CGNAT

  Vantagens e desvantagens do compartilhamento de endereços no Provedor de Acesso

  O esgotamento dos endereços na versão obsoleta do IP (IPv4) levou muitos ISP (provedor ou fornecedor de Acesso à Internet, os maiores são operadoras de telecomunicações) a adotarem técnicas paliativas para evitar o congelamento nas vendas, inicialmente tentou-se a técnica NAT [RFC 3022], que trouxe diversos problemas já abordados em Internet – O colapso, principalmente relacionados à segurança e falhas em aplicações. Esta técnica basicamente altera o conteúdo dos pacotes (endereço IP e porta TCP) para permitir o compartilhamento de um mesmo endereço IP por centenas de equipamentos. Routers residenciais, com ou sem Wi-Fi, e Smartphones na função Tethering utilizam NAT para compartilhar conexões legadas (IPv4).

  O IETF elevou o IPv6 (IP versão 6) a Draft Standard em dezembro de 1998 [RFC 2460], indicando que se tornaria o Padrão da Internet. Foram desenvolvidas várias técnicas de transição que permitem aos equipamentos funcionarem simultaneamente com IPv4 e IPv6, tornando a transição transparente ao usuário, pois o IPv4 passa a ser utilizado apenas para Aplicações (sites e serviços) não atualizados para IPv6 (apenas 37% no Brasil). Entretanto, também foram criados alguns mecanismos para "estender a vida" do IPv4, destaque para o Carrier Grade NAT (NAT à Nível de Operadora ou de ISP) - CGN, também referenciado por LSN, CGNAT, CGN NAT, CG-NAT444, NAT444, dupla NAT, ou NAT na Operadora, amplamente utilizado no Brasil.

Funcionamento

  A CGNAT altera o conteúdo dos pacotes IPv4 no ISP para permitir o compartilhamento de endereços, de forma análoga à NAT. A diferença principal entre elas é onde são executadas, a NAT é executada no CPE (roteador Wi-Fi, Smartphone) e, o CGNAT, de forma centralizada no ISP (provedor de acesso, operadora). A NAT utiliza endereços de uso privado, o CGNAT endereços do Shared Address Space.

Endereços de Uso Privado [BCP5, RFC1918]:

  • 10.0.0.0/8
    10.0.0.1 a 10.255.255.255
    Aproximadamente 16 milhões de endereços

  • 172.16.0.0/12
    172.16.0.0 a 172.31.255.255
    Aproximadamente 1 milhão de endereços

  • 192.168.0.0/16
    192.168.0.0 a 192.168.255.255
    Bloco de 65.536 endereços

Shared Address Space [BCP153, RFC6598]:

  • 100.64.0.0/10
    100.64.0.0 a 100.127.255.255
    Aproximadamente 4 milhões de endereços

  A figura resume o funcionamento com CGNAT, conforme descrito na RFC 6264 (junho de 2011):

RFC 6264
Aplicação das RFCs 6264 e 6598, com implementação do IPv6.

Rede IPv6 (apenas para fins de comparação)

  • CPE recebe um bloco (vários endereços) do ISP;
  • CPE entrega um endereço (ou bloco) público para cada dispositivo;
  • Todos equipamentos acessam a Internet sem compartilhar endereços.

Rede legada IPv4 (duplo NAT ou duplo compartilhamento)

  • CPE cria uma rede interna com endereços de uso privado [RFC 1918];
  • CPE entrega a cada equipamento um endereço de uso privado;
  • CPE recebe um endereço de Shared Address Space do ISP (100.64.0.0/10);
  • O endereço recebido é compartilhado por NAT com todos equipamentos internos;
  • O endereço público do CGN ou CGNAT (200.173.0.171) é compartilhado por até centenas de clientes.

  Cada CPE possui a capacidade para compartilhar o mesmo endereço com centenas de equipamentos, considerando o compartilhamento à nível de Operadora, teremos milhares (centenas de centenas) de equipamentos compartilhando o mesmo endereço público IPv4 válido na Internet global.

CGNAT
Concentração excessiva pelo uso de CGNAT

2. Vantagens

  • Não exige a substituição imediata de CPE legado;
  • Prolonga o uso de equipamentos arcaicos na rede do ISP;
  • Não exige atualização da maioria dos serviços na rede do ISP;
  • Economia com treinamento, tecnologia antiga e conhecida;
  • Protela o impacto causado pelo esgotamento de endereços.

3. Desvantagens

  • Fere o princípio de comunicação fim a fim da Internet;
  • Acarreta mal funcionamento em várias aplicações;
  • Fere o princípio de neutralidade da rede;
  • Cria vários problemas de segurança, difíceis de contornar;
  • Altíssimo custo, comparado às técnicas de transição ao IPv6;
  • Procrastina o inevitável, que é a transição ao IPv6.

