[GTER] CGNAT - legal ou ilegal ?
Antonio M. Moreiras
moreiras at nic.br
Fri Aug 3 12:50:24 -03 2012
Suponho que o ideal é que o NAT no lado do provedor não seja totalmente
dinâmico. Tem de haver uma função bem conhecida que mapeie por exemplo o
ID do usuário (ou seu IPv6 de origem, no caso do NAT64) a um determinado
conjunto de portas que o NAT pode atribuir ao mesmo. Se for totalmente
dinâmico realmente o log fica gigantesco. Se a implementação for baseada
numa função desse tipo, não há na verdade necessidade de um log extra,
apenas de conhecer a função.
E concordo que não há necessidade de se ter a informação de porta de
destino, numa implementação mais "força bruta" como o Diogo imaginou.
[]s
Moreiras.
On 03-08-2012 12:06, Diogo Montagner wrote:
> Concordo. eu acredito que nao seria um problema tornar anonima a
> aplicacao que o nat estah logando pois afinal de contas a unica coisa
> importante eh a identificacao do usuario.
>
> Quando eu mencionei solucao robusta de log eh pq geralmente qdo ha um
> PPPoE, o log do radius eh suficiente. Mas havendo um equipamento de
> nat no meio do caminho, o log do nat tem que entrar na conta para
> ajudar a identificacao. Como o nat eh dinamico, a quantidade de logs
> gerados no nat em comparacao com o log do radius, o nat terah um log
> muito gigantesco. A indexacao desse log que eh a parte dificil
> (timestamp x IP). Nao ha necessidade da porta da aplicacao entrar na
> jogada. Isto garantiria a privacidade, certo !?
>
> []s
>
>
>
> On 8/3/12, Rubens Kuhl <rubensk at gmail.com> wrote:
>>> Eu vou abrir uma nova thread para este assunto.
>>>
>>> Sobre a questao que voce colocou aonde a solucao de cgnat pode vir a
>>> se tornar ilegal.
>>
>> Eu mencionei que o log de CGNAT deve logo se tornar ilegal. O CGNAT ou
>> o NAT padrão só se tornariam ilegais se houvesse uma outra lei
>> tornando a identificação unívoca um requisito, algo que aí sim
>> tornaria o fornecimento de IPs públicos um requisito legal. Com a
>> simplificação da Lei Azeredo (que virou "Lei Carolina Dieckmann") não
>> me parece que isso vá acontecer.
>>
>>> Que outra saida teria um provedor que esgotou os seus IPs hoje, e
>>> vamos dizer que nao haja mais IPv4 disponivel.
>>> ? Por mais que a penetracao de IPv6 hoje em dia esteja melhor, ainda
>>> nao ha como operar 100% em IPv6.
>>
>> Fazer NAT sem logar porta destino ou IP destino.
>> (mensagem citando que porta origem poderia ser logada em 3... 2... 1...)
>>
>>> Acredito que os vendors nao sao os mais afetados. Os mais afetados
>>> serao os ISP que nao poderao vender mais acesso internet pelo menos
>>> ateh que a operacao 100% em IPv6 seja uma coisa painless pro usuario
>>> final :-)
>>
>> A questão é que os vendors tem proposto CGNAT como solução e vendido
>> soluções bem trabalhosas e caras de se fazer log, e muito disso logo
>> terá que ser desligado...
>>
>>
>> Rubens
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
More information about the gter
mailing list