José Ribamar Smolka Ramos
Telecomunicações
Artigos e Mensagens


ComUnidade WirelessBrasil

Agosto 2011               Índice Geral


06/08/11

• Debate entre Smolka, Rubens e Rubens A. sobre a autenticação dos usuários de banda larga da telefonia fixa

de J. R. Smolka smolka@terra.com.br por yahoogrupos.com.br
responder a Celld-group@yahoogrupos.com.br
para wirelessbr@yahoogrupos.com.br,
Celld-group@yahoogrupos.com.br
data 4 de agosto de 2011

Oi pessoal,

Sempre é bom quando você vê alguma das suas idéias indo para a frente, ainda que pelos motivos errados. Estou falando do comentário que fiz no meu recente artigo no e-thesis (da série eu detesto dizer "eu avisei") sobre a autenticação dos usuários de banda larga da telefonia fixa.

Segundo esta matéria no Tele Síntese, o Minicom vai recomendar à Anatel que retire a obrigatoriedade de autenticação por provedor externo da conexão banda larga dos assinantes de telefonia fixa (os de telefonia móvel não tem isso). A motivação deles é que as operadoras de telecom tem mais condição de manter o log das conexões dos assinantes que os provedores, no contexto da proposta de lei para crimes digitais. IMHO, ação certa, motivo errado.

[ ]'s

J. R. Smolka

http://www.e-thesis.inf.br/index.php?option=com_content&task=view&id=7634&Itemid=165
http://www.e-thesis.inf.br/index.php?option=com_content&task=section&id=50&Itemid=165
http://www.telesintese.com.br/index.php?option=com_content&view=article&id=18326:minicom-pensa-em-acabar-com-provedor-de-internet-obrigatorio-em-rede-de-telecom&catid=13:plantao&Itemid=1126

--------------------------------------

Fonte: Tele.Síntese
[03/08/11]  Minicom pensa em acabar com provedor de internet obrigatório em rede de telecom - por Miriam Aquino

O Ministério encaminhou à Anatel pedido para que ela estude uma nova regra em substituição à norma 04/95

Como resultado da CPI da pedofilia, concluída no ano passado, o Ministério das Comunicações encaminhou na semana passada à Anatel um pedido para que ela estude uma nova regra em substituição à norma 04/95. Esta norma foi publicada ainda na gestão do ex-ministro Sérgio Motta para segurar a então estatal Embratel de monopolizar a internet. Assim, ela proibe que as operadoras de serviços públicos de telecomunicações sejam provedoras de acesso à internet, proibição que permanece até hoje e que estava até consolidada no voto da conselheira Emilia Ribeiro, relatora do regulamento do Serviço de Comunicação Multimídia (SCM), serviço que provê o à banda larga.

Segundo fontes do Minicom, o relatório final desta CPI identificou que os provedores de internet têm muita dificuldade em guardar os logs (os números de identificação) dos clientes, o que dificultava em muito a ação policial contra os portais que estimulavam a pornografia infantil. O Ministério Público e o próprio comitê gestor da internet já estabeleceram que o tempo mínimo para se guardar esta informação deve ser o de dois anos (na proposta de regulamento da agência, fica estabelecido três anos para a operadora de telecom de grande porte e de dois anos para a de pequeno porte). Assim, o Minicom entendeu que esta obrigatoriedade deve ser repassada para os operadores de telecom, e, assim sendo, não teria mais sentido manter a obrigatoriedade deste intermediário nas redes de telecom.

Para técnicos no ministério, esta mudança deve ser feita pela Anatel - e não pelo Ministério - porque a Lei Geral de Telecomunicações repassou para a agência a atribuição de regular as operadoras de telecomunicações. O ministério não acha que o fim desta norma irá ampliar o poder das concessionárias de telecom para o mundo da internet - conforme denunciam portais como o Uol, controlado pela Folha de S. Paulo - pois há muitos provedores gratuitos, que podem ser usados por qualquer usuário. Além disso, essas fontes lembram que há um estudo da agência propondo que seja criado o MNO (ou a operadora virtual) da banda larga. Na visão do governo, os atuais provedores de interent poderiam se tornar parceiros das operadoras de telecom na comercialização dos acessos banda larga, ao invés de ficarem cobrando do usuário apenas pelo acesso ao número da internet, que pode ser oferecido gratuitamente.

