home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / rfc / 3 / rfc1627.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  18.4 KB  |  452 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                            E. Lear
  8. Request for Comments: 1627                        Silicon Graphics, Inc.
  9. Category: Informational                                          E. Fair
  10.                                                     Apple Computer, Inc.
  11.                                                               D. Crocker
  12.                                                   Silicon Graphics, Inc.
  13.                                                               T. Kessler
  14.                                                   Sun Microsystems, Inc.
  15.                                                                July 1994
  16.  
  17.  
  18.                      Network 10 Considered Harmful
  19.                  (Some Practices Shouldn't be Codified)
  20.  
  21. Status of this Memo
  22.  
  23.    This memo provides information for the Internet community.  This memo
  24.    does not specify an Internet standard of any kind.  Distribution of
  25.    this memo is unlimited.
  26.  
  27. SUMMARY
  28.  
  29.    Re-use of Internet addresses for private IP networks is the topic of
  30.    the recent RFC 1597 [1].  It reserves a set of IP network numbers,
  31.    for (re-)use by any number of organizations, so long as those
  32.    networks are not routed outside any single, private IP network.  RFC
  33.    1597 departs from the basic architectural rule that IP addresses must
  34.    be globally unique, and it does so without having had the benefit of
  35.    the usual, public review and approval by the IETF or IAB.  This
  36.    document restates the arguments for maintaining a unique address
  37.    space.  Concerns for Internet architecture and operations, as well as
  38.    IETF procedure, are explored.
  39.  
  40. INTRODUCTION
  41.  
  42.    Growth in use of Internet technology and in attachments to the
  43.    Internet have taken us to the point that we now are in danger of
  44.    running out of unassigned IP network numbers.  Initially, numbers
  45.    were formally assigned only when a network was about to be attached
  46.    to the Internet.  This caused difficulties when initial use of IP
  47.    substantially preceded the decision and permission to attach to the
  48.    Internet.  In particular, re-numbering was painful.  The lesson that
  49.    we learned was that every IP address ought to be globally unique,
  50.    independent of its attachment to the Internet.  This makes it
  51.    possible for any two network entities to communicate, no matter where
  52.    either might be located.  This model is the result of a decades-long
  53.    evolution, through which the community realized how painful it can be
  54.    to convert a network of computers to use an assigned number after
  55.  
  56.  
  57.  
  58. Lear, Fair, Crocker & Kessler                                   [Page 1]
  59.  
  60. RFC 1627             Network 10 Considered Harmful             July 1994
  61.  
  62.  
  63.    using random or default addresses found on computers just out of the
  64.    box.  RFC 1597 abrogates this model without benefit of general IETF
  65.    community discussion and consensus, leaving policy and operational
  66.    questions unasked and unanswered.
  67.  
  68. KEEP OUR EYES ON THE PRIZE:  AN ARCHITECTURAL GOAL AND VIOLATION
  69.  
  70.    A common -- if not universal -- ideal for the future of IP is for
  71.    every system to be globally accessible, given the proper security
  72.    mechanisms.  Whether such systems comprise toasters, light switches,
  73.    utility power poles, field medical equipment, or the classic examples
  74.    of "computers", our current model of assignment is to ensure that
  75.    they can interoperate.
  76.  
  77.    In order for such a model to work there must exist a globally unique
  78.    addressing system.  A common complaint throughout the community is
  79.    that the existing security in host software does not allow for every
  80.    (or even many) hosts in a corporate environment to have direct IP
  81.    access.  When this problem is addressed through proper privacy and
  82.    authentication standards, non-unique IP addresses will become a
  83.    bottleneck to easy deployment if the recommendations in RFC 1597 are
  84.    followed.
  85.  
  86.    The IP version 4 (IPv4) address space will be exhausted.  The
  87.    question is simply:  when?
  88.  
  89.    If we assert that all IP addresses must be unique globally, connected
  90.    or not, then we will run out of IP address space soon.
  91.  
  92.    If we assert that only IP addresses used on the world-wide Internet
  93.    need to be globally unique, then we will run out of IP address space
  94.    later.
  95.  
  96.    It is absolutely key to keep the Internet community's attention
  97.    focused on the efforts toward IP next generation (IPng), so that we
  98.    may transcend the limitations of IPv4.  RFC 1597 produces apparent
  99.    relief from IPv4 address space exhaustion by masking those networks
  100.    that are not connecting to the Internet, today.  However, this
  101.    apparent relief will likely produce two results: complacency on the
  102.    large part of the community that does not take the long term view,
  103.    and a very sudden IP address space exhaustion at some later date.
  104.  
  105.    Prior to IPng deployment, it is important to preserve all the
  106.    semantics that make both the Internet and Internet technology so very
  107.    valuable for interoperability.  Apple Computer, IBM, and Motorola
  108.    could not collaborate as easily as they have to produce the PowerPC
  109.    without uniquely assigned IP addresses. The same can be said of the
  110.    Silicon Graphics merger with MIPS. There are many, many more examples
  111.  
  112.  
  113.  
  114. Lear, Fair, Crocker & Kessler                                   [Page 2]
  115.  
  116. RFC 1627             Network 10 Considered Harmful             July 1994
  117.  
  118.  
  119.    that can be cited.
  120.  
  121.    It should be noted that a scheme similar to RFC 1597 can be
  122.    implemented at the time that we actually run out of assignable IPv4
  123.    address space; it simply requires that those organizations which have
  124.    been assigned addresses but are not yet connected to the Internet
  125.    return their addresses to IANA. It is important that the IAB (and
  126.    IANA as its agent) reassert their ownership of the IP address space
  127.    now, to preclude challenges to this type of reassignment.
  128.  
  129. OPERATIONAL ISSUES
  130.  
  131. RFC 1597 Implementations
  132.  
  133.    Methods are needed to ensure that the remaining addresses are
  134.    allocated and used frugally.  Due to the current problems, Internet
  135.    service providers have made it increasingly difficult for
  136.    organizations to acquire public IP network numbers.  Private networks
  137.    have always had the option of using addresses not assigned to them by
  138.    appropriate authorities.  We do not know how many such networks
  139.    exist, because by their nature they do not interact with the global
  140.    Internet.  By using a random address, a company must take some care
  141.    to ensure it is able to route to the properly registered owner of
  142.    that network.
  143.  
  144.    RFC 1597 proposes to solve the routing problem by assigning numbers
  145.    that will never be used outside of private environments.  Using such
  146.    standard numbers introduces a potential for clashes in another way.
  147.    If two private networks follow RFC 1597 and then later wish to
  148.    communicate with each other, one will have to renumber.  The same
  149.    problem occurs if a private network wishes to become public.  The
  150.    likely cost of renumbering is linear to the number of hosts on a
  151.    network.  Thus, a large company with 10,000 hosts on a network could
  152.    incur considerable expense if it either merged with another company
  153.    or joined the Internet in such a way as to allow all hosts to
  154.    directly access the outside network.
  155.  
  156.    The probability of address clashes occurring over time approach 100%
  157.    with RFC 1597.  Picking a random network number reduces the chances
  158.    of having to renumber hosts, but introduces the routing problems
  159.    described above.  Best of all, retrieving assigned numbers from the
  160.    appropriate authority in the first place eliminates both existing and
  161.    potential address conflicts at the cost of using a part of the
  162.    address space.
  163.  
  164.    Apple Computer once believed that none of its internal systems would
  165.    ever speak IP directly to the outside world, and as such, network
  166.    operations picked IP class A network 90 out of thin air to use.
  167.  
  168.  
  169.  
  170. Lear, Fair, Crocker & Kessler                                   [Page 3]
  171.  
  172. RFC 1627             Network 10 Considered Harmful             July 1994
  173.  
  174.  
  175.    Apple is only now recovering from this error, having renumbered some
  176.    5,000 hosts to provide them with "desktop" Internet access.  Unless
  177.    the Internet community reaffirms its commitment to a globally unique
  178.    address space, we condemn many thousands of organizations to similar
  179.    pain when they too attempt to answer the call of the global Internet.
  180.  
  181.    Another timely example of problems caused by RFC 1597 is Sun's use of
  182.    Internet multicasting.  Sun selectively relays specific multicast
  183.    conferences.  This has the effect of making many hosts at Sun visible
  184.    to the Internet, even though they are not addressable via IP unicast
  185.    routing.  If they had non-global addresses this would not work at
  186.    all.  It is not possible to predict which machines need global
  187.    addresses in advance.  Silicon Graphics has a similar configuration,
  188.    as is likely for others, as well.
  189.  
  190.    Some might argue that assigning numbers to use for private networks
  191.    will prevent accidental leaks from occurring through some sort of
  192.    convention a'la Martian packets.  While the proposal attempts to
  193.    create a standard for "private" address use, there is absolutely no
  194.    way to ensure that other addresses are not also used.
  195.  
  196.    Hence, the "standard" becomes nothing but a misleading heuristic.  In
  197.    fact, it is essential that routers to the global Internet advertise
  198.    networks based only on explicit permission, rather than refusing to
  199.    advertise others based on implicit prohibition, as supported by the
  200.    policy formally created in RFC 1597.
  201.  
  202. Security Issues
  203.  
  204.    Administrators will have a hard time spotting unauthorized networks,
  205.    when their network has been breached (either intentionally or
  206.    unintentionally) because the other networks might have the same
  207.    numbers as those normally in the routing tables.  More over, an
  208.    inadvertent connection could possibly have a double whammy effect of
  209.    partitioning two operational networks.
  210.  
  211.    It is worth emphasizing that IP providers should filter out all but
  212.    authorized networks.  Such a practice would not only prevent
  213.    accidents but also enhance the security of the Internet by reducing
  214.    the potential number of points of attack.
  215.  
  216.    Internet multicasting adds a new dimension to security.  In some
  217.    cases it may possible to allow multicasting through firewalls that
  218.    completely restrict unicast routing.  Otherwise unconnected networks
  219.    might well need unique addresses, as illustrated in the example
  220.    above.
  221.  
  222.  
  223.  
  224.  
  225.  
  226. Lear, Fair, Crocker & Kessler                                   [Page 4]
  227.  
  228. RFC 1627             Network 10 Considered Harmful             July 1994
  229.  
  230.  
  231. Problems with Examples
  232.  
  233.    RFC 1597 gives several examples of IP networks that need not have
  234.    globally unique address spaces.  Each of those cases is plausible,
  235.    but that does not make it legitimate to ENCOURAGE non-uniqueness of
  236.    the addresses.  In fact, it is equally plausible that globally unique
  237.    IP addresses will be required, for every one of the scenarios
  238.    described in RFC 1597:
  239.  
  240.    - Airport displays are public information and multicasting beyond the
  241.      airport might be useful.
  242.  
  243.    - An organization's machines which, today, do not need global
  244.      connectivity might need it tomorrow.  Further, merging
  245.      organizations creates havoc when the addresses collide.
  246.  
  247.    - Current use of firewalls is an artifact of limitations in the
  248.      technology.  Let's fix the problem, not the symptom.
  249.  
  250.    - Inter-organization private links do not generate benefit from being
  251.      any more correct in guessing which machines want to interact than
  252.      is true for general Internet access.
  253.  
  254.    This is another point that warrants repetition: the belief that
  255.    administrators can predict which machines will need Internet access
  256.    is quite simply wrong.  We need to reduce or eliminate the penalties
  257.    associated with that error, in order to encourage as much Internet
  258.    connectivity as operational policies and technical security permit.
  259.    RFC 1597 works very much against this goal.
  260.  
  261. Problems With "Advantages" And More Disadvantages
  262.  
  263.    RFC 1597 claims that Classless Inter-Domain Routing (CIDR) will
  264.    require enterprises to renumber their networks.  In the general case,
  265.    this will only involve those networks that are routed outside of
  266.    enterprises.  Since RFC 1597 addresses private enterprise networks,
  267.    this argument does not apply.
  268.  
  269.    The authors mention that DCHP-based tools [2] might help network
  270.    number transition.  However, it is observed that by and large such
  271.    tools are currently only "potential" in nature.
  272.  
  273.    Additionally, with the onslaught of ISDN, slip, and PPP in host
  274.    implementations, the potential for a workstation to become a router
  275.    inadvertently has never been greater.  Use of a common set of
  276.    addresses for private networks virtually assures administrators of
  277.    having their networks partitioned, if they do not take care to
  278.    carefully control modem connections.
  279.  
  280.  
  281.  
  282. Lear, Fair, Crocker & Kessler                                   [Page 5]
  283.  
  284. RFC 1627             Network 10 Considered Harmful             July 1994
  285.  
  286.  
  287.    Finally, RFC 1597 implies that it may be simple to change a host's IP
  288.    address.  For a variety of reasons this may not be the case, and it
  289.    is not the norm today.  For example, a host may be well known within
  290.    a network.  It may have long standing services such as NFS, which
  291.    would cause problems for clients were its address changed.  A host
  292.    may have software licenses locked by IP address.  Thus, migrating a
  293.    host from private to global addressing may prove difficult.  At the
  294.    very least, one should be careful about addressing well known hosts.
  295.  
  296. POLICY ISSUES
  297.  
  298. IANA Has Overstepped Their Mandate
  299.  
  300.    For many years, IANA has followed an assignment policy based on the
  301.    expectation of Internet connectivity for ALL assignees.  As such it
  302.    serves to encourage interconnectivity.  IANA assignment of the
  303.    network numbers listed in RFC 1597 serves to formally authorize
  304.    behavior contrary to this accepted practice.  Further, this change
  305.    was effected without benefit of community review and approval.
  306.  
  307.    RFC 1597 specifies a new operational requirement explicitly: network
  308.    service providers must filter the IANA assigned network numbers
  309.    listed in RFC 1597 from their routing tables.  This address space
  310.    allocation is permanently removed from being used on the Internet.
  311.  
  312.    As we read RFC 1601 [3], this action is not within the purview of
  313.    IANA, which should only be assigning numbers within the current
  314.    standards and axioms that underlie the Internet.  IP network numbers
  315.    are assigned uniquely under the assumption that they will be used on
  316.    the Internet at some future date.  Such assignments violate that
  317.    axiom, and constitute an architectural change to the Internet.  RFC
  318.    1602 [4] and RFC 1310 [5] also contain identical wording to this
  319.    effect in the section that describes IANA.
  320.  
  321.    While RFC 1597 contains a view worthy of public debate, it is not
  322.    ready for formal authorization.  Hence, we strongly encourage IANA to
  323.    withdraw its IP address assignments documented by RFC 1597 forthwith.
  324.  
  325.    The IAB should review the address assignment policies and procedures
  326.    that compose IANA's mandate, and reaffirm the commitment to a
  327.    globally unique IP address space.
  328.  
  329. COMMENTS AND CONCLUSIONS
  330.  
  331.    The Internet technology and service is predicated on a global address
  332.    space.  Members of the Internet community have already experienced
  333.    and understood the problems and pains associated with uncoordinated
  334.    private network number assignments.  In effect the proposal attempts
  335.  
  336.  
  337.  
  338. Lear, Fair, Crocker & Kessler                                   [Page 6]
  339.  
  340. RFC 1627             Network 10 Considered Harmful             July 1994
  341.  
  342.  
  343.    to codify uncoordinated behavior and alter the accepted Internet
  344.    addressing model.  Hence, it needs to be considered much more
  345.    thoroughly.
  346.  
  347.    RFC 1597 gives the illusion of remedying a problem, by creating
  348.    formal structure to a long-standing informal practice.  In fact, the
  349.    structure distracts us from the need to solve these very real
  350.    problems and does not even provide substantive aid in the near-term.
  351.  
  352.    In the past we have all dreaded the idea of having any part of the
  353.    address space re-used.  Numerous luminaries have both written and
  354.    spoke at length, explaining why it is we want direct connections from
  355.    one host to another.  Before straying from the current architectural
  356.    path, we as a community should revisit the reasoning behind the
  357.    preaching of unique addressing.  While RFC 1597 attempts to change
  358.    this model, its costs and limitations for enterprises can be
  359.    enormous, both in the short and long term.
  360.  
  361. REFERENCES
  362.  
  363.    [1]  Rekhter, Y., Moskowitz, B., Karrenberg, D., and G. de Groot,
  364.         "Address Allocation for Private Internets", T.J. Watson Research
  365.         Center, IBM Corp., Chrysler Corp., RIPE NCC, RFC 1597, March
  366.         1994.
  367.  
  368.    [2]  Droms, R., "Dynamic Host Configuration Protocol", RFC 1541,
  369.         Bucknell University, October 1993.
  370.  
  371.    [3]  Huitema, C., "Charter of the Internet Architecture Board (IAB)",
  372.         RFC 1601, IAB, March 1994.
  373.  
  374.    [4]  Internet Architecture Board, Internet Engineering Steering
  375.         Group, "The Internet Standards Process -- Revision 2", IAB,
  376.         IESG, RFC 1602, March 1994.
  377.  
  378.    [5]  Internet Activities Board, "The Internet Standards Process", RFC
  379.         1310, IAB, March 1992.
  380.  
  381.    [6]  Internet Activities Board, "Summary of Internet Architecture
  382.         Discussion", Notes available from ISI, [ftp.isi.edu:
  383.         pub/IAB/IABmins.jan91Arch.txt], IAB, January 1991.
  384.  
  385. SECURITY CONSIDERATIONS
  386.  
  387.    See the section, "Security Issues".
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394. Lear, Fair, Crocker & Kessler                                   [Page 7]
  395.  
  396. RFC 1627             Network 10 Considered Harmful             July 1994
  397.  
  398.  
  399. AUTHORS' ADDRESSES
  400.  
  401.    Eliot Lear
  402.    Silicon Graphics, Inc.
  403.    2011 N. Shoreline Blvd.
  404.    Mountain View, CA
  405.    94043-1389
  406.  
  407.    Phone: +1 415 390 2414
  408.    EMail: lear@sgi.com
  409.  
  410.  
  411.    Erik Fair
  412.    Apple Computer, Inc.
  413.    1 Infinite Loop
  414.    Cupertino, CA 95014
  415.  
  416.    Phone: +1 408 974 1779
  417.    EMail: fair@apple.com
  418.  
  419.  
  420.    Dave Crocker
  421.    Silicon Graphics, Inc.
  422.    2011 N. Shoreline Blvd.
  423.    Mountain View, CA
  424.    94043-1389
  425.  
  426.    Phone: +1 415 390 1804
  427.    EMail: dcrocker@sgi.com
  428.  
  429.  
  430.    Thomas Kessler
  431.    Sun Microsystems Inc.
  432.    Mail Stop MTV05-44
  433.    2550 Garcia Ave.
  434.    Mountain View, CA 94043
  435.  
  436.    Phone: +1 415 336 3145
  437.    EMail: kessler@eng.sun.com
  438.  
  439.  
  440.  
  441.  
  442.  
  443.  
  444.  
  445.  
  446.  
  447.  
  448.  
  449.  
  450. Lear, Fair, Crocker & Kessler                                   [Page 8]
  451.  
  452.