<![CDATA[IPv6 Forum - IPv6-Tunnelbroker, IPv4 to IPv6 Gateways, 6in4-Tunnels, IPv6 Provider]]> http://www.ipv6-forum.com/forum/ Mon, 12 Dec 2016 18:46:33 +0000 MyBB <![CDATA[Öffentlich IP, ja ok! Intern aber über DHCP6]]> http://www.ipv6-forum.com/forum/showthread.php?tid=2865 Thu, 30 Jun 2011 21:50:52 +0000 http://www.ipv6-forum.com/forum/showthread.php?tid=2865
Ich habe natürlich den Beitrag schon gelesen: http://www.ipv6-forum.com/forum/showthread.php?tid=95

Mir ist es aber noch nicht ganz klar. Mit IPV6 könnte man für jeden Rechner ne fixe eindeutige öffentliche IP haben. Ist sicher nicht immer gewollt Wink Also ich stell mir das nach wie vor so vor:

Öffentlich IPV6ip (über nen Tunnelbroker) hat mein Firewall OS wo auch DHCP6 usw. trauf laufen. Die Clients konfigurieren sich ja sowiso selbst. DHCP6 übergibt ja nur mehr DNS, NTP usw. an die Clients. Somit haben wir wieder einen Sicherheitsaspekt. Hab ich das jetzt so einigermassen verstanden?

lg
boospy]]>
Ich habe natürlich den Beitrag schon gelesen: http://www.ipv6-forum.com/forum/showthread.php?tid=95

Mir ist es aber noch nicht ganz klar. Mit IPV6 könnte man für jeden Rechner ne fixe eindeutige öffentliche IP haben. Ist sicher nicht immer gewollt Wink Also ich stell mir das nach wie vor so vor:

Öffentlich IPV6ip (über nen Tunnelbroker) hat mein Firewall OS wo auch DHCP6 usw. trauf laufen. Die Clients konfigurieren sich ja sowiso selbst. DHCP6 übergibt ja nur mehr DNS, NTP usw. an die Clients. Somit haben wir wieder einen Sicherheitsaspekt. Hab ich das jetzt so einigermassen verstanden?

lg
boospy]]> <![CDATA[Anonymisierung der IPv6 Adresse]]> http://www.ipv6-forum.com/forum/showthread.php?tid=95 Tue, 04 Jan 2011 16:44:54 +0000 http://www.ipv6-forum.com/forum/showthread.php?tid=95
Die Antwort ist - ja. Schon 2001 wurde die "Privacy Extension" als RFC 3041 vorgeschlagen und 2007 in RFC 4941 überarbeitet.

Dabei geht es darum die IP - Adresse bei der automatischen Vergabe pseudozufällig zu generieren (d.h. i.d.R. den Großteil der 2. Hälfte der Adresse) und dadurch das tatsächliche Endgerät anonym zu halten.
Es entspricht, meiner Ansicht nach, ungefähr dem Anonymisierungsmechanismus von NAT. Gleich wie unter IPv4 ist zwar das Netzwerk - oder vereinfacht - der Internetzugang bestimmbar, aber nicht welcher Rechner.

Bei Windows ist die "Privacy Extension" die Grundeinstellung.

Bei Mac OS X muss man sie im Terminal durch Eingabe eines einzigen Befehls aktivieren:
Code:
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
Der Befehl sudo fragt nach Ihrem Passwort und führt dann den Befehl sysctl als Administrator (su = super user) aus. Sie müssen dazu als Benutzer, der den Mac verwalten darf, angemeldet sein.
Achtung: Dieser Befehl muss entweder bei jedem Start ausgeführt werden oder sie schreiben die Zeile
Code:
net.inet6.ip6.use_tempaddr=1
in die Datei /etc/sysctl.conf , welche ggf. neu zu erstellen ist. Wichtig auch hier: Sie benötigen Adminrechte:
Code:
sudo vi /etc/sysctl.conf
Nach einem Neustart ist dieser Mechanismus aktiv und generiert bei jedem Start eine neue IPv6-Adresse.
Links dazu:
Unter Linux muss man die "Privacy Extension" auch erst aktivieren:

Dazu kann man z.B. folgendes machen:
Code:
sudo sysctl net.ipv6.conf.eth0.use_tempaddr=2
sudo ip link set dev eth0 down
sudo ip link set dev eth0 up

Man könnte auch in der Datei /etc/sysctl.conf folgende Einträge ändern / neu anlegen z.B.:
Code:
net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.all.temp_valid_lft = 900
net.ipv6.conf.default.use_tempaddr = 2
net.ipv6.conf.default.temp_valid_lft = 900
net.ipv6.conf.ethX.use_tempaddr = 2
net.ipv6.conf.ethX.temp_valid_lft = 900
Der Eintrag net.ipv6.conf.ethX... muss nur geändert werden, falls nicht vorhanden, muss auch kein Eintrag angelegt werden und ethX steht natürlich für eth0, eth1, ... oder wie auch immer die Netzwerkkarte heißt.

