Logo von Netze

Suche
Reiko Kaps 134

OpenWRT würfelt IPv6-Präfixe

Tarnkappe für IPv6-Surfer

Obwohl noch kein großer Internet-Provider derzeit IPv6 an Privatkunden verteilt, sorgen sich schon Datenschützer und Surfer um die Privatsphäre. Der gewiefte IPv6-Pionier verschleiert seine Identität mit OpenWRT, das IPv6-Netzwerkpräfixe per Zufall auswählt und einrichtet.

Während sich die ersten großen Internet- Provider noch darauf vorbereiten, ihren Privatkunden Internet per IPv6 bereitzustellen, warnen Datenschützer vor einem drohenden Eingriff in die Privatsphäre, den das künftige Internetprotokoll IPv6 durch die dauerhafte Vergabe fester IPv6-Adressen/Präfixe mit sich bringe.

Anzeige

Eine IPv6-Adresse besteht aus zwei 64 Bit langen Bestandteilen: Der hintere heißt Interface Identifier. Den vorderen nennt man Präfix: Er wird vom Provider zugewiesen und vom eigenen Router an die Geräte im LAN weitergereicht. Den Interface Identifier erzeugen Netzwerkgeräte in der Regel selbst und verknüpfen ihn mit dem Präfix zu einer vollständigen IPv6-Adresse, die für den Internetzugriff taugt (Stateless Address Autoconfiguration).

Damit ein Host nicht an seinem Interface Identifier zu erkennen ist, erzeugen Netzwerkgeräte mit den "Privacy Extensions" (PE) regelmäßig und zufällig neue – in manchen Betriebssystemen wie Linux muss man die PE jedoch selbst einschalten. Mit aktiven Privacy Extensions taugt der Interface Identifier nicht mehr zur Identifizierung, ohne PE erkennt man IPv6-Rechner leicht an der eingeschobenen Ziffernfolge "ff:fe". Windows wechselt den per PE erzeugten temporären Interface Identifier übrigens erst dann, wenn tatsächlich Verkehr über die Netzwerkkarte läuft.

Das vom Provider zugewiesene Präfix sagt jedoch genauso viel oder wenig über den User aus wie bisher die IPv4-Adresse, denn es identifiziert den Internetanschluss. Um beim Präfix für mehr Privatsphäre zu sorgen, hat die Telekom zwei Verfahren angekündigt, um auch hier zu variieren. Zum einen soll der Kunde über einen Knopf im Online-Kundencenter ein neues Präfix anfordern können. Das entspricht dann einer Neueinwahl bei IPv4. Zudem sollen die IPv6-tauglichen Speedport-Router innerhalb des zugeteilten Präfixes variieren. Dazu teilt sie dem Router ein nur 56 Bit langes Präfix mit, der dann daraus ein 64 Bit langes erzeugt und es den PCs mitteilt. Die 8 nicht zugeteilten Bits variiert der Router. Datenschützer loben zwar einerseits diese Bemühungen der Telekom, auf der anderen Seite kritisieren sie das recht lange /56-Netzwerkpräfix, das vom europäischen Adressverwalter RIPE als Standardlänge für Einwahlzugänge vorgeschlagen wurde. Tracking-Software wird sich daher auf diese Präfixlänge stürzen. Andere IPv6-Zugangsanbieter verteilen hingegen /48-Präfixe, deren freie 16 Bit solche Analysen deutlicher erschweren.

Auf handelsüblichen Heim-Routern lassen sich diese IPv6-Privacy-Mechanismen meist leider nicht nachbauen. So beherrschen die allermeisten derzeit noch kein IPv6, andere wie AVMs Fritzboxen lassen sich vom Nutzer nur schwer erweitern. Anders sieht es beim Router-Linux OpenWRT aus: Es bringt diverse (IPv6-)Tools sowie Skriptsprachen mit, mit deren Hilfe sich leicht ein zufälliges Präfix erzeugen lässt und die beim automatischen Verteilen im eigenen Netz helfen.

Der Router muss dazu aus den frei verfügbaren Bits eine Subnetzkennung würfeln, sie mit dem vom Provider zugewiesenen Präfix verbinden und ausschließen, dass dieses neue Präfix in der näheren Vergangenheit bereits genutzt wurde. Will man zusätzlich eigene Dienste anbieten, reserviert man ein Subnetz und vergibt auf Router und PCs die (sinnvollerweise statischen) IPv6-Adressen per Hand. Bevor man sich jedoch an die Details des Skripts macht, lohnt ein Blick auf die IPv6-Interna und Spezifikationen, die bei der Wahl der Einstellungen und Vorgaben helfen.

134 Kommentare

Themen:

  1. Router-Software: OpenWRT bekommt native IPv6-Unterstützung

    OpenWRT-Logo

    Das Open-Source-Routerbetriebssystem hat nicht nur beim neuen Internet-Protokoll dazugelernt, sondern wurde durchweg erneuert. Die aktuelle Vorabversion 14.07RC1 unterstützt sogar noch den namengebenden WRT54G.

  2. Subnetze mit SixXS

    Ich habe mir einen IPv6-Tunnel bei SixXS eingerichtet. Der funktioniert auch schon, der Linux-Rechner hat Internetzugang per IPv6. Mit einem Subnetz möchte ich nun auch andere Hosts im LAN versorgen. Muss ich tatsächlich noch warten, bis der laufende Tunnel genügend Kredit (ISK) gesammelt hat, damit ich das beantragen kann?

  3. Taschenrouter als IPv6-Verteiler

    Der handtellerkleine Router TL-MR3020 von TP-Link kostet keine 30 Euro und lässt sich per USB mit Energie versorgen. Damit ist er prädestiniert, als IPv6-Gateway einem Router unter die Arme zu greifen, der selbst noch kein IPv6 versteht oder keines vom Provider bekommt. Die Aufgabe ist mit einer alternativen Firmware und etwas Handarbeit in einer Stunde erledigt.

Anzeige