Problemas e implicações do uso do CGNAT (NAT no provedor) na Internet

Toda tecnologia pode ser usada para o bem ou para o mal. Um avião pode ser uma verdadeira máquina de guerra, ou um ótimo meio de transporte, por exemplo. Com a Internet isso não é diferente.

Criminosos por vezes a utilizam para realizar fraudes e outros mal feitos e a polícia costuma procurá-los por meio dos rastros digitais que deixam pelo caminho… Este é o vídeo: "Problemas e implicações do uso de CGNAT na Internet", feito pelo NIC. br. Atualmente, a Internet passa por uma grande mudança tecnológica.

Não há mais IPs livres pra ela continuar se expandindo, pra novos usuários poderem acessá-la. A solução definitiva pra isso é a mudança do IPv4 para o IPv6, mas ela está atrasada. Nesse meio tempo, muitos provedores de acesso à Internet, em particular as grandes operadoras de Telecomunicações, estão começando a compartilhar os IPs, IPs versão 4, entre diversos usuários simultâneos, para poder continuar expandindo suas redes e conectando mais gente.

Esta solução, conhecida como CGNAT ou Carrier Grade NAT, é apenas provisória, mas pode gerar problemas. O CGNAT é como um remédio tarja preta, doce e viciante. Pode ser necessário, mas deve ser usado com cuidado e supervisão de especialistas.

Com o CGNAT, serviços como troca de arquivos P2P, chamadas de voz ou vídeo sobre IP e diversos jogos online podem não funcionar. Eles precisam que os dispositivos dos usuários conversem diretamente uns com os outros na Internet, mas o compartilhamento de IPs pode quebrar a conectividade fim a fim. Outro problema possível é a limitação no número de conexões simultâneas que cada usuário poderá estabelecer, o que pode atrapalhar o funcionamento de muitos tipos de aplicações diferentes.

Em particular, o CGNAT também muda a forma como alguns "rastros digitais" são deixados na rede. Imagine uma situação em que um usuário mal intencionado usa sua conexão à Internet pra praticar uma fraude. Sem CGNAT na rede, ele recebe de seu provedor um IP público, que funciona em toda a Internet e que é para seu uso exclusivo, enquanto estiver conectado.

Vamos supor que a fraude seja em um banco. Quando ela é descoberta, normalmente é feita uma perícia nos servidores, procurando nos registros de acesso, nos logs, o instante exato do acesso e o IP usado pelo criminoso. Com essas informações, uma ordem judicial é emitida e o provedor de acesso é capaz de identificar se tinha atribuido aquele IP, naquele horário específico a um equipamento.

Usando essa e outras informações a polícia pode chegar ao criminoso. Imagine agora uma situação similar, mas onde o provedor utiliza Carrier Grade NAT. Esse mesmo provedor tem um usuário regular, bem intencionado, mas também um usuário mal intencionado.

Com o compartilhamento, cada um deles recebe um IP diferente. Mas esses IPs são privados, de uma faixa especial usada só para CGNATs, e só funcionam na rede do provedor. Quem está na Internet de verdade vê um outro IP, que é o IP público que foi compartilhado.

Este IP público é o mesmo para estes dois usuários e para vários outros. O usuário mal intencionado pode então acessar fraudulentamente uma conta bancária. A perícia é feita, procurando o instante exato do acesso e o IP do criminoso.

A ordem judicial é emitida. E o provedor de acesso tenta identificar para qual equipamento aquele IP estava designado naquele momento. Mas não consegue.

Porque na verdade o IP estava sendo usado por dezenas, ou até centenas de usuários simultaneamente. A polícia tem dificuldade para fazer algo com uma lista com dezenas de suspeitos e fica sem uma ferramenta importante para chegar ao criminoso. Há uma técnica recomendada para permitir que os "rastros" na rede sejam novamente suficientes para ajudar a identificar esses criminosos.

Basta fazer o registro também da porta de origem dos acessos, tanto no provedor de acesso, quanto no provedor de conteúdos ou serviços. Essa "porta de origem" nada mais é que um parâmetro técnico usado nas conexões TCP/IP. Grosso modo, podemos dizer que os endereços IP permitem levar as informações, os pacotes de dados, até o computador ou dispositivo correto.

A porta, por sua vez, permite que a informação chegue até o aplicativo correto, dentro do dispositivo. Voltemos ao cenário do exemplo anterior. Mas agora com o provedor e o banco registrando também a porta de origem.

Ao realizar a perícia é possível obter o instante de acesso, o IP e a porta de origem. A ordem judicial é emitida. E o provedor de acesso, munido agora dessas três informações, é capaz novamente de identificar o equipamento relacionado com o acesso que gerou a fraude.

Como na situação em que não há compartilhamento de IPs, a polícia, usando essa e outras informações, pode chegar ao criminoso. Recomenda-se aos provedores de serviços e conteúdo na Internet, ao registrarem as informações de acesso de seus usuários, que armazenem, além do IP e do instante de acesso, também a porta de origem. Note que muitas vezes pode haver dificuldades, porque os equipamentos usados podem não ser capazes de guardar essa informação extra, ou porque essa mudança pode exigir também a modificação dos sistemas que tratam a informação dos registros.

No endereço http://ipv6. br/log-da-porta-de-origem/ há um tutorial mostrando como ativar o registro das portas de origem na configuração dos principais servidores web do mercado. Caso tenha ficado alguma dúvida sobre o funcionamento do CGNAT, assista o vídeo "Técnicas de Transição IPv6 - parte 02" e entenda melhor as principais características desta solução.

Por fim, é importante lembrar que para que esses registros sejam úteis, o relógio dos computadores não pode estar adiantado nem atrasado. Isso só é possível utilizando o NTP. Para mais informações assista ao vídeo: A importância da hora certa na Internet e o NTP.

br, explicados pelo NIC. br. Ambos os vídeos estão no canal NICbrVideos do Youtube… E lembre sempre que a implantação do IPv6 em toda a Internet é a solução definitiva para essas questões.