Question Comment éviter d'exposer mon adresse MAC lors de l'utilisation d'IPv6?


Sur mes Mac, chaque adresse IPv6 comprend l'adresse MAC d'un ordinateur spécifique (ne pas de mon routeur). Sites tels que ipv6-test.com non seulement le montrer, mais même me dire qu'il appartient à un ordinateur Apple.

Cela ressemble à un super cookie et peut également s'appliquer à d'autres systèmes d'exploitation. Comment puis-je éviter que mes adresses MAC soient exposées?

Contexte: l'adresse MAC est pas à la vue. Comme pour 2001:0db8:1:2:60:8ff:fe52:f9d8:

  • Prenez les derniers 64 bits (l'identifiant de l'hôte) et ajoutez les zéros en tête: 0060:08ff:fe52:f9d8.
  • Dénuder le ff:fe partie du milieu. Si ces octets ne sont pas là, puis il n'y a pas d'adresse MAC.
  • Pour le premier octet: compléter le deuxième bit de poids faible (le bit universel / local; si le bit est un 1, le rendre 0, et si c'est un 0, le rendre 1). Alors: 0x00 (00000000) devient 0x02 (00000010).
  • Presto: 60:8ff:fe52:f9d8 renvoie à l'adresse MAC 02:60:08:52:f9:d8.

Remarque: depuis MacOS 10.12 Sierra, selon Ars Technica Apple a adopté une nouvelle façon de générer des adresses stables qui ne sont pas basées sur une adresse MAC, que Windows faisait apparemment déjà depuis des années.


Cette question était un Super User Question de la semaine.
  Lis le entrée de blog pour plus de détails ou contribuer au blog toi même


131
2018-02-09 17:26


origine


Wow, je ne savais pas que sur IPV6, belle trouvaille. - Not Kyle stop stalking me
Eh bien, bien sûr, il montre un ordinateur Apple. C'est une adresse MAC, après tout. - Graeme Perrow
@Kronos, une image a disparu sur l'entrée du blog; blog.superuser.com/2011/02/11/... L'ajout de ".stack" à l'URL permet: i.stack.imgur.com/RNXoA.png - Arjan
... mais, @KronoS, l'ajout de ".stack" fait en réalité disparaître une autre image de ce même blog, comme i.imgur.com/vjK73.png (ok) vs i.stack.imgur.com/vjK73.png (pas bien). En d'autres termes: peut-être tout images sur le blog qui n'utilisent pas actuellement .stack devrait être re-téléchargé ...? - Arjan
@Arjan je ne suis pas sûr Je vais devoir vérifier cela. Je voudrais pour une fonctionnalité que toutes les images téléchargées sur le blog soient automatiquement téléchargées sur le compte imgur de la pile. Similaire à ce que font les sites habituels actuellement - KronoS


Réponses:


C'est ce que IPv6 Adressage de la confidentialité est pour. Lorsque cette option est activée, le système génère une adresse temporaire avec un suffixe aléatoire en plus de l'adresse basée sur EUI-64.

  • les fenêtres (à partir de XP SP2) - activé par défaut sous XP, Vista, 7:

    netsh interface ipv6 set privacy state=enabled
    

    Notez que Windows n'utilise plus l'adresse MAC pour IPv6 de toute façon - il a commencé à utiliser un schéma similaire à celui de la RFC 7217, avec des adresses uniques par réseau.

  • Linux avec NetworkManager:

    Les versions récentes de NetworkManager gèrent elles-mêmes RA, bien que les deux valeurs ci-dessous aient des significations identiques à sysctl (2 = préférez l'adresse de confidentialité, 1 = préférez l'adresse principale):

    nmcli con modify <name> ipv6.ip6-privacy 2
    

    En outre, à partir de 1.2.0, un meilleur mode est devenu disponible, ce qui modifie le principale adresse à ne plus être basée sur MAC, mais plutôt unique pour chaque réseau (RFC 7217):

    nmcli con modify <name> ipv6.addr-gen-mode stable-privacy
    

    (Notez que l'adressage de confidentialité est orthogonal au mode addr-gen; il est possible d'utiliser les deux.)

    Note: à partir de la version 1.4.0, NM permet également de randomiser l’adresse MAC elle-même. Ensemble wifi.cloned-mac-address à stable avoir un MAC différent pour chaque réseau (recommandé), ou random pour le randomiser pour chaque connexion (peut causer des problèmes).

    Dans tous les cas, <name> doit être le nom de la connexion, par ex. WiFi SSID ou "Wired Connection 1". Utilisation nmcli con pour tout lister

    Pour en faire la valeur par défaut pour Nouveau les connexions, à partir de 1.2.0, vous pouvez changer /etc/NetworkManager/NetworkManager.conf:

    [connection]
    ipv6.addr-gen-mode=stable-privacy
    wifi.cloned-mac-address=stable
    
  • Linux avec le noyau RA:

    Pour activer les adresses temporaires et les rendre préférées pour les connexions sortantes:

    sysctl net.ipv6.conf.all.use_tempaddr=2
    sysctl net.ipv6.conf.default.use_tempaddr=2
    

    Pour activer la génération d'adresses temporaires, conservez l'ancienne adresse (Autoconf) comme préféré:

    sysctl net.ipv6.conf.all.use_tempaddr=1
    sysctl net.ipv6.conf.default.use_tempaddr=1
    

    le all ou default la partie peut être remplacée par un nom d'interface spécifique; par exemple. net.ipv6.conf.eth0.use_tempaddr.

    (J'ai utilisé ip link set eth0 down && ip link set eth0 up pour forcer une attribution d'adresse, mais vous pouvez également exécuter rdisc6 eth0 ou attendez quelques minutes pour la prochaine annonce périodique du routeur.)

  • Mac OS X - activé par défaut depuis OS X 10.7 Lion:

    sysctl -w net.inet6.ip6.use_tempaddr=1
    

    Les adresses temporaires, si elles sont activées, seront préférées.

  • FreeBSD:

    sysctl net.inet6.ip6.use_tempaddr=1
    
    sysctl net.inet6.ip6.prefer_tempaddr=1
    
  • NetBSD:

    sysctl -w net.inet6.ip6.use_tempaddr=1
    

    Préférences d'adresses temporaires Je n'ai aucune idée. L'adresse autoconf semble être préférée. ifconfig ne semble pas répertorier de propriétés d'adresse.

  • OpenBSD - support ajouté dans 5.2; activé et préféré par défaut dans 5.3.

    ifconfig em0 autoconfprivacy
    

    ifconfig affiche "autoconfprivacy" à côté des adresses temporaires.

Notes sur la configuration:

  • Sous Linux, OS X et tous les BSD, éditez /etc/sysctl.conf pour rendre le réglage permanent.

  • Sous Windows, les modifications persisteront automatiquement.

    (Ajouter store=active au netsh commande si vous voulez qu'elle dure seulement jusqu'au redémarrage.)


Partiellement basé sur Systèmes d'exploitation IPv6 sur IPv6INT.net. Voir également Notes IPv6 générales


Si l'adresse matérielle est utilisée dans l'adresse IPv6, cela signifie généralement que votre réseau utilise la configuration automatique sans état IPv6. Dans ce cas, vous pouvez simplement choisir votre propre suffixe d'adresse et configurer IPv6 manuellement.

Cependant, même si l'adresse ajoutée manuellement ne contiendra pas vos informations matérielles, elle restera statique (contrairement à l'adressage de confidentialité, qui modifie les adresses de temps en temps). De plus, les adresses statiques peuvent être pénibles pour un réseau de plus de 2-3 périphériques.


125
2018-02-09 18:48



Bel effet secondaire sur mon Mac et un routeur FRITZ! Box 7340: deux adresses ifconfig. Les connexions sortantes utilisent le hasard autoconf temporaryadresse, qui change de temps en temps. Bien! Mais pour les connexions entrantes (quand elles sont ouvertes dans mon routeur), je peux toujours utiliser le autoconf adresse. Cela ne me dérange pas d'exposer cela dans les enregistrements DNS (même si je pourrais peut-être même choisir une autre adresse pour cela). - Arjan
Ahh, après Whois-spamming nous obtenons maintenant le spam IPv6: dig -t AAAA www.v6.facebook.com ;-) - Arjan
@Arjan: adresses IPv6 sur le modèle de de4d:b33f ne sont pas si mauvais pour la mémorisation; aussi, ils sont mis en place par leur propriétaire, alors que whois Le spam est a) agaçant et b) causé par des étrangers qui n’ont pas le contrôle de votre domaine. - grawity
En aparté: il semble (certains) que ce qui précède puisse dire à l'OS de préférer l'adresse temporaire, mais les applications peuvent toujours remplacer cette préférence. - Arjan
AFAICS utilisant des adresses temporaires (confidentialité IPv6) est effectivement inutilisable avec certains FAI en raison des publicités de routeur avec une durée de vie maximale absurde de 40 secondes, ce qui remplace les paramètres du noyau. Linux voir ip a pour preferred_lft. Alors ssh les connexions se rompent chaque 40s si vous activez cette fonctionnalité. Il n'est même pas utilisable par les internautes classiques, car chaque téléchargement doit également être terminé dans les 40 secondes. - Tino


FYI, cela ne s'applique qu'à certains schémas d'adressage IP. Il est plus que probable que vous (ou votre fournisseur d'accès Internet) utilisez la configuration automatique IPv6, ce qui nécessite en premier lieu un assez grand nombre d'IP. La solution pourrait être de désactiver cette fonctionnalité. Votre fournisseur de services Internet pourrait utiliser DHCP pour attribuer des adresses, ce qui est toujours possible avec IPv6.


1
2018-02-09 20:49



Comme pour les gros blocs: selon vers Wikipedia dans "Allocation générale": Les RIR attribuent des blocs plus petits aux fournisseurs de services Internet, qui les distribuent ensuite dans 48 pièces de taille à leurs clients. En effet, mon FAI attribue également / 48 préfixes aux abonnés grand public. Pas trop bizarre alors? - Arjan
Puis blâmer Wikipedia et le projet d'Arin Plans d'adressage IPv6: Tous les clients en reçoivent un / 48 sauf s'ils peuvent démontrer qu'ils ont besoin de plus de 65 000 sous-réseaux. Mais aussi: Si vous avez beaucoup de clients consommateurs, vous voudrez peut-être attribuer / 56s aux sites de résidence privée - qui est toujours plus que moi déjà avoir besoin. ;-) Mais les choses peuvent changer: mon fournisseur de services Internet ne promis Ceci, bien que leurs clients aient évidemment configuré un modem / routeur en fonction de cela. - Arjan
Je pense que quand Arin dit "client" ils veulent dire "ISP". Tous les FAI (y compris les très, très grands) peuvent allouer un seul / 64 pour l'ensemble de leur réseau et en finir avec lui. Aucun autre routage requis. Mais l’attribution de blocs d’adresses IP dans les milliers de milliards à des clients résidentiels moyens est carrément imprudente. - Ernie Dunbar
Apparemment, une raison d'attribuer au moins un /56: "Les FAI qui ne distribuent qu'un seul /64 vous empêcher de sous-réseaux du tout. Si ce /64 est sur l'interface WAN, alors vous n'obtiendrez jamais un IPv6 décent sur votre ou vos LAN (s). C'est la faute des fournisseurs de services Internet et ils devraient résoudre ce problème en donnant un montant décent (/48 ou /56) d’adresses. " - Arjan
A / 64 n'est pas un "bloc assez grand"; c'est le le plus petit bloc d'attribution raisonnable pour un sous-réseau. Plusieurs fonctionnalités IPv6 exigent qu'un sous-réseau soit / 64 et que vous ayez oublié (ou que vous ne vous êtes pas rendu compte) que IPv6 a été conçu en grande partie pour empêcher quiconque déjàà court d'adresses à nouveau. Vous devez libérer votre esprit de la vieille pensée de devoir conserver des adresses précieuses; il n'a pas sa place dans IPv6. - Michael Hampton