É hora de quebrar paradigmas e reconhecer que o mercado de Telecom não se divide entre os early adopters do IPv6 e as organizações que buscam prolongar a vida útil dos ativos IPv4. Em 2024 e ainda por muitos anos, veremos a convivência desses dois modelos em operadoras e ISPs de todos os portes e geografias do Brasil. A adoção do protocolo IPv6 envolve investimentos tanto na compra do endereço como na renovação da infraestrutura técnica da operadora. Novos skills de gestão desse novo modelo também são necessários. Como resultado, muitas empresas seguem operando sem adquirir grandes lotes de IPv6. Outro fator que atrasa a disseminação do IPv6 é que esse novo protocolo só mostra seu poder quando o dispositivo utilizado pelo usuário da operadora for compatível com esse protocolo. Isso explica a sobrevida do IPv4. Em tempos de escassez de endereços IPv4, a regra é usar um endereço público como ponto de acesso de até 16 mil endereços IPv4 privados.
É neste contexto que entram em cena as soluções Carrier Grade Network Access Translation (CGNAT), uma tecnologia sob medida para operadoras de telecomunicações que lutam com a indisponibilidade de endereços IPv4. A função do CGNAT é gerar o compartilhamento de um endereço IP externo (também chamado de público) entre diversos endereços IP locais (os endereços privados).
Isso promove a economia do número de endereços IP adquiridos pela operadora. Por ser considerada uma camada intermediária entre a rede de internet e o usuário, o CGNAT possibilita a atribuição de um mesmo endereço IPv4 público para diferentes conexões privadas ao mesmo tempo.
Nesta abordagem, os usuários são condicionados a usar um mesmo endereço IPv4, o que pode trazer riscos. Essa realidade está levando os diretores de tecnologia de operadoras e ISPs a implementarem soluções de CGNAT seguras, essenciais para preservar a rede que suporta as empresas e pessoas usuárias desses provedores de serviços.
Marco da Internet e LGPD exigem que logs sejam armazenados de forma segura
Vale destacar que, por conta do "Marco da Internet" (Lei 12.965/2014) e da LGPD (Lei 13.709/2018), existe uma regulamentação que exige que os ISPs respondam, após solicitação do Ministério Público ou órgão com poder similar, quem foi o assinante que efetuou um acesso, possivelmente indevido, a um certo site, aplicação, dados etc na Internet. Para tanto, o órgão informa, geralmente, o endereço IP Público (que identifica o ISP), a "porta de acesso" (informação que consta do cabeçalho do pacote trafegado) e o momento que o acesso aconteceu (time-stamp).
O ISP, por sua vez, precisa ter esses dados de acesso (logs de CGNAT) armazenados de forma segura e ordenada para conseguir cumprir com o mandado judicial de forma rápida e dentro do prazo. A "governança de registros de acesso" é necessária para todos os cenários, incluindo CGNAT (NAT44) ou mesmo quando já há IPv6 (NAT64 ou NAT66 por exemplo).
Ataques DDoS focados em IPv4
Tanto para buscar a conformidade com as leis brasileiras como para entregar a melhor UX a seus assinantes, é fundamental que a operadora utilize um CGNAT seguro e com a máxima performance e disponibilidade. Cada acesso que passa pelo CGNAT demanda recursos de CPU e memória para realizar a tradução de endereços. Não bastasse a demanda natural do mercado de Telecom por performance, esse valor tem sido muito prejudicado pela incidência de ataques DDoS sobre as operadoras.
Estatísticas de 2023 mostram que, em 2024, o número de ataques DDoS deverá chegar a 15,4 milhões. Em 2017, foram 7,9 milhões. Em termos de verticais, um estudo global da StationX indica que os setores mais atacados são finanças (34%), operadoras de telecomunicações (26%) e varejo (17%). O mesmo estudo revela que os três países que mais disparam ataques DDoS são China, EUA e Coréia do Sul. Em todos os casos, é na operadora que o ataque DDoS causa o maior estrago e acaba transbordando para as empresas usuárias desse provedor de serviços. O fato de, no Brasil, os endereços IPv4 seguirem sendo a maioria faz desse protocolo um alvo preferencial dos criminosos digitais.
Proteção em camadas aumenta a resiliência e a performance do CGNAT
Uma forma de evitar quadros como este é adotar uma solução CGNAT implementada em um firewall Next Generation munido de todas as camadas de segurança necessárias para proteger a operadora e seus clientes contra ataques. O CISO da operadora passa a contar com defesa multidimensional, incluindo controle de acesso, proteção contra DDoS, reputação de IP, detecção de C&C, filtro de conteúdo etc. A meta é identificar e bloquear ataques Zero Day, protegendo os negócios do ISP e, também o próprio dispositivo de CGNAT, um ativo crítico para essa. Devido à multiplicidade de perfis e orçamentos do segmento de Telecom brasileiro é importante, também, contar com uma solução segura e escalável de CGNAT, que se inicia em dispositivos de 1 Gbps (throughtput) e, quando necessário, avança até chassis de 1.2TB.
A performance do equipamento está condicionada ao tamanho médio dos pacotes trafegados pelo dispositivo de CGNAT – o firewall Next Generation, por exemplo. Vários vendors usam pacotes médios de 1518 bytes em seus datasheets para caracterizar o desempenho de suas soluções. Na verdade, porém, os ISPs tendem para a média de 800 bytes. Isso é um desafio. Quanto menor o tamanho médio dos pacotes de dados, menor será a performance percebida no dispositivo CGNAT. Por essa razão, é importante que a PoC para avaliar a solução seja feita com pacotes que tenham, em média, 800 bytes. A meta é realizar uma escolha que aumente a resiliência do ambiente da operadora e acelere os negócios dos clientes dessa provedora de acesso.
Nada é mais fácil do que trocar um provedor de serviços diante de falhas de performance e de segurança. Embora o usuário médio não domine a questão da convivência entre os protocolos IPv4 e IPv6, todos percebem a disponibilidade e a integridade dos serviços oferecidos por sua operadora. Em 2024, a competitividade do mercado brasileiro de Telecom exigirá, cada vez mais, que suas redes sejam "secure by design".
André Kupfer, Sales Engineer Manager for LATAM at Hillstone Networks.