Como evitar a exposição do meu endereço MAC ao usar o IPv6?

Nos meus Macs, cada endereço IPv6 inclui o endereço MAC de um computador específico ( não do meu roteador). Sites como o ipv6-test.com não apenas o mostram, mas até me dizem que pertence a um computador Apple.

Parece um super cookie e pode se aplicar a outros sistemas operacionais também. Como evitar que meus endereços MAC sejam expostos?

Antecedentes: o endereço MAC não está à vista . Como para 2001:0db8:1:2:60:8ff:fe52:f9d8:

• Pegue os últimos 64 bits (o identificador de host) e adicionar zeros à esquerda: 0060:08ff:fe52:f9d8.
• Tira a ff:feparte do meio. Se esses bytes não estão lá, então não há endereço MAC.
• Para o primeiro byte: complemente o segundo bit de baixa ordem (o bit universal / local; se o bit for 1, faça-o 0 e, se for 0, faça-o 1). Então: 0x00(00000000) se torna 0x02(00000010).
• Presto: 60:8ff:fe52:f9d8traduz de volta para o endereço MAC 02:60:08:52:f9:d8.

Nota: desde o macOS 10.12 Sierra, de acordo com a Ars Technica, a Apple adotou uma nova maneira de gerar endereços estáveis ​​que não são baseados em um endereço MAC , o que aparentemente o Windows já fazia há anos.

Esta pergunta foi uma pergunta da semana para superusuários .
Leia a entrada do blog para obter mais detalhes ou contribua com o blog você mesmo

Isso é resolvido por duas extensões ao IPv6:

• A RFC 4941, também conhecida como "Endereço de Privacidade", permite que as conexões de saída usem endereços temporários gerados aleatoriamente (que são alternados a cada poucas horas).
• O RFC 7217 permite que o endereço estático primário seja gerado a partir de um hash opaco que não revela nenhuma informação.

Pelo menos um, mas cada vez mais, ambos os métodos são suportados por sistemas operacionais populares.

Observe que esses recursos são ortogonais. Você pode usar os dois ao mesmo tempo, se quiser.

Endereços privados estáveis

Em alguns sistemas operacionais, o endereço MAC (EUI-48) simplesmente não é mais usado para identificadores de interface. Em vez disso, é utilizado um identificador aleatório ou baseado em hash, geralmente de acordo com a RFC 7217.

• Por padrão, o Windows usa um esquema personalizado a partir do Windows Vista.

  Para verificar se o recurso está ativo, execute um comando do PowerShell:

  Get-NetIPv6Protocol | fl RandomizeIdentifiers
  

  Para ativar / desativar o recurso:

  Set-NetIPv6Protocol -RandomizeIdentifiers Enabled
  Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
  

• O Linux (NetworkManager) suporta RFC 7217 a partir do NetworkManager v1.2.0, usando o UUID do perfil de conexão como parte da semente. Esse recurso está ativo por padrão nas versões recentes do NM.

  Para ativar ou desativar esse recurso:

  nmcli con modify "<profilename>" ipv6.addr-gen-mode stable-privacy
  nmcli con modify "<profilename>" ipv6.addr-gen-mode eui64
  

• O Linux (kernel SLAAC) suporta RFC 7217 a partir do kernel v4.1.0; no entanto, ele deve ser ativado manualmente, armazenando a semente secreta via sysctl.

  A chave secreta é uma cadeia hexadecimal de 128 bits (com o formato de um endereço IPv6), que deve ser armazenada no net.ipv6.conf.default.stable_secretsysctl. Para torná-lo persistente, ele pode ser colocado /etc/sysctl.d/50-rfc7217.confou similar:

  net.ipv6.conf.default.stable_secret = 84a0:d5aa:52b0:4d35:k567:3aa6:7af5:474c
  

  Definir o segredo ativa automaticamente esse modo para todas as interfaces de rede. Para verificar se o recurso está ativo, procure por "addrgenmode stable_secret" em ip -d linkou o valor "2" em sysctl net.ipv6.conf.<ifname>.addr_gen_mode.

Endereços privados temporários

Conforme definido na RFC 4941, os endereços de privacidade temporários são gerados aleatoriamente e alternados a cada poucas horas.

• O Windows suporta endereços temporários a partir do Windows XP SP2.

  Para ativar / desativar esse recurso:

  netsh interface ipv6 set privacy state=enabled
  netsh interface ipv6 set privacy state=disabled
  

  Observe que o Windows não usa mais endereços principais baseados em endereço MAC, começando no Windows Vista.

