[Frage] IPv6 privacy extensions anscheinend nicht auf Fritzbox eigener Adresse angewendet

elfulus

Neuer User
Mitglied seit
10 Mrz 2017
Beiträge
9
Punkte für Reaktionen
5
Punkte
3
Ahoi,

aufgrund der Umstellung unseres Anschluss auf All-IP musste ich mich nun mit der IPv6-Thematik befassen. Die Fritzbox (hier 7490, v6.80) unterstützt ja automatisch privacy extensions um bei IPv6 Adressen von Clients nur temporäre Adressen auszuhandeln, wenn die Clients das auch beherrschen. Das funktioniert für Clients, die das unterstützen, auch ganz gut (leider nicht für Androids unter 4.0). Zusätzlich wird der Präfix von der Telekom regelmäßig gewechselt (spätestens bei Trennung).

Aber die IPv6-Adresse der Fritzbox selbst, die diese auf dem WAN-interface (DSL) mit der Telekom aushandelt, scheint nicht über die privacy extensions zu gehen. Das kann man daran erkennen, dass der host Teil der Adresse in der Mitte die ff:fe hex codes für die local link Adresse ausweist. Damit wäre also die Fritzbox-MAC-Adresse vom WAN Interface aus der IPv6-Adresse dieser Schnittstelle im Netz auslesbar und daher die Adresse eindeutig identifizierbar wie ein Kfz-Nummernschild.

Nun wird ja bei IPv6 bei Verwendung eines IPv6-Clients an der Fritzbox, seine IPv6-Adresse nach draußen gerouted und nicht wie bei IPv4 via NAT die IPv4-Adresse der Fritzbox. So wäre das aus Client-Sicht kein Problem. Aber für jeden IPv6 Traffic, der von der Box ausgeht, würde die Box-Adresse eindeutig identifizierbar sein, selbst wenn durch automatische Trennung die IPv4-Adressen und die IPv6 Präfixe immer wieder eneuert werden.

Keine Ahnung, ob ich bei den privacy extensions für IPv6 was falsch verstanden habe, aber ich dachte, dass die Fritzbox das auch auf ihrem Interface anwendet, oder bedarf es dabei der Mitarbeit der Telkom DSLAM-Gegenstelle?

Danke im Voraus!
 
privacy extensions für IPv6 [...] bedarf es dabei der Mitarbeit der Telkom DSLAM-Gegenstelle?

Telekom-DSLAM und IP passt nicht zusammen, die machen kein IP.

Aber für jeden IPv6 Traffic, der von der Box ausgeht, würde die Box-Adresse eindeutig identifizierbar sein, selbst wenn durch automatische Trennung die IPv4-Adressen und die IPv6 Präfixe immer wieder eneuert werden.
Du schreibst nur im Konjunktiv, hast du auch die Realität getestet?
 
Zuletzt bearbeitet:
Privacy Extensions sind eh überbewertet. Du wirst auch bei IPv4 mit wechselnden Adressen schon wieder erkannt.

Dir Fritz!Box hat damit überhaupt nichts zu tun. Die propagiert nur den Prefix für die IPv6 Adresse des Clients, also die ersten 64 Bytes. Die feste Host-ID generiert der Client selbst aus der MAC-Adresse oder zufällig. Die Privacy-Extensins sind eine Option des Clients, der dann zusätzlich zur festen HOST-ID eine regelmäßig wechselnde Host-ID generiert, mit der dann ausgehende Verbindungen aufgebaut werden.

Was macht denn die FRitz!Box selbst an IPv6-Traffic? Das sind DNS-Abfragen und Anmeldungen beim VoIP-Provider. Der kennt Dich aber sowieso und bei DNS wird wohl kaum jemand die Adressen mitloggen.

ULAs und DHCPv6 braucht im Heimnetz in der Regel keiner und kann deaktiviert bleiben. Allenfalls Nameserver über DHCPv6 verteilen kann sinnvoll sein, da Windows-Cleints die DNS-infos aus den Routeradvertisents nicht auswerten. Allerdings funktiniert DNS ja auch mit IPv4 noch ganz gut.

jo
 
@thtomate12:
OK, dann eben der BRAS...
...und das ist nicht hypothetisch, sondern die local link Adresse inclusive umgebauter MAC ist so auf dem Fritzbox DSL Interface zu sehen.

@rollo:
Mir geht es nicht um Behörden oder Dienste (die bekommen auch die Logs zur zeitlichen Zuordnung von IP zum Anschlussinhaber). Mir geht es eher um Gegenstellen im Netz. Mir ist klar, dass es da auch cookies und andere Verfahren gibt. Die hat man aber mittels Löschung leichter im Griff als IPs.
Stimmt auch (wie ich schon selbst erwähnte), dass die Box selber im Allgemeinen nicht den eigentlichen Traffic erzeugt.
Habe nur bemerkt, dass die Fritzbox eben nicht die privacy extensions auch als Client am Telekom BRAS nutzt. Das hatte ich bisher anhand vieler Kommentare immer vermutet/gehofft. Bin einfach verwundert, das die Box das als Client scheinbar nicht beherrscht, oder ich kenne den Grund nicht, warum sie es nicht macht.
 
