IPv6 alarmiert verschlafene Datenschützer

ich empfehle unbedingt (den auch bei Heise verlinkten) Beitrag von Lutz Donnerhacke zu lesen. Vor allem auch allen Datenschützern: http://www.iks-jena.de/ger/Blog/IPv6-und-der-Datenschutz

Dazu ganz interessant: http://www.heise.de/netze/artikel/Kommentar-IPv6-und-der-Datenschutz-1375692.html
Vor allem Seite 3: “Mehr Datenschutz durch feste IP”.

@Micha – Die originalquelle hab ich so schnell nicht gefunden – aber der Artikel ist derselbe 😀

Das Problem ergibt sich meiner Meinung nach aus der Existenz der MAC-Adresse. Wozu braucht jedes Gerät eine weltweit eindeutige Kennung, MAC oder IMEI? Gäbe es die nicht, könnte IPv6 sie auch nicht missbrauchen.

@Jessi: Das stimmt so nicht ganz.

MAC oder IMEI usw. sind Schicht-2-Adressen und die sind eben für das unterliegende Protokoll notwendig. Sonst könnten sich zwei Maschinen mit gleicher Installation ja überhaupt nicht unterhalten. MAC-Adressen braucht man, und die sind an sich auch nicht gefährlich, weil die nur im jeweiligen Segment zu sehen ist. Deine Mac-Adresse wird normalerweise nicht über das LAN hinausgetragen.

Anders jetzt natürlich mit IPv6. Da wird die Mac-Adresse in den unteren Teil der IP-Adresse kopiert, falls man die Autokonfiguration verwendet.

An sich muß man das nicht verwenden, man kann das alles auch beliebig statisch machen. Dann wird es aber schwierig, wenn der obere Teil der Adresse dynamisch zugewiesen wird. Es ist unter IPv6 deutlich schwieriger, sowohl den oberen als auch den unteren Teil der Adresse zu verschleiern, weil IPv6 prinzipiell kein NAT kennt und DHCP zwar vorgesehen, aber zugunsten der Autoconfiguration kaum implementiert ist. Bekommt man vom Provider einen statischen IPv6-Prefix, verrät einen der. Bekommt man ihn dynamisch, kommt man kaum an der Autoconfiguration per MAC-Adresse vorbei, und dann verrät einen der untere Teil.

Die Ursache dessen ist, daß man die ganze Entwicklung den Amis überlassen hat, während sich Europa bzw. Deutschland auf die Position des quengelnden Konsumenten zurückgezogen hat. Eigentlich ist IPv6 für unsere Anforderungen hier nicht so richtig geeignet. Man hat die Entwicklung eben Leuten überlassen, die Datenschutz nicht kennen oder dafür kein Verständnis haben, deren höchste Priorität Netzwerkstabilität ist, und die extrem fundamentalistisch orientiert sind, die also sowas wie NAT als auszuschließendes Übel ansehen. IPv6 ist brutal an der amerikanischen Mentalität ausgelegt.

Wir werden damit noch sehr viel mehr Probleme bekommen, weil das an manchen Stellen mit unserer Mentalität und Rechtsordnung nicht vereinbar ist. Da sind wir aber selbst dran schuld, weil es in den vergangenen Jahren hier niemand für nötig hielt, da mal unsere Datenschutzbelange konstruktiv einzubringen.

Aber auch dieser Artikel ist etwas blauäugig, etwa:
“Als Anbieter meiner eigenen Daten auf meinem eigenen Server kann ich problemlos den Zugriff beschränken (durch feste IPs meiner Bekannten, mit Passwort und CGA oder mit Passwort und Login) oder die Daten, die ich dort nicht mehr haben will, entgültig löschen .”
Also erst freigeben, und dann endgültig löschen?

@Alex: Ich halte den Artikel von Lutz auch nicht für so glücklich. Ich würde mich dem so nicht anschließen.

Die normal übliche Konfiguration eines LAN ist doch ein I-net-Gateway woran das dahinter geschaltete Netzwerk dranhängt. Dieses Gateway könnte doch den unteren Teil der Adresse per DHCP verteilen während der obere Teil vom Provider zugewiesen wird.