-------------------------------------------

Mensagem de Rubens

Lembrando que o regulador poderia substituir o modelo de autenticação, que é mesmo falho, por um modelo de rede "open-access" em que os clientes de um provedor de fato passariam pela estrutura daquele provedor. Isso inclusive resolveria o monopólio regional de backbone IP que foi criado com base nas concessões de telefonia fixa e que é a maior mazela impedindo competição nesse mercado atualmente.
Rubens

-------------------------------------------

Mensagem de José Smolka

Oi Rubens,

Consigo imaginar um jeito elegante e outro grosseiro para fazer isto acontecer: o elegante é fazer que o provedor termine o túnel PPP do usuário, e não o BRAS; o grosseiro é formar uma noa estrutura de túneis (L2TP, GRE ou IPSec) entre o BRAS e os diversos provedores associados com a operadora que está provendo o acesso.

Resolveria o aspecto comercial da relação do usuário com o provedor, mas é uso ineficiente dos recursos da rede, porque causa um desvio artificial (que pode ser considerável) no encaminhamento dos pacotes, introduzindo latência.

Além do mais, os provedores que fossem realmente bem sucedidos junto aos usuários neste modelo também teriam que escaar sua estrutura de serviços para suportar tráfego multigigabit. E isto é um custo considerável, que teria que ser repassado aos assinantes. Então acaba tendo o risco do serviço ficar mais caro ainda.

No frigir dos ovos, ainda acho que o modelo atual é menos ruim. E não existe direito adquirido dos pequenos negócios serem preservados contra os grandes.

[ ]'s
J. R. Smolka

-----------------------------------------------------------------

Mensagem de Rubens

Consigo imaginar um jeito elegante e outro grosseiro para fazer isto acontecer: o elegante é fazer que o provedor termine o túnel PPP do usuário, e não o BRAS; o grosseiro é formar uma noa estrutura de túneis (L2TP, GRE ou IPSec) entre o BRAS e os diversos provedores associados com a operadora que está provendo o acesso.

Existe um terceiro que é a operadora banda-larga ter cessão de blocos de endereçamento específicos de cada um dos provedores.

Resolveria o aspecto comercial da relação do usuário com o provedor, mas é uso ineficiente dos recursos da rede, porque causa um desvio artificial (que pode ser considerável) no encaminhamento dos pacotes, introduzindo latência.


Mesmo nos dois modelos que você citou esse desvio artificial ocorreria numa parcela menor do tráfego, pois a maioria do tráfego é gerado pelas grandes fontes de conteúdo. Mesmo o tráfego peer-to-peer se dá muito mais no trânsito nacional e internacional, pois a percentagem de computadores conectados à Internet que estão na mesma UF que um determinado usuário está é muito pequena.

Já no modelo que citei nem esse desvio aconteceria, mesmo que houvesse um ponto de hand-off por UF. Notar também que qualquer dos três modelos que fosse aplicado cidade-a-cidade também manteria eficiência operacional.


Além do mais, os provedores que fossem realmente bem sucedidos junto aos usuários neste modelo também teriam que escaar sua estrutura de serviços para suportar tráfego multigigabit. E isto é um custo considerável, que teria que ser repassado aos assinantes. Então acaba tendo o risco do serviço ficar mais caro ainda.

No frigir dos ovos, ainda acho que o modelo atual é menos ruim. E não existe direito adquirido dos pequenos negócios serem preservados contra os grandes.


Esse modelo só teria provedores bem fortes e certamente não seria tão pulverizado quanto com os "autenticadores"; por exemplo, em Estocolmo (Suécia) são apenas 5. Mas haveria real competividade entre players com real capacidade de diferenciação... hoje não temos competição real só porque a autenticação pode ser @xxx ou @yyy. E manter ou não os "autenticadores" é para mim absolutamente indiferente, nem a manutenção nem a extinção desse modelo geram mudança no cenário competitivo.

Rubens

---------------------------------------------

Mensagem de Rubens A.

JRS| sobre a autenticação dos usuários de banda larga da | telefonia fixa. (...) o Minicom vai recomendar à | Anatel que retire a obrigatoriedade de autenticação | por provedor externo da conexão banda larga dos assinantes de telefonia fixa

Lembrando que essa exigência só existe porque o Minicom a criou, na época das privatizações, meramente para atender aos pequenos provedores, que tinham medo de ficar sem receita com as teles podendo oferecer banda larga.

RK| Lembrando que o regulador poderia substituir o modelo  de autenticação, que é mesmo falho, por um modelo de  rede "open-access" em que os clientes de um provedor de fato passariam pela estrutura daquele provedor.

Não sei se entendi direito essa proposta, pois me soou como mera burrocracia de cartório. Complicar as coisas, alterar rotas, meramente para fazer uma autenticação? Qual seria a utilidade disso?

O ideal seria realmente acabar com essa exigência totalmente sem sentido que a autenticação seja feita por provedor externo. Ou seja, outra burrocracia.

[ ] Rubens A

 

----------------------------------

Mensagem de José Smolka

Só pra organizar o in-line quoting... O que eu escrevi (antigo) está em azul. O que Rubnes escreveu na última msg está em vermelho, e o que eu vou falar agora está em preto.

Em 04/08/2011 17:11, Rubens escreveu:
 
Consigo imaginar um jeito elegante e outro grosseiro para fazer isto acontecer: o elegante é fazer que o provedor termine o túnel PPP do usuário, e não o BRAS; o grosseiro é formar uma noa estrutura de túneis (L2TP, GRE ou IPSec) entre o BRAS e os diversos provedores associados com a operadora que está provendo o acesso.
 
Existe um terceiro que é a operadora banda-larga ter cessão de blocos de endereçamento específicos de cada um dos provedores.
Não sei se entendi sua proposta. Para atribuir o endereçamento correto a cada usuário a autenticação teria que ser feita pela operadora (o mais simples) ou pelo provedor (mesmo jeito de hoje). O tráfego, em princípio, só seria cursado por dentro da infra do provedor se o serviço acessado fosse local ao provedor, caso contrário o roteamento seria para a nuvem. Não vi mudança nenhuma em relação ao modelo atual, e ainda existe tarifa do provedor? O que mudou?

Resolveria o aspecto comercial da relação do usuário com o provedor, mas é uso ineficiente dos recursos da rede, porque causa um desvio artificial (que pode ser considerável) no encaminhamento dos pacotes, introduzindo latência.
Mesmo nos dois modelos que você citou esse desvio artificial ocorreria numa parcela menor do tráfego, pois a maioria do tráfego é gerado pelas grandes fontes de conteúdo. Mesmo o tráfego peer-to-peer se dá muito mais no trânsito nacional e internacional, pois a percentagem de computadores conectados à Internet que estão na mesma UF que um determinado usuário está é muito pequena. 
 
Já no modelo que citei nem esse desvio aconteceria, mesmo que houvesse um ponto de hand-off por UF. Notar também que qualquer dos três modelos que fosse aplicado cidade-a-cidade também manteria eficiência operacional.
Este é um ponto crítico: por onde passa o tráfego do usuário? Se, como hoje, o tráfego não passa pela infra do provedor, e ele apenas dá o "serviço" de autenticação, e todo o peso de suportar o roteamento do tráfego é da operadora, porque o usuário precisa pagar ao provedor? Se o provedor cobrar por serviços efetivamente prestados (web hosting, etc.) eu entendo, mas essa ficção de serviço de autenticação, não.

Além do mais, os provedores que fossem realmente bem sucedidos junto aos usuários neste modelo também teriam que escaar sua estrutura de serviços para suportar tráfego multigigabit. E isto é um custo considerável, que teria que ser repassado aos assinantes. Então acaba tendo o risco do serviço ficar mais caro ainda.

No frigir dos ovos, ainda acho que o modelo atual é menos ruim. E não existe direito adquirido dos pequenos negócios serem preservados contra os grandes.
Esse modelo só teria provedores bem fortes e certamente não seria tão pulverizado quanto com os "autenticadores"; por exemplo, em Estocolmo (Suécia) são apenas 5. Mas haveria real competividade entre players com real capacidade de diferenciação... hoje não temos competição real só porque a autenticação pode ser @xxx ou @yyy. E manter ou não os "autenticadores" é para mim absolutamente indiferente, nem a manutenção nem a extinção desse modelo geram mudança no cenário competitivo.
Ainda não sei se entendi sua proposta. No caso sueco (e a Suécia é bem menor que o Brasil) talvez a latência adicional do encaminhamento do tráfego até o provedor contratado pelo assinante não tenha muito impacto. Mas aqui isso poderia significar (exagerando, para fim de exemplo) que o tráfego de um assinante em Fortaleza, tentando acessar o site de um jornal local, tenha que ir até São Paulo e voltar.

Adicionalmente, se você pegar o address space (v4 ou v6) alocado a um provedor e sair quebrando ele entre os vários pontos de prestação do acesso físico à rede você vai acabar esculhambando com a sumarização de rotas de IGP, e possivelmente criar também uma multiplicidade de rotas BGP entre os ASs envolvidos. Será que vale a pena?

[ ]'s

J. R. Smolka

-------------------------------------

Mensagem de Rubens


Não sei se entendi sua proposta. Para atribuir o endereçamento correto a cada usuário a autenticação teria que ser feita pela operadora (o mais simples) ou pelo provedor (mesmo jeito de hoje). O tráfego, em princípio, só seria cursado por dentro da infra do provedor se o serviço acessado fosse local ao provedor, caso contrário o roteamento seria para a nuvem. Não vi mudança nenhuma em relação ao modelo atual, e ainda existe tarifa do provedor? O que mudou?
 
A autenticação seria operadora+provedor como já é feito hoje. Todo o tráfego cursado para a Internet passaria pela infra-estrutura do provedor, apenas o tráfego local ao sistema autônomo da operadora seguiria direto pelo backbone da operadora. 
 
Este é um ponto crítico: por onde passa o tráfego do usuário? Se, como hoje, o tráfego não passa pela infra do provedor, e ele apenas dá o "serviço" de autenticação, e todo o peso de suportar o roteamento do tráfego é da operadora, porque o usuário precisa pagar ao provedor? Se o provedor cobrar por serviços efetivamente prestados (web hosting, etc.) eu entendo, mas essa ficção de serviço de autenticação, não.

 
A maior parte do tráfego passaria pela infra do provedor. Apenas o tráfego que pudesse resolvido pelo IGP da operadora iria diretamente. 
 
Ainda não sei se entendi sua proposta. No caso sueco (e a Suécia é bem menor que o Brasil) talvez a latência adicional do encaminhamento do tráfego até o provedor contratado pelo assinante não tenha muito impacto. Mas aqui isso poderia significar (exagerando, para fim de exemplo) que o tráfego de um assinante em Fortaleza, tentando acessar o site de um jornal local, tenha que ir até São Paulo e voltar.

 
O modelo deles é por cidade, então quer seja tunelamento PPP, L2TP ou atribuição direta de IPs (a alternativa que mencionei), em nenhuma delas haveria aumento significativo de latência. 
Eu pessoalmente acredito que esse modelo com atribuição direta de IPs seria factível por estado. 
 
Adicionalmente, se você pegar o address space (v4 ou v6) alocado a um provedor e sair quebrando ele entre os vários pontos de prestação do acesso físico à rede você vai acabar esculhambando com a sumarização de rotas de IGP, e possivelmente criar também uma multiplicidade de rotas BGP entre os ASs envolvidos. Será que vale a pena?

 
As rotas BGP entre AS seria apenas agregadas. Onde de fato haveria um aumento de rotas é no IGP na operadora. Mais precisamente no IBGP+LDP/RSVP da operadora, além das FIBs, pois não seria necessário carregar esses prefixos no OSPF ou IS-IS  que é função apenas da topologia, e a quantidade de elementos não mudaria. Como porém não seria uma infinidade de provedores, esse aumento seria provavelmente bem palatável. Provavelmente veríamos uma meia-dúzia a cada estado de um total de uma dúzia em todo o país, mas já seria suficiente para uma saudável competição. 
 
Rubens

-------------------------------------------------

Mensagem de José Smolka

Vamos devagar...

1. Você quer que o tráfego de acesso seja roteado para cada provedor após o processo de autenticação, que continuaria sendo feito como hoje.

2. Como eu disse antes, a forma mais elegante de conseguir isso é fazer o BRAS da operadora prolongar o túnel que encapsula os pacotes PPP do assinante até o roteador de entrada do provedor. Normalmente a operadora deverá ter, no mínimo, um BRAS por cidade. Provavelmente mais de um em cidades grandes. SE ( e é um grande SE) cada provedor associado com a operadora colocar um roteador de acesso por cidade, ainda resta a questão de como ele vai querer rotear adiante o tráfego, a depender dos acordos de peering e trânsito que ele tenha. Isso ainda pode levar o tráfego do usuário a dar grandes voltas.

3. Se vc fizer o endereçamento do usuário com um subset do address space alocado para o provedor dá na mesma. Aliás, isto vai ter que ser feito de qualquer jeito. Para encaminhar os pacotes de forma limpa para o provedor vc vai precisar da extensão do túnel de encapsulamento PPP até um roteador do provedor, porque senão como vc vai garantir que estes pacotes vão para o provedor? Source-based routing? Nhécati!! (interjeição de nojo que meu filho mais velho usava quando tinha uns 4 anos de idade).

4. Assumindo que o provedor é um AS, de fato o roteamento do tráfego para outros AS dependerá do IBGP configurado pelo provedor. Daí o que disse no item 1: o tráfego do usuário ainda pode ter que dar grandes voltas.

5. Quanto ao LDP ou RSVP-TE da rede MPLS da operadora, não fede nem cheira. Pelo menos se eu tivesse planejado a rede, a Internet seria tratada no nivel MPLS como mais uma VRF, e eu usaria os LSPs para montar uma topologia virtual totalmente ligada entre todos os roteadores de borda do meu AS (onde roda o EBGP).

[ ]'s

J. R. Smolka

----------------------------------------

Mensagem de Rubens A.

E até agora ninguem respondeu: criar artificialmente essa complicacao toda (no melhor estilo da burrocracia do Estado) A TROCO DE QUE? Para ganhar O QUE com isso?
Qual a vantagem palpavel para o usuario depois de toda essa desnecessaria engenharia Kafikaniana?
[ ] Rubens

----------------------------------

Mensagem de José Smolka

Rubens A. e Rubens (para ser unívoco nas referências :-) ),

Primeiro o Rubens A. Você tem razão em dizer que isto está virando uma discussão arcana de engenharia de redes, sem que a gente tenha explicado o que o usuário ganha com isso. Meu resumo da situação é:

a) Se assumirmos que a posse física das redes de acesso é determinante para o negócio, então liberar o assinante de ter que se autenticar com um provedor tira este custo extra desnecessário das costas dele.

b) Se procuramos um modelo de compartilhamento lógico da rede física de acesso na linha Open Reach, como o RubensK propõe, espera-se que a livre concorrência entre provedores (incluindo aí a própria operadora?) force os preços para baixo e a qualidade do serviço para cima.

O resto da discussão arcana é simplesmente porque eu não entendi bem a proposição de engenharia que o RubensK fez para realizar a hipótese (b).

E agora nós, Rubens.

Creio até que entendi o que você propõe, mas ainda acho que tem uns furinhos conceituais lá no meio. A esta altura das coisas eu só entendo direito fazendo diagramas, o que não é prático aqui nos grupos. Então tenho uma proposição para você: Mande um diagrama da sua proposta para mim em pvt. A gente discute em pvt até entender tudo, e depois nós publicamos a discussão (com os diagramas) e as conclusões no site wirelessbr.org. Que tal?

[ ]'s

J. R. Smolka


ComUnidade WirelessBrasil                     BLOCO