  490. problem of host names "leaking" out in mail headers,
  491. news articles, etc.
  492.  
  493. ---------------------------
  494.  
  495. Date: Thu Mar 3 13:42:54 1994
  496. From: Fwalls-FAQ@tis.com
  497. Subject: 13: How do I make FTP work through my firewall?
  498.  
  499. Generally, making FTP work through the firewall is done
  500. either using a proxy server or by permitting incoming
  501. connections to the network at a restricted port range, and
  502. otherwise restricting incoming connections using something
  503. like "established" screening rules. The FTP client is then
  504. modified to bind the data port to a port within that range.
  505. This entails being able to modify the FTP client application
  506. on internal hosts.
  507.  
  508.         A different approach is to use the FTP "PASV"
  509. option to indicate that the remote FTP server should permit
  510. the client to initiate connections. The  PASV approach
  511. assumes that the FTP server on the remote system supports
  512. that operation.
  513.  
  514.         Other sites prefer to build client versions of
  515. the FTP program that are linked against a SOCKS library.
  516.  
  517. ---------------------------
  518.  
  519. Date: Thu Mar 3 12:57:26 1994
  520. From: Fwalls-FAQ@tis.com
  521. Subject: 14: How do I make Telnet work through my firewall?
  522.  
  523. Telnet is generally supported either by using an application
  524. proxy, or by simply configuring a router to permit outgoing
  525. connections using something like the "established" screening
  526. rules.
  527.  
  528. ---------------------------
  529.  
  530. Date: Thu Mar 3 14:16:12 1994
  531. From: Fwalls-FAQ@tis.com
  532. Subject: 15: How do I make Finger and whois work through my firewall?
  533.  
  534. Permit connections to the finger port from only trusted
  535. machines, which can issue finger requests in the form of:
  536. finger user@host.domain@firewall
  537.  
  538. This approach only works with the standard UNIX version of
  539. finger. Some finger servers do not permit user@host@host
  540. fingering.
  541.  
  542. Many sites block inbound finger requests for a variety of
  543. reasons, foremost being past security bugs in the finger
  544. server (the Morris internet worm made these bugs famous)
  545. and the risk of proprietary or sensitive information being
  546. revealed in user's finger information.
  547.  
  548. ---------------------------
  549.  
  550. Date: Thu Mar 3 12:40:54 1994
  551. From: Fwalls-FAQ@tis.com
  552. Subject: 16: How do I make gopher, archie, and other services work through my firewall?
  553.  
  554. This is still an area of active research in the firewall
  555. community. Many firewall administrators support these
  556. services only through the character-cell interface provided
  557. by telnet. Unfortunately, many of the sexier network
  558. services make connections to multiple remote systems,
  559. without transmitting any inline information that a proxy
  560. could take advantage of, and often the newer information
  561. retrieval systems transmit data to local hosts and disks
  562. with only minimal security. There are risks that (for
  563. example) WAIS clients may request uuencoded files, which
  564. decode and modify security related files in the user's home
  565. directory. At present, there is a lot of head-scratching
  566. going on between the firewall administrators who are
  567. responsible for guarding the network perimeters, and the
  568. users, who want to take advantage of these very sexy and
  569. admittedly useful tools.
  570.  
  571. ---------------------------
  572.  
  573. Date: Thu Mar 3 13:48:48 1994
  574. From: Fwalls-FAQ@tis.com
  575. Subject: 17: What are the issues about X-Window through a firewall?
  576.  
  577. X Windows is a very useful system, but unfortunately has some major
  578. security flaws. While attempts have been made to overcome
  579. them (E.g., MIT "Magic Cookie") it is still entirely too
  580. easy for an attacker to interfere with a user's X display.
  581. Most firewalls block all X traffic. Some permit X traffic
  582. through application proxies such as the DEC CRL X proxy (FTP
  583. crl.dec.com).
  584.  
  585.  
  586.  
  587. Contributors:
  588. -------------
  589. mjr@tis.com - Marcus Ranum, Trusted Information Systems
  590. liebowa@wl.com - Allen Liebowitz, Warner Lambert Inc.
  591. brent@greatcircle.com - Brent Chapman, Great Circle Associates
  592. bdboyle@erenj.com - Brian Boyle, Exxon Research
  593.