Bagaimana cara menghindari mengekspos alamat MAC saya saat menggunakan IPv6?

Di Mac saya, setiap alamat IPv6 menyertakan alamat MAC komputer tertentu ( bukan router saya). Situs-situs seperti ipv6-test.com tidak hanya memperlihatkannya, tetapi bahkan memberi tahu saya bahwa itu milik komputer Apple.

Ini terasa seperti cookie super, dan mungkin berlaku untuk sistem operasi lain juga. Bagaimana saya bisa menghindari alamat MAC saya terkena?

Latar Belakang: alamat MAC tidak terlihat . Seperti untuk 2001:0db8:1:2:60:8ff:fe52:f9d8:

• Ambil yang terakhir 64 bit (host identifier) dan menambahkan nol terkemuka: 0060:08ff:fe52:f9d8.
• Lepaskan ff:febagian dari tengah. Jika byte ini tidak ada, maka tidak ada alamat MAC.
• Untuk byte pertama: melengkapi bit orde rendah kedua (bit universal / lokal; jika bit adalah 1, buatlah 0, dan jika itu adalah 0, buatlah 1). Jadi: 0x00(00000000) menjadi 0x02(00000010).
• Presto: 60:8ff:fe52:f9d8diterjemahkan kembali ke alamat MAC 02:60:08:52:f9:d8.

Catatan: sejak macOS 10.12 Sierra, menurut Ars Technica Apple telah mengadopsi cara baru untuk menghasilkan alamat stabil yang tidak didasarkan pada alamat MAC , yang tampaknya sudah dilakukan Windows selama bertahun-tahun.

Pertanyaan ini adalah Pertanyaan Pengguna Super Minggu Ini .
Baca entri blog untuk detail lebih lanjut atau berkontribusi ke blog sendiri

Ini dipecahkan oleh dua ekstensi untuk IPv6:

• RFC 4941 alias "Privacy Addressing" memungkinkan koneksi keluar menggunakan alamat sementara yang dibuat secara acak (yang diputar setiap beberapa jam).
• RFC 7217 memungkinkan alamat statis primer dihasilkan dari hash buram yang tidak mengungkapkan informasi apa pun.

Setidaknya satu tetapi semakin kedua metode didukung oleh sistem operasi yang populer.

Perhatikan bahwa fitur-fitur ini ortogonal. Anda dapat menggunakan keduanya secara bersamaan, jika mau.

Alamat pribadi yang stabil

Dalam beberapa sistem operasi, alamat MAC (EUI-48) tidak lagi digunakan untuk pengidentifikasi antarmuka. Alih-alih pengidentifikasi berbasis acak atau hash digunakan, umumnya menurut RFC 7217.

• Windows menggunakan skema khusus secara default dimulai dengan Windows Vista.

  Untuk memeriksa apakah fitur ini aktif, jalankan perintah PowerShell:

  Get-NetIPv6Protocol | fl RandomizeIdentifiers
  

  Untuk mengaktifkan / menonaktifkan fitur:

  Set-NetIPv6Protocol -RandomizeIdentifiers Enabled
  Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
  

• Linux (NetworkManager) mendukung RFC 7217 pada NetworkManager v1.2.0, menggunakan UUID profil koneksi sebagai bagian dari seed. Fitur ini aktif secara default di versi NM terbaru.

  Untuk mengaktifkan atau menonaktifkan fitur ini:

  nmcli con modify "<profilename>" ipv6.addr-gen-mode stable-privacy
  nmcli con modify "<profilename>" ipv6.addr-gen-mode eui64
  

• Linux (kernel SLAAC) mendukung RFC 7217 pada kernel v4.1.0; Namun, itu harus diaktifkan secara manual dengan menyimpan benih rahasia melalui sysctl.

  Kunci rahasia adalah string heksadesimal 128-bit (berbentuk seperti alamat IPv6), yang harus disimpan dalam net.ipv6.conf.default.stable_secretsysctl. Untuk membuatnya gigih, bisa dimasukkan ke dalam /etc/sysctl.d/50-rfc7217.confatau serupa:

  net.ipv6.conf.default.stable_secret = 84a0:d5aa:52b0:4d35:k567:3aa6:7af5:474c
  

  Mengatur rahasia secara otomatis mengaktifkan mode ini untuk semua antarmuka jaringan. Untuk memeriksa apakah fitur tersebut aktif, cari "addrgenmode stable_secret" di ip -d link, atau nilai "2" di sysctl net.ipv6.conf.<ifname>.addr_gen_mode.

Alamat pribadi sementara

Seperti yang didefinisikan dalam RFC 4941, alamat privasi sementara dihasilkan secara acak dan diputar setiap beberapa jam.

• Windows mendukung alamat sementara pada Windows XP SP2.

  Untuk mengaktifkan / menonaktifkan fitur ini:

  netsh interface ipv6 set privacy state=enabled
  netsh interface ipv6 set privacy state=disabled
  

  Perhatikan bahwa Windows tidak lagi menggunakan alamat primer berbasis alamat MAC yang dimulai dengan Windows Vista.

