ivp6, statische Router Adresse, privacy-problem, Fragen
vor 7 Monaten
Hallo wie ich hier gelernt habe hat die Adresse des v6 Routers nichts mit mit dem erhaltenen und im lokalen Netz zu verteilenden Prefix zu tun. Das sieht jetzt erstmal so aus als würde das Routing über diese sich offenbar nicht änderne Adresse laufen.
Jetzt könnte der Router sich aber auch selbst z.b. eine temporäre Adresse in dem Prefix würfeln und z.B. dem übergeordneten Providerrouter mitteilen und somit unter dieser Adresse in des Providers routingtabelle auftauchen.
Wenn das nicht so passiert, und wenn die Routeradresse sich nicht ändert existiert imho ein Privacy-Problem.
Spätestens wenn mittels traceroute zu einem der Kunden-Hosts,
von beliebigen Servern auf die der Kunde zugegriffen hat,
zu unterschiedlichen Zeiten unter den wechselnden Prefixen/temporären Suffixen
immer derselbe letzte Hop/Router, der dem Kunden zuordnen ist, auftaucht.
Fragen:
1) Bleibt die Routeradresse tatsächlich statisch oder ändert die sich gelegentlich. (Wann, wovon hängt das ab, Vertrag, Config etc.)
2) Wie oft ändert sich das Prefix bei der Telekom(Wann, wovon hängt das ab, Vertrag, Config etc., Treten da Kosten auf bei Änderungswunsch)
3) Muss ggf. das Privacy-Problem bejaht werden oder existiert ein anderer nicht bedachter Umstand der das ausschliesst.
Welcher?
Viel Dank im voraus.
461
39
Das könnte Ihnen auch weiterhelfen
3521
0
6
31484
0
21
Das könnte Sie auch interessieren
Kaufberatung
Sie benötigen eine persönliche Kaufberatung? Das Geschäftskundenteam der Telekom berät Sie gerne.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
vor 7 Monaten
Moderne Clients generieren i.d.R. eine private Adresse und wechseln diese öfter. Die Adresse des Routers bzw. Dein Prefix ist dann egal.
7
Antwort
von
vor 7 Monaten
Ja schade dass ihnen der erste Satz im ersten Post entgangen ist:
" wie ich hier gelernt habe hat die Adresse des v6 Routers nichts mit mit dem erhaltenen und im lokalen Netz zu verteilenden Prefix zu tun"
Das ist zum einen eine Erkenntnis aus einer vorigen Frage zum anderen aus dem weiteren mitlesen im Forum.
Antwort
von
vor 7 Monaten
" wie ich hier gelernt habe hat die Adresse des v6 Routers nichts mit mit dem erhaltenen und im lokalen Netz zu verteilenden Prefix zu tun"
Das ist korrekt, der Router ist i.d.R. im Transportnetz vom ISP , das im LAN verteilte Präfix ist meist aus einem anderen Netz.
Antwort
von
vor 7 Monaten
Moderne Clients generieren i.d.R. eine private Adresse und wechseln diese öfter. Die Adresse des Routers bzw. Dein Prefix ist dann egal.
Egal ist der nicht, der identifiziert das Netzwerk, bei Privatanschlüssen also den Haushalt. Den IPv6-Prefix regelmäßig zu ändern ist genau so wichtig oder unwichtig wie es das bei der IPv4-Adresse ist.
Uneingeloggter Nutzer
Antwort
von
vor 7 Monaten
Deine IPv4 Adresse bleibt auch 180 Tage die Gleiche.
Noch nicht aufgefallen? 😄
5
Antwort
von
vor 7 Monaten
Das habe ich nicht behauptet.
Musst Du auch nicht, das ist bei IPv6 so. Alle Geräte gehen mit einer eigenen IPv6 IP ins Internet.
Ob diese eindeutig ist und bleibt, hängt vom Endgerät ab. Googel mal IPv6 Privacy Extensions.
Antwort
von
vor 7 Monaten
Deine IPv4 Adresse bleibt auch 180 Tage die Gleiche. Noch nicht aufgefallen? 😄
Deine IPv4 Adresse bleibt auch 180 Tage die Gleiche.
Noch nicht aufgefallen? 😄
Bitte konzentrieren sie sich.
Antwort
von
vor 7 Monaten
Jetzt schreib ich doch davon dass die eigenen Adressen gewürfel werden und dass das Problem unabhängig davon auftritt.
Mag sich keiner in das Problem reindenken oder was läuft hier?
Uneingeloggter Nutzer
Antwort
von
vor 7 Monaten
Eine Fritzbox beantwortet diese Frage auch:
0
vor 7 Monaten
um es zu automatisieren.
3
Antwort
von
vor 7 Monaten
Nach ihrem Hinweis hab ich es jetzt noch mal ausprobiert
Nach einem Powercycle ändert sich die v4 Adresse und vermutlich auch das Prefix (nicht gecheckt, altes weiß ich nicht mehr)
Die 32-stellige Routeradresse ändert sich aber nur in genau 2 aufeinander folgenden Stellen im Prefix des Routers (nicht zu verwechseln mit dem /56-Prefix des Kunden-Netzwerkes) und ist natürlich überspezifisch weil alles andere gleich bleibt.
Es ist mir tatsächlich vorher nicht aufgefallen weil ich mir die letzen 4 einfach zu merkenden Stellen des Suffix der Routeradresse gemerkt hatte und die immer dieselben sind wie die übrigen 26 Stellen ausser den beiden die sich ändern.
Das Privacy-Problem bleibt dadurch erhalten.
Antwort
von
vor 7 Monaten
Das Privacy-Problem bleibt dadurch erhalten.
Das Privacy-Problem bleibt dadurch erhalten.
OK, noch einmal die Frage jetzt, was genau ist hier das Privacy-Problem, in der echten Welt, im Vergleich zu IPv4?
Also, in der Welt, wo ein Kunde eine Webseite ansurft, und dies vom Webserver geloggt wird.
Antwort
von
vor 7 Monaten
Das Privacy Problem ist und jetzt zum wiederholten mal, dass diese Logs mittels einfacher traceroutes zum Ermitteln des Kunden verwendet werden können.
Und jetzt an sie die Frage: Wieso sehen sie das nicht als Problem?
Insbesondere im Vergleich zu v4 wo genau das nicht geht wenn/weil sich die Adresse ändert.
Halten sie das sicher nur weil statt direkt im Log nachzugucken das log noch durch traceroute gepipet werden muss. Meinen sie der eine Schritt ist für einen Interessierten zu kompliziert?
Die Privacyextensions helfen nur die Hosts zu verschleiern und der PrefixWechsel wäre hinreichend wenn, ja wenn sich auch die Routeradresse entprechend ändern würde. Oder alle Router im Telekomnetz dieselbe adresse hätten und alle nur die 2 Byte durchwechseln würden. Da ich aber 2 Router im Telekomnetz kenne, meinen und den eines Kunden, und ausserdem der Telekom mehr als 2^16 v6 Kunden zuzutrauen sind, scheint das nicht so zu sein und es bleibt das Privacy-Problem.
Und das ist echt ein Hammer.
Uneingeloggter Nutzer
Antwort
von
vor 7 Monaten
Wurde eventuell vergessen, das hier anzustellen?
0
vor 7 Monaten
isch abe keine Fritzbox.
Aber danke für den Hinweis, werde bei der Digitalisierungsbox Smart gleich mal nachschauen. Aber da jene die 2 Bytes geändert hat was ja durchaus als zufällig gelten könnte wenn nicht 30bytes gleich geblieben wären habe ich wenig Hoffnung.
Können sie mal checken inwieweit sich die Routeradresse an ihrer Fritzbox auch tatsächlich vollständig oder weitgehend genug ändert?
0
vor 7 Monaten
Ich habe jetzt nachgeschaut. In der Digitalisierungsbox Smart kann ich zwar laut Interface und Online-Hilfe zusätzliche statische oder auch vom Prefix abgeleitete Adressen vergeben. Von zufällig steht da aber nichts. Einzig https://de.wikipedia.org/wiki/EUI-64 kann man aktivieren was das Gegenteil von zufällig ist.
Und wenn ichs recht überlege müsste ich mal nachschauen wie die MAC-Adresse der Box ist wahrscheinlich ist die auch so schon Teil des Suffix der Routeradresse was im Kontext nix besser macht.
0
vor 7 Monaten
Sieht OK aus.
Vorher:
Nachher:
14
Antwort
von
vor 7 Monaten
Liebe Melanie
steht B. für Bot?
ein Mensch würde doch sehen dass der Stand der Diskussion keines Service Calls bedarf.
Antwort
von
vor 7 Monaten
Guten Abend @ipv6noob,
vielen Dank für die konstruktive Rückmeldung.
Das B. steht selbstverständlich nicht für Bot und das R. steht auch nicht für Robot! Nur damit hier nicht noch weitere Missverständnisse entstehen. 😉
Wie ich sehe, ist das Thema für Sie ja auch bereits abgehakt. Sollte eventuell noch weitere Unterstützung nötig sein, einfach wieder hier in der Community melden.
