Anonymitätsgrad durch dynamisch wechslende IPv6-Adressen an MagentaZuhause-Zugängen
vor 9 Jahren
Hallo,
an sich hätte ich an meinem MagentaZuhause-Anschluss ja gerne feste IPv6-Präfixe bekommen. Die gibt es aber wohl nur für 10 EUR mehr pro Monat bei einigen DeutschlandLAN Geschäftskundenanschlüssen. Ich möchte hier auch nicht das Für und Wider von statischen versus dynamisch wechselnden IPv6-Adressen diskutieren. Wer denselben Grad an Anonymität im Internet wie mit IPv4 erreichen möchte, wird sicherlich ein Freund dynamisch wechselnder IPv6-Adressen sein.
Dies ist auch der Fokus meiner Anfrage: Da ich bisher keine genauen Informationen zu dem von Telekom eingesetzten Verfahren finden konnte, habe ich die zugeteilten IPv6-Präfixe an meinem MagentaZuhause-Anschluss einmal eine zeitlang protokolliert, um eine zugrunde liegende Systematik zu erkennen.
Meine daraus resultierenden Erkenntnisse gebe ich hier in folgender Darstellung einmal zu Besten. Vielleicht kann sie ein kundiger Telekom-Mitarbeiter ja bestätigen bzw. ggf. korrigieren. Ansonsten ist das Folgende vielleicht ja für jeden Interessierten nützlich:
Die Telekom besitzt das Präfix 2003::/19:
inet6num: 2003::/19
netname: DE-TELEKOM-20050113
descr: Deutsche Telekom AG
country: DE
org: ORG-DTA2-RIPE
admin-c: DTAG -RIPE
tech-c: DTAG -RIPE
notify: auftrag@nic.telekom.de
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: DTAG -NIC
mnt-routes: DTAG -NIC
mnt-routes: DTAG -RR
mnt-domains: DTAG -NIC
mnt-domains: DTAG -RR
status: ALLOCATED-BY-RIR
changed: hostmaster@ripe.net 20050113
changed: hostmaster@ripe.net 20050530
changed: hostmaster@ripe.net 20051028
changed: bit-bucket@ripe.net 20111114
changed: bit-bucket@ripe.net 20150701
created: 2007-07-18T11:48:53Z
last-modified: 2015-07-01T09:27:47Z
source: RIPE
Im Folgenden stellen die Symbole w und x Hexadezimalziffern dar, die folgende Werte annehmen können:
w aus {0,1}, x aus {0,1,2,...,f}
An Telekom-Anschlüssen mit dynamisch zugeordneten IPv6-Adressen erhält ein Teilnehmer IPv6-Präfixe aus einem der folgenden IPv6-Bereiche:
2003:wxxx:xx00::/41
2003:wxxx:xx80::/41
Für einen ausgewählten Teilnehmer an einem Telekom-Anschluss ist dieser IPv6-Bereich (die ersten 41 Bits zugewiesener IPv6-Adressen) stets fest. Würde jeder Teilnehmer an seinem Telekom-Anschluss einen nur für ihn spezifischen /41-Bereich bekommen, wäre er dadurch eindeutig identifizierbar. Die Telekom könnte so auch nur maximal 2^(41-19)=2^22=4,2 Millionen Kundenanschlüsse bedienen.
Es ist also offensichtlich, und zur Erreichung eines gewissen Grades an Anonymität zwingend erforderlich, dass sich mehrere Teilnehmer an verschiedenen Telekom-Anschlüssen denselben /41-Bereich teilen, denn nur so kann ein gegebenes IPv6-Präfix aus diesem Bereich keinem bestimmten Teilnehmer zugeordnet werden. Für ein IPv6-Präfix aus diesem Bereich kann dann lediglich festgestellt werden, dass es zu derjenigen Gruppe von N Teilnehmern gehört, die sich diesen /41-Bereich teilen. Die Anonymität ergibt sich daraus, dass sich ein bestimmter Teilnehmer in dieser Gruppe aus N Teilnehmern verstecken kann. Je größer der Wert N, desto höher ist der erreichte Grad der Anonymität.
Ein Teilnehmer erhält per SLAAC (Stateless Address Autoconfiguration) aus einem der folgenden IPv6-Blöcke ein IPv6-Präfix der Größe /64 für die Verwendung am WAN-Interface des Internet-Zugangsrouters:
2003:wxxx:xx7f:8000::/49
2003:wxxx:xxff:8000::/49
Die Anzahl möglicher IPv6-Präfixe der Größe /64 in einem IPv6-Block der Größe /49 beträgt 2^(64-49)=2^15=32768.
Außerdem wird dem Teilnehmer per DHCP-PD (Prefix Delegation) aus einem der folgenden IPv6-Bereiche ein IPv6-Präfix der Größe /56 für die Verwendung im LAN zugewiesen:
2003:wxxx:xx00::/56 – 2003:wxxx:xx7f:7f00::/56
2003:wxxx:xx80::/56 – 2003:wxxx:xxff:7f00::/56
Die Bereiche
2003:wxxx:xx7f:8000::/56 – 2003:wxxx:xx7f:ff00::/56
2003:wxxx:xxff:8000::/56 – 2003:wxxx:xxff:ff00::/56
mit jeweils 128 Präfixen der Größe /56 können dabei nicht verwendet werden, da sie den oben genannten Blöcken der Größe /49 entsprechen, die für die Zuweisung der WAN-Präfixe verwendet werden.
Die Anzahl möglicher IPv6-Präfixe der Größe /56 beträgt somit 2^(56-41)-128=2^15-128=32768-128=
32640.
Zugleich stellt die Zahl 32640 eine Obergrenze für die Anzahl N der Teilnehmer an dar, die sich denselben eingangs erwähnten IPv6-Bereich (2003:wxxx:xx00::/41 bzw. 2003:wxxx:xx80::/41) teilen.
Folgendes ist reine Spekulation meinerseits:
Vermutlich wird Telekom pro Teilnehmergruppe, die sich aus der Verwendung desselben /41-Präfixes definiert, aber nur höchstens 16320 Teilnehmer zulassen, damit pro Teilnehmer mindestens ein freier /56- bzw. /64-Präfix für den Extremfall zur Verfügung steht, dass alle Teilnehmer gleichzeitig ihre Präfixe (per Neuaushandlung der IPv6-Verbindung) wechseln wollen.
Möglicherweise wird sogar N < 32640/3=10880 gewählt. So könnte man drei Pools mit je höchstens bzw. mindestens 10880 Präfixen wie folgt bilden:
- Pool verwendeter Präfixe
- Pool freier Präfixe, die bei einem Präfixwechsel verwendet werden können
- Quarantäne-Pool mit Präfixen, die gerade zurück gegeben wurden
Der Quarantäne-Pool stellt dabei einen Puffer dar, der verhindern soll, dass gerade zurück gegebene Präfixe durch einen anderen Teilnehmer sofort wieder verwendet werden. Sobald ein Präfix aus dem Pool freier Adressen an einen Teilnehmer vergeben wird, wird der Pool wieder aufgefüllt, indem das am längsten im Quarantäne-Pool befindliche Präfix in den Pool freier Adressen verschoben wird.
Jedes Präfix zirkuliert somit durch die Pools wie folgt:
Pool freier Präfixe --> Pool verwendeter Präfixe --> Quarantäne-Pool --> Pool freier Präfixe …
ENDE der Spekulation
Folgende weitere Anmerkungen sind ebenfalls für die erreichbare Anonymität relevant:
- Da allgemein bekannt ist, dass Telekom an Anschlüssen mit dynamischen IPv6-Adressen /56-Blöcke der Form 2003:wxxx:xxyy:yy00::/56 für die Verwendung im LAN zuteilt, ist es egal, welchen daraus abgeleiteten /64-Präfix man im LAN verwendet, denn jedes mögliche Präfix aus dem Bereich 2003:wxxx:xxyy:yy00::/64 - 2003:wxxx:xxyy:yyff::/64 ist im Internet aufgrund derselben enthaltenen ersten 56 Bits als zum selben Kunden gehörig erkennbar. Router-Lösungen, die regelmäßig die Bits 57-64 im LAN-Präfix ändern (siehe z.B. hier) erhöhen also den Grad der Anonymität nicht und sind im Grunde unsinnig.
- An Telekom-Anschlüsse mit dynamischen IPv6-Adressen führt Telekom keine täglichen Zwangstrennungen mehr durch. Zwangstrennungen, und damit verbunden die Zuteilung neuer IPv6-Präfixe für den Internetanschluss des Routers (/64) und das LAN (/56), erfolgen nur alle 180 Tage. Für die Erreichung eines möglichst hohen Grades an Anonymität ist es deshalb wichtig, selbst eine häufige Trennung der Internet-Verbindung durchzuführen, um z.B. täglich wechselnde IPv6-Präfixe (und eine neue globale IPv4-Adresse am Internetanschluss des Routers) zu erhalten. In einer AVM-FRITZ!Box kann man dies in den Einstellungen unter "Internet | Zugangsdaten | Verbindungseinstellungen ändern | Internetverbindung dauerhaft halten" durch Aktivierung der Option "Zwangstrennung durch den Anbieter …" und Angabe einer Uhrzeit automatisieren.
