[GTER] CGNAT, Logs de Conexão e Portas Lógicas

Jean Carlos Bartzen jean at deltatele.com.br
Wed Nov 21 10:18:02 -02 2018


Braian, seu entendimento quanto ao BPA está incorreto. Na sua configuração,
o step size não deve estar como 1. Se configurado como 1, a sequencia de
portas alocadas será simultâneo. Se, hipoteticamente step-size for 4, a
contagem se dá da seguinte forma:

Primeira porta alocada 2000
segunda porta alocada 2004
terceira porta alocada 2008

E assim simultaneamente.

Para outro cliente, a alocação se dará:

Primeira porta alocada 2001
segunda porta alocada 2005
terceira porta alocada 2009

On Wed, Nov 21, 2018 at 9:34 AM Braian <pbraian at tcheturbo.com.br> wrote:

> Sobre o assunto CGNAT, estou testando o Bulk em roteadores Cisco ASR e
> percebi que eles muitas vezes entregam o mesmo bloco de portas para
> endereços diferentes, desde que o protocolo não seja o mesmo. Por
> exemplo, um cliente pode receber o bloco 48128-48639 TCP e outro receber
> esse mesmo bloco UDP, ambos saindo para a internet com o mesmo IP publico.
>
> Nesse caso, a identificação dependeria de saber, além da porta de
> origem, o protocolo, correto?
>
>
> Att. Braian Jacomelli
> Analista de Redes
>
> Em 19/11/2018 01:06, Fernando Frediani escreveu:
> > Olá.
> >
> > Complementando a mensagem anterior e respondendo algumas questões
> > colocadas.
> >
> > De fato em alguns dos casos que pude verificar a solicitação acaba
> > vindo sem a informação da porta de origem. Isso pode ser dar tanto
> > pela falta de informação sobre esta necessidade por parte da pessoa ou
> > autoridade que solicita, quanto da recusa por parte do Provedor de
> > Conteúdo em fornecer ou sequer possuir a informação. Em um dos casos
> > aconteceu do juiz não acreditar na necessidade da porta de origem para
> > identificação do usuário e insistir que a identificação deveria ser
> > feita sem conseguir compreender ser materialmente impossível no caso
> > de uso de CGNAT sem o fornecimento da porta de origem pelo provedor de
> > conteúdo.
> > Isso é muito grave e acaba gerando uma grande desinformação que
> > precisa ser desfeita em algum momento sob pena do juiz continuar
> > acreditando que o provedor de acesso esta se recusando a cumprir a
> > ordem e aplicar algum tipo de punição.
> >
> > Quando se deparar com esse tipo de situação e caso não for possível
> > identificar o usuário por se tratar de CGNAT é necessário explicar ao
> > juiz em detalhes as razões técnicas da impossibilidade do cumprimento
> > daquela determinação. Além da sua própria explicação considero também
> > bastante importante citar o Relatório do Grupo de Trabalho para
> > Implantação do IPv6 composto por NIC.br, ANATEL e prestadoras que diz
> > de maneira bastante clara que a guarda da porta de origem é "requisito
> > necessário" para que se viabilize a quebra do sigilo nos casos
> > previsos legalmente, tanto para provedores de conteúdo quanto para de
> > acesso e em último caso, se necessário, envolver perícia técnica.
> > O conteúdo desta informação no relatório pode ser encontrado às
> > páginas 7, 8, 9 e principalmente na 14 que contém uma excelente
> > explicação mais detalhada sobre a necessidade da porta de origem para
> > identificação do usuário no caso de CGNAT.
> >
> > Por isso é importante no caso dos Provedores de Acesso possuírem toda
> > a sistemática necessária para registro das portas de origem utilizadas
> > pelos usuários, seja através de CGNAT Bulk ou Determinístico sendo
> > assim possível demonstrar de maneira inconteste que a empresa cumpre
> > integralmente o determinado pelo Marco Civil da Internet e está apta a
> > realizar qualquer identificação que seja requisitada desde que de
> > posse das informações mínimas necessárias para isso.
> >
> > Fernando Frediani
> >
> >
> > On 14/11/2018 17:26, Fernando Frediani wrote:
> >> Olá a todos.
> >>
> >> É crescente o número de Provedores de Internet que têm recorrido à
> >> técnica do CGNAT como forma de continuar oferecendo acesso em IPv4.
> >>
> >> Desde que comecei a estudar este assunto assim como as implicações do
> >> Marco Civil da Internet, tenho acompanhado de perto discussões e
> >> debates a respeito de detalhes, tanto técnicos quanto legais que
> >> devem ser levados em conta quando se adota esta estratégia. Quero
> >> compartilhar com vocês um dos pontos que é bastante importante notar
> >> desde o início de qualquer implantação de CGNAT. Existem vários
> >> outros que são igualmente importantes mas neste texto vou me ater a
> >> apenas um, os Logs Conexão.
> >>
> >> Já é ponto passivo que há a necessidade legal para qualquer Sistema
> >> Autônomo, imposta principalmente pelo Marco Civil da Internet, de se
> >> guardar o registro de conexão dos usuários, independente da
> >> utilização de CGNAT ou IPv4/IPv6 Público. Isto é, o registro de qual
> >> endereço IP foi entregue a um determinado cliente no momento que ele
> >> se autenticou permitindo assim a sua identificação. Algumas pessoas
> >> confundem isso com registrar todas conexões abertas pelo usuário no
> >> decorrer do uso da Internet. Não se trata disso e inclusive é vedado
> >> sob pena de se violar a privacidade do usuário dependendo de como
> >> feito. Via de regra você precisa apenas ter registrado o endereço IP
> >> utilizado por ele para posterior identificação, caso haja uma demanda
> >> legal para tal.
> >>
> >> O problema, como a maioria aqui sabe, é que quando se utiliza CGNAT
> >> somente o registro de 1 endereço de IP Público não é suficiente para
> >> identificar o usuário. É necessário guardar também a porta de ORIGEM
> >> por ele utilizada.
> >> O pessoal da área jurídica costuma se referir à isso como "Portas
> >> Lógicas", talvez você já tenha ouvido falar.
> >>
> >> E é nesse ponto que ainda existem divergências à respeito desta
> >> obrigatoriedade. Alguns dizem que a interpretação literal da Lei não
> >> fala nada sobre as "Portas Lógicas", outros no entanto dizem que é
> >> necessário também interpretar a Lei e se perguntar: "Qual é a
> >> essência da Lei ?". E uma das essências da Lei para muitos é
> >> justamente a identificação do usuário, portanto neste ponto de vista
> >> ela obriga sim a guarda também das portas de origem.
> >>
> >> Lendo a lei de maneira fria de fato ela não cita nada específico
> >> sobre portas lógicas, porém ela dá uma série de indicações sobre isso
> >> como por exemplo quando cita termos como "código atribuído a um
> >> terminal da uma rede para permitir a sua identificação".
> >> Ademais uma Lei, sobretudo regulando questões que envolvem
> >> tecnologia, não pode em deve ser tão específica que a engesse frente
> >> às rápidas evoluções tecnológicas. O CGNAT é apenas uma solução
> >> técnica para um problema que ainda não era tão latente à época da
> >> escrita da Lei. Ainda sim não tira o mérito dela de exigir a
> >> identificação do usuário para aqueles que a interpretam dessa
> >> maneira, em que pese a evolução tecnológica ocorrida desde a sua
> >> entrada em vigor.
> >>
> >> Tenho percebido que em determinas situações há ainda certa
> >> resistência por parte de alguns Provedores de Conteúdo de registrar a
> >> porta de origem e é ai que existe um número razoável de contestações
> >> sobre essa necessidade. Particularmente não creio que isso se deva à
> >> falta de vontade de colaborar com uma investigação mas apenas com o
> >> trabalho necessário envolvido para se adaptar um determinado sistema
> >> ou plataforma para incluir aquele registro nos logs.
> >> No entanto fácil ou difícil de se realizar essa adaptação, uma Lei
> >> uma vez aprovada e sancionada não se importa com isso, ela apenas
> >> exige que se cumpra.
> >>
> >> Outra situação que tem se mostrado comum, desta vez para Provedores
> >> de Acesso, é não haver o registro da porta de origem e acabar se
> >> entregando à autoridade solicitante a identificação de todos os
> >> usuários que estavam compartilhando aquele endereço de IPv4 Público
> >> em determinado momento, sejam eles 16, 32, 64 clientes. Infelizmente
> >> isso não atende à solicitação por completo, não ajuda muito à
> >> solucionar um crime eventualmente já cometido e ainda acaba
> >> suscitando dúvidas à respeito da violação da privacidade de outros 31
> >> usuários que não tinham nada à ver com aquela investigação, no caso
> >> do CGNAT ser 1:32 por exemplo.
> >>
> >> Lembrando que caso a interpretação da Lei feita pelo juiz for de que
> >> a essência dela é a identificação do usuário, entregar uma lista de
> >> 16, 32 ou 64 clientes não faz o provedor estar em acordo com a Lei e
> >> ainda deixa em aberto a possibilidade de se aplicar sanções desde
> >> advertência, multa e até outras mais graves.
> >>
> >> Em recente decisão o STJ (Superior Tribunal de Justiça) determinou
> >> que deve haver o armazenamento da porta lógica (porta de origem) sob
> >> pena de violação da identificação do usuário. Também já é possível
> >> encontrar diversas decisões de Tribunais de Justiça dos Estados neste
> >> mesmo sentido. É possível encontrar também em alguma decisões
> >> judiciais citações ao relatório do Grupo de Trabalho para Implantação
> >> do IPv6 composto por NIC.br, ANATEL e prestadoras que diz que a
> >> guarda da porta de origem é "requisito necessário" para que se
> >> viabilize a quebra do sigilo nos casos previsos legalmente, tanto
> >> para provedores de conteúdo quanto para de acesso.
> >>
> >> Independente da sua interpretação eu gostaria de convidá-lo à fazer
> >> um raciocínio lógico e rápido: será que vale a pena não ter o
> >> registro das portas de origem e continuar com a possibilidade de ter
> >> que lidar com possíveis demandas legais que cedo ou tarde virão e ter
> >> que se explicar para a autoridade que você não considera necessário
> >> guardá-las ?
> >> Lembre-se que dentre essas pessoas que farão a demanda (delegados,
> >> promotores, defensores, advogados de defesa da uma vítima de um crime
> >> e até mesmo o juiz) pode haver quem não aceite bem a interpretação
> >> que não é necessário guardar a porta de origem.
> >> Ou será que é muito mais produtivo ter este detalhe extra nos seus
> >> logs, entregá-los a quem solicitar sempre sob determinação do juiz e
> >> terminar a sua parte por ali ?
> >>
> >> Lembre-se que colaborando com a investigação de um crime não
> >> significa apenas estar de acordo com uma Lei, mas principalmente
> >> estar cumprindo uma função social de auxiliar a trazer justiça para
> >> aquela situação.
> >>
> >> Saudações
> >> Fernando Frediani
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> ---
> Este email foi escaneado pelo Avast antivírus.
> https://www.avast.com/antivirus
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 


*Jean Carlos Bartzen*

*Delta Telecomunicações LtdaAv. Gov. Moises Lupion, 114 SL1*
F: (45) 3241-3650
*www.deltatele.com.br <http://www.deltatele.com.br>*



*Esta mensagem e qualquer arquivo transmitido anexo, pode
conter informação confidencial e/ou legalmente privilegiada.
Esta informação é direcionada exclusivamente ao destinatário.
Se você não for o destinatário ou a pessoa autorizada a receber esta
mensagem, não podera utilizar, revelar, copiar, distribuir, ou tomar
qualquer ação baseada no conteúdo dessa informação, por ser estritamente
proibido. Se você recebeu esta mensagem por engano, por favor, avise
imediatamente o remetente respondendo o e-mail e em seguida apague a
mensagem. *



More information about the gter mailing list