  A comunicação fim a fim, ou comunicação direta entre dois equipamentos, sem interferência ou alteração nos dados transmitidos, é um dos princípios fundamentais da Internet. Técnicas que foram desenvolvidas para restabelecer parcialmente esta comunicação, como servidores STUN, uPnP e outras não funcionam com CGNAT, impedindo o funcionamento adequado de Consoles de jogos (XBox), Voz sobre IP (SIP), Geolocalização, monitoração de câmeras de segurança e outros, muitos essenciais. O mecanismo de segurança IPsec assina todos os pacotes IP e não admite nenhuma alteração em seu conteúdo, esta incompatibilidade com a NAT foi solucionada com o uso de uma nova técnica, a NAT-T, mas o uso de IPsec com CGNAT é impossível.

  A concentração excessiva de conexões pelo mesmo equipamento (CGNAT) acarretará redução de desempenho em muitas aplicações e serviços, principalmente em transferência de arquivos, conferências (voz e/ou vídeo) e video streamming (Netflix, Youtube), além de tornar rede vulnerável, pois ela se torna mais atraente para ataques de DDoS (negação de serviço) e facilita o Spoofing (falsificação de identidade). Diversas redes possuem sistemas automáticos para impedir Spam, realizando o bloqueio do endereço IP, o que realizaria o bloqueio de todos os que o compartilham.

  A CGNAT, seja ferindo o princípio da comunicação fim a fim, ou através da degradação que ocasiona em diversas aplicações e serviços, também fere o princípio da neutralidade da rede, que é o princípio que garante que todos os dados trafegados devem ser tratados da mesma forma, sem nenhuma discriminação.

  Os equipamentos que executam este mecanismo precisam de elevado poder de processamento e memória para garantir um desempenho aceitável, tornando seus custos elevadíssimos em relação a outros equipamentos de rede que possuem suporte ao IPv6, que é o padrão da Internet, substituto daquele que o CGNAT pretende manter na rede. O CGNAT é inviável economicamente e fatalmente seus custos serão repassados aos usuários da Internet.

  O compartilhamento de endereços gera uma falha de segurança gravíssima, a dificuldade de identificação de atos ilícitos, tendo em vista que centenas de clientes utilizam o mesmo endereço IP ao mesmo tempo. A única solução para esta falha seria o log (registro) da porta TCP na origem (ISP) e destino da conexão (Provedor de aplicação - site de conteúdo), além do endereço IP e momento de acesso. Entretanto, a Lei Federal 12.965/2014 determina que sejam registrados no provedor de aplicação somente data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP (Art. 5º, VIII), além de proibir o ISP de registrar a aplicação (log da porta TCP permite esta identificação), ou seja, o CGNAT em qualquer rede brasileira fatalmente promoverá a impunidade de criminosos na Internet, produz insegurança jurídica em torno da Lei 12.965.

  O CGNAT é um mecanismo que pode procrastinar a transição do ISP ao IPv6, uma vez que funciona mesmo sem IPv6 na rede. O uso de tunnel broker seria uma forma de usuários finais obterem acesso IPv6 em ISP que ainda não segue os Padrões da Internet, mas a tecnologia de tunnel broker é incompatível e não funciona com CGNAT, pois exige endereço IP público. A figura ilustra este funcionamento irregular, em que o mecanismo é utilizado como "simples muleta".

CGN muleta
CGNAT como simples muleta, apenas procrastinando a transição inevitável.

  O problema pode ser agravado se não respeitado o prefixo de rede 100.64.0.0/10 entre o usuário e o ISP [BCP 153, RFC 6598], pois se o ISP enviar irregularmente endereços de Uso Privado [BCP 5, RFC 1918], fatalmente haverá colisão (blocos de endereço duplicados) com os equipamentos do usuário e o mesmo não conseguirá compartilhar, ou até mesmo ficar sem acesso.

  Os requisitos técnicos para a prestação de serviços de Internet no Brasil, elencados pelo Decreto Federal 8.771/2016, obrigam os fornecedores a seguirem as diretrizes estabelecidas pelo Comitê Gestor da Internet - CGIbr, utilizando-se apenas de medidas técnicas compatíveis com os padrões internacionais (RFC: STD e BCP). O CGI.br orienta para uso de CGNAT apenas na impossibilidade de uso das várias técnicas para a transição para o IPv6, os vídeos a seguir foram feitos pelo NICbr, que implementa as decisões e projetos do CGI.br.