@klonderer: Klar könnte das so gehen. Wenn ich mich richtig erinnere, war DHCP sogar ein Backport aus der IPv6-Entwicklung nach IPv4. Aber wieviele Geräte können DHCP für v6? Schwer durchzusetzen, wenn es einen einfacheren und robusteren Mechanismus gibt.

Bei “Software ausrollen” muss ich immer an Teppich oder Pizzateig denken… Das gehört ganz klar zu den falsch eingedeutschten Anglizismen 😉

@Till: 😉

Wie wird das für Kunden eines ISPs dann aussehen? Kann man dann IPv4 und v6 gleichzeitig verwenden? Kann IPv6 nicht einfach bis zum Breitbandmodem oder Router des Kunden geführt werden und von dort aus geht es mit IPv4 samt DHCP im lokalen Netzwerk weiter? Ich kann mir das ehrlich gesagt überhaupt nicht vorstellen, wie eine kleine Heimnetz-Topologie zu IPv6-Zeiten aussehen (müssen) wird und welche Geräte man verwenden kann.

@Asd: Mit IPv6 zum Router und dann per IPv4 weiter, das geht nicht.

Aber man kann das ziemlich unproblematisch (vom Datenschutz eben mal abgesehen) nebeneinander betreiben. Und braucht auch in der Regel kaum neue Geräte. Aktuelles Windows, Linux, Mac, iPad usw. können alle IPv6, die Fritzbox auch. Im Prinzip kannst Du alle halbwegs aktuellen Geräte verwenden, außer so embedded Zeugs wie Drucker und Waschmaschinen mit Ethernet, die können das meist noch nicht.

Ich hatte sogar mal einen Switch , der kein IPv6 konnte (wo jeder mit Zweidrittel-Wissen behaupten würde, das das Quatsch ist, weil der Switch auf Schicht 2 arbeitet. Der konnte aber keine Multicast-Ethernetadressen, und damit funktionert das Auffinden der anderen Rechner unter IPv6 nicht, weil die nicht mehr ARP sondern was anderes verwenden.)

IPv6 ist klasse. Da wird endlich wieder Ipv4 frei. Ein aufgebohrtes v4 hätte doch auch gereicht! Das wäre Entwicklung gewesen. Aber immer, wenn man meint, jetzt machen wir das mal richtig, schießt man mit Kanonen auf Spatzen.

Warum soll kein NAT möglich sein? Das bissel MAC kann man tauschen.

Ich habe schon länger den Verdacht, das war ein Schuß in den Ofen, so zäh, wie das angeht. Hoffen wir trotzdem, daß die Masse bald draufhuppt. Dann kriege ich vielleicht noch eine Adresse v4.

Carsten
—
Minuswachstum — das hört sich ja an wie eine negative Erektion
Dieter Hallervorden (ARD: Hart aber fair)

@Carsten: Prinzipiell wäre mit IPv6 auch NAT möglich, technisch spricht nichts dagegen. Aber es ist halt als unerwünscht erklärt, weil man bei den Netzwerk-Gurus das NAT und die RFC1918-Adressen schon immer für verderbtes Teufelszeug hielt. Deshalb hat man in die Evangelien geschrieben, daß es unter IPv6 kein NAT gibt.

@Guy: Von IPSec ist das bekannt. Ich hatte aber außerdem so in Erinnerung, daß DHCP auch so ein Ableger aus den allerersten Entwicklungsarbeiten eines Nach-IPv4-Protokolls war und daß mehrere Entwicklungen aus der IPng-Entwicklung rückportiert wurden. Hab ich möglicherweise aber doch falsch in Erinnerung gehabt.

DHCP gab es schon vor IPv6. IPSec war der Backport.

Das heißt also, dass beim Endkunden jedes Gerät an eine Art IPv6-Switch angeschlossen sein wird, der die Daten praktisch nur durchreicht? Ein Routing beim Endkunden ist ja dann nicht mehr notwendig, wenn ich das richtig verstehe.

Hänge ich jetzt ein Gerät direkt ins Internet, wird es von Schadsoftware innerhalb weniger Minuten gescannt und mit Viren befallen, wenn Windows darauf läuft. Aber auch andere Systeme wären anfällig für Portscans und Angriffe jeder Art.

Wie soll das unter IPv6 gelöst werden? Hänge ich da anders “direkt” im Internet als unter IPv4? Jetzt “bewahrt” mich NAT sowie meine Firewall am Router vor Zugriffen… muss dann jeder ahnungslose Nutzer unter IPv6 plötzlich wissen, wie man eine Firewall am Router konfiguriert?

Ich hab da eigentlich endlos mehr Fragen, weißt du zufällig, wo ich mehr Antworten finde? Wikipedia und Co. spuckt dazu ja nicht viel aus.

@Asd: Da verwechselst Du die Begriffe geringfügig.

Ein Router macht definitionsgemäß auch nichts anderes als Daten nur durchzureichen. Nur arbeitet der Switch auf Schicht 1/2 mit physikalischen Leitungen und Mac-Adressen, während der Router auf Schicht 3 mit logischen Internetverbindungen und IP-Adressen arbeitet.

Alles das, was überlicherweise noch dazukommt wie NAT, Firewall, DHCP ist im engeren Sinne nicht Aufgabe des Routers, aber man hat es eben der Bequemlichkeit halber dazugepackt.

Firewalls wirst Du auch künftig in den Home-Routern haben, die sind bei IPv6 (mangels NAT) noch viiieeeel wichtiger als bei IPv4. NAT und DHCP wirds in den meisten Fällen wohl nicht mehr geben.

Aber ich kann Dich beruhigen: Es ist in der Anwendung wesentlich einfacher und unkomplizierter, als sich das jetzt so alles anhört. Wenn man halbwegs aktuelle Betriebssysteme hat, muß man eigentlich nur auf dem Home-Router IPv6 freischalten und das war’s dann schon im Großen und Ganzen. Erst wenn man noch die Privacy-Erweiterungen haben will, muß man auf den einzelnen Rechnern noch was einschalten.

@Hadmut Ich stimme dir voll und ganz zu, was das raushalten aus den Entwicklungen angeht. Meckern wenns zu spät ist bringt nichts. Die Sache mit den MACs scheint mir dann aber auch dadurch bedingt zu sein. Wenn man die für das unterliegende Protokoll benötigt, bedeutet das ja, wenn man ein anderes Protokoll als ADR nutzen würde, oder wenn es mit etwas anderem als Hardwareadressen arbeiten würde, könnte man auf eindeutige Gerätekennungen womöglich verzichten und damit das Datenschutzproblem zumindest dahingehend beseitigen. Mir ist zum Beispiel, logisch nicht und technisch auch nicht so ganz, nicht ersichtlich warum es bei einer sinnvollen Protokollstruktur nötig sein sollte ein Gerät über MAC zu identifizieren. Ein Netzwerkadresse oder Computername (je nach verwendetem Protokoll) sollte doch ausreichend für eine Unterscheidung sein. Immerhin reicht hier eine Gleichheit schon aus um eine Verbindung zu verhindern. Es sei denn irgendjemand hat es so programmiert dass das nicht oder nicht auf allen Schichten ausreichend ist, was ja der Fall ist.

Bei WLAN verlässt die MAC übrigens das LAN. Keine Ahnung ob nur bei unverschlüsseltem, ich bin nicht so unvorsichtig das zu nutzen. Die IMEI wird meines Wissens nicht zur Adressierung verwendet.

@Jessi: Die Mac-Adresse ist so eine Netzwerkadresse bzw. ein Name. Du verwendest nur ein anderes Wort für die logisch selbe Sache.

Das wurde eben erfunden, damit Geräte möglichst einfach und kollisionsfrei im Netz agieren können.

Stell Dir mal vor, ein Hersteller stellt Drucker mit Netzwerkanschluß her, und die wären alle genau gleich, würden sich also nicht durch eine Mac-Adresse unterscheiden. Wie sollte man dann sauber Netzwerken können? Keiner von beiden wüßte dann, ob der Druckauftrag nun für ihn oder einen anderen ist. Also müssen die irgendein individuelles Merkmal haben, das so gebaut ist, daß auch dann, wenn ich davon 300 Stück kaufe und in ein Firmennetzwerk hänge, es keine Gleichheit gibt. Also brauchen die ein eindeutiges Merkmal, und das ist eben die MAC-Adresse. Und IPv6 sieht eben vor, daß die Geräte sich möglichst selbständig auch eindeutige IP-Adressen suchen und hat dazu (wenn Ethernet verwendet wird) ein System, wonach die IPv6-Adresse aus der MAC-Adresse abgeleitet wird. Weil das eben heute so ist, daß mit IT-Geräten auch Laien klarkommen müssen und das alles schnell und einfach geht. Da kann man nicht erst noch umständlich Namen vergeben.

Und selbst wenn Du die Adressen selbst, von Hand vergibst, hast Du nicht viel gewonnen, weil sie dann ja immer noch ziemlich eindeutig sein müssen, nur hast Du eben mehr Arbeit damit. Und heutzutage muß ja alles einfach, billig und ohne Arbeitsaufwand gehen.

Auch bei WLAN verlässt die MAC nicht das LAN, nur daß die Schichten 1 und 2 eben nicht Kabel sondern Funk sind und daher durchaus Teil des LAN. Guck Dir mal die Sache mit dem Schichtenmodell an.

Ich meinte, dass der Endkunde zuhause nur einen Switch stehen hat und der Rest beim ISP stattfinden. Ist Blödsinn, es bleibt nach wie vor ein Router zuhause stehen. Aber wenn man das logische Netz betrachtet, findet das Routing auf Layer 3 erst beim ISP statt, es macht keinen Unterschied, ob man dem Endkunden einen Switch oder einen Router hinstellt, weißt du was ich meine?

Nun gut, dann stelle ich im Router auf IPv6 um (ein neues Breitbandmodem muss auch erst vom ISP kommen, das derzeitige unterstützt kein IPv6) und aktiviere eine Whitelist-Firewall, da ich ansonsten ja ganz frei im Internet hängen würde ohne etwas dazwischen.

Eine Frage bleibt noch unbeantwortet: Wie sollen das die unbedarften Nutzer machen, die keine Ahnung von der Einrichtung von Firewalls haben und großteils mit Windows (XP!) unterwegs sind? Die hätten doch keine ruhige Minute mehr, bei all der Schadsoftware, die sich installieren würde.

@Asd: Nein, das stimmt nicht. Der Provider ist mit dem Kunden nicht per Ethernet, sondern per DSL mit PPP und ATM oder per Kabelmodem mit DOCSIS anbinden. Bei ersterem kannst Du nicht switchen, weil es eine andere Netzwerktechnik ist und eine Point-to-Point-Verbindung. Das geht nicht mit einem Switch, weil ein Switch auf Schicht 2 in einem Medium mit mehreren Strängen vermittelt. Letzteres wird quasi geswitcht, weil es tatsächlich sowas wie Ethernet abbildet, aber das willst Du nicht ohne Firewall switchen, sonst stünden ja all Geräte zum Provider bzw. Internet hin offen. Außerdem willst Du ja per IP- und nicht per MAC-Adresse erreichbar sein, also mußt Du routen. Guck Dir mal das Schichtenmodell an.

@Alex: Deshalb gibt es a) Firewalls, könnte es b) so sein, daß die Drucker nur Link- oder Net-local Adressen akzeptieren, und c) viel Spaß beim Durchsuchen eines /48. Das sind ja nur 2^80 IP-Adressen. Oder 2^64 wenn dem Angreifer das ganze Präfix bekannt ist.

Korrektur: Wenn man die Ethernet-Adressbereiche der Druckerhersteller kennt, könnten das durchaus drastisch weniger IP-Adressen sein, die man absuchen muß. Da ist doch was dran.

Trotzdem wird man sein LAN nicht frei ins Internet hängen.

Da kommt mir gerade eine lustige Idee:
Wenn Netzwerkdrucker ipv6 haben – und das default mäßig vollständig geroutet wird, dann müsste es relativ leicht zu seinen einen Portscanner zu basteln, der Netzwerk drucker weltweit findet.
Und endlich kann man das Internet ausdrucken 🙂

Das Schichtenmodell kenn ich – zugegeben, aufgefrischt sollte es mal werden. Ich ging von Modem mit DOCSIS aus, da ich das zuhause verwende; hab nicht beachtet, dass es auch DSL gibt.

Hier ist doch das Problem: Das will ich nicht ohne Firewall switchen, sonst stünden alle Geräte zum Internet hin offen. Genau das wird aber passieren, wenn Otto Normalverbraucher auf IPv6 wechselt, zumindest bei Kabelmodem mit DOCSIS. Danke für deine Ausführungen auf jeden Fall.

