OpenWRT würfelt IPv6-Präfixe

Obwohl noch kein großer Internet-Provider derzeit IPv6 an Privatkunden verteilt, sorgen sich schon Datenschützer und Surfer um die Privatsphäre. Der gewiefte IPv6-Pionier verschleiert seine Identität mit OpenWRT, das IPv6-Netzwerkpräfixe per Zufall auswählt und einrichtet.

In Pocket speichern vorlesen Druckansicht 140 Kommentare lesen
Lesezeit: 13 Min.
Von
  • Reiko Kaps
Inhaltsverzeichnis

Während sich die ersten großen Internet- Provider noch darauf vorbereiten, ihren Privatkunden Internet per IPv6 bereitzustellen, warnen Datenschützer vor einem drohenden Eingriff in die Privatsphäre, den das künftige Internetprotokoll IPv6 durch die dauerhafte Vergabe fester IPv6-Adressen/Präfixe mit sich bringe.

Eine IPv6-Adresse besteht aus zwei 64 Bit langen Bestandteilen: Der hintere heißt Interface Identifier. Den vorderen nennt man Präfix: Er wird vom Provider zugewiesen und vom eigenen Router an die Geräte im LAN weitergereicht. Den Interface Identifier erzeugen Netzwerkgeräte in der Regel selbst und verknüpfen ihn mit dem Präfix zu einer vollständigen IPv6-Adresse, die für den Internetzugriff taugt (Stateless Address Autoconfiguration).

Damit ein Host nicht an seinem Interface Identifier zu erkennen ist, erzeugen Netzwerkgeräte mit den "Privacy Extensions" (PE) regelmäßig und zufällig neue – in manchen Betriebssystemen wie Linux muss man die PE jedoch selbst einschalten. Mit aktiven Privacy Extensions taugt der Interface Identifier nicht mehr zur Identifizierung, ohne PE erkennt man IPv6-Rechner leicht an der eingeschobenen Ziffernfolge "ff:fe". Windows wechselt den per PE erzeugten temporären Interface Identifier übrigens erst dann, wenn tatsächlich Verkehr über die Netzwerkkarte läuft.

Das vom Provider zugewiesene Präfix sagt jedoch genauso viel oder wenig über den User aus wie bisher die IPv4-Adresse, denn es identifiziert den Internetanschluss. Um beim Präfix für mehr Privatsphäre zu sorgen, hat die Telekom zwei Verfahren angekündigt, um auch hier zu variieren. Zum einen soll der Kunde über einen Knopf im Online-Kundencenter ein neues Präfix anfordern können. Das entspricht dann einer Neueinwahl bei IPv4. Zudem sollen die IPv6-tauglichen Speedport-Router innerhalb des zugeteilten Präfixes variieren. Dazu teilt sie dem Router ein nur 56 Bit langes Präfix mit, der dann daraus ein 64 Bit langes erzeugt und es den PCs mitteilt. Die 8 nicht zugeteilten Bits variiert der Router. Datenschützer loben zwar einerseits diese Bemühungen der Telekom, auf der anderen Seite kritisieren sie das recht lange /56-Netzwerkpräfix, das vom europäischen Adressverwalter RIPE als Standardlänge für Einwahlzugänge vorgeschlagen wurde. Tracking-Software wird sich daher auf diese Präfixlänge stürzen. Andere IPv6-Zugangsanbieter verteilen hingegen /48-Präfixe, deren freie 16 Bit solche Analysen deutlicher erschweren.

Auf handelsüblichen Heim-Routern lassen sich diese IPv6-Privacy-Mechanismen meist leider nicht nachbauen. So beherrschen die allermeisten derzeit noch kein IPv6, andere wie AVMs Fritzboxen lassen sich vom Nutzer nur schwer erweitern. Anders sieht es beim Router-Linux OpenWRT aus: Es bringt diverse (IPv6-)Tools sowie Skriptsprachen mit, mit deren Hilfe sich leicht ein zufälliges Präfix erzeugen lässt und die beim automatischen Verteilen im eigenen Netz helfen.

Der Router muss dazu aus den frei verfügbaren Bits eine Subnetzkennung würfeln, sie mit dem vom Provider zugewiesenen Präfix verbinden und ausschließen, dass dieses neue Präfix in der näheren Vergangenheit bereits genutzt wurde. Will man zusätzlich eigene Dienste anbieten, reserviert man ein Subnetz und vergibt auf Router und PCs die (sinnvollerweise statischen) IPv6-Adressen per Hand. Bevor man sich jedoch an die Details des Skripts macht, lohnt ein Blick auf die IPv6-Interna und Spezifikationen, die bei der Wahl der Einstellungen und Vorgaben helfen.