[GTER] CGNAT - legal ou ilegal ?

[Rubens Kuhl]

2012/8/3 Antonio M. Moreiras <moreiras at nic.br>:
> On 03-08-2012 14:54, Rubens Kuhl wrote:
>> Mas apesar de não serem necessários, os dados de IP destino e porta
>> destino são logados em quase todas as implementações que já vi. Quer
>> por guardar um full-state da translação (IP origem, porta origem, IP
>> destino, porta destino), quer por usar flows para esse registro... o
>> art. 12 vai se chocar frontalmente com essas implementações.
>
> Você está afirmando que:
>
> (1) É viável fazer o log de cada conexão, com IP de origem, porta de
> origem, IP de destino, porta de destino e timestamp, no provedor de
> acesso/conexão.

Para volumes limitados de tráfego é factível com tecnologia já
convencional. Para altos volumes de tráfego é possível com as soluções
de CGNAT.


> (2) Tem gente que já faz assim em produção.
>
> É isso?

Ahã. Os bem pequenos via "iptables >> log.txt", os médios via flows,
os grandes via CGNAT.

> Essa é uma informação bastante interessante, mas é diferente da que
> tenho de conversas com operadoras brasileiras

Será que elas se referiam a inviabilidade técnica ou econômica ?

> e fabricantes de
> equipamentos. Essas conversas me levaram a crer que é inviável, quase
> impossível, para um provedor de acesso/conexão adotar essa solução.

De documentação de um fabricante:

http://www.f5.com/pdf/white-papers/cgnat-wp.pdf
"Logging
The BIG-IP system includes a highly customizable high-speed logging
(HSL) engine
that could track every connection if necessary. "

Este mesmo fabricante até comenta como são soluções de outros fabricantes:
"Several vendors have log messages that are close to 1500 bytes per
message, where
a session start log message with the source IP, source port,
destination IP, destination
port, and a time stamp can be under 100 bytes from the HSL engine in the BIG-IP
system. This is a significant savings in data storage requirements for logging."



Rubens