sexta-feira, 5 de setembro de 2014

CGNAT na Transição IPv6: Solução ou Vilão?

Olá Pessoal.

O Carrier Grade NAT (CGN) ou Large Scale NAT (LSN), definido na RFC 6264, é uma técnica de tradução de grande porte que vem sendo praticada por algumas operadoras de telecomunicações que não possuem mais endereços IPv4 disponíveis e, portanto, se encontram em situação crítica. Essa prática consiste em aplicar o NAT na própria rede da operadora, antes mesmo de chegar ao usuário, entregando para seu cliente um endereço privado, conforme ilustrado na figura abaixo.



Se o NAT (também chamado de NAT44), por si só, já é uma agressão aos princípios arquiteturais da Internet por quebrar o modelo fim-a-fim e tornar o funcionamento de algumas aplicações mais complexo, o CGN é ainda mais grave porque implica na prática daquilo que chamamos de NAT444 ou pejorativamente de "NAT do NAT".

Um primeiro problema do NAT444 é o uso de endereços privados 10/8, 172.16/12 e 192.168/16 da RFC1918, afinal, existe a possibilidade de haver conflito entre os planos de endereçamento utilizados nas redes internas dos clientes e das operadoras. Para "sanar" esse problema e evitar o conflito de endereços, a RFC6598 reserva o prefixo 100.64.0.0/10 como sendo uma faixa privada não roteável na Internet e de uso exclusivo das operadoras. 

Ao se quebrar o modelo fim-a-fim, perde-se a possibilidade de alcançabilidade "direta" entre os pontos (em layer-3), o que torna o gerenciamento e a configuração da rede mais complexa. No entanto, a empresa (ou usuário residencial) ainda tem autonomia para criar políticas de redirecionamento (port-forwarding) através da escrita de regras em seu roteador de borda, permitindo que seu único endereço público possa direcionar o usuário externo às suas aplicações internas que estão escondidas da Internet por obscuridade. 

Com o NAT444, essa autonomia deixa de existir, porque o endereço público que tem alcançabilidade na Internet é de posse da operadora apenas, não mais da empresa. Dessa forma, os administradores da rede vão depender da ação conjunta das operadoras para que as políticas de redirecionamento de tráfego sejam escritas nos próprios roteadores da operadora, o que traz consigo vários problemas para os clientes e também para as operadoras.

Essa prática literalmente acaba com a autonomia da empresa/usuário em criar suas políticas de redirecionamento, afinal, ela fica totalmente dependente da operadora para "auxiliar" nesse processo, o que compromete a flexibilidade, escalabilidade e segurança. Cabe destacar que essa técnica é ruim, inclusive para a operadora, afinal, "administrar" as políticas individuais dos seus clientes é oneroso.

Além disso, para aqueles que sempre defenderam o NAT como medida de segurança (o que ele nunca foi, já que NAT foi criado para economizar IPs), a segurança do ambiente fica comprometida. Com CGNAT a operadora conhece detalhadamente quais portas/serviços estão em execução nos servidores privados, ou seja, é o fim da obscuridade para aqueles que defendiam essa prática e o começo da "iluminação absoluta"!

Essa discussão é aprofundada no meu livro intitulado "IPv6 - O Novo Protocolo da Internet", por isso sugiro sua leitura para os interessados no assunto. Por fim trago mais um vídeo produzido pelo NIC.br, dessa vez apresentando o CGNAT.

Samuel.


6 comentários:

  1. como burlar isso pois os videos da europa estao todos bloqueados para mim!existe algum programa?

    ResponderExcluir
  2. Artigo muito, muito bem escrito.

    ResponderExcluir
  3. A NET/CLARO está de palhaçada.... Qualquer plano que você assina, o modem já vem com CGNAT...

    N problemas em clientes, todos por consequência do CGNAT.

    ResponderExcluir