@Asd: Nein, es wird dabei bleiben, daß die Leute zuhause einen Router haben, der auch Firewall spielt. Schon alleine deshalb, weil die Dinger ja auch das WLAN bereitstellen und das Telefonieren abwickeln müssen.

Davon abgesehen geht die Entwicklung sowieso in die Richtung, entsprechende Router-Boxen mit eingebautem Kabelmodem und kein separates Kabelmodem mehr hinzustellen. Ein reines Kabelmodem wird es nicht mehr allzulange geben, und daher die von Dir beschriebene Konstruktion auch nicht möglich sein.

Zudem hat der Provider keinerlei Lust, für das ganze Zeugs im Kunden-Home-Lan DHCP-Server zu spielen. Das soll dann schön die Router-Box zuhause machen, die dann auch Firewall ist.

Die Router spielen derzeit aber nur Firewall, weil es das NAT-System erfordert. Sobald IPv6 kommt, muss mittels Whitelist gearbeitet werden und das kann nur von jedem Kunden selbst eingerichtet werden. Es wird sicher keine “IPv6-Firewall an”-Option geben, das kann ja nicht funktionieren. Ganz abgesehen davon, dass auf den über Whitelist geöffneten Standardports immer noch ungefiltert empfangen wird.

@Asd: Falsch. Firewall und NAT sind prinzipiell zwei verschiedene Funktionen. NAT ist eine Adressübersetzung, Firewall ist (hauptsächlich) Paketfiltern. Firewalls gibt es bei IPv4 wie IPv6, und die Grundeinstellung ist eben, Verbindungsaufbauten nur von innen nach außen zuzulassen.

Und natürlich gibt es IPv6-Firewalls, und natürlich funktionieren die prächtig. Und die lassen Ports auch nicht ungefiltert durch. Weil Firewalls heutzutage “stateful” sind und deshalb darauf schauen, wo der Verbindungsaufbau herkommt. Funktioniert ohne weiteres. Du hast nur die Technik nicht ganz verstanden.

Das ist mir ja alles klar, ich meinte: Ein Router kann IPv4-Verkehr nur weiterleiten, wenn er die Zieladresse eines Pakets kennt. NAT ist zwar keine Firewall, lässt aber keine Pakete durch den Router durch, die nicht angefordert wurden – er weiß ja nicht, an welches Gerät er das durchleiten soll. Bei IPv6 entfällt das und damit der Schutz von NAT, auf den sich >alleallen< Consumer-Routern, die IPv6-fähig sind, ab Werk aktiviert ist, schauen die meisten dumm aus der Wäsche, wenn sie mit IPv4 keine Probleme hatten und jetzt wegen fehlendem NAT dauernd Schadsoftware auf ihren Rechner bekommen.

Ich sage nicht, dass NAT wichtig ist, sondern, dass es eine Firewall für den Enduser geben muss, die von Haus immer aktiviert ist. Das kann ich mir bei den verschiedenen Routerherstellern und allem gar nicht vorstellen. Es verschlüsseln ja nichtmal alle Router heutzutage das WLAN automatisch…

@Asd: *Seufz* Bitte informier dich doch erst mal, bevor Du hier endlos ping-pong spielst. Das ist so ermüdend.

Es stimmt nicht, daß ein Router bei NAT nur weiterleiten kann, wenn von innen angefordert wurde. Man unterscheidet zwischen statischem und dynamischem NAT.

Und weil eine Verbindung von außen an fehlendem statischen und dynamischem NAT abprallt, hat zwar eine schöne Firewall-Wirkung, heißt aber nicht, daß eine Firewall das ohne NAT nicht genauso könnte. Denn der dazugehörige Zustandsapparat ist ja der gleiche, den die Firewall auch nutzen kann, ohne die Adressen zu ersetzen.

Und diese Firewall, die es für den Enduser geben muß und die von Haus aus immer aktiviert ist, gibt es auch für IPv6 und sie ist beispielsweise auch in der Fritzbox eingebaut. Nur weil Du sie nicht kennst, heißt das ja nicht, daß es sie nicht gibt. Du forderst hier vehement etwas, was es längst gibt und längst Standard ist. (Ich weiß zwar jetzt nicht, ob das wirklich alle machen, aber es ist Stand der Technik.)

