Pregunta ¿Cómo evitar exponer mi dirección MAC cuando uso IPv6?


En mi Mac, cada dirección IPv6 incluye la dirección MAC de una computadora específica (no de mi enrutador). Sitios como ipv6-test.com no solo mostrarlo, sino incluso decirme que pertenece a una computadora Apple.

Esto se siente como una super cookie, y podría aplicarse a otros sistemas operativos también. ¿Cómo puedo evitar que se expongan mis direcciones MAC?

Antecedentes: la dirección MAC es no a la vista. Como por 2001:0db8:1:2:60:8ff:fe52:f9d8:

  • Tome los últimos 64 bits (el identificador del host) y agregue ceros a la izquierda: 0060:08ff:fe52:f9d8.
  • Tira el ff:fe parte desde el medio. Si estos bytes no están allí, entonces no hay una dirección MAC
  • Para el primer byte: complementa el segundo bit de orden inferior (el bit universal / local; si el bit es un 1, hazlo 0, y si es un 0, hazlo 1). Asi que: 0x00 (00000000) se convierte 0x02 (00000010).
  • Presto: 60:8ff:fe52:f9d8 traduce de nuevo a la dirección MAC 02:60:08:52:f9:d8.

Nota: desde macOS 10.12 Sierra, según Ars Technica Apple ha adoptado una nueva forma de generar direcciones estables que no se basan en una dirección MAC, que Windows aparentemente ya había estado haciendo durante años.


Esta pregunta fue una Pregunta del Superusuario de la semana.
  Leer el Entrada de blog para más detalles o contribuir al blog tú mismo


131


origen


Wow, no sabía eso de IPV6, buen descubrimiento. - Not Kyle stop stalking me
Bueno, por supuesto, muestra una computadora Apple. Es una dirección MAC, después de todo. - Graeme Perrow
@Kronos, una imagen ha desaparecido en la entrada del blog; blog.superuser.com/2011/02/11/... Agregar ".stack" a la URL ayuda: i.stack.imgur.com/RNXoA.png - Arjan
... pero, @KronoS, agregar ".stack" en realidad hace que desaparezca otra imagen de la misma publicación del blog, como i.imgur.com/vjK73.png (bien) vs i.stack.imgur.com/vjK73.png (no esta bien). En otras palabras: tal vez todas imágenes en el blog que no se usan actualmente .stack debería ser re-cargado ...? - Arjan
@Arjan no estoy seguro. Voy a tener que verificar esto. Me gustaría una característica que todas las imágenes cargadas en el blog se carguen automáticamente en la cuenta imgur de la pila. Similar a lo que los sitios regulares hacen actualmente - KronoS


Respuestas:


Esto es lo que IPv6 Direccionamiento de privacidad es para. Cuando está habilitado, el sistema generará una dirección temporal con un sufijo aleatorio además de la dirección basada en EUI-64.

  • Windows (comenzando con XP SP2) - habilitado por defecto en XP, Vista, 7:

    netsh interface ipv6 set privacy state=enabled
    

    Tenga en cuenta que Windows ya no usa la dirección MAC para IPv6 de todos modos: ha comenzado a usar un esquema similar al RFC 7217, con direcciones únicas por red.

  • Linux con NetworkManager:

    Las versiones recientes de NetworkManager manejan RA por su cuenta, aunque los dos valores siguientes tienen significados idénticos para sysctl (2 = prefieren la dirección de privacidad, 1 = prefieren la dirección principal):

    nmcli con modify <name> ipv6.ip6-privacy 2
    

    Además, a partir de 1.2.0, se puso a disposición un mejor modo, que cambia la principal la dirección ya no se basa en MAC sino que es única para cada red (RFC 7217):

    nmcli con modify <name> ipv6.addr-gen-mode stable-privacy
    

    (Tenga en cuenta que el direccionamiento de privacidad es ortogonal a addr-gen-mode; es posible usar ambos).

    Nota al margen: A partir de 1.4.0, NM también permite aleatorizar la dirección MAC. Conjunto wifi.cloned-mac-address a stable tener un MAC diferente para cada red (recomendado), o random para aleatorizarlo para cada conexión (puede causar problemas).

    En todos los casos, <name> debe ser el nombre de la conexión, p. WiFi SSID o "Wired Connection 1". Utilizar nmcli con para enumerar todo.

    Para hacer esto el valor predeterminado para nuevo conexiones, a partir de 1.2.0 puede cambiar /etc/NetworkManager/NetworkManager.conf:

    [connection]
    ipv6.addr-gen-mode=stable-privacy
    wifi.cloned-mac-address=stable
    
  • Linux con kernel RA:

    Para habilitar direcciones temporales y hacer que sean preferidas para las conexiones salientes:

    sysctl net.ipv6.conf.all.use_tempaddr=2
    sysctl net.ipv6.conf.default.use_tempaddr=2
    

    Para habilitar la generación temporal de direcciones, pero mantenga la dirección anterior (Autoconf) como preferida:

    sysctl net.ipv6.conf.all.use_tempaddr=1
    sysctl net.ipv6.conf.default.use_tempaddr=1
    

    los all o default la parte se puede reemplazar con un nombre de interfaz específico; p.ej. net.ipv6.conf.eth0.use_tempaddr.

    (Solía ip link set eth0 down && ip link set eth0 up forzar una asignación de dirección, pero también puedes ejecutar rdisc6 eth0 o solo espere unos minutos para el próximo anuncio de enrutador periódico).

  • Mac OS X - habilitado por defecto desde OS X 10.7 Lion:

    sysctl -w net.inet6.ip6.use_tempaddr=1
    

    Las direcciones temporales, si están habilitadas, serán preferidas.

  • FreeBSD:

    sysctl net.inet6.ip6.use_tempaddr=1
    
    sysctl net.inet6.ip6.prefer_tempaddr=1
    
  • NetBSD:

    sysctl -w net.inet6.ip6.use_tempaddr=1
    

    ¿Preferencia de direcciones temporales? No tengo idea. La dirección de autoconf parece ser la preferida. ifconfig no parece enumerar ninguna propiedad de dirección.

  • OpenBSD - Soporte agregado en 5.2; habilitado y preferido por defecto en 5.3.

    ifconfig em0 autoconfprivacy
    

    ifconfig muestra "autoconfprivacy" junto a direcciones temporales.

Notas sobre la configuración:

  • En Linux, OS X y todos los BSD, edite /etc/sysctl.conf para hacer el ajuste permanente.

  • En Windows, los cambios persistirán automáticamente.

    (Adjuntar store=active al netsh comando si desea que dure solo hasta que se reinicie).


Parcialmente basado en Sistemas operativos IPv6 en IPv6INT.net. Ver también Notas generales de IPv6


Si la dirección de hardware se utiliza en la dirección IPv6, generalmente significa que su red utiliza la configuración automática de IPv6 sin estado. En tal caso, simplemente puede elegir su propio sufijo de dirección y configurar IPv6 manualmente.

Sin embargo, a pesar de que la dirección agregada manualmente no tendrá su información de hardware, seguirá siendo estática (a diferencia de la Dirección de privacidad, que cambia las direcciones de vez en cuando). Además, las direcciones estáticas pueden ser un problema en una red de más de 2-3 dispositivos.


125



Buen efecto secundario en mi Mac y un enrutador FRITZ! Box 7340: obtengo dos direcciones en ifconfig. Las conexiones salientes usan el azar autoconf temporarydirección, que cambia de vez en cuando. ¡Bueno! Pero para las conexiones entrantes (cuando se abre en mi enrutador), todavía puedo usar el autoconf dirección. No me importa exponer eso en los registros DNS (aunque tal vez incluso podría elegir otra dirección para eso). - Arjan
Ahh, después whois-spamming ahora recibimos spam de IPv6: dig -t AAAA www.v6.facebook.com ;-) - Arjan
@Arjan: direcciones IPv6 a lo largo de las líneas de de4d:b33f no son tan malos para memorizar; también, son puestos en su lugar por su propietario, mientras que whois el spam es a) molesto yb) causado por personas externas que no tienen control de su dominio. - grawity
Como comentario: parece (algo de) lo anterior podría decirle al sistema operativo que preferir la dirección temporal, pero las aplicaciones aún pueden anular esta preferencia. - Arjan
AFAICS utilizando direcciones temporales (privacidad de IPv6) es efectivamente inutilizable con algunos ISP debido a la publicidad de los enrutadores con una absurda vida útil máxima de 40, que anula la configuración del kernel. Linux ver ip a para preferred_lft. Asi que ssh las conexiones se romperán cada 40 segundos si habilita esta función. Ni siquiera es utilizable para navegadores web normales, ya que cada descarga debe finalizar dentro de los 40 segundos también. - Tino


Para su información, esto solo se aplica a ciertos esquemas de direccionamiento IP. Lo más probable es que usted (o su ISP) esté utilizando la configuración automática de IPv6, que requiere un bloque bastante grande de direcciones IP para llevar a cabo en primer lugar. La solución podría ser desactivar esta característica. Su ISP también puede usar DHCP para asignar direcciones, lo que aún es posible con IPv6.


1



En cuanto a los bloques grandes: según a Wikipedia en "Asignación general": Los RIR asignan bloques más pequeños a los ISP, que luego distribuyen en partes de tamaño 48 a sus clientes. De hecho, mi ISP también asigna / 48 prefijos a los suscriptores de grado consumidor. No es tan extraño entonces? - Arjan
Luego culpa a Wikipedia y al reclutamiento de Arin Planes de direccionamiento IPv6: Todos los clientes obtienen uno / 48 a menos que puedan demostrar que necesitan más de 65k subredes. Pero también: Si tiene muchos clientes de consumo, es posible que desee asignar / 56s a sitios de residencia privada - que todavía es más que yo nunca necesitar. ;-) Pero, las cosas podrían cambiar: mi ISP nunca prometido esto, aunque obviamente sus clientes han configurado módem / enrutadores basados ​​en esto. - Arjan
Creo que cuando Arin dice "cliente" quieren decir "ISP". Cualquier ISP (incluidos los muy, muy grandes) puede asignar un único / 64 para toda su red y terminarlo. No se requiere enrutamiento adicional. Pero asignar bloques de numeración de direcciones IP en trillones a clientes residenciales promedio es francamente temerario. - Ernie Dunbar
Aparentemente, una razón para asignar al menos un /56: "ISP que solo reparten un solo /64 evitar que participes en subredes. Si eso /64 está en la interfaz WAN, entonces nunca obtendrás un IPv6 decente en tu LAN (s). Esta es la falla de los ISP y deberían arreglar esto entregando una cantidad decente (/48 o /56) de direcciones ". - Arjan
A / 64 no es "un bloque bastante grande"; es el pequeñísimo bloque de asignación razonable para una subred. Varias características de IPv6 requieren que una subred sea / 64, y usted ha olvidado (o no se dio cuenta) que IPv6 fue diseñado en gran parte para evitar que alguien nuncaquedarse sin direcciones nunca más. Debe liberar su mente del viejo pensamiento de necesitar conservar direcciones preciosas; no tiene cabida en IPv6. - Michael Hampton