Der Grund ist, dass es nicht gebraucht wird. Warum sollte AVM das einbauen, wenn die einzige von der Box aufgebaute Verbindung die zum Telefonanbieter ist, der dich eh wegen nutzername und Passwort erkennt.
 
Der Grund ist, dass es nicht gebraucht wird. Warum sollte AVM das einbauen, wenn die einzige von der Box aufgebaute Verbindung die zum Telefonanbieter ist, der dich eh wegen nutzername und Passwort erkennt.

Wenn die Firewall nicht im Stealth-Modus betrieben wird, was der Standardeinstellung entspricht, dann kann eine Implementierung von IPv6-Privacy-Extensions für die Box durchaus sinnvoll sein.
Mit inaktivem Stealth-Modus reicht ein Paket aus, um die IPv6-Adresse der FRITZ!Box zu ermitteln. Folglich können FRITZ!Box-Nutzer, die diese Einstellung nicht angepasst haben, momentan auch über IP-Änderungen hinweg getrackt werden. Dabei muss nicht mal irgendeine Software verwendet werden, die Tracking aktiv zulässt (wie das z.B. bei Browser-Cookies der Fall wäre).
 
Zuletzt bearbeitet:
Was hilft dir die IP der Fritzbox? Die baut keine Verbindung zu anderen Hosts aud. (außer Voip-Geschichten...)
 
Was hilft dir die IP der Fritzbox?
Dadurch, dass ich anhand der IPv6-Adresse eines Clients die IPv6-Adresse der zugehörigen FRITZ!Box ermitteln kann und der hintere Teil der FRITZ!Box-IPv6-Adresse (EUI-64) für jede Box aufgrund fehlender Privacy Extensions eindeutig und gleichbleibend ist, können Nutzer anhand des EUI-64 der Box getrackt werden.
 
Dann schau mal in den Online Monitor, dann siehst das FB ganz andere IP hat außerhalb des Präfix für Heimnetz was die Clients haben.

Und davon auszugehen dass jeder eine FB hat ist was übertrieben, zudem nur weil eine IP hast kennst nicht die dazugehörige MAC bzw. IP der evt. vorhandenen FB.
 
Zuletzt bearbeitet von einem Moderator:
Hallo,

das in diesem älteren Thread behandelte Problem ist mir gerade erst bewußt geworden.

Hier nochmal zum Thema, das ich nur aktuell nachvollzogen habe:

Da ich den "Stealth Mode" nicht eingeschaltet hatte, konnte jeder durch ein Traceroute auf die IPv6-Adresse meines Webbrowsers die IPv6-Adresse der Fritzbox selbst herausfinden. Hier ein Beispiel (gekürztes Traceroute von einem Hetzner-Server aus):

Code:
traceroute to 2003:c2:53a8:a700:4db6:22dd:b3:9346, 30 hops max, 80 byte packets
 1  fe80::dca9:73ff:fe32:1399%eth0  1.385 ms  1.387 ms  1.382 ms
 2  2a01:4f8:0:e171::1631  1.377 ms  1.373 ms  1.365 ms
[...]
12  2003:c2:53cf:8ab:e228:6dff:feda:976f  34.678 ms !X  35.209 ms !X  35.586 ms !X

Und schon hat man die MAC-Adresse der Fritzbox, hier "e0-28-6d-da-97-6f". Und die ändert sich erst, wenn ich die Fritzbox austausche. Tracking-Gold!

Fragen:

Gibt es dafür eine Lösung, ohne den Stealth Mode einschalten zu müssen? Irgendeinen verborgenen Schalter (außer IPv6 abzuschalten).

Bekommt die Fritzbox vom Provider eigentlich die volle IPv6-Adresse (hier "2003:c2:53cf:8ab:e228:6dff:feda:976f"), oder nur einen Präfix (also hier "2003:c2:53cf:8ab::/64"), an den sie den konstanten Teil dann selbst anhängt?

Grüße.
 
Zuletzt bearbeitet:
..., konnte jeder durch ein Traceroute auf die IPv6-Adresse meines Webbrowsers die IPv6-Adresse der Fritzbox selbst herausfinden.
Das verstehe ich jetzt nicht, ... denn im Internet wird doch die Interface-ID (als Teil der IPv6-Adresse) des Gerätes auf dem Du den Webbrowser benutzt, gesehen und nicht die der FritzBox.

Z. B. die, die dir mit:
Code:
nslookup -q=aaaa myip.opendns.com 2620:0:ccc::2
angezeigt wird.
 

Da gehts aber um Windows, nicht um die Fritzbox.

Bekommt die Fritzbox vom Provider eigentlich die volle IPv6-Adresse (hier "2003:c2:53cf:8ab:e228:6dff:feda:976f"), oder nur einen Präfix (also hier "2003:c2:53cf:8ab::/64"), an den sie den konstanten Teil dann selbst anhängt?

Schätze eher du bekommst ein /56-Netz. Die IP gibt sich die Fritzbox dann selber. Oder du vergibst die statisch, sollte auch gehen, sofern dein Präfix statisch ist. Sonst wird es eher mühsam bei jeder Präfixänderung.
 
Hallo,

ich möchte noch mal verdeutlichen, daß hier zwischen zwei IP-Adressen unterschieden werden muß. Die Fritzbox selbst bekommt eine Extra-Adresse unabhängig von dem 56er-Netzpräfix. Unter "Internet -> Online-Monitor" