IPv6

Aus LaborWiki
Wechseln zu: Navigation, Suche

Im Labor steht IPv6 bereit.


Sicherheit

Alle bei euch laufenden Dienste sind aus dem Internet erreichbar, also denkt daran die Ports dicht zu machen. Es sollte jedoch tunlichst ipv6-icmp erlaubt sein, sonst kann man nicht automatisch eine Adresse aushandeln lassen (router advertisement kommt auch gut). Beispiel: iptables -A INPUT -p ipv6-icmp -j ACCEPT

Privatsphäre

Da IPv6 Adressen in der Linux-Kernel Standardkonfiguration mit Hilfe der MAC Adresse gebildet werden, kann es sinnvoll sein das Verbreiten seiner MAC zu unterbinden. Einzelne Nutzer lassen sich sonst einfach über ihre MAC identifizieren - auch aus verschiedenen Netzen.

Beispiel:

MAC: 00:e0:18:a4:29:21
IPv6: 2001:6f8:13cb:1:2e0:18ff:fea4:2921


Zufällige Adressen

sysctrl net.ipv6.conf.ethX.use_tempaddr=$wert

Eine Konfiguration über "all" oder "default" hat keine Auswirkungen.

  • $wert=0 disable Privacy Extensions
  • $wert=1 enable Privacy Extensions, but prefer public addresses over temporary addresses.
  • $wert=2 enable Privacy Extensions and prefer temporary addresses over public addresses.

Es wird erst eine neue Adresse generiert nachdem man die Adresse mit Gültigkeitsbereich:Global / Scope:Global gelöscht hat.

ifconfig ethX inet6 del ipv6/64

Mit Hilfe des Befehls

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
   inet 127.0.0.1/8 scope host lo
   inet6 ::1/128 scope host 
      valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
   link/ether 00:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
   inet 10.0.1.230/24 brd 10.2.0.255 scope global eth0
   inet6 2001:x:x:x:1166:8a68:371b:672/64 scope global secondary dynamic 
      valid_lft 2088sec preferred_lft 1088sec
   inet6 2001:x:x:x:2xx:xxff:fexx:xxxx/64 scope global dynamic 
      valid_lft 2994sec preferred_lft 1994sec
   inet6 fe80::2xx:xxff:fexx:xxxx/64 scope link 
      valid_lft forever preferred_lft forever

lassen sich die aktuellen Adressen mit ihrer Gültigkeitsdauer anzeigen.

Konfig beim booten

  • ipv6 in /etc/modules da sysctl sonst vor dem laden des Moduls ausgeführt wird
  • use_tempaddr in /etc/sysctl.d/10-network-security.conf eintragen