Sur mon Mac, chaque adresse IPv6 inclut l'adresse MAC d'un ordinateur spécifique (et non de mon routeur). Des sites tels que ipv6-test.com non seulement le montrent, mais me disent même qu'il appartient à un ordinateur Apple.
Cela ressemble à un super cookie et pourrait également s’appliquer à d’autres systèmes d’exploitation. Comment puis-je éviter que mes adresses MAC soient exposées?
Fond: l'adresse MAC n'est pas en vue . Comme pour 2001:0db8:1:2:60:8ff:fe52:f9d8
:
- Prenez les 64 derniers bits (l'identifiant hôte) et ajouter des zéros à gauche:
0060:08ff:fe52:f9d8
. - Dénudez la
ff:fe
partie du milieu. Si ces octets ne sont pas là, il n'y a pas d'adresse MAC. - Pour le premier octet: complétez le deuxième bit de poids faible (le bit universel / local; si le bit est un 1, définissez-le sur 0, et si c'est un 0, définissez-le sur 1). Donc:
0x00
(00000000) devient0x02
(00000010). - Presto:
60:8ff:fe52:f9d8
traduit en adresse MAC02:60:08:52:f9:d8
.
Remarque: depuis macOS 10.12 Sierra, selon Ars Technica, Apple a adopté un nouveau moyen de générer des adresses stables qui ne sont pas basées sur une adresse MAC , ce que Windows faisait apparemment depuis des années.
Cette question était une question de super utilisateur de la semaine .
Lisez l' entrée du blog pour plus de détails ou contribuez vous-même au blog
la source
.stack
devraient être re-téléchargées ...?Réponses:
Ceci est résolu par deux extensions IPv6:
Au moins une, mais de plus en plus les deux méthodes sont pris en charge par les systèmes d'exploitation.
Notez que ces fonctionnalités sont orthogonales. Vous pouvez utiliser les deux en même temps, si vous voulez.
Adresses privées stables
Dans certains systèmes d'exploitation, l'adresse MAC (EUI-48) n'est tout simplement plus utilisée pour les identificateurs d'interface. À la place, un identifiant aléatoire ou basé sur un hachage est utilisé, généralement conformément à la RFC 7217.
Windows utilise par défaut un modèle personnalisé commençant par Windows Vista.
Pour vérifier si la fonctionnalité est active, exécutez une commande PowerShell:
Pour activer / désactiver la fonctionnalité:
Linux (NetworkManager) prend en charge la RFC 7217 à partir de NetworkManager version 1.2.0, en utilisant l'identifiant UUID du profil de connexion dans la graine. Cette fonctionnalité est active par défaut dans les versions récentes de NM.
Pour activer ou désactiver cette fonctionnalité:
Linux (noyau SLAAC) prend en charge la RFC 7217 à partir de la version 4.1.0 du noyau; cependant, il doit être activé manuellement en stockant la graine secrète via sysctl.
La clé secrète est une chaîne hexadécimale de 128 bits (en forme d'adresse IPv6), qui doit être stockée dans le
net.ipv6.conf.default.stable_secret
sysctl. Pour le rendre persistant, il peut être inséré/etc/sysctl.d/50-rfc7217.conf
ou similaire:La définition du secret active automatiquement ce mode pour toutes les interfaces réseau. Pour vérifier si la fonctionnalité est active, recherchez "addrgenmode stable_secret" dans
ip -d link
ou la valeur "2" danssysctl net.ipv6.conf.<ifname>.addr_gen_mode
.Adresses privées temporaires
Comme défini dans la RFC 4941, les adresses de confidentialité temporaires sont générées aléatoirement et pivotées toutes les quelques heures.
Windows prend en charge les adresses temporaires à partir de Windows XP SP2.
Pour activer / désactiver cette fonctionnalité:
Notez que Windows n'utilise plus les adresses principales basées sur les adresses MAC à partir de Windows Vista.
Linux (NetworkManager) : les versions récentes de NetworkManager gèrent l'autorité d'enregistrement de manière autonome, bien que les deux valeurs ci-dessous aient des significations identiques à celles de sysctl (2 = adresse préférentielle, 1 = adresse principale):
En outre, à partir de la version 1.2.0, un meilleur mode est devenu disponible, ce qui modifie l' adresse principale pour qu'elle ne soit plus basée sur MAC, mais unique pour chaque réseau (RFC 7217):
(Notez que l'adressage de confidentialité est orthogonal au mode addr-gen; il est possible d'utiliser les deux.)
Note secondaire: À partir de la version 1.4.0, NM permet également de randomiser l'adresse MAC elle-même. Définissez l'option
wifi.cloned-mac-address
pourstable
avoir un MAC différent pour chaque réseau (recommandé) ourandom
pour le rendre aléatoire pour chaque connexion (peut causer des problèmes).Dans tous les cas, il
<name>
doit s'agir du nom de la connexion, par exemple WiFi SSID ou"Wired Connection 1"
. Utiliseznmcli con
pour lister tout.Pour en faire la valeur par défaut pour les nouvelles connexions, à partir de la version 1.2.0, vous pouvez modifier
/etc/NetworkManager/NetworkManager.conf
:Linux (noyau SLAAC) prend en charge les adresses temporaires, mais ne les utilise pas par défaut. Ils peuvent être activés via sysctls.
Pour activer les adresses temporaires et les privilégier pour les connexions sortantes:
Pour activer la génération d'adresses temporaires tout en conservant l'adresse statique SLAAC:
La
all
oudefault
partie peut être remplacée par un nom d'interface spécifique; par exemplenet.ipv6.conf.eth0.use_tempaddr
.(J'avais l'habitude
ip link set eth0 down && ip link set eth0 up
de forcer une affectation d'adresse, mais vous pouvez également exécuterrdisc6 eth0
ou attendre quelques minutes pour la prochaine publication périodique du routeur.)Mac OS X - activé par défaut depuis OS X 10.7 Lion:
Les adresses temporaires, si activées, seront préférées.
FreeBSD :
NetBSD :
Préférence d'adresses temporaires? Je n'ai aucune idée. L'adresse autoconf semble être préférée.
ifconfig
ne semble pas lister les propriétés de l'adresse.OpenBSD - support ajouté en 5.2 ; activé et préféré par défaut en 5.3 .
ifconfig
affiche "autoconfpracy" à côté des adresses temporaires.Remarques sur la configuration:
Sous Linux, OS X et tous les BSD, éditez
/etc/sysctl.conf
pour rendre le paramètre permanent.Sous Windows, les modifications persisteront automatiquement. (Vous pouvez ajouter
store=active
à lanetsh
commande si vous voulez qu'elle ne dure que jusqu'au redémarrage.)Partiellement basé sur les systèmes d'exploitation IPv6 sur IPv6INT.net. Voir aussi Notes générales sur IPv6
Si l'adresse matérielle est utilisée dans l'adresse IPv6, cela signifie généralement que votre réseau utilise la configuration automatique sans état IPv6. Dans ce cas, vous pouvez simplement choisir votre propre suffixe d'adresse et configurer IPv6 manuellement.
Cependant, même si l'adresse ajoutée manuellement ne contiendra pas vos informations matérielles, celles-ci resteront statiques (contrairement à Privacy Addressing, qui change d'adresse de temps en temps). De plus, les adresses statiques peuvent être pénibles dans un réseau de plus de 2-3 appareils.
la source
ifconfig
. Les connexions sortantes utilisent l'autoconf temporary
adresse aléatoire , qui change de temps en temps. Bien! Mais pour les connexions entrantes (quand ouvert dans mon routeur), je peux toujours utiliser l'autoconf
adresse. Cela ne me dérange pas d’exposer cela dans les enregistrements DNS (même si je pourrais peut-être même choisir une autre adresse pour cela aussi).de4d:b33f
ne sont pas si mauvaises pour la mémorisation; de plus, ils sont mis en place par leur propriétaire, alors que leswhois
spams sont a) gênants et b) causés par des tiers qui ne contrôlent pas votre domaine.ip a
pourpreferred_lft
. Ainsi, lesssh
connexions se briseront toutes les 40 si vous activez cette fonctionnalité. Il n'est même pas utilisable par les internautes normaux, car chaque téléchargement doit être terminé dans les 40 ans.Pour votre information, cela ne s'applique qu'à certains schémas d'adressage IP. Il est plus que probable que vous (ou votre fournisseur de services Internet) utilisez la configuration automatique IPv6, qui nécessite un bloc d’adresses IP assez volumineux. La solution pourrait être de désactiver cette fonctionnalité. Votre fournisseur de services Internet peut également utiliser DHCP pour attribuer des adresses, ce qui est encore possible avec IPv6.
la source
/56
: "Les FAI qui vous en distribuent un seul/64
vous empêchent de créer des sous-réseaux. Si cela se/64
trouve sur l’interface WAN, vous n’obtiendrez jamais d’IPv6 correct sur votre (vos) réseau (s) LAN. la faute des FAI et ils devraient résoudre ce problème en donnant une quantité décente (/48
ou/56
) d'adresses. "