IPv6: Unterschied zwischen den Versionen

Aus LaborWiki
Wechseln zu: Navigation, Suche
K (Privatsphäre)
(Zufällige Adressen)
Zeile 30: Zeile 30:
 
Es wird erst eine neue Adresse generiert nachdem man die Adresse mit Gültigkeitsbereich:Global / Scope:Global gelöscht hat.
 
Es wird erst eine neue Adresse generiert nachdem man die Adresse mit Gültigkeitsbereich:Global / Scope:Global gelöscht hat.
 
  ifconfig ethX inet6 del ipv6/64
 
  ifconfig ethX inet6 del ipv6/64
 +
 +
Mit Hilfe des Befehls
 +
ip a s
 +
 +
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
 +
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
 +
    inet 127.0.0.1/8 scope host lo
 +
    inet6 ::1/128 scope host
 +
      valid_lft forever preferred_lft forever
 +
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
 +
    link/ether 00:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
 +
    inet 10.0.1.230/24 brd 10.2.0.255 scope global eth0
 +
    inet6 2001:x:x:x:1166:8a68:371b:672/64 scope global secondary dynamic
 +
      valid_lft 2088sec preferred_lft 1088sec
 +
    inet6 2001:x:x:x:2xx:xxff:fexx:xxxx/64 scope global dynamic
 +
      valid_lft 2994sec preferred_lft 1994sec
 +
    inet6 fe80::2xx:xxff:fexx:xxxx/64 scope link
 +
      valid_lft forever preferred_lft forever
 +
 +
lassen sich die aktuellen Adressen mit ihrer Gültigkeitsdauer anzeigen.
  
 
== Konfig beim booten ==
 
== Konfig beim booten ==
 
*ipv6 in /etc/modules da sysctl sonst vor dem laden des Moduls ausgeführt wird
 
*ipv6 in /etc/modules da sysctl sonst vor dem laden des Moduls ausgeführt wird
 
*use_tempaddr in /etc/sysctl.d/10-network-security.conf eintragen
 
*use_tempaddr in /etc/sysctl.d/10-network-security.conf eintragen

Version vom 23. Februar 2009, 17:25 Uhr

Im Labor steht IPv6 bereit.


Sicherheit

Alle bei euch laufenden Dienste sind aus dem Internet erreichbar, also denkt daran die Ports dicht zu machen.


Privatsphäre

Da IPv6 Adressen in der Linux-Kernel Standardkonfiguration mit Hilfe der MAC Adresse gebildet werden, kann es sinnvoll sein das Verbreiten seiner MAC zu unterbinden. Einzelne Nutzer lassen sich sonst einfach über ihre MAC identifizieren - auch aus verschiedenen Netzen.

Beispiel:

MAC: 00:e0:18:a4:29:21
IPv6: 2001:6f8:13cb:1:2e0:18ff:fea4:2921


Zufällige Adressen

sysctrl net.ipv6.conf.ethX.use_tempaddr=$wert

Eine Konfiguration über "all" oder "default" hat keine Auswirkungen.

  • $wert=0 disable Privacy Extensions
  • $wert=1 enable Privacy Extensions, but prefer public addresses over temporary addresses.
  • $wert=2 enable Privacy Extensions and prefer temporary addresses over public addresses.

Es wird erst eine neue Adresse generiert nachdem man die Adresse mit Gültigkeitsbereich:Global / Scope:Global gelöscht hat.

ifconfig ethX inet6 del ipv6/64

Mit Hilfe des Befehls

ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
   inet 127.0.0.1/8 scope host lo
   inet6 ::1/128 scope host 
      valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
   link/ether 00:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
   inet 10.0.1.230/24 brd 10.2.0.255 scope global eth0
   inet6 2001:x:x:x:1166:8a68:371b:672/64 scope global secondary dynamic 
      valid_lft 2088sec preferred_lft 1088sec
   inet6 2001:x:x:x:2xx:xxff:fexx:xxxx/64 scope global dynamic 
      valid_lft 2994sec preferred_lft 1994sec
   inet6 fe80::2xx:xxff:fexx:xxxx/64 scope link 
      valid_lft forever preferred_lft forever

lassen sich die aktuellen Adressen mit ihrer Gültigkeitsdauer anzeigen.

Konfig beim booten

  • ipv6 in /etc/modules da sysctl sonst vor dem laden des Moduls ausgeführt wird
  • use_tempaddr in /etc/sysctl.d/10-network-security.conf eintragen