Unter IPv4 bekommt man in der Regel eine dynamische IP-Adresse, die sich mindestens einmal am Tag ändert. Unter IPv6 soll das nicht so sein. Die Deutsche Telekom will mit der Einführung von IPv6 die Zwangstrennung abschaffen. Das heißt, die IP-Adressen bleiben mindestens so lange fix, bis der Router neu gestartet wird. Die IPv6-Adresse soll sich auch nach kurzer Trennung, etwa einer Stunde, normalerweise nicht ändern.
Das ermöglicht einem Websitebetreiber, einen Benutzer wiederzuerkennen. Wer beispielsweise in einem Webshop einkauft und Namen und Lieferadresse angibt, kann bei einem zweiten Besuch, bei dem man sich nur unverbindlich informieren möchte, identifiziert werden, auch wenn man sich nicht anmeldet.
Weiter ist problematisch, dass eine IPv6-Adresse aus zwei Teilen besteht. In der Standardkonfiguration werden die ersten 64 Bit der Adresse vom Provider vorgegeben (Netzadresse), die zweiten 64 Bit legt das Endgerät selber fest (Hostadresse). Dabei wird normalerweise die MAC-Adresse verwendet.
Um einen Nutzer wiederzuerkennen, reicht die Netzadresse oder die Hostadresse aus. Selbst wenn der Provider über einen Mechanismus erlaubt, die Netzadresse zu ändern, bleibt die Hostadresse in der Regel konstant.
Die Deutsche Telekom wird ihre eigenen Router mit einem Privacy-Button ausstatten. Sobald er gedrückt wird, bekommt der Nutzer eine neue Netzadresse. Damit das funktioniert, müssen das sowohl Router als auch Provider unterstützen. Hier sollten sich alle Routerhersteller und Provider auf einen gemeinsamen Standard einigen.
IPv6 Privacy Extensions
Damit man nicht an der Hostadresse wiedererkannt wird, bietet IPv6 das Konzept der temporären Adresse (Privacy Extensions). Dabei erhält ein Gerät mindestens zwei IPv6-Adressen, eine aus der MAC-Adresse abgeleitete und eine zufällige. Für ausgehende Verbindungen wird die zufällige Adresse genutzt, die sich regelmäßig ändert, etwa einmal pro Stunde, so dass man anhand der Hostadresse nicht identifiziert werden kann. Das Endgerät bleibt aber mit der aus der MAC-Adresse abgeleiteten IPv6-Adresse von außen erreichbar.
Unter Windows ab XP sowie Mac OS X ab Lion und iOS ab Version 4.3 ist dieses Konzept bereits standardmäßig aktiviert. Eine manuelle Deaktivierung ist etwa dann sinnvoll, wenn man sich über eine bestimmte IPv6-Adresse identifizieren muss. Das geht unter Windows mit dem Befehl netsh int ipv6 set privacy state=disabled. Fügt man noch store=persistent an, bleibt die Einstellung auch nach einem Reboot erhalten.
Bei den meisten anderen Betriebssystemen müssen die Privacy Extensions erst aktiviert werden. Bei iOS und Android ist dazu ein Jailbreak beziehungsweise Rooten erforderlich.
Unter Linux lassen sich die Privacy Extensions mit sudo sysctl -w net.ipv6.conf.<XXX>.use_tempaddr=2 aktivieren. <XXX> ist dabei durch das jeweilige Interface wie eth0 oder wlan0 zu ersetzen. Der Vorgang muss für alle Interfaces durchgeführt werden. Man kann die Einstellung permanent machen, indem man sie in die Datei /etc/sysctl.conf einträgt. Unter Android geht es genauso, aber nur wenn man Root-Rechte besitzt und Shell-Zugang hat.
Unter Mac OS X und iOS mit Jailbreak verwendet man den Befehl sudo sysctl -w net.inet6.ip6.use_tempaddr=1. Das ist eine globale Einstellung für alle Netzwerkinterfaces, die aber nach jedem Reboot wiederholt werden muss. Ein Eintrag in /etc/sysctl.conf ist möglich.
Weder die Privacy Extensions noch die Änderung der Netzadresse schützen natürlich vor anderen Wiederkennungstechniken wie Cookies oder dem digitalen Fingerabdruck im Browser. Auch auf die Praxis vieler Provider, den Anschlussinhaber auf einen Gerichtsbeschluss zu nennen, beispielsweise bei Filesharing-Abmahnungen, hat der Adresswechsel keinen Einfluss. Vorerst ist es allerdings so, dass es noch keine "gerichtsfeste" P2P-Schnüffelsoftware gibt, die IPv6 unterstützt.
Datenschutz versus Erreichbarkeit
Verbessert man seinen Datenschutz, indem man Netz- und Hostteil seiner IPv6-Adresse häufig wechselt, kann man seine Rechner und Geräte zu Hause natürlich nicht auf einfache Weise erreichen.
Die Privacy Extensions mit der zusätzlichen temporären IPv6-Adresse, die bei ausgehenden Verbindungen verwendet wird, sind für den Hostteil eine perfekte Lösung. Über die zweite, feste IPv6-Adresse ist die Erreichbarkeit gewährleistet. Die feste Hostadresse wird beim Besuch einer Website nicht preisgegeben.
Ändert sich die Netzadresse, kommt man von außen nicht mehr an seine Geräte. Hier könnte DynDNS helfen. Obwohl einige DynDNS-Dienste, etwa dyn.com, grundsätzlich IPv6 unterstützen, ist die Realisierung nicht optimal. Es fehlt eine Möglichkeit, den Netzteil einer Adresse zu ändern, während die Hostteile konstant bleiben. Dann könnte bei einem Adresswechsel ein Client auf dem Router die Netzadresse ändern und alle Geräte wären wieder erreichbar.
Mit der heutigen Realisierung müsste jedes Endgerät seine IPv6-Adresse selbst komplett ändern. Da aber viele Consumergeräte das nicht unterstützen, ist ohne Unterstützung der DynDNS-Dienste nichts zu machen. Es bleibt zu hoffen, dass sich das in Zukunft ändern wird.
Neueste Kommentare
4 Kommentare zu World IPv6 Launch am 6. Juni: Was Nutzer beachten müssen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
nix verstanden
der Artikel war so umfassend und so undeutig, ich hab kein Wort verstanden… ist mein pc jetzt für außen von jedem zuerreichen nur weil sich das ip protokoll ändert, verstehen muss ich das nicht. Und wieso fällt automatisch das NAT weg, is doch total dumm, hätte man einfach ip4 mit nat gemacht und gut -..-
Datenschutz und Erreichbarkeit bei IPv6 sind sehr einfach möglich!
Der Internetanbieter kann ein STATISCHES globales IPv6-Unicast-Prefix UND ein DYNAMISCHES globales IPv6-Unicast-Prefix zuteilen. Setzt der Internetanbieter die "Preferred Lifetime" des statisches globalen IPv6-Unicast-Prefix auf den Wert "0", nehmen IPv6-Endgeräte über den statischen globalen IPv6-Unicast-Prefix zwar eingehende Verbindung an, bauen ausgehende Verbindungen aber IMMER über den dynamischen globalen IPv6-Unicast-Prefix auf.
Dadurch sind, in Verbindung mit den PRIVACY EXTENSIONS, sowohl Erreichbarkeit per STATISCHEM globalen IPv6-Unicast-Prefix als auch Verschleierung der IPv6-Absender-Adresse per DYNAMISCHEM globalen IPv6-Unicast-Prefix gewährleistet.
AW: World IPv6 Launch am 8. Juni: Was Nutzer beachten müssen
schön, überwacht werden kann man so oder so! Dazu ist gar kien IPv6 notwendig, das geht auch mitIPv4 sehr sehr leicht!
IPV6 gibt es nicht
Tipp: Bis heute gibt es keinen Provider der ausschließlich IPv6 kann geschweige denn im DualStack anbieten wird. Solange sich das nicht ändert gibt es keinen Grund für IPv6 es gibt auch praktisch keine Server die per IPv6 erreichbar wären außerdem ist niemand per DSL mit IPv6 ausgestattet tja sieht nach Verzögerungen von 10 bis 25 Jahren aus. Das wars dann wohl mit IPv6, bis IPv10 kommt *ggg*