Es bringt aber nichts, hier weiter hin- und herzuschwafeln, weil Du endlos auf Deinem Standpunkt herumreitest, weil Du es Dir nicht “vorstellen” kannst. Schau’s Dir in Drei Teufels Namen halt endlich mal an, wie das funktioniert. Und schau Dir mal an, wie bei TCP ein Verbindungsaufbau (3-Wege-Handshake) abläuft und wie eine Firewall den verwendet. Dann siehst Du, daß das ohne NAT ganz genauso funktioniert.

Du machst den Fehler, daß Du NAT für die Firewall hältst und nicht verstanden hast, daß die Firewall selbst etwas macht, was nicht auf NAT beruht.

Autsch, da ist wohl was danebengegangen. Der kaputte lange Satz sollte lauten:

Wenn nicht bei >allen< Consumer-Routern, die IPv6-fähig sind, ab Werk eine Firewall aktiviert ist, schauen die meisten dumm aus der Wäsche, wenn sie mit IPv4 keine Probleme hatten und jetzt wegen fehlendem NAT-System dauernd Schadsoftware auf ihren Rechner bekommen.

Okay, lassen wir das – ich halte NAT nicht für die Firewall und ich weiß, dass das zwei verschiedene Sachen sind. Ich hab nur geschrieben, dass es für den Endbenutzer ein Glück ist, dass NAT unter IPv4 vorhanden ist und für den Endbenutzer ist das hilfreich, wenn er keine Firewall hat.

Dass es stat. und dyn. NAT gibt, weiß ich tatsächlich nicht, werd ich mir mal zu Gemüte führen.

Wenn die Firewall für IPv6 bereits in aktuellen Routern dabei ist, nehm ich alles zurück, dann gibt es da ja kein Problem.

Da es hier ursprünglich um Datenschutz ging: das mit der MAC Adresse in IPv6 Adressen trifft streng genommen nur auf die nicht gerouteten link-local Adressen zu. Dass OS X und Linux standardmäßig die privacy extenstions deaktiviert haben (im Gegensatz zu Windows!), liegt nicht an IPv6 sondern an den Standardeinstellungen der Netzwerkstacks. Und damit kann man die MAC nicht mehr herausfinden. Das man täglich eine neue IP hat (default value) ist auch noch ganz nett (ok, der Präfix ändert sich nicht).

@Micha: Wenn die Privacy Extension eine Standardeinstellung wäre, hieße sie ja nicht “Extension”. Die ist eben nicht standard, zumal damit eine ganze Reihe von Dingen auch nicht mehr funktionieren. Zumal sie die Eigenschaft hat, immer neue IP-Adressen hinzuzufügen und anzusammeln.

Aber aus diesem Grund habe ich sie auf meinen (LInux-)Rechnern eingeschaltet. Würde mir aber auch nichts nutzen, wenn mir der Provider den Präfix statisch zuordnet.

Naja, wenn ich IP Adressen per Hand vergebe habe ich den Vorteil dass ich sie beliebig ändern kann, wenn ich den Datenschutz steigern will. MAC-Adressen kann ich nicht ändern und IPv6, soweit ich es bisher verstanden habe, wegen der Verbindung zur MAC-Adresse wohl auch nicht. Und ein Gerät das eine IP hat braucht keine MAC, wenn das Protokoll im Hinblick auf den Datenschutz anständig designt wäre. Ich denke das ist, es was Jessi kritisiert.

Technisch ist das logisch, wie es ist, aber mit Datenschutz hat es eben nichts zu tun. Die Konsequenz aus der Kritik an der Übernahme des Ami-Schrotts wäre dass man irgendwann mal anfängt nein zu sagen. Macht das doch mal einer mit IPv6 und dem Datenschutz-Argument. Nicht dass es etwas an der einführung ändern würde, aber dann wäre wenigstens mal was los. Express-Schlagzeile: INTERNET VOR DEM AUS! Deutschland weigert sich neue Adressen einzuführen.

@Micha Das mit der Privacy Extension ist so eine Sache. In einem anderen Beitrag hatte einer geschrieben dass er sie nicht aktiviert bekommt. Ich für meinen Teil finde IPv6, im Unterschied zu v4, so kompliziert dass ich nicht mal verstanden habe wie ich erkennen kann ob das jetzt eine lokale Adresse ist, die sonst niemand sieht, oder ob die nach außen sichtbar ist. Autoconfig=DHCP? Privacy Extension nur mit Autoconfig? d.h. nicht lokal? Würde erklären warum ich nur eine IPv6 IP habe und sie auch nicht von meiner MAC gelöst bekomme. Selbst mit Privacy Extension sind wohl Teile, wie war das mit dem Anfangs- und dem Endteil, nicht datenschutzfreundlich. Keine Angst, ich will keine Antwort darauf. Aber ich für meinen Teil werde auf v6 so lange verzichten wie ich kann und suche grade nach einer Möglichkeit den Mist ganz zu deinstallieren.

Bei den meisten vollwertigen PCs mit Betriebssystem (bzw. bei deren Netzwerkkarten) kann man die MAC-Adresse ändern. Unter Linux mit ifconfig oder ip .

@Markus: Eigentlich ganz einfach: Wenn die Adresse ganz vorne/links mit einer 2 oder 3 anfängt, ist sie öffentlich sichtbar und wird ggf. nach außen getragen. Die hast Du aber nur, wenn Du sie entweder manuell einträgst oder der Router den Präfix per Announcement herumposaunt.

Fänt sie mit f an, ist sie link-local (fe80::…) oder Netzwerk-local, also nicht außen sichtbar. Und die link-Adresse (fe80:…) muß unten die MAC-Adresse haben, sonst geht’s nicht. Das macht aber nichts, weil das außen keiner sieht.

Daß die IP-Adressen die MAC-Adressen enthalten müssen, hängt damit zusammen, daß die LAN-Segmente heute viel größer sind. IPv6 verwendet daher kein ARP mit Broadcast, um einen Rechner zu finden, sondern leited aus der IP-Adresse (und damit der MAC-Adresse) die Ethernet-Multicast-Gruppe ab, auf der der Rechner lauscht. Aus diesem Grund wird das so gemacht, damit der andere Rechner aus der IP-Adresse auf die richtige Multicast-Gruppe schließen kann.

Hallo Hadmut

ich schwanke zwischen bei meiner Einschaetzung zwischen ‘Verpennen aus Traegheit’ und ‘Verpennen aus Prinzip’, denn mit dem Originalkonstrukt von IPV6 koennen die staatlichen Datensammler nun jeden Tauschboersenteilnehmer und KiPo Haendler sofort verfolgen.

@Lothar: Das glaube ich nun gar nicht. Siehe meine früheren Blog-Artikel zur Kinderpornosperre und zur Vorratsdatenspeicherung. Viele der Entscheidungsträger sind schon mit dem Status Quo und IPv4 überfordert, an IPv6 dachte da (jedenfalls bis vor ca. 1-2 Jahren) noch überhaupt niemand. Weiß ich positiv, weil ich entsprechende Gespräche geführt habe.

@Hadmut: das die privacy extensions nicht Standard sind, ist m.E. nicht so tragisch. CIDR ist auch nicht im IPv4 Standard enthalten und bis auf RIPv1 macht das nach meinem Kenntnisstand auch nichts aus. Doch nur wegen RIPv1 auf CIDR verzichten, weil es nicht Standard ist?

So sehe ich das mit den IPv6 privacy extensions. Und: auf Windows (für weit über 90% aller Benutzer ist das Standard) läuft das mit den privacy extensions per default. Sogar schon unter XP.

@Hadmut Na, das ist doch mal, obwohl ich gar keine Antwort wollte, eine wirklich hilfreiche Antwort. Dann habe ich eine lokale Adresse, die vermutlich mein Linux einfach so angelegt hat, weil IPv6 einfach da ist. Mein Provider wirds per DHCP wohl nicht gewesen sein, der nutzt noch v4. Jetzt habe ich auch verstanden wieso ich die nicht von der MAC gelöst bekomme, das geht nur mit der öffentlichen, woher auch immer die dann kommt. Also mit aktivierer Privacy Extension, damit wird dann wohl auch der untere Teil privatisiert?, zumindest etwas Datenschutz.

Da kommt NAT http://www.heise.de/newsticker/meldung/Netfilter-Entwickler-arbeiten-an-NAT-fuer-ip6tables-1384952.html