Endereços IP privados e NAT
O que são IP privado e NAT
Ao olhar as configurações de rede em um smartphone ou PC, pode aparecer um endereço IP.
Mas esse endereço IP não é necessariamente o mesmo que fica visível para um site.
Em redes domésticas e de trabalho, na maioria dos casos, o dispositivo recebe um endereço IP para a rede interna. E, ao se comunicar com a Internet, o roteador usa um mecanismo chamado NAT para associar a comunicação interna à comunicação externa.
Este artigo organiza a ideia de que "o endereço IP exibido no dispositivo" e "o endereço IP visível para um site" podem ser diferentes.
Endereços IP têm um alcance de visibilidade
Endereços IP não aparecem necessariamente da mesma forma de todos os lugares.
O endereço IP exibido em um smartphone ou PC dentro de casa é usado na rede doméstica. Já o endereço IP visível para um site é o endereço IP de origem visto pelo lado da Internet.
Esses dois endereços podem coincidir, mas em Wi-Fi doméstico e redes de trabalho muitas vezes não coincidem.
Por exemplo, mesmo que um PC em casa mostre 192.168.1.10, isso não significa que o site veja 192.168.1.10. Normalmente, o que um site externo vê é o endereço IP externo usado pelo roteador ou pela linha.
O que é IP privado
IP privado é um endereço IP reservado para uso em redes internas, como redes domésticas, de trabalho e de organizações.
As faixas representativas de endereços IPv4 privados são as seguintes.
| Faixa | Notação | Exemplo comum |
|---|---|---|
| 10.0.0.0 a 10.255.255.255 | 10.0.0.0/8 | 10.0.0.5 |
| 172.16.0.0 a 172.31.255.255 | 172.16.0.0/12 | 172.16.1.20 |
| 192.168.0.0 a 192.168.255.255 | 192.168.0.0/16 | 192.168.1.10 |
Em roteadores domésticos, endereços IP como 192.168.0.x e 192.168.1.x são usados com frequência.
Esse tipo de IP privado é usado para identificar dispositivos dentro de casa ou do local de trabalho. No entanto, normalmente ele não é usado diretamente como destino na Internet.
Ou seja, mesmo que haja em sua casa um dispositivo com o endereço IP 192.168.1.10, isso não significa que alguém em outro lugar da Internet possa especificar 192.168.1.10 e acessar diretamente esse dispositivo. Endereços IP privados semelhantes são reutilizados em casas e locais de trabalho no mundo todo.
O que é IP global
IP global é um endereço IP usado na Internet.
Sites, servidores de email, servidores DNS e outros equipamentos ou linhas que se comunicam na Internet usam endereços IP que podem ser identificados externamente.
Em uma rede doméstica, mesmo que smartphone, PC, tablet, console de jogo e outros dispositivos tenham seus próprios IPs privados, para um site externo eles podem parecer estar acessando a partir do mesmo IP global.
Isso acontece porque o dispositivo não sai diretamente para a Internet, mas se comunica por meio do roteador.
Diferença entre o IP exibido no dispositivo e o IP visto pelo site
Suponha que o seguinte endereço IP esteja atribuído a um PC dentro de casa.
192.168.1.10
Esse é o endereço IP do PC na rede doméstica.
Quando esse PC acessa um site, o que normalmente fica visível para o site não é 192.168.1.10. Na maioria dos casos, o que fica visível para o site é o endereço IP externo do roteador ou da linha.
| Lugar de observação | Endereço IP visível | Significado |
|---|---|---|
| Configurações de rede do PC ou smartphone | 192.168.1.10 etc. | IP do dispositivo na rede doméstica |
| Lado interno do roteador | 192.168.1.x etc. | IP para administrar os dispositivos da casa |
| Lado externo do roteador ou da linha | IP global etc. | IP usado para comunicação com o lado da Internet |
| Lado do site | IP externo | IP que tende a ser registrado como origem do acesso |
O ponto importante aqui é que endereços IP têm um "IP visto por dentro" e um "IP visto por fora".
Olhar apenas o endereço IP exibido no dispositivo não permite julgar como você aparece para o site.
O que é NAT
NAT é a sigla de Network Address Translation, chamada de tradução de endereços de rede.
Em redes domésticas, os dispositivos internos recebem IPs privados. Mas, ao sair para a Internet, o roteador se comunica usando o endereço IP externo.
Nesse momento, o roteador converte a comunicação que saiu do dispositivo interno em comunicação externa e devolve a resposta recebida ao dispositivo correto.
Por exemplo, suponha que existam os seguintes dispositivos dentro de casa.
| Dispositivo | IP privado dentro de casa | IP que tende a aparecer para o site |
|---|---|---|
| PC | 192.168.1.10 | IP externo |
| Smartphone | 192.168.1.11 | IP externo |
| Tablet | 192.168.1.12 | IP externo |
Dentro de casa, PC, smartphone e tablet têm IPs privados diferentes.
Mas, do ponto de vista de um site externo, esses dispositivos podem parecer acessar a partir do mesmo IP externo.
NAT administra uma tabela de correspondência de comunicações
No NAT, o roteador associa os dispositivos internos às comunicações externas.
Por exemplo, quando um PC acessa um site, o roteador administra que "esta comunicação começou no PC 192.168.1.10". Então ele devolve ao PC correto a resposta que veio do site.
Quando um smartphone acessa outro site, o roteador também administra isso como uma comunicação diferente.
No NAT comumente usado em roteadores domésticos, a associação frequentemente inclui não só o endereço IP, mas também números de porta TCP ou UDP.
Com isso, mesmo que vários dispositivos usem o mesmo IP externo, o roteador consegue distinguir "qual resposta deve voltar para qual dispositivo".
Tecnicamente, o mecanismo que associa vários endereços IP internos a um único endereço IP externo e a vários números de porta pode ser chamado de NAPT ou PAT. Porém, em explicações cotidianas, isso também costuma ser agrupado como NAT.
Vários dispositivos podem compartilhar um único IP externo
Com NAT, vários dispositivos dentro de casa podem compartilhar um único IP externo para acessar a Internet.
Por exemplo, mesmo que um PC e um smartphone conectados ao mesmo Wi-Fi acessem sites diferentes, do ponto de vista do site eles podem parecer se comunicar a partir do mesmo IP externo.
Graças a esse mecanismo, todos os dispositivos da casa podem usar a Internet sem que cada um tenha seu próprio IP global.
Como o número de endereços disponíveis em IPv4 é limitado, IP privado e NAT são amplamente usados em redes domésticas e redes internas de organizações.
Nem sempre é possível entrar diretamente de fora em dispositivos domésticos
Em um ambiente que usa NAT, dispositivos dentro de casa podem iniciar comunicação para fora.
Por outro lado, normalmente não é possível iniciar diretamente, sem configuração adicional, uma comunicação de fora para um dispositivo dentro de casa.
O motivo é que o roteador não tem uma correspondência dizendo "a qual dispositivo interno entregar essa comunicação que veio de fora".
No entanto, isso não significa "segurança completa". O risco muda conforme as configurações do roteador, as configurações do dispositivo, a aplicação usada, vulnerabilidades, estado de login e outros fatores.
NAT pode acabar dificultando a passagem de comunicação iniciada de fora, mas seu objetivo original não é anonimização nem defesa em si; é associar comunicações de dentro e de fora.
NAT não é tecnologia de anonimização
Com NAT, o IP privado de um dispositivo doméstico pode não ficar diretamente visível para sites externos.
Mas NAT não é tecnologia de anonimização.
O papel principal do NAT é associar o IP privado interno à comunicação externa. Não é um mecanismo para esconder a identidade.
No lado de sites e serviços, podem permanecer endereço IP externo, horário de acesso, informações do navegador, informações do OS, , informações de login, informações de conta e outros dados.
Além disso, mesmo quando o mesmo IP externo é compartilhado, o lado do serviço pode conseguir distinguir dispositivos ou usuários por Cookie, estado de login e outros elementos.
Por isso, "o IP privado não aparece diretamente para o site" e "é possível se comunicar anonimamente" são assuntos diferentes.
A conversão também pode ocorrer no lado da linha
Nem sempre um IP global dedicado ao usuário é atribuído ao lado externo do roteador doméstico.
Também pode haver NAT adicional no lado da operadora de linha. Nesse caso, o IP externo exibido na tela de administração do roteador doméstico pode não coincidir com o IP visto pelo site.
Esse tipo de mecanismo é chamado de CGNAT.
O ponto importante a guardar aqui é simples.
O IP exibido no dispositivo, o IP externo do roteador e o IP visto pelo site nem sempre são iguais.
Resumo
Dispositivos em casa ou no local de trabalho podem receber IPs privados.
IPs privados são usados para identificar dispositivos dentro da rede doméstica ou de trabalho. Faixas representativas incluem 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16.
Por outro lado, o que serviços externos como sites veem muitas vezes não é o IP privado do dispositivo, mas o IP externo do roteador ou da linha.
NAT é um mecanismo que associa dispositivos internos à comunicação externa. Em roteadores domésticos, ele frequentemente associa não só endereços IP, mas também números de porta, permitindo que vários dispositivos compartilhem um único IP externo.
No entanto, NAT não é tecnologia de anonimização.
O ponto importante é a seguinte distinção.
| Item | Significado | Ponto de atenção |
|---|---|---|
| IP privado | IP usado dentro de casa ou do local de trabalho | Normalmente não fica diretamente visível para o lado do site |
| IP global | IP usado na Internet | Muitas vezes aparece para o site como origem do acesso |
| NAT | Mecanismo que associa comunicações de dentro e de fora | Não é um mecanismo para anonimização |
| NAPT/PAT | Mecanismo que usa endereço IP e número de porta para distinguir comunicações de vários dispositivos | Comumente usado em roteadores domésticos |
O endereço IP exibido no dispositivo e o endereço IP visto pelo site podem ser diferentes.
Entender essa diferença facilita organizar com precisão a rede doméstica e a forma como ela aparece do lado da Internet.
Especificações de referência
RFC 1918 - Address Allocation for Private Internets URL : https://datatracker.ietf.org/doc/html/rfc1918
RFC 3022 - Traditional IP Network Address Translator URL : https://www.rfc-editor.org/info/rfc3022/
Ferramentas relacionadas
WhatIsMyIP
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.