- Alle bisherigen Aussagen beziehen sich ausschließlich auf IPv6-Präfixe bis zu einer maximalen Länge von /64. Sie betreffen also nur die ersten 64 Bits einer IPv6-Adresse. Alle Anonymisierungsbemühungen hierfür sind jedoch vergebens, wenn der Kunde für seine im LAN betriebenen Endgeräte die sog. "Privacy Extensions" nicht aktiviert hat. In diesem Fall sind die hinteren 64 Bits der IPv6-Adresse (der sog. "Host-Identifier") eines Endgeräts im LAN des Kunden immer fest und weltweit eindeutig, so dass dieses Endgerät im Internet allein anhand seines Host-Identifiers eindeutig zuordenbar ist, egal welches IPv6-Präfix für die vorderen 64 Bits der IPv6-Adresse des Gerätes verwendet wird, bzw. wie oft dieses wechselt. Mit Aktivierung der "Privacy Extensions" werden für das Gerät zusätzlich zum festen Host-Identifier zufällig gewählte und häufig wechselnde Host-Identifier generiert, und nur diese werden für die Kommunikation mit dem Internet verwendet. Merke: Nur dynamisch wechselnde IPv6-Präfixe und aktivierte Privacy Extensions zusammen ergeben einen gewissen Grad an Anonymität. Nur eine dieser beiden Maßnahmen alleine ist nutzlos.
Hinweis:
Hinweis:
4360
0
Das könnte Ihnen auch weiterhelfen
vor 9 Jahren
An Telekom-Anschlüsse mit dynamischen IPv6-Adressen führt Telekom keine täglichen Zwangstrennungen mehr durch. Zwangstrennungen, und damit verbunden die Zuteilung neuer IPv6-Präfixe für den Internetanschluss des Routers (/64) und das LAN (/56), erfolgen nur alle 180 Tage. Für die Erreichung eines möglichst hohen Grades an Anonymität ist es deshalb wichtig, selbst eine häufige Trennung der Internet-Verbindung durchzuführen, um z.B. täglich wechselnde IPv6-Präfixe (und eine neue globale IPv4-Adresse am Internetanschluss des Routers) zu erhalten.
In den aktuellen Speedports der Telekom gibt es dafür die Wahl des sogenannten Telekom Datenschutz in zwei Stufen:
Stufe 1
Durch einen täglichen Wechsel der IPv6-Adresse wird es z.B. Betreibern von Webseiten erschwert, Ihre Aktivitäten im Internet zu protokollieren.
Damit diese Schutzfunktion wirkt, müssen in den Geräten, mit denen Sie im Internet surfen, die Optionen „Privacy Extensions“ oder „Temporäre IP-Adresse beziehen“ aktiviert sein. Dies ist in der Regel der Fall.
Tipp:
Schalten Sie den Datenschutz testweise aus, falls es zu Störungen bei der Nutzung von Internet, Telefonie oder Entertain kommt.
Für Interessierte:
Diese Funktion wechselt alle 24 Stunden einen Teil Ihrer IPv6-Adresse, ohne die Internetverbindung zu unterbrechen. Die Telekom weist Ihnen ein IPv6-Präfix zu, aus dem 256 unterschiedliche Netz-Präfixe gebildet werden können. Die Funktion wählt zufällig ein Netz-Präfix für die Bildung der IPv6-Adresse aus.
Durch einen regelmäßigen Wechsel der IPv4- und IPv6-Adressen wird es z.B. Betreibern von Webseiten erschwert, Ihre Aktivitäten im Internet zu protokollieren. Diese erweiterte Funktion trennt zu diesem Zweck alle vier Tage (zwischen 02:00 und 05:00 Uhr nachts) Ihre Internetverbindung für wenige Sekunden. Laufende Internetaktivitäten, auch IP-basierte Telefonie, werden dabei unterbrochen. Danach werden dem Anschluss eine neue IPv4-Adresse und ein neues IPv6-Präfix zugewiesen.
Sie können die Internetverbindung auch jederzeit selbst trennen und wiederherstellen.
Tipp:
Schalten Sie den Datenschutz testweise aus, falls es zu Störungen bei der Nutzung von Internet, Telefonie oder Entertain kommt.
Für Interessierte:
Die IPv4-Adresse und das IPv6-Präfix werden alle 96 Stunden vollständig neu vergeben.
0
Antwort
von
vor 9 Jahren
Wenn es so ist, dann ist Stufe 1 reine Augenwischerei, denn sie erhöht den Grad der Anonymität nicht.
Na ja, nach spätestens 180 Tagen wird ja die komplette Adresse geändert aber in der Regel eher, da die Speedports bekanntlich häufig eines Neustarts bedürfen, ;-), duck und weg, ;-).
Ich habe die beiden Möglichkeiten der "Trennungseinstellungen" des Telekom Datenschutzes in den Speedports auch nur der Vollständigkeit halber aufgeführt, da Du auf die Möglichkeiten der FRITZ!Boxen zu diesem Thema verwiesen hast.
Gruß Ulrich
PS: ich nutze hier den Telekom Datenschutz der Stufe 2 und registriere immer wieder, dass selbst eine Datenkrake wie facebook, die per IPv6 erreicht wird, häufig meckert "Sie melden sich von einem unbekannten Ort an, beantworten Sie die Sicherheitsfrage ...".