सवाल आईपीवी 6 का उपयोग करते समय अपने मैक पते को उजागर करने से कैसे बचें?


मेरे मैक पर, प्रत्येक आईपीवी 6 पता शामिल एक विशिष्ट कंप्यूटर का मैक पता (नहीं मेरे राउटर का)। जैसे साइटें ipv6-test.com न केवल इसे दिखाएं, बल्कि मुझे बताएं कि यह एक ऐप्पल कंप्यूटर से संबंधित है।

यह एक सुपर कुकी की तरह लगता है, और अन्य ऑपरेटिंग सिस्टम पर भी लागू हो सकता है। मैं अपने मैक पते से उजागर होने से कैसे बच सकता हूं?

पृष्ठभूमि: मैक पता है सादे दृष्टि में नहीं। पसंद करना 2001:0db8:1:2:60:8ff:fe52:f9d8:

  • अंतिम 64 बिट्स (होस्ट पहचानकर्ता) लें और प्रमुख शून्य जोड़ें: 0060:08ff:fe52:f9d8
  • पट्टी ff:fe बीच से हिस्सा। यदि ये बाइट्स नहीं हैं, फिर कोई मैक पता नहीं है।
  • पहले बाइट के लिए: दूसरे लो-ऑर्डर बिट का पूरक (सार्वभौमिक / स्थानीय बिट; यदि बिट 1 है, तो इसे 0 बनाएं, और यदि यह 0 है, तो इसे 1 बनाएं)। इसलिए: 0x00 (00000000) बन जाता है 0x02 (00,000,010)।
  • Presto: 60:8ff:fe52:f9d8 वापस मैक पते पर अनुवाद करता है 02:60:08:52:f9:d8

नोट: चूंकि मैक्स 10.12 सिएरा, Ars Technica के अनुसार ऐप्पल ने स्थिर पते उत्पन्न करने का एक नया तरीका अपनाया है जो मैक पते पर आधारित नहीं हैं, जो विंडोज स्पष्ट रूप से वर्षों से पहले से ही कर रहा था।


यह सवाल एक था सप्ताह के सुपर उपयोगकर्ता प्रश्न
  को पढ़िए ब्लॉग प्रविष्टि अधिक जानकारी के लिए या ब्लॉग में योगदान स्वयं


135
2018-02-09 17:26


मूल


वाह मुझे आईपीवी 6 के बारे में पता नहीं था, अच्छा लगता है। - Not Kyle stop stalking me
खैर, बेशक यह एक ऐप्पल कंप्यूटर दिखाता है। यह सब के बाद, एक मैक पता है। - Graeme Perrow
@ क्रोनोस, ब्लॉग प्रविष्टि पर एक छवि गायब हो गई है; blog.superuser.com/2011/02/11/... यूआरएल में ".stack" जोड़ना मदद करता है: i.stack.imgur.com/RNXoA.png - Arjan
... लेकिन, @ क्रोनोएस, ".stack" जोड़कर वास्तव में एक और छवि रूप बनाता है जो समान ब्लॉग पोस्ट गायब हो जाता है i.imgur.com/vjK73.png (ठीक है) बनाम i.stack.imgur.com/vjK73.png (ठीक नहीं)। दूसरे शब्दों में: शायद सब ब्लॉग पर छवियां जो वर्तमान में उपयोग नहीं करती हैं .stack फिर से अपलोड किया जाना चाहिए ...? - Arjan
@ अरजन मुझे यकीन नहीं है। मुझे इसमें जांच करनी होगी। मैं एक फीचर के लिए चाहूंगा कि ब्लॉग पर अपलोड की गई सभी छवियों को स्वचालित रूप से स्टैक के imgur खाते में अपलोड कर दिया गया हो। वर्तमान में नियमित साइटें क्या करती हैं - KronoS


जवाब:


यह आईपीवी 6 में दो एक्सटेंशन द्वारा हल किया जाता है:

  • आरएफसी 4941 उर्फ "गोपनीयता पता" आउटबाउंड कनेक्शन अस्थायी, यादृच्छिक रूप से जेनरेट किए गए पते (जो हर कुछ घंटों में घुमाए जाते हैं) का उपयोग करने देता है।
  • आरएफसी 7217 प्राथमिक, स्थैतिक पते को एक अपारदर्शी हैश से उत्पन्न किया जा सकता है जो किसी भी जानकारी को प्रकट नहीं करता है।

कम से कम एक लेकिन तेजी से दोनों विधियों को लोकप्रिय ऑपरेटिंग सिस्टम द्वारा समर्थित किया जाता है।

ध्यान दें कि ये विशेषताएं ऑर्थोगोनल हैं। यदि आप चाहें तो आप दोनों एक ही समय में उपयोग कर सकते हैं।

स्थिर निजी पते

कुछ ऑपरेटिंग सिस्टम में, मैक (ईयूआई -48) पता अब इंटरफ़ेस पहचानकर्ताओं के लिए उपयोग नहीं किया जाता है। इसके बजाय एक यादृच्छिक या हैश-आधारित पहचानकर्ता का उपयोग आमतौर पर आरएफसी 7217 के अनुसार किया जाता है।

  • विंडोज विंडोज विस्टा के साथ डिफ़ॉल्ट रूप से एक कस्टम योजना का उपयोग करता है।

    यह जांचने के लिए कि क्या सुविधा सक्रिय है, PowerShell कमांड चलाएं:

    Get-NetIPv6Protocol | fl RandomizeIdentifiers
    

    सुविधा को सक्षम / अक्षम करने के लिए:

    Set-NetIPv6Protocol -RandomizeIdentifiers Enabled
    Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
    
  • लिनक्स (नेटवर्क प्रबंधक) बीज के हिस्से के रूप में कनेक्शन प्रोफाइल के यूयूआईडी का उपयोग करते हुए, नेटवर्कमैनेजर v1.2.0 के रूप में आरएफसी 7217 का समर्थन करता है। यह सुविधा हाल ही में एनएम संस्करणों में डिफ़ॉल्ट रूप से सक्रिय है।

    इस सुविधा को सक्षम या अक्षम करने के लिए:

    nmcli con modify "<profilename>" ipv6.addr-gen-mode stable-privacy
    nmcli con modify "<profilename>" ipv6.addr-gen-mode eui64
    
  • लिनक्स (कर्नेल एसएलएसीएसी) कर्नेल v4.1.0 के रूप में आरएफसी 7217 का समर्थन करता है; हालांकि, इसे sysctl के माध्यम से गुप्त बीज को संग्रहीत करके मैन्युअल रूप से सक्रिय किया जाना चाहिए।

    गुप्त कुंजी एक 128-बिट हेक्साडेसिमल स्ट्रिंग है (एक आईपीवी 6 पता की तरह आकार), जिसे में संग्रहीत किया जाना चाहिए net.ipv6.conf.default.stable_secret sysctl। इसे लगातार बनाने के लिए, इसे रखा जा सकता है /etc/sysctl.d/50-rfc7217.confया इसी के समान:

    net.ipv6.conf.default.stable_secret = 84a0:d5aa:52b0:4d35:k567:3aa6:7af5:474c
    

    गुप्त सेट करना सभी मोड इंटरफेस के लिए स्वचालित रूप से इस मोड को सक्रिय करता है। यह जांचने के लिए कि क्या सुविधा सक्रिय है, "addrgenmode stable_secret" में देखें ip -d link, या मूल्य "2" में sysctl net.ipv6.conf.<ifname>.addr_gen_mode

अस्थायी निजी पते

जैसा कि आरएफसी 4941 में परिभाषित किया गया है, अस्थायी गोपनीयता पते यादृच्छिक रूप से उत्पन्न होते हैं और हर कुछ घंटों में घुमाए जाते हैं।

  • विंडोज विंडोज एक्सपी एसपी 2 के रूप में अस्थायी पते का समर्थन करता है।

    इस सुविधा को सक्षम / अक्षम करने के लिए:

    netsh interface ipv6 set privacy state=enabled
    netsh interface ipv6 set privacy state=disabled
    

    ध्यान दें कि Windows अब Windows Vista से शुरू होने वाले मैक-एड्रेस-आधारित प्राथमिक पते का उपयोग नहीं करता है।

  • लिनक्स (नेटवर्क प्रबंधक): NetworkManager के हाल के संस्करणों को स्वयं पर आरए संभालते हैं, हालांकि नीचे दिए गए दो मानों में sysctl के समान अर्थ हैं (2 = गोपनीयता पता पसंद करते हैं, 1 = मुख्य पता पसंद करते हैं):

     nmcli con modify <name> ipv6.ip6-privacy 2
    

    इसके अलावा, 1.2.0 के रूप में एक बेहतर मोड उपलब्ध हो गया, जो बदलता है मुख्य पता अब मैक आधारित नहीं है बल्कि इसके बजाय प्रत्येक नेटवर्क (आरएफसी 7217) के लिए अद्वितीय है:

    (ध्यान दें कि गोपनीयता एड्रेसिंग addr-gen-mod के लिए ऑर्थोगोनल है; दोनों का उपयोग करना संभव है।)

    साइड नोट: 1.4.0 के रूप में, एनएम भी मैक पते को यादृच्छिक बनाने की अनुमति देता है। सेट wifi.cloned-mac-address सेवा मेरे stable प्रत्येक नेटवर्क (अनुशंसित), या के लिए एक अलग मैक रखने के लिए random इसके लिए यादृच्छिक बनाने के लिए हर एक कनेक्शन (समस्याएं पैदा कर सकते हैं)।

    सभी मामलों में, <name> कनेक्शन का नाम होना चाहिए, उदा। वाईफाई एसएसआईडी या "Wired Connection 1"। उपयोग nmcli con सभी को सूचीबद्ध करने के लिए।

    इसे डिफ़ॉल्ट बनाने के लिए नया कनेक्शन, 1.2.0 के रूप में आप बदल सकते हैं /etc/NetworkManager/NetworkManager.conf:

     [connection]
     ipv6.addr-gen-mode=stable-privacy
     wifi.cloned-mac-address=stable
    
  • लिनक्स (कर्नेल एसएलएसीएसी) अस्थायी पते का समर्थन करता है, लेकिन डिफ़ॉल्ट रूप से उनका उपयोग नहीं करता है। वे sysctls के माध्यम से सक्रिय किया जा सकता है।

    अस्थायी पते को सक्षम करने और उन्हें बनाने के लिए पसंदीदा आउटगोइंग कनेक्शन के लिए:

     sysctl net.ipv6.conf.all.use_tempaddr=2
     sysctl net.ipv6.conf.default.use_tempaddr=2
    

    अस्थायी पता पीढ़ी को सक्षम करने के लिए, लेकिन स्थिर SLAAC पता को पसंदीदा के रूप में रखें:

     sysctl net.ipv6.conf.all.use_tempaddr=1
     sysctl net.ipv6.conf.default.use_tempaddr=1
    

    all या default भाग को एक विशिष्ट इंटरफेस नाम से बदला जा सकता है; जैसे net.ipv6.conf.eth0.use_tempaddr

    (मैंनें इस्तेमाल किया ip link set eth0 down && ip link set eth0 up पता असाइनमेंट को मजबूर करने के लिए, लेकिन आप भी चला सकते हैं rdisc6 eth0 या अगले आवधिक राउटर विज्ञापन के लिए बस कुछ मिनट प्रतीक्षा करें।)

  • मैक ओएस एक्स - ओएस एक्स 10.7 शेर के बाद डिफ़ॉल्ट रूप से सक्षम:

     sysctl -w net.inet6.ip6.use_tempaddr=1
    

    सक्षम होने पर अस्थायी पते को प्राथमिकता दी जाएगी।

  • FreeBSD:

     sysctl net.inet6.ip6.use_tempaddr=1
    
     sysctl net.inet6.ip6.prefer_tempaddr=1
    
  • NetBSD:

     sysctl -w net.inet6.ip6.use_tempaddr=1
    

    अस्थायी पते वरीयता? मुझे पता नहीं है। ऑटोकॉन्फ पता पसंदीदा माना जाता है। ifconfig किसी भी पता गुणों को सूचीबद्ध करने के लिए प्रतीत नहीं होता है।