Ich wünsche noch einen angenehmen Abend.
Viele Grüße
Tanja
Antwort
von
vor 7 Monaten
"Das B. steht selbstverständlich nicht für Bot und das R. steht auch nicht für Robot!"
R. Freulich.
Uneingeloggter Nutzer
Antwort
von
vor 7 Monaten
Ich habe mir das mal angeschaut in Verbindung mit meinem Speedport Smart 4 und muss feststellen, ob Neueinwahl, oder nach einem Routerneustart - der Interface Identifier ist immer gleich. Ausgehend davon das diese 64Bit ausreichend sind mich (bzw. meinen Anschluss/Router) eindeutig zu identifizieren, muss ich @ipv6noob irgendwie recht geben. Ich kann auch nichts dagegen tun und mich auch im Falle eines Smart4 nicht dagegen schützen. Es würde ja schon reichen wenn der Speedport auf eingehende ICMPs mit abgelaufener TTL einfach nicht antwortet. Frag ich mich sowieso warum dieser das tut, wenn er doch sonst keinerlei eingehene IPv6-Kommunikation zu Endgeräten durchlässt und auch auf direkte eingehende ICMP-Requests (egal ob v4 oder v6) auch nicht antwortet
😕
PS.:
Die ganze Überlegung ist unabhängig davon ob Webseitenbetreiber oder wer auch immer, diesen Aufwand nun wirklich betreiben, aber die Möglichkeit ist da.
1
Antwort
von
vor 7 Monaten
Hallo danke für das Interesse.
Ich habe auch selber weitere Tests gemacht. Ein Kollege mit einem anderen Provider und einer Fritzbox war offenbar in der Lage sowohl das Prefix des Routers als auch das Suffix / den Hostteil des Routers zufällig zu ändern bzw. anzufordern.
Zuvor war im Hostteil/suffix die MAC-Adresse reinkodiert was man schön am fffe in der Mitte erkennen kann da die 48 Bit der Macadresse immer mit fffe in der Mitte aufgefüllt werden. Was ihn erstmal schockiert hat.
Damit ist jeder immer übereindeutig da kann sich an den Prefixen ändern was will. Für Server sicher sinnvoll. Sonst nicht. Ich schätze der Haken "Zufall" in der Fritzbox aktiviert sowas wie die Privacy Extensions wobei die ja eigentlich nur für ausgehende Verbindungen von Hosts sind aber als Noob muss ich das nicht so genau wissen.
So wie es aussieht hat man mit einem Telekom-Device so erstmal keine Chance auf eine Adresse mit ausreichend Zufall. Bitte korrigiert mich wenn das falsch ist..
ABER:
Meine Box antwortet in der IP-V6-Defaultkonfiguration nicht auf traceroutes oder pings.
Ich bin noch am prüfen ob das v6-standard-konformes Verhalten ist.
Laut Clemens Schrimpe https://www.google.com/search?client=firefox-b-d&q=Clemens+Schr%C3%BCmpe
wurde ipv6 absichtlich so designed dass Unarten unkundiger ipv4 Admins verhindert werden sollen, nämlich dass wichtige Bestandteile des ip-Protokolls zum beispiel in Firmennetzen abgeschaltet werden. Also z.B. dass icmp an der Firewall geschluckt wird. Dies verhindert laut CS nämlich das Funktionieren diverser wichtiger Funktionen wie z.B. MTU-Discovery in v4, sonst geht v4 aber trotzdem. v6 dagegen soll selbst nur richtig oder überhaupt funktionieren wenn man solchen Quatsch liesse.
Wie dem auch sei. Wenn die Firewall auf default ("NICHT vertrauenwürdig") steht ist man imho doch safe jedenfalls gegenüber traceroute/tracepath. privacy by obscurity?
Leider kann dann niemand von dem ich das will (also auch ich von unterwegs) testen, ob er mein VPN erreicht weil er meinen router nicht anpingen kann. Oder wie weit er kommt weil meiner nicht auf traceroute antwortet. Und wenn ich das dann ändere, durch umkonfiguration der Firewall, ist wahrscheinlich auch das privacy-problem wieder da.
Dass ich, bei wie gewünscht komplett wechselnder Adresse den Router nicht gar nicht erst fände, entkräfte ich dadurch dass es Mechanismen gibt das zu lösen.
Is it now a ivp6-implementierungs-bug im Telekom-Device or a privacy-feature?
Ich tendiere zu ersterem.
Vielen Dank für die Aufmerksamkeit.
Uneingeloggter Nutzer
Antwort
von
Uneingeloggter Nutzer
Frage
von