Ein
Code:
echo "2" > /proc/sys/net/ipv6/conf/all/use_tempaddr
sollte auch funktionieren, genauso wie ein Aufruf über /etc/udev/rules.d/70-persistent-net.rules
Code:
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*",
   ATTR{dev_id}=="0x0", ATTR{type}=="1", KERNEL=="eth*",
   RUN+="sysctl net.ipv6.conf.%k.use_tempaddr=2"
Links zum Thema IPv6 Privacy Extension unter Debian, Ubuntu, OpenSuSE, ... : ]]>
Die Antwort ist - ja. Schon 2001 wurde die "Privacy Extension" als RFC 3041 vorgeschlagen und 2007 in RFC 4941 überarbeitet.

Dabei geht es darum die IP - Adresse bei der automatischen Vergabe pseudozufällig zu generieren (d.h. i.d.R. den Großteil der 2. Hälfte der Adresse) und dadurch das tatsächliche Endgerät anonym zu halten.
Es entspricht, meiner Ansicht nach, ungefähr dem Anonymisierungsmechanismus von NAT. Gleich wie unter IPv4 ist zwar das Netzwerk - oder vereinfacht - der Internetzugang bestimmbar, aber nicht welcher Rechner.

Bei Windows ist die "Privacy Extension" die Grundeinstellung.

Bei Mac OS X muss man sie im Terminal durch Eingabe eines einzigen Befehls aktivieren:
Code:
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
Der Befehl sudo fragt nach Ihrem Passwort und führt dann den Befehl sysctl als Administrator (su = super user) aus. Sie müssen dazu als Benutzer, der den Mac verwalten darf, angemeldet sein.
Achtung: Dieser Befehl muss entweder bei jedem Start ausgeführt werden oder sie schreiben die Zeile
Code:
net.inet6.ip6.use_tempaddr=1
in die Datei /etc/sysctl.conf , welche ggf. neu zu erstellen ist. Wichtig auch hier: Sie benötigen Adminrechte:
Code:
sudo vi /etc/sysctl.conf
Nach einem Neustart ist dieser Mechanismus aktiv und generiert bei jedem Start eine neue IPv6-Adresse.
Links dazu:
Unter Linux muss man die "Privacy Extension" auch erst aktivieren:

Dazu kann man z.B. folgendes machen:
Code:
sudo sysctl net.ipv6.conf.eth0.use_tempaddr=2
sudo ip link set dev eth0 down
sudo ip link set dev eth0 up

Man könnte auch in der Datei /etc/sysctl.conf folgende Einträge ändern / neu anlegen z.B.:
Code:
net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.all.temp_valid_lft = 900
net.ipv6.conf.default.use_tempaddr = 2
net.ipv6.conf.default.temp_valid_lft = 900
net.ipv6.conf.ethX.use_tempaddr = 2
net.ipv6.conf.ethX.temp_valid_lft = 900
Der Eintrag net.ipv6.conf.ethX... muss nur geändert werden, falls nicht vorhanden, muss auch kein Eintrag angelegt werden und ethX steht natürlich für eth0, eth1, ... oder wie auch immer die Netzwerkkarte heißt.

Ein
Code:
echo "2" > /proc/sys/net/ipv6/conf/all/use_tempaddr
sollte auch funktionieren, genauso wie ein Aufruf über /etc/udev/rules.d/70-persistent-net.rules
Code:
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*",
   ATTR{dev_id}=="0x0", ATTR{type}=="1", KERNEL=="eth*",
   RUN+="sysctl net.ipv6.conf.%k.use_tempaddr=2"
Links zum Thema IPv6 Privacy Extension unter Debian, Ubuntu, OpenSuSE, ... : ]]> <![CDATA[Auf welche Art bezieht ihr eure IPv6 Adressen?]]> http://www.ipv6-forum.com/forum/showthread.php?tid=15 Tue, 28 Dec 2010 18:24:23 +0000 http://www.ipv6-forum.com/forum/showthread.php?tid=15
Was verwendet ihr?]]>
Was verwendet ihr?]]>