Técnicas de Transição IPv6 - parte 2



Problemas e implicações do uso de CGNAT na Internet

4. CONCLUSÕES

  O esgotamento dos endereços, maior falha do legado IPv4, tornou-se uma amarga realidade na Internet. Especialistas que contribuem no Internet Engineering Task Force - IETF vêm realizando esforços na proposição de técnicas para a inevitável transição da rede ao IPv6 há mais de 20 anos, indicando técnicas eficientes como Dual Stack Lite (DS-Lite), 464XLAT, 4rd, 6PE, 6VPE e NAT64/DNS64, muito mais viáveis, técnica e economicamente, do que o mecanismo de CGNAT, que possui como único propósito estender a vida útil de um protocolo legado na Internet, com graves consequências aos usuários e à própria Internet como queda de desempenho, altos custos financeiros, falhas na segurança e de aplicações.

  O Comitê Gestor da Internet no Brasil realiza diversas ações com o intuito de promover uma Internet saudável, promovendo eventos como a Semana da Infraestrutura da Internet e cursos de capacitação de equipes (gratuitos), mantendo diversos portais como o bcp.nic.br (Melhores Práticas - BCP) e o ipv6.br, que completou 10 anos em 2018, disseminando conhecimento e incentivando o uso do protocolo Padrão da Internet (IPv6 desde 2017).

  O Brasil avançou muito com o Marco Civil da Internet (Lei 12.965/2014 e Decreto 8.771/2016), garantindo direitos básicos da Constituição Federal como liberdade de expressão, comunicação e manifestação do pensamento, proteção à privacidade e, neutralidade, estabilidade, segurança e funcionalidade da rede. Entretanto, a ANATEL determinou que as prestadoras deverão implementar o uso de CGNAT-44, meses após a sanção da Lei 12.965, mas CGNAT, por suas características, prejudica a neutralidade, estabilidade, segurança e funcionalidade da rede, provocando uma enorme insegurança jurídica diante da legislação, pois a Presidenta Dilma Rousseff não alterou a Lei 12.965 ao sancionar o Decreto 8.771, manteve as restrições que impedem o uso de CGNAT com a segurança exigida pela Lei 8.078/1990.

Referências:

O Livro do IETF = El libro del IETF – São Paulo: Comitê Gestor da Internet no Brasil, 2014
Editor: Paul Hoffman.
Organizadores: Julião Braga, Lisandro Zambenedetti Granville, Christian O’Flaherty e Antônio Marcos Moreiras.

TCP/IP – Teoria e Prática – Lisboa, Portugal: FCA - Editora de Informática, Lda., 2012
Autores: Fernando Boavida e Mário Bernardes.

Cisco
6lab Cisco - Acesso em fevereiro de 2019.

Site Consultor Jurídico
Entrave tecnológico provoca impasse sobre Marco Civil e anonimato, 17 de dezembro de 2016.

Internet Assigned Numbers Authority - IANA
IANA IPv4 Special-Purpose Address Registry - Acesso em 10/02/2019.

IETF - Internet Standards (STD)
RFC 791 (STD 5) Internet Protocol, 1981.
RFC 793 (STD 7) Transmission Control Protocol, 1981.
RFC 8200 (STD 86) Internet Protocol, Version 6 (IPv6) Specification, 2017.

IETF - Best Current Pratices (BCP)
RFC 1918 (BCP 5) Address Allocation for Private Internets, 1996.
RFC 2026 (BCP9) The Internet Standard Process – Revision 3, 1996.
RFC 6598 (BCP153) IANA-Reserved IPv4 Prefix for Shared Address Space, 2012.
RFC 6888 (BCP127) Commom Requirements for Carrier-Grade NATs (CGNs), 2013.
RFC 7857 (BCP127) Updates to Network Address Translation (NAT) Behavioral Requirements, 2016.

IETF - Informational RFCs:
RFC 2775 – Internet Transparency, 2000.
RFC 2993 – Architetural Implications of NAT, 2000.
RFC 3022 – Traditional IP Network Address Translator (Traditional NAT), 2001.
RFC 3027 – Protocol Complications with the IP Network Address Translator, 2001.
RFC 3053 – IPv6 Tunnel Broker, 2001
RFC 6264 – An Incremental Carrier-Grade NAT (CGN) for IPv6 Transition, 2011.
RFC 6269 – Issues with IP Address Sharing, 2011.
RFC 7021 – Assessing the Impact of Carrier-Grade NAT on Network Applications, 2013.

Palácio do Planalto (Acesso em 25/02/2019):
Lei Federal 8.078, de 11 de setembro de 1990 - Código de Defesa e Proteção ao Consumidor
Lei Federal 12.965, de 23 de abril de 2014 - Marco Civil da Internet no Brasil.
Decreto Presidencial 8.771, de 11 de maio de 2016.

Agência Nacional de Telecomunicações - ANATEL(Acesso em 25/02/2019):
GT-IPv6 Relatório Final de Atividades