• Linux (NetworkManager) : Versi terbaru dari NetworkManager menangani RA sendiri, meskipun dua nilai di bawah ini memiliki arti yang identik dengan sysctl (2 = lebih suka alamat privasi, 1 = lebih suka alamat utama):

   nmcli con modify <name> ipv6.ip6-privacy 2
  

  Selain itu, mulai 1.2.0 mode yang lebih baik tersedia, yang mengubah alamat utama menjadi tidak lagi berbasis MAC melainkan unik untuk setiap jaringan (RFC 7217):

  (Perhatikan bahwa pengalamatan privasi adalah ortogonal dari addr-gen-mode; dimungkinkan untuk menggunakan keduanya.)

  Catatan samping: Pada 1.4.0, NM juga memungkinkan pengacakan alamat MAC itu sendiri. Atur wifi.cloned-mac-addressagar stablememiliki MAC yang berbeda untuk setiap jaringan (disarankan), atau randommengacaknya untuk setiap koneksi (dapat menyebabkan masalah).

  Dalam semua kasus, <name>harus nama koneksi, mis. WiFi SSID atau "Wired Connection 1". Gunakan nmcli conuntuk mendaftar semua.

  Untuk menjadikan ini default untuk koneksi baru , mulai 1.2.0 Anda dapat mengubah /etc/NetworkManager/NetworkManager.conf:

   [connection]
   ipv6.addr-gen-mode=stable-privacy
   wifi.cloned-mac-address=stable
  

• Linux (kernel SLAAC) mendukung alamat sementara, tetapi tidak menggunakannya secara default. Mereka dapat diaktifkan melalui sysctl.

  Untuk mengaktifkan alamat sementara dan membuatnya lebih disukai untuk koneksi keluar:

   sysctl net.ipv6.conf.all.use_tempaddr=2
   sysctl net.ipv6.conf.default.use_tempaddr=2
  

  Untuk mengaktifkan pembuatan alamat sementara, tetapi pertahankan alamat SLAAC statis seperti yang diinginkan:

   sysctl net.ipv6.conf.all.use_tempaddr=1
   sysctl net.ipv6.conf.default.use_tempaddr=1
  

  Bagian allatau defaultdapat diganti dengan nama antarmuka tertentu; mis net.ipv6.conf.eth0.use_tempaddr.

  (Saya dulu ip link set eth0 down && ip link set eth0 upmemaksakan penugasan alamat, tetapi Anda juga dapat menjalankan rdisc6 eth0atau hanya menunggu beberapa menit untuk Iklan Router berkala berikutnya.)

• Mac OS X - diaktifkan secara default sejak OS X 10.7 Lion:

   sysctl -w net.inet6.ip6.use_tempaddr=1
  

  Alamat sementara, jika diaktifkan, akan lebih disukai.

• FreeBSD :

   sysctl net.inet6.ip6.use_tempaddr=1
  
   sysctl net.inet6.ip6.prefer_tempaddr=1
  

• NetBSD :

   sysctl -w net.inet6.ip6.use_tempaddr=1
  

  Preferensi alamat sementara? Saya tidak punya ide. Alamat autoconf tampaknya lebih disukai. ifconfigtampaknya tidak mencantumkan properti alamat apa pun.

• OpenBSD - dukungan ditambahkan pada 5.2 ; diaktifkan dan disukai secara default di 5.3 .

   ifconfig em0 autoconfprivacy
  

  ifconfig memperlihatkan "autoconfprivacy" di sebelah alamat sementara.

Catatan tentang konfigurasi:

• Di Linux, OS X, dan semua BSD, edit /etc/sysctl.confuntuk menjadikan pengaturan ini permanen.

• Di Windows, perubahan akan bertahan secara otomatis. (Anda dapat menambahkan store=activeke netshperintah jika Anda ingin hanya berlangsung sampai reboot.)

Sebagian didasarkan pada Sistem Operasi IPv6 di IPv6INT.net. Lihat juga Catatan Umum IPv6

Jika alamat perangkat keras digunakan dalam alamat IPv6, biasanya itu berarti jaringan Anda menggunakan Konfigurasi IP Stateless Stateless. Dalam kasus seperti itu, Anda cukup memilih akhiran alamat Anda sendiri dan mengkonfigurasi IPv6 secara manual.

Namun, meskipun alamat yang ditambahkan secara manual tidak akan memiliki informasi perangkat keras Anda, alamat itu tetap statis (tidak seperti dengan Privacy Addressing, yang sering mengubah alamat). Juga, alamat statis dapat menjadi masalah dalam jaringan yang lebih besar dari 2-3 perangkat.

FYI, ini hanya berlaku untuk skema pengalamatan IP tertentu. Kemungkinan besar Anda (atau ISP Anda) menggunakan konfigurasi otomatis IPv6, yang membutuhkan blok IP yang cukup besar untuk dapat diselesaikan sejak awal. Solusinya bisa dengan mematikan fitur ini. ISP Anda mungkin menggunakan DHCP untuk menetapkan alamat juga, yang masih dimungkinkan dengan IPv6.