  • OpenBSD - समर्थन में जोड़ा गया 5.2; डिफ़ॉल्ट रूप से सक्षम और पसंदीदा 5.3

     ifconfig em0 autoconfprivacy
    

    ifconfig अस्थायी पते के बगल में "autoconfprivacy" दिखाता है।

विन्यास पर नोट्स:

  • लिनक्स, ओएस एक्स, और सभी बीएसडी पर, संपादित करें /etc/sysctl.conf सेटिंग स्थायी बनाने के लिए।

  • विंडोज़ पर, बदलाव स्वचालित रूप से जारी रहेगा। (आप जोड़ सकते हैं store=active को netsh कमांड अगर आप इसे रीबूट तक केवल तब तक चलाना चाहते हैं।)


आंशिक रूप से आधारित है आईपीवी 6 ऑपरेटिंग सिस्टम IPv6INT.net पर। यह भी देखें सामान्य आईपीवी 6 नोट्स


यदि हार्डवेयर पता IPv6 पते में उपयोग किया जाता है, तो आमतौर पर इसका मतलब है कि आपका नेटवर्क आईपीवी 6 स्टेटलेस ऑटोकॉन्फिगरेशन का उपयोग करता है। ऐसे मामले में, आप बस अपना खुद का पता प्रत्यय चुन सकते हैं और मैन्युअल रूप से आईपीवी 6 को कॉन्फ़िगर कर सकते हैं।

हालांकि, भले ही मैन्युअल रूप से जोड़े गए पते में आपकी हार्डवेयर जानकारी नहीं होगी, फिर भी यह स्थिर होगा (गोपनीयता एड्रेसिंग के विपरीत, जो हर बार पते को बदलता है)। इसके अलावा, स्थिर पते 2-3 उपकरणों से बड़े नेटवर्क में दर्द हो सकता है।


129
2018-02-09 18:48



मेरे मैक और एक फ्रिटज़ पर अच्छा दुष्प्रभाव! बॉक्स 7340 राउटर: मुझे दो पते मिलते हैं ifconfig। आउटगोइंग कनेक्शन यादृच्छिक उपयोग करते हैं autoconf temporary पता, जो हर समय और फिर बदलता है। अच्छा! लेकिन आने वाले कनेक्शन के लिए (जब मेरे राउटर में खोला गया), मैं अभी भी इसका उपयोग कर सकता हूं autoconf पता। मुझे यह खुलासा नहीं है कि DNS रिकॉर्ड्स में (हालांकि शायद मैं इसके लिए भी एक और पता चुन सकता हूं)। - Arjan
आह, बाद में whois-स्पैमिंग अब हम आईपीवी 6 स्पैमिंग प्राप्त करते हैं: dig -t एएएए www.v6.facebook.com ;-) - Arjan
@ अरजन: आईपीवी 6 के साथ-साथ पते de4d:b33f याद रखने के लिए बुरा नहीं है; भी, वे अपने मालिक द्वारा जगह में रखा जाता है, जबकि whois स्पैम एक है) परेशान और बी) बाहरी लोगों के कारण जो आपके डोमेन पर नियंत्रण नहीं रखते हैं। - grawity
एक तरफ के रूप में: ऐसा लगता है कि उपरोक्त कुछ (ओएस) ओएस को बता सकते हैं पसंद करते हैं अस्थायी पता, लेकिन अनुप्रयोग अभी भी इस वरीयता को ओवरराइड कर सकते हैं। - Arjan
अस्थायी पतों (आईपीवी 6 गोपनीयता) का उपयोग करने वाले AFAICS कुछ आईएसपी के साथ प्रभावशाली रूप से अनुपयोगी है, जो 40 के दशक के बेतुका छोटे अधिकतम जीवनकाल के साथ राउटर विज्ञापनों के कारण प्रभावी है, जो कर्नेल सेटिंग्स को ओवरराइड करता है। लिनक्स देखें ip a के लिये preferred_lft। इसलिए ssh यदि आप इस सुविधा को सक्षम करते हैं तो कनेक्शन प्रत्येक 40s तोड़ देंगे। यह सामान्य वेब सर्फर के लिए भी प्रयोग योग्य नहीं है, क्योंकि प्रत्येक डाउनलोड 40 के भीतर भी समाप्त होना चाहिए। - Tino