• Linux (NetworkManager) : as versões recentes do NetworkManager gerenciam RA por conta própria, embora os dois valores abaixo tenham significados idênticos aos do sysctl (2 = preferem o endereço de privacidade, 1 = preferem o endereço principal):

   nmcli con modify <name> ipv6.ip6-privacy 2
  

  Além disso, a partir da versão 1.2.0, tornou-se disponível um modo melhor, que altera o endereço principal para não ser mais baseado em MAC, mas exclusivo para todas as redes (RFC 7217):

  (Observe que o endereçamento de privacidade é ortogonal ao modo addr-gen; é possível usar os dois.)

  Nota lateral: A partir do 1.4.0, o NM também permite aleatoriamente o próprio endereço MAC. Defina wifi.cloned-mac-addresspara stableter um MAC diferente para cada rede (recomendado) ou randompara randomizá-lo para cada conexão (pode causar problemas).

  Em todos os casos, <name>deve ser o nome da conexão, por exemplo, WiFi SSID ou "Wired Connection 1". Use nmcli conpara listar tudo.

  Para tornar isso o padrão para novas conexões, a partir da versão 1.2.0, você pode alterar /etc/NetworkManager/NetworkManager.conf:

   [connection]
   ipv6.addr-gen-mode=stable-privacy
   wifi.cloned-mac-address=stable
  

• O Linux (kernel SLAAC) suporta endereços temporários, mas não os usa por padrão. Eles podem ser ativados através de sysctls.

  Para habilitar endereços temporários e torná-los preferidos para conexões de saída:

   sysctl net.ipv6.conf.all.use_tempaddr=2
   sysctl net.ipv6.conf.default.use_tempaddr=2
  

  Para habilitar a geração temporária de endereços, mas mantenha o endereço SLAAC estático como preferencial:

   sysctl net.ipv6.conf.all.use_tempaddr=1
   sysctl net.ipv6.conf.default.use_tempaddr=1
  

  A peça allou defaultpode ser substituída por um nome de interface específico; por exemplo net.ipv6.conf.eth0.use_tempaddr.

  (Eu costumava ip link set eth0 down && ip link set eth0 upforçar uma atribuição de endereço, mas você também pode executar rdisc6 eth0ou esperar alguns minutos pelo próximo anúncio periódico de roteador.)

• Mac OS X - ativado por padrão desde o OS X 10.7 Lion:

   sysctl -w net.inet6.ip6.use_tempaddr=1
  

  Endereços temporários, se ativados, serão preferidos.

• FreeBSD :

   sysctl net.inet6.ip6.use_tempaddr=1
  
   sysctl net.inet6.ip6.prefer_tempaddr=1
  

• NetBSD :

   sysctl -w net.inet6.ip6.use_tempaddr=1
  

  Preferência de endereços temporários? Eu não faço ideia. O endereço de autoconf parece ser o preferido. ifconfignão parece listar nenhuma propriedade de endereço.

• OpenBSD - suporte adicionado no 5.2 ; ativado e preferido por padrão no 5.3 .

   ifconfig em0 autoconfprivacy
  

  ifconfig mostra "autoconficiência" ao lado de endereços temporários.

Notas sobre configuração:

• No Linux, OS X e todos os BSDs, edite /etc/sysctl.confpara tornar a configuração permanente.

• No Windows, as alterações persistirão automaticamente. (Você pode anexar store=activeao netshcomando se quiser que ele dure apenas até a reinicialização.)

Parcialmente baseado em sistemas operacionais IPv6 em IPv6INT.net. Veja também Notas gerais sobre IPv6

Se o endereço de hardware for usado no endereço IPv6, geralmente significa que sua rede usa a Configuração automática sem estado IPv6. Nesse caso, você pode simplesmente escolher seu próprio sufixo de endereço e configurar o IPv6 manualmente.

No entanto, mesmo que o endereço adicionado manualmente não tenha suas informações de hardware, ele continuará estático (diferente do Endereço de Privacidade, que altera os endereços de vez em quando). Além disso, endereços estáticos podem ser um problema em uma rede maior que 2-3 dispositivos.

Para sua informação, isso se aplica apenas a certos esquemas de endereçamento IP. É mais provável que você (ou seu ISP) esteja usando a configuração automática do IPv6, o que exige um bloco bastante grande de IPs para ser realizado em primeiro lugar. A solução poderia ser desativar esse recurso. Seu ISP também pode usar o DHCP para atribuir endereços, o que ainda é possível com o IPv6.