NIC.br

Ir para o conteúdo
03 OUT 2018

O que é CGNAT e como isso pode afetar sua conexão de internet


Código Fonte - 01/10/2018 - [gif]


Autor: Carlos L. A. da Silva
Assunto: Infraestrutura de Internet

Nos últimos meses, uma palavra mágica, quase maldita, vem aparecendo nas reclamações de usuários de determinados provedores de internet no Brasil, principalmente entre os adeptos de jogos online: CGNAT. A prática, segundo os relatos, estaria prejudicando a qualidade das conexões.

Mas, afinal, o que é CGNAT? Ele pode realmente ser prejudicial para os consumidores?

Senta que lá vem história

Para entender como funciona o CGNAT, é preciso voltar um pouco no tempo. Mais especificamente para os anos iniciais da internet, quando seus fundadores especificaram que cada dispositivo que viesse a fazer parte da grande rede deveria possuir um endereço único, o chamado “número” IP (Internet Protocol).

Para tal, foi especificado um padrão chamado IPv4, que permitia a combinação de aproximadamente 4.3 bilhões de variações diferentes. Décadas atrás, esse parecia um teto satisfatório que seria capaz de atender à necessidade global de endereços IP e jamais se esgotaria. Mas com a explosão da web comercial, a chegada dos smartphones conectados e, principalmente, com o avanço da Internet das Coisas, que exige um endereço IP diferente para cada eletrodoméstico conectado, esse número claramente não era mais suficiente.

A crise do IPv4 foi calculada com muitos anos de antecedência e o protocolo IPv6 foi criado para oferecer um limite muito maior de endereçamentos diferentes: nada menos que 340 trilhões de trilhões de trilhões de endereços de possibilidades. Entretanto, migrar entre as duas versões do mesmo protocolo também exigiu anos de preparo, dispositivos compatíveis e alterações na estrutura de servidores e provedores de acesso. E, como tudo que demanda trabalho, a migração atrasou.

Com o número de endereços IPv4 esgotados e a migração incompleta para IPv6, desde o início da década de 10, uma solução paliativa vem sendo adotada: o CGNAT.

Mas o que é o CGNAT?

O CGNAT, ou Carrier Grade Network Address Translation, é um intermediário entre sua rede doméstica e a internet, implementada a nível de provedor de acesso. Ou seja, é uma solução de NAT, a nível de provedor.

Continua complicado? Basicamente, provedores de acesso a internet estão compartilhando os escassos endereços IPv4 entre diferentes consumidores. Antes da crise, existiam dois tipos de consumidores: aqueles com um IP dinâmico, que recebiam um endereço para seus dispositivos a cada conexão, e aqueles com um IP fixo, que pagavam mais caro, mas tinham sempre o mesmo endereço IP e poderiam, se assim o desejassem, hospedar serviços de internet. A semelhança entre os dois tipos de clientes é que ambos contavam com um IP único, exclusivo, para identificação e conexão.

Entretanto, com a adoção do CGNAT, o provedor de acesso pode atribuir o mesmo endereço IP para diferentes usuários ao mesmo tempo, direcionando-os através de portas diferentes.

Possíveis desvantagens do CGNAT

Para os especialistas, o uso do NAT a nível de provedor é inerentemente nocivo, uma vez que fere um dos princípios arquiteturais da internet, a chamada conexão ponto a ponto. Isso torna o gerenciamento de uma rede interna e a habilitação de determinados serviços mais complexa do que deveria ser.

A autonomia que existia anteriormente do próprio administrador gerar política de redirecionamento (port-forwarding) fica comprometida com essa estrutura: é necessária a colaboração do suporte da operadora, nem sempre preparado, para realizar tarefas que antes podiam ser realizadas por conta própria.

Isso significa que a prática pode interferir com aplicações como peer-to-peer (P2P), VoIP, streaming de vídeo, hospedagem de jogos, tunelamento ou qualquer aplicativo que depende de um endereço IP único. São cenários incomuns, mas não improváveis.

Outro impasse que pode surgir a partir do compartilhamento de IPs é o risco de falhas de autenticação do usuário em serviços web que utilizam o endereço IP como identificação. O uso de aplicativos, enquetes ou outros recursos pode estar limitado. Tomemos por exemplo, sites de sorteio ou votação, onde a participação do usuário está vinculada ao seu endereço de IP: se outro usuário do seu provedor, compartilhando o mesmo IP, tiver realizado a ação anteriormente, ela estará bloqueada para outros usuários. É uma chance que já existia previamente com o uso de IPs dinâmicos, mas que cresce em probabilidade com a adoção do CGNAT.

A dificuldade de identificar usuários pelo IP e seu eventual impacto em investigações criminais são possibilidades que já foram previstas pela Anatel em 2014:

A única forma das prestadoras fornecerem o nome do usuário que faz uso de um IP compartilhado em um determinado instante seria com a informação da “porta lógica de origem da conexão” que estava sendo utilizada durante a conexão. Dessa forma, os provedores de aplicação devem fornecer não somente o IP de origem utilizado para usufruto do serviço que ele presta, mas também a “porta lógica de origem”.

Em uma Conexão à Internet, para cada sessão aberta pelo usuário, é utilizada uma “porta lógica” para sua comunicação com outras redes e equipamentos. Assim, mesmo quando dois usuários fazem o uso compartilhado de um mesmo IPv4, eles usarão portas distintas para a sua comunicação.

Será com base na informação da “porta lógica de origem” que as identificações judiciais para fins de quebra de sigilo e interceptação legal continuarão sendo possíveis de serem realizadas de forma unívoca. Portanto, torna-se necessário que na solicitação de quebra de sigilo seja informada, além dos atributos atuais (endereço IP de origem, data, hora e fuso da conexão), a porta de origem da comunicação.

Apesar desse entrave ter sido previsto quase quatro anos antes, a Europol, entidade que atua na União Europeia no combate a ameaças criminosas e terroristas internacionais, manifestou-se em Outubro de 2017 contra a problemática do uso de CGNAT em território europeu. A Europol acredita que a tecnologia “criou uma séria lacuna de capacidade on-line nos esforços de aplicação da lei para investigar e atribuir crimes”. E completa: “é particularmente alarmante que indivíduos que estão usando telefones celulares para se conectar à internet para facilitar atividades criminosas não possam ser identificados porque 90% dos provedores de acesso à internet adotaram uma tecnologia que os impede de cumprir suas obrigações legais de identificar assinantes individuais”.

Conclusão

CGNAT é real e uma solução paliativa encontrada pelos principais provedores de internet para suprir a demanda por novos endereços IP diante do esgotamento do número de endereços IPv4 disponíveis e a falha na implementação ágil de endereços IPv6. É uma solução adotada em diversos países há anos, regulamentada pelas entidades governamentais responsáveis mas que pode resultar em problemas para o consumidor em alguns cenários específicos.

A recomendação da NIC.br para aqueles que se sentirem prejudicados pela prática é entrarem em contato com seus provedores de acesso à internet e negociarem a obtenção de um endereço IPv4 tradicional ou a configuração adequada de roteador para habilitar portas e conexões ponto a ponto, dependendo do caso. Há registro de provedores que ainda possuem disponibilidade de endereços IPv4 ou com capacidade técnica para atender à solicitação de seus usuários.