एफवाईआई, यह केवल कुछ आईपी एड्रेसिंग स्कीमों पर लागू होता है। संभावना से अधिक (या आपका आईएसपी) आईपीवी 6 ऑटोकॉन्फिगरेशन का उपयोग कर रहे हैं, जिसके लिए पहले स्थान पर आईपी के काफी बड़े ब्लॉक की आवश्यकता होती है। समाधान इस सुविधा को बंद करने के लिए हो सकता है। आपके आईएसपी पते को असाइन करने के लिए डीएचसीपी का भी उपयोग कर सकते हैं, जो अभी भी आईपीवी 6 के साथ संभव है।


1
2018-02-09 20:49



बड़े ब्लॉक के लिए: के अनुसार विकिपीडिया के लिए "सामान्य आवंटन" में: आरआईआरएस आईएसपी को छोटे ब्लॉक आवंटित करते हैं, जो उसके बाद / 48 आकार के हिस्सों में अपने ग्राहकों को वितरित करते हैं।दरअसल, मेरा आईएसपी उपभोक्ता-ग्रेड ग्राहकों को / 48 उपसर्ग भी निर्दिष्ट करता है। तब बहुत अजीब नहीं है? - Arjan
फिर विकिपीडिया और अरीन के मसौदे को दोषी ठहराएं IPv6 योजनाओं को संबोधित करना: सभी ग्राहकों को एक / 48 मिलता है जब तक वे यह नहीं दिखा सकते कि उन्हें 65k से अधिक सबनेट की आवश्यकता है। लेकिन: यदि आपके पास बहुत से उपभोक्ता ग्राहक हैं तो आप निजी निवास साइटों को / 56s असाइन करना चाहेंगे - जो अभी भी मुझसे अधिक है कभी जरुरत। ;-) लेकिन, चीजें बदल सकती हैं: मेरा आईएसपी कभी नहीं वादा किया हालांकि, जाहिर है कि उनके ग्राहकों ने इस पर आधारित मॉडेम / राउटर को कॉन्फ़िगर किया है। - Arjan
मुझे लगता है जब अरिन कहते हैं "ग्राहक" उनका मतलब है "आईएसपी"। कोई भी आईएसपी (बहुत, बहुत बड़े सहित) अपने पूरे नेटवर्क के लिए एकल / 64 आवंटित कर सकता है और इसके साथ किया जा सकता है। कोई और रूटिंग की आवश्यकता नहीं है। लेकिन जो-औसत आवासीय ग्राहकों को ट्रिलियन में नंबरिंग आईपी पते के ब्लॉक आवंटित करना मूर्खतापूर्ण मूर्खतापूर्ण है। - Ernie Dunbar
जाहिरा तौर पर, कम से कम एक असाइन करने का एक कारण /56: "आईएसपी जो केवल एक ही हाथ निकालती है /64 किसी भी सबनेटिंग से आपको रोकें। अगर वो /64 वैन इंटरफ़ेस पर है तो आपको अपने LAN पर कभी भी सभ्य आईपीवी 6 नहीं मिलेगा। यह आईएसपी गलती है और उन्हें एक सभ्य राशि देकर इसे ठीक करना चाहिए (/48 या /56पते के)। " - Arjan
ए / 64 "काफी बड़ा ब्लॉक" नहीं है; यह है सबसे छोटा एक सबनेट के लिए उचित आवंटन ब्लॉक। कई आईपीवी 6 फीचर्स की आवश्यकता होती है कि एक सबनेट / 64 हो, और आप भूल गए हैं (या एहसास नहीं हुआ) कि आईपीवी 6 किसी को भी रोकने के लिए बड़े हिस्से में डिज़ाइन किया गया था कभी कभी भी पते से बाहर चल रहा है। आपको अपने दिमाग को बहुमूल्य पतों को बचाने के लिए पुरानी सोच से मुक्त करना होगा; आईपीवी 6 में इसकी कोई जगह नहीं है। - Michael Hampton