[GTER] CGNAT, Logs de Conexão e Portas Lógicas

Braian pbraian at tcheturbo.com.br
Wed Nov 21 11:43:56 -02 2018


Acho que é isso mesmo,

Mas minha dúvida é a seguinte, na solicitação de identificação do 
usuário deve constar o protocolo? O que vemos hoje (aqui na nossa 
região) são solicitações muito básicas, constando apenas IP de origem. 
Nada de portas, se já é difícil explicar para o delegado que a 
solicitação deve conter as portas de origem, imagina explicar que 
precisa também do protocolo?

Eu concordo com o que você citou como atenuante Douglas, porém, 
dificilmente nas solicitações que recebemos para identificação de 
usuário consta qual foi o protocolo de camada 7, então, possivelmente 
caímos na situação de 2:1.

Braian Jacomelli
Analista de Redes

Em 21/11/2018 10:24, Douglas Fischer escreveu:
> Sim, mas isso é intrínseco ao conceito!
> Necessariamente quando se fala em Porta, é necessário falar em Protocolo.
> Ou... como se faria um PAT sem definir protocolo?
>
> Mas entendo sua colocação.
> Para um leigo, as palavras "portas", "protocolo", "endereço", são
> "tudo a mesma coisa". hehe...
>
>
> Um atenuante para a não explicitação dessa informação são:
>   - Existem(atualmente) basicamente 2 protocolos que usam portas.
>     - Mesmo que não especifiquem e o BAP atribua o mesmo range UDP e TCP
>       para usuários diferentes, isso restringiria a apenas 2 assinantes.
>       Muito mais razoável que os 1:64 que ando vendo por aí.
>   - Pelo protocolo de camada 7 é possível inferir qual foi o protocolo de
>     camada 4 que foi utilizado:
>     SSH -> TCP
>     HTTP/HTTPS -> TCP
>     QUIC -> UDP
>     DNS -> cumpricô
>
>
>
>
>
> Em qua, 21 de nov de 2018 às 09:33, Braian <pbraian at tcheturbo.com.br>
> escreveu:
>
>> Sobre o assunto CGNAT, estou testando o Bulk em roteadores Cisco ASR e
>> percebi que eles muitas vezes entregam o mesmo bloco de portas para
>> endereços diferentes, desde que o protocolo não seja o mesmo. Por
>> exemplo, um cliente pode receber o bloco 48128-48639 TCP e outro receber
>> esse mesmo bloco UDP, ambos saindo para a internet com o mesmo IP publico.
>>
>> Nesse caso, a identificação dependeria de saber, além da porta de
>> origem, o protocolo, correto?
>>
>>
>> Att. Braian Jacomelli
>> Analista de Redes
>>
>> Em 19/11/2018 01:06, Fernando Frediani escreveu:
>>> Olá.
>>>
>>> Complementando a mensagem anterior e respondendo algumas questões
>>> colocadas.
>>>
>>> De fato em alguns dos casos que pude verificar a solicitação acaba
>>> vindo sem a informação da porta de origem. Isso pode ser dar tanto
>>> pela falta de informação sobre esta necessidade por parte da pessoa ou
>>> autoridade que solicita, quanto da recusa por parte do Provedor de
>>> Conteúdo em fornecer ou sequer possuir a informação. Em um dos casos
>>> aconteceu do juiz não acreditar na necessidade da porta de origem para
>>> identificação do usuário e insistir que a identificação deveria ser
>>> feita sem conseguir compreender ser materialmente impossível no caso
>>> de uso de CGNAT sem o fornecimento da porta de origem pelo provedor de
>>> conteúdo.
>>> Isso é muito grave e acaba gerando uma grande desinformação que
>>> precisa ser desfeita em algum momento sob pena do juiz continuar
>>> acreditando que o provedor de acesso esta se recusando a cumprir a
>>> ordem e aplicar algum tipo de punição.
>>>
>>> Quando se deparar com esse tipo de situação e caso não for possível
>>> identificar o usuário por se tratar de CGNAT é necessário explicar ao
>>> juiz em detalhes as razões técnicas da impossibilidade do cumprimento
>>> daquela determinação. Além da sua própria explicação considero também
>>> bastante importante citar o Relatório do Grupo de Trabalho para
>>> Implantação do IPv6 composto por NIC.br, ANATEL e prestadoras que diz
>>> de maneira bastante clara que a guarda da porta de origem é "requisito
>>> necessário" para que se viabilize a quebra do sigilo nos casos
>>> previsos legalmente, tanto para provedores de conteúdo quanto para de
>>> acesso e em último caso, se necessário, envolver perícia técnica.
>>> O conteúdo desta informação no relatório pode ser encontrado às
>>> páginas 7, 8, 9 e principalmente na 14 que contém uma excelente
>>> explicação mais detalhada sobre a necessidade da porta de origem para
>>> identificação do usuário no caso de CGNAT.
>>>
>>> Por isso é importante no caso dos Provedores de Acesso possuírem toda
>>> a sistemática necessária para registro das portas de origem utilizadas
>>> pelos usuários, seja através de CGNAT Bulk ou Determinístico sendo
>>> assim possível demonstrar de maneira inconteste que a empresa cumpre
>>> integralmente o determinado pelo Marco Civil da Internet e está apta a
>>> realizar qualquer identificação que seja requisitada desde que de
>>> posse das informações mínimas necessárias para isso.
>>>
>>> Fernando Frediani
>>>
>>>
>>> On 14/11/2018 17:26, Fernando Frediani wrote:
>>>> Olá a todos.
>>>>
>>>> É crescente o número de Provedores de Internet que têm recorrido à
>>>> técnica do CGNAT como forma de continuar oferecendo acesso em IPv4.
>>>>
>>>> Desde que comecei a estudar este assunto assim como as implicações do
>>>> Marco Civil da Internet, tenho acompanhado de perto discussões e
>>>> debates a respeito de detalhes, tanto técnicos quanto legais que
>>>> devem ser levados em conta quando se adota esta estratégia. Quero
>>>> compartilhar com vocês um dos pontos que é bastante importante notar
>>>> desde o início de qualquer implantação de CGNAT. Existem vários
>>>> outros que são igualmente importantes mas neste texto vou me ater a
>>>> apenas um, os Logs Conexão.
>>>>
>>>> Já é ponto passivo que há a necessidade legal para qualquer Sistema
>>>> Autônomo, imposta principalmente pelo Marco Civil da Internet, de se
>>>> guardar o registro de conexão dos usuários, independente da
>>>> utilização de CGNAT ou IPv4/IPv6 Público. Isto é, o registro de qual
>>>> endereço IP foi entregue a um determinado cliente no momento que ele
>>>> se autenticou permitindo assim a sua identificação. Algumas pessoas
>>>> confundem isso com registrar todas conexões abertas pelo usuário no
>>>> decorrer do uso da Internet. Não se trata disso e inclusive é vedado
>>>> sob pena de se violar a privacidade do usuário dependendo de como
>>>> feito. Via de regra você precisa apenas ter registrado o endereço IP
>>>> utilizado por ele para posterior identificação, caso haja uma demanda
>>>> legal para tal.
>>>>
>>>> O problema, como a maioria aqui sabe, é que quando se utiliza CGNAT
>>>> somente o registro de 1 endereço de IP Público não é suficiente para
>>>> identificar o usuário. É necessário guardar também a porta de ORIGEM
>>>> por ele utilizada.
>>>> O pessoal da área jurídica costuma se referir à isso como "Portas
>>>> Lógicas", talvez você já tenha ouvido falar.
>>>>
>>>> E é nesse ponto que ainda existem divergências à respeito desta
>>>> obrigatoriedade. Alguns dizem que a interpretação literal da Lei não
>>>> fala nada sobre as "Portas Lógicas", outros no entanto dizem que é
>>>> necessário também interpretar a Lei e se perguntar: "Qual é a
>>>> essência da Lei ?". E uma das essências da Lei para muitos é
>>>> justamente a identificação do usuário, portanto neste ponto de vista
>>>> ela obriga sim a guarda também das portas de origem.
>>>>
>>>> Lendo a lei de maneira fria de fato ela não cita nada específico
>>>> sobre portas lógicas, porém ela dá uma série de indicações sobre isso
>>>> como por exemplo quando cita termos como "código atribuído a um
>>>> terminal da uma rede para permitir a sua identificação".
>>>> Ademais uma Lei, sobretudo regulando questões que envolvem
>>>> tecnologia, não pode em deve ser tão específica que a engesse frente
>>>> às rápidas evoluções tecnológicas. O CGNAT é apenas uma solução
>>>> técnica para um problema que ainda não era tão latente à época da
>>>> escrita da Lei. Ainda sim não tira o mérito dela de exigir a
>>>> identificação do usuário para aqueles que a interpretam dessa
>>>> maneira, em que pese a evolução tecnológica ocorrida desde a sua
>>>> entrada em vigor.
>>>>
>>>> Tenho percebido que em determinas situações há ainda certa
>>>> resistência por parte de alguns Provedores de Conteúdo de registrar a
>>>> porta de origem e é ai que existe um número razoável de contestações
>>>> sobre essa necessidade. Particularmente não creio que isso se deva à
>>>> falta de vontade de colaborar com uma investigação mas apenas com o
>>>> trabalho necessário envolvido para se adaptar um determinado sistema
>>>> ou plataforma para incluir aquele registro nos logs.
>>>> No entanto fácil ou difícil de se realizar essa adaptação, uma Lei
>>>> uma vez aprovada e sancionada não se importa com isso, ela apenas
>>>> exige que se cumpra.
>>>>
>>>> Outra situação que tem se mostrado comum, desta vez para Provedores
>>>> de Acesso, é não haver o registro da porta de origem e acabar se
>>>> entregando à autoridade solicitante a identificação de todos os
>>>> usuários que estavam compartilhando aquele endereço de IPv4 Público
>>>> em determinado momento, sejam eles 16, 32, 64 clientes. Infelizmente
>>>> isso não atende à solicitação por completo, não ajuda muito à
>>>> solucionar um crime eventualmente já cometido e ainda acaba
>>>> suscitando dúvidas à respeito da violação da privacidade de outros 31
>>>> usuários que não tinham nada à ver com aquela investigação, no caso
>>>> do CGNAT ser 1:32 por exemplo.
>>>>
>>>> Lembrando que caso a interpretação da Lei feita pelo juiz for de que
>>>> a essência dela é a identificação do usuário, entregar uma lista de
>>>> 16, 32 ou 64 clientes não faz o provedor estar em acordo com a Lei e
>>>> ainda deixa em aberto a possibilidade de se aplicar sanções desde
>>>> advertência, multa e até outras mais graves.
>>>>
>>>> Em recente decisão o STJ (Superior Tribunal de Justiça) determinou
>>>> que deve haver o armazenamento da porta lógica (porta de origem) sob
>>>> pena de violação da identificação do usuário. Também já é possível
>>>> encontrar diversas decisões de Tribunais de Justiça dos Estados neste
>>>> mesmo sentido. É possível encontrar também em alguma decisões
>>>> judiciais citações ao relatório do Grupo de Trabalho para Implantação
>>>> do IPv6 composto por NIC.br, ANATEL e prestadoras que diz que a
>>>> guarda da porta de origem é "requisito necessário" para que se
>>>> viabilize a quebra do sigilo nos casos previsos legalmente, tanto
>>>> para provedores de conteúdo quanto para de acesso.
>>>>
>>>> Independente da sua interpretação eu gostaria de convidá-lo à fazer
>>>> um raciocínio lógico e rápido: será que vale a pena não ter o
>>>> registro das portas de origem e continuar com a possibilidade de ter
>>>> que lidar com possíveis demandas legais que cedo ou tarde virão e ter
>>>> que se explicar para a autoridade que você não considera necessário
>>>> guardá-las ?
>>>> Lembre-se que dentre essas pessoas que farão a demanda (delegados,
>>>> promotores, defensores, advogados de defesa da uma vítima de um crime
>>>> e até mesmo o juiz) pode haver quem não aceite bem a interpretação
>>>> que não é necessário guardar a porta de origem.
>>>> Ou será que é muito mais produtivo ter este detalhe extra nos seus
>>>> logs, entregá-los a quem solicitar sempre sob determinação do juiz e
>>>> terminar a sua parte por ali ?
>>>>
>>>> Lembre-se que colaborando com a investigação de um crime não
>>>> significa apenas estar de acordo com uma Lei, mas principalmente
>>>> estar cumprindo uma função social de auxiliar a trazer justiça para
>>>> aquela situação.
>>>>
>>>> Saudações
>>>> Fernando Frediani
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> ---
>> Este email foi escaneado pelo Avast antivírus.
>> https://www.avast.com/antivirus
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>



More information about the gter mailing list