Frage zu IPv6 automatische Adressvergabe

[Squall]

Hallo ITler,

ich habe eine Frage bezüglich der automatischen Adressvergabe von IPv6 Adressen.

Ich habe hier gelesen: mirrors.bieringer.de/Linux+IPv6 das die letzten 64 Bit einer IPv6 Adresse (Hostanteil) automatisch von der MAC-Adresse des Clients (48 Bit) konfiguriert/genereirt wird und gemäß dem Design für EUI-48 IDs zum 64 Bit Interface ID erweitert.

Ok das habe ich verstanden.. nun habe ich aber gelesen das der automatisch generierte Hostteil Weltweit einmalig ist und dadurch die CLient-Verfolgung zum Host möglich sei (Es sei den, es steht ein Proxy davor)

Die Entwickler des IPv6 haben jedoch ein Schutzmechanismus eingebaut das sich "Privacy Extension" nennt und die letzten acht Stellen der IPv6-Adressen regelmäßig ändert.

FRAGE ist nun.. was bringt es denn.. die MAC-Adresse überhaupt in den Hostanteil zu integrieren bzw. macht das diesen einen Schritt total sinnlos oder habe ich da jetzt irgendwie was falsch verstanden???

Gruß,

Saya

[afo]

Lies mal RFC 4941. Wenn man PEX nutzt wird der Hostteil jeweils mit einem (Einweg-)Algorithmus aus dem Interface-Identifier abgeleitet. Wie dieser aufgebaut ist, ist in RFC 4291 beschrieben. Hierbei wird (wenn vorhanden) die MAC herangezogen. Damit hat man einen einmaligen Ausgangswert (jedenfalls theoretisch...).

Davon abgesehen muss man hier sehen, dass die PEX erst später dazukamen und auch nicht genutzt werden müssen.

[Squall]

Hallo afo,

also wenn ich das richtig verstanden habe: Ja, man hat einen einmaligen Ausgangswert, der aber durch das PEX sowieso wieder geändert wird. Also versteh ich da nicht wirklich den sinn.. Warum lässt man das mit der MAC-Adresse nicht einfach weg und geht direkt auf PEX ?? oder ist das mit der MAC-Adresse nur sinnvoll, wenn man PEX überhaupt nicht aktiviert? (hab gelesen, dass PEX noch nicht so toll sein soll)

[GoaSkin]

Das wird öfters unschön erklärt.

Zunächst ist jede IP-Adresse verfolgbar bis hin zum Provider, der sie dir zuweist. Mittels einer WHOIS-Abfrage auf die Absender-IP erfährt der abfragende den ISP, dem sie gehört. Das ist bei IPv4 genauso wie bei IPv6.

Ein ISP hat in der Regel je nach Größe einen /32 oder /48-Präfix, von dem er einen kleineren Präfix (i.d.R. /57) weiter delegiert. Der Router beim Kunden stellt seinen Subnetzen wiederum i.d.R. einen /64-Präfix daraus zur Verfügung. Eine WHOIS-Abfrage zu Allem, was dem ISP gehört, ergibt aber dasselbe. Von daher: Kein Hinweis auf den Endkunden anhand der IP-Adresse, es sei denn, es handelt sich um einen Großkonzern, der seine eigenen IP-Adressen direkt bei der RIPE beantragt.

Nun gut. In der IP-Adresse, die letztendlich dem Endgerät zugewiesen wird, verbirgt sich der vom Provider und dem Router zugewiesene Präfix und die MAC-Adresse der Netzwerkkarte. Aber für jemandem aus dem Internet sind diese Informationen völlig nutzlos. Davon kann er sich überhaupt nichts kaufen, deine MAC-Adresse zu kennen.

Die erwähnten Privacy-Extensions haben einen anderen Sinn: Die Computer haben neben ihrer "normalen" IPv6-Adresse noch weitere Adressen, die nur für begrenzte Zeit gültig sind und für Client-Verbindungen als Absender genutzt werden. Der Sinn dahinter ist, dass der Betreiber eines Servers, der durch einen Zugriff deine IP-Adresse kennt, keinen Erfolg dabei hat, wenn er ausprobiert, welche Ports bei dir so offen sind. Serverdienste auf deinem Rechner sollten auf diesen temporären Adressen normalerweise garnicht lauschen und selbst wenn (z.B. weil schlecht programmiert), dann hat dein Rechner die IP-Adresse, die das andere Ende kennt, eh schon bald wieder verworfen.

Im großen und Ganzen ist es großer Quark, wenn die Leute herum fluchen, dass der Internet-Nutzer durch IPv6 gläserner geworden ist. Faktisch hat man sehr viele IP-Adressen statt nur Einer, aber genau wie bei IPv4 auch verwendet man immer Absender-IPs, bei denen eine WHOIS-Abfrage nur auf den Provider hinweist, dieser im Falle von illegalen Sachen aber der Polizei und Staatsanwälten deine Identität preisgeben muss. Die MAC-Adresse als Teil einer IPv6-Adresse ist weder einmalig auf der Welt, noch existieren Verzeichnisse dazu, welche Person eine Netzwerkkarte mit gegebener MAC-Adresse besitzt.

[afo]

Gegenfrage: Warum nicht?

PEX setzt ja nur auf dem vorhanden Standard auf. Also kann man auch das nehmen was man schon vorfindet.

Was wäre denn die Alternative? Komplett auf einen zufällig generierten Wert zu setzen? Je nach Plattform ist es garnicht so einfach "richtige" Zufallszahlen zu bekommen.