Spiga

Midiendo el impacto del Carrier-Grade NAT sobre las aplicaciones en red

Este post es un resumen del rfc7021 'Assessing the Impact of Carrier-Grade NAT on Network Applications', que trata de evaluar el posible impacto del uso de NAT444 por parte los ISPs para seguir ofreciendo servicio IPv4 a sus clientes durante la transición a IPv6. Esta tecnología añade un Carrier-Grade NAT (CGN) en la red del proveedor de servicios de internet, lo que implica realizar NAT dos veces, una en la conexión del cliente a la red del ISP y otra en la red del ISP. Un grupo de organizaciones ha probado el impacto de NAT444 sobre el funcionamiento de muchos servicios y aplicaciones populares de Internet utilizando diferentes escenarios, topologías de red y equipamiento de distintos fabricantes, identificando las áreas donde esta segunda capa de NAT provoca problemas de comunicación.





Servicios que dejaron de funcionar

Varias aplicaciones peer-to-peer fallaron y no superaron los tests, en concreto juegos peer-to-peer con Xbox y llamadas SIP peer-to-peer con el cliente PJSIP. Muchos dispositivos CGN usan NAT "full cone" de forma que una vez se mapea un puerto para un servicio externo se acepten conexiones de entrada en ese puerto. Sin embargo, algunas aplicaciones no enviarion tráfico saliente primero y, por tanto, no se abrió el puerto a través del CGN. Otras aplicaciones trataron de abrir un puerto fijo; en estos casos el servicio funciona para un único usuario, pero falla cuando varios usuarios tratan de usar el mismo puerto. Tampoco funcionaron correctamente aplicaciones como BitTorrent y uTorrent cuando realizaron peer-to-peer seeding.Sesiones FTP con servidores detrás de dos NAT también fallaron. Y el tráfico multicast tampoco se envió a través del CGN.

Servicios que sufrieron un impacto en el rendimiento

Transferencias de ficheros de gran tamaño (entre 750 MB y 1.4 GB) y sesiones múltiples de streaming de vídeo iniciadas en un único cliente en la misma red detrás del CGN sufrieron una reducción del rendimiento comparándolo con los resultados obtenidos en la misma red sin usar NAT.

Otros retos de CGN

  • Pérdida de información de geoposicionamiento.
  • Identificación de la responsabilidad al producirse un abuso.
  • Anti-spoofing. Pueden producirse situaciones en las que se disparen mecanismos antispoofing o antiDDOS, produciendo pérdida de conectividad para algunos usuarios, al superarse los límites de conexiones permitidas desde una dirección IP.


Consideraciones relativas a la seguridad

En general, como un dispositivo CGN comparte una dirección IPv4 con múltiples usuarios, estos dispositivos suponen un objetivo atractivo para realizar ataques DOS. Además, si una dirección IP es añadida a una lista negra (por ej. de SPAM) se podría producir un problema de conectividad al resto de usuarios legítimos de ese CGN.

Mitigación del impacto del CGN

Afortunadamente existen varios métodos que podrían reducir el impacto del CGN en los servicios de internet:
  • Peer-to-peer y gaming--> Uso de un proxy.
  • Geoposicionamiento --> Desplegar el CGN cerca del borde de la red; usar asignación de IP y puerto regional.
  • Registro de peticiones para problemas legales --> Registro determinístico; compresión de datos; registro puertos bulk.
 Aunque, sin duda, la situación ideal sería que los ISPs acelerasen la transición a IPv6 y comenzaran a ofrecer este servicio a sus usuarios.

0 comentarios: