Hallo, ist es tatsächlich so, dass man als User zurückverfolgt werden kann, wenn dem Gerät eine IPv6-Adresse zugewiesen wird und man ins Internet geht? Das Thema kam bei uns in der Schule auf. Lösung soll angeblich die Privacy Extension sein. Ich kann mir aber nicht vorstellen, dass man mit seiner Host-Adresse ins Netz geht. Die wird doch spätestens am Router ersetzt, oder liege ich da falsch?.
:
Korrekt, ist so. Mit IPv6 entfällt NAT und damit die vermeintliche Übersetzung am Router.
Sind das dann diese lustigen Global-Unicast Adressen? Welche Adressen nimmt man dann eigentlich für's Subnetting im Unternehmen?
Hallo Torben, ja, Du liegst falsch. Bei IPv6 gibt es (noch) so viele Adressen, dass man jedem Endgerät eine eigene Adresse geben kann. Manch einer sagt, man könnte bei IPv6 jedem Sandkorn auf der Erde eine eigene Adresse geben. das lasse ich mal so stehen =;-) Damit entfällt dann natürlich auch das von IPv4 bekannte NAT, was die internen Adressen Deines privaten Netzes auf der einen Adresse Deines Internet-Gateways abbildet. Das NAT hat zwar auch ein paar Vorteile (z.B. dass man nur recht schwer die Struktur Deines internen Netzes von außen sehen kann), macht aber bei vielen bidirektionalen Protokollen (z.B. SIP) mehr Ärger als dass es was nützt. Im Allgemeinen bekommt man von seinem Internetprovideran einem IPv6-fähigen Anschluss ein /64-IPv6-Subnetz. Das sind 2^64 IP-Adressen. Aus diesem Pool nimmt sich jedes Endgerät aus Deinem Subnetz (mindestens) eine freie IPv6-Adresse raus. Diese Adresse ist dann weltweit eindeutig und kann für den Zeitraum ihrer Gültigkeit Deinem Anschluss zugeordnet werden. Exakt (auf den Kundennamen, Adresse etc.) kann das nur Dein Provider. Aber eine Webseite, die Du ansurfst kann schon aus nahe zusammeniegenden Adressen gewisse "Ableitungen" anstellen. Als "Abhilfe" hat man die "pivacy extensions" erfunden. Hier "würfelt" sich ein Gerät eine (mehr oder weniger) zufällige IPv6-Adresse für einen bestimmten Zeitraum (bei MS-Betriebssystemenen m.W. 24h) . Danach wird wird wieder "gewürfelt". Somit kann man zumindest ein bischen Verwirrung stiften ;-) Manche Internetprovider "würfeln" sogar die /64-Subnetze, die sie den Kunden zuteilen.
Torben S. schrieb: > ist es tatsächlich so, dass man als User zurückverfolgt werden kann, > wenn dem Gerät eine IPv6-Adresse zugewiesen wird und man ins Internet > geht? IP-V6 macht es nur einfacher. Das geht genau so mit ip-v4. Deswegen sieht man in TV-Serien das der böse das Signal 3 x um die Welt schickt. In der Hoffnung das ihn die Guten nicht so schnell orten können. MANCHMAL sind auch Krimiserien lernreich. ;) Fakt ist einfach. Wenn dich die guten Daten erreichen erreichen dich auch die pösen Daten. ;). Es ist alles nur eine Frage des Aufwandes.
Subnet in IPv6 ist immer ein /64, weil nur damit die automagische Adresszuweisung funktioniert. Der Internet Anbieter teilt dem Router allerdings einen größeren Bereich zu, den er dann weiter unterteilen kann. Telekom z.B. teilt Endkunden ein /56 zu, daraus könnte man 256 mal ein /64 stricken. Eine Fritzbox z.B. kann das auch via DHCPv6 weiter verteilen.
Wow, Danke. Meine Frage ist beantwortet! Vielen Dank für den informativen Beitrag!
Jim M. schrieb: > Telekom z.B. teilt Endkunden ein /56 zu, Sind die auch für Privatkunden so grosszügig? Oder doch nur für Geschäftskunden? Momentan gibt es zwar noch wirklich viele IPv6-Adressen und man bekommt auch ohne große Probleme welche von RIPE, aber ich habe den Eindruck, dass sehr verschwenderisch damit umgegangen wird.
Thomas V. schrieb: > Momentan gibt es zwar noch wirklich viele IPv6-Adressen und man bekommt > auch ohne große Probleme welche von RIPE, aber ich habe den Eindruck, > dass sehr verschwenderisch damit umgegangen wird. Na und. Es gibt eine klare Aussage. Du kannst jeden Sandkorn in der Wüste eine eigene IP-v6 geben und hast noch mehr als genug übrig. Schau dir mal eine IP-v6 an. Zitat aus Google. Ergebnis für mögliche ipv6 adressen berechnen Eine IPv6-Adresse hat eine Länge von 128 Bit. Diese Adresslänge erlaubt eine unvorstellbare Menge von 2128 oder 3,4 x 1038 IPv6-Adressen. Das sind 340.282.366.900.000.000.000.000.000.000.000.000.000 IPv6-Adressen, also rund 340 Sextillionen Adressen. Bei IPv4 spricht man von rund 4,3 Milliarden Adressen. Ach kleiner Hinweis : Auf der Erde leben so ca. 7.5 Milliarden Menschen. ;)
Man könnte jedem mm² der Erde 600 Billionen Adressen zuweisen.
Bevor sich einer aufregt. Die Zwischenablage hat beim Kopieren wie üblich die Hochzahlen geklaut. Das eingeben bei Google zum nachlesen. mögliche ipv6 adressen berechnen.
Kurz gesagt: JA! Mit IPv6 sind früher oder später Benutzer komplett zurück verfolgbar. Länger: Mit IPv6 ist es möglich Benutzer zu identifizieren. Die ganzen Sachen wie riesiges Subnetz und Privacy Extensions helfen hier nur oberflächlich und bieten keinen richtigen Schutz. Nur dynamische IPs/Subnetze bei der Einwahl sorgen für eine gewisse Anonymität. Erklärung: Von (fast) jedem Provider ist bekannt, welch große Subnetze er an seine Kunden vergibt. Habe ich dann einmal eine IP mit einer Person verknüpft, kann ich das ganze Subnetz bereits dieser Person zuordnen. Ob und wieviele da noch mehrere Personen diesen Anschluss nutzen, lässt sich dann mit etwas Tracking leicht rausfinden. Das Auswürfeln eines IP-Teils bei Privacy Extensions ist hierbei völlig uninteressant, das Subnetz bleibt ja gleich. Diese Funktion schützt lediglich vor direkten Angriffen und stümpferhaften Tracking. Beispiel im Großen: Wer ist beim Playstore von Google angemeldet? Die meisten wohl. Hier ist eine Angabe von Name und Mailadresse Pflicht. Damit kann Google bereits beim Login einen direkten Zusammenhang zwischen den Benutzern und dem zugewiesenen Subnetz herstellen. Spätestens nach ein paar Wochen weiß Google dann auch, wieviele und welche Personen zu diesem Haushalt/Anschluss gehören: benutzen ja alle das gleiche Subnetz. Schlaumaier schrieb: > Deswegen sieht man in TV-Serien das der böse das Signal 3 x um die Welt > schickt. In der Hoffnung das ihn die Guten nicht so schnell orten > können. Die Frage ist hierbei: Wer ist der Gute und wer der Böse. Schöne Grüße an dieser Stelle an die Geheimdienste dieser Welt. :) Thomas V. schrieb: > Momentan gibt es zwar noch wirklich viele IPv6-Adressen und man bekommt > auch ohne große Probleme welche von RIPE, aber ich habe den Eindruck, > dass sehr verschwenderisch damit umgegangen wird. Den Eindruck hast du völlig zu recht. Auch wenn hier mit gigantischen Zahlen umher geworfen wird, wenn sie bei der Vergabe so weiter machen wie derzeit, ist der Adressraum irgendwann auch wieder erschöpft. Denn genau das gleiche machte man nämlich damals bei IPv4 auch. Es gibt soviele IPv4-Adressen, die werden niemals ausgehen. Also verteilen wir mal großzügig ein dutzend /8-Netze ans US-Militär (alleine das DoD sitzt auf 13! /8er) und einige Großkonzerne. Upps, jetzt sind uns die IPs ausgegangen. Und was machen wir jetzt bei IPv6? Das gleiche!
IT-Abteilung schrieb: > Upps, jetzt sind uns die IPs > ausgegangen. Naja. IP-v4 kann max. knapp 4.3 Milliarden Adressen erzeugen. Zieht man nun 30-40% für Rechner OHNE Personen (z.b. Server, etc.) ab, bleiben noch großzügig gerechnet 3 Milliarden ab. Nun muss man noch jeden Chinesen abziehen (da ist das Leben ohne Handy kaum möglich, weil bezahlen am Wochenmarkt per QR-Code normal ist) hat der Rest der Welt nur noch 1.7 Milliarden. Das ist verdammt wenig. ;) Klar kann sich (wir aktuell passiert) mit Sub-Netzen versuchen zu retten, aber das wird immer schwerer. Ohne Router wie z.b. ne Fritzbox wäre das Netz schon an Überlastung gestorben. Besonders wenn man so Sachen wie IoT sieht. Heutzutage sind doch 10-15 Geräte die ins Netz wollen pro Haushalt fast Alltag. Und das wird immer schlimmer. Mama, Papa und 2 Kinder im Home-Unterricht. = 4 Handys, 2 Tabletts , 1 PC, 1 Laptop+ alle Zimmer haben eine Beleuchtung die per Wlan gesteuert wird wie Lautsprecher von Amazon. ;) Und demnächst wird die Rolladensteuerung bestellt wenn Papa aus der Kurzarbeit ist. Und die Mama will den Samsung-Kühlschrank damit sie beim Kochen Netzflix gucken kann ;) Und nicht zu vergessen die Tracking-Uhren für die Kiddys damit sie perfekt überwacht werden, und das Fitnessarmband für Papa Habe ich zu viel Phantasie ? ;) Wenn man das Netz neu organisiert, brauch man keine Sub-Netze mehr. Man beantragt beim Provider als Privatmann 20 IP-V6 Adressen. Verteilt die an seine Geräte und das war's. Funktioniert doch mit der Handy-Nr. aktuell schon perfekt. ;) Keine Provider die nerven, keine Router-Verfolgung. Einfach gucken wer die Ip-v6 hat, den Verhaften und alles ist schlecht. ;) Ich zitiere man ein Darsteller in einer Navy-CIS-Folge. "Damals mussten wir die Überwachungstechnik noch mühevoll heimlich einbauen. Heutzutage zahlen die Leute dafür das wir sie überwachen können." schöne neue Welt
Thomas V. schrieb: >> Telekom z.B. teilt Endkunden ein /56 zu, > > Sind die auch für Privatkunden so grosszügig? Oder doch nur für > Geschäftskunden? Geschäftskunden bekommen üblicherweise /48 (sehr große ggf. mehr). Torben S. schrieb: > Lösung soll angeblich die Privacy Extension sein Die naheliegende "erstbeste" Variante, sich per SLAAC eine IPv6-Adresse auszusuchen ist die, dass man die MAC-Adresse von 48 auf 64 Bits erweitert (nach einer einheitlichen Vorschrift) und dieser dann nur noch den Netzwerk-Präfix voranstellt. Damit kennt natürlich jeder deine MAC-Adresse. Ob man damit wirklich was anfangen kann, ist noch 'ne andere Frage (man bekommt den Hersteller des Geräts oder der Netzwerkkarte heraus). Da sich Webserver sowieso nie drauf verlassen können, ihre Kunden anhand der (IPv4-)Adresse wiederzuerkennen, implementieren diese allesamt Wiedererkennungsmöglichkeiten über Cookies, denen die IP-Adresse des Endgeräts herzlich egal ist. Ob die nun aus der MAC-Adresse abgeleitet, oder zufällig (aber permanent) oder aller 24 h eine andere ist, ist denen dann völlig schnuppe. Dein angefangener Reichelt-Warenkorb ist auch mit einer zwischenzeitlich geänderten Adresse (egal ob v4 oder v6) immer noch der gleiche. Seit der massenhaften Verbreitung von VoIP wechseln auch IPv4-Adressen nicht mehr so häufig, da das bei einem laufenden Telefonat recht unpraktisch wäre, und gleichermaßen haben auch einmal zugeteilte IPv6-Präfixe eine deutlich längere Lebensdauer. Wenn du irgendwelchen Unfug im Netz verzapfst und jemand von deinem Provider wissen möchte, wer hinter der IP-Adresse zu dem Zeitpunkt steht, dann wurde halt bei IPv4 nach genau einer Adresse gefragt, während man sich bei IPv6 schlicht nur für die 64 Bits des Präfixes interessiert – die 64 Bits der Adresse im Netz werden denjenigen, der das ermittelt, dabei kaum groß interessieren, denn ihm genügt es, den Anschlussinhaber zu finden.
Jörg W. schrieb: > Geschäftskunden bekommen üblicherweise /48 (sehr große ggf. mehr). Meistens wird dort IPv6 gleich deaktiviert. <Offtopic> Ich fände es schön, wenn es bei Privatkundenanschlüssen feste Prefixe geben würde. </Offtopic>
100Ω W. schrieb: > Ich fände es schön, wenn es bei Privatkundenanschlüssen feste Prefixe > geben würde. Beim Kabelanschluss ist das de fakto der Fall. Der Präfix wechselt nur, wenn der Router geplättet und neu eingerichtet wird.
100Ω W. schrieb: > Meistens wird dort IPv6 gleich deaktiviert. Es gibt auch in Unternehmen, die genug IP-Adressen haben, Gründe für IPv6. IPsec VPN über CG-NAT ist problematisch, und seit HomeOffice ist das ein ziemlich wichtiges Thema.
100Ω W. schrieb: > Jörg W. schrieb: >> Geschäftskunden bekommen üblicherweise /48 (sehr große ggf. mehr). > > Meistens wird dort IPv6 gleich deaktiviert. Eher: nicht konfiguriert, weil Angst, keine Ahnung, "böse", nicht verstanden.
Jörg W. schrieb: > Eher: nicht konfiguriert, weil Angst, keine Ahnung, "böse", nicht > verstanden. Eher weil "Fass zu" weniger Arbeit ist, als "Fass auf". ;-) Immerhin geht mit konsequenter Durchseuchung auch der inneren Netze mit IPv6 eine komplette Neudefinition von Netzen einher, die über etliche Jahrzehnte gewachsen sind wie Kraut und Rüben. Privat mit genau einem lokalen Netz ist es einfacher. Da muss man überhaupt nichts tun.
:
Bearbeitet durch User
(prx) A. K. schrieb: > die über etliche Jahrzehnte gewachsen sind wie Kraut und Rüben. Wobei natürlich 65536 verschiedene IPv6-Subnetze auch nur zu Kraut-und-Rüben-Verwaltung neigen. ;-)
Jörg W. schrieb: > Eher: nicht konfiguriert, weil Angst, keine Ahnung, "böse", nicht > verstanden. Und weil was neues ist und IPv4 doch einwandfrei tut. (prx) A. K. schrieb: > Beim Kabelanschluss ist das de fakto der Fall. Der Präfix wechselt nur, > wenn der Router geplättet und neu eingerichtet wird. Nicht bei DSL Privatkunden anschlüssen bei einem gewissem Anbierter mit T.
Bei meinen Geräten habe ich ipv6 deaktiviert. Cgnat bei ipv4 erschwert die Rückverfolgung. JavaScript deaktivieren standartmässig. Manchmal frage ich mich, was mein Provider an Daten von mir verkauft, da ist man machtlos.
Hans schrieb: > Bei meinen Geräten habe ich ipv6 deaktiviert. Das beantwortet jetzt in welcher Form die Frage des TEs?
Dass man besser die Finger von ipv6 lässt und es Möglichkeiten gibt, sich vor Tracking zu schützen.
Hans schrieb: > Dass man besser die Finger von ipv6 lässt Wenn du meinst. Die Welt dreht sich derweilen weiter … Kannst ja bspw. mal versuchen, dieses Spiel zu spielen: https://game.flyingpenguintech.org/rules https://loopsofzen.uk/
:
Bearbeitet durch Moderator
Beitrag #6582604 wurde von einem Moderator gelöscht.
Beitrag #6582607 wurde von einem Moderator gelöscht.
Beitrag #6582613 wurde von einem Moderator gelöscht.
Jörg W. schrieb: > Wenn du irgendwelchen > Unfug im Netz verzapfst und jemand von deinem Provider wissen möchte, > wer hinter der IP-Adresse zu dem Zeitpunkt steht, dann wurde halt bei > IPv4 nach genau einer Adresse gefragt, während man sich bei IPv6 > schlicht nur für die 64 Bits des Präfixes interessiert Dieser "Jemand" ist allerdings gesetzlich schon auf bestimmte staatliche Stellen eingegrenzt. Und der Jemand muss flink auf den Beinen sein; da die Vorratsdatenspeicherung ja nicht umgesetzt wurde, speichern die drei großen Netzanbieter die dynamische IP-Adress-Zuweisung aktuell nur max. 7 Tage.
Die Sache an IPv6 ist, das selbst bei täglich wechselndem Provider Prefix es problemlos möglich ist, das Endgerät zu verfolgen, wenn die Privacy Extensions nicht genutzt werden. Das hängt ganz einfach damit zusammen, das ohne Privacy Extensions der Suffix der IPv6 immer aus der Mac-Address der Netzwerkkarte/des Gerätes gebildet wird (und immer gleich ist), d.h. in der IPv6 Adresse steckt dann konstant die Geräte-Macadresse. Bei dieser gibt es nur wenig Überschneidungen (Effektive Länge 46 Bit) und damit habe ich eine eindeutige Id. Ja ich kann sogar, wenn ich das Gerät in die Finger bekomme meine IPv6 Log Datenbank nach genau diesem Gerät durchforsten. Und es geht noch mehr: Da der Suffix immer gleich bleibt kann ich ein Gerät sogar über Providergrenzen hinweg verfolgen, also ein Beziehungsprofil erstellen. Im übrigen reicht ein einziges Gerät ohne Privacy Extensions in einem IPv6 Netzwerk aus um auch die restlichen Geräte in diesem zumindest halbwegs zu tracken. Den damit habe ich den Anker den ich brauche um den wechselnden Provider Prefix zu eliminieren und somit den Gerätekreis auf den des Haushalts einzuschränken. Dann reicht es wenn man die Anfragen der Geräte ans Netz halbwegs intelligent kombiniert und kann ziemlich genau auf das Endgerät schließen.
Andreas M. schrieb: > Das hängt ganz einfach damit zusammen, das ohne Privacy Extensions der > Suffix der IPv6 immer aus der Mac-Address der Netzwerkkarte/des Gerätes > gebildet wird (und immer gleich ist) Auch eine konstante IPv6-Adresse muss allerdings nicht notwendigerweise aus der MAC-Adresse abgeleitet werden; das ist nur die einfachste Möglichkeit. Ich habe inzwischen schon einige Systeme gesehen, die zwar permanente Adressen benutzen aber trotzdem nicht MAC-basiert.
Ja manuell konfigurieren geht natürlich auch, aber solange es konstant bleibt ändert es ja am Problem nichts. Soweit ich weis wird standardmäßig halt von der Mac-Addresse abgeleitet. Mit aktiven privacy extensions hat man dafür halt den Spaß mit regelmäßig wechselnden IPv6 addressen im eigenen Netz (Ein Freude mit SSH). Man kann allerdings die Prioritäten (/etc/gai.conf) so einstellen das bei Zielen im lokalen Netz auch weiterhin die Konstante Adresse benutzt wird.
Andreas M. schrieb: > Ja manuell konfigurieren geht natürlich auch, aber solange es konstant > bleibt ändert es ja am Problem nichts. Soweit ich weis wird > standardmäßig halt von der Mac-Addresse abgeleitet. Bei neueren OSen offenbar nicht mehr (MacOS waren die ersten, wo ich das so gesehen habe), und nein, nicht manuell konfiguriert (das macht man bei Servern), das ist trotzdem noch SLAAC. Nur eben nicht mehr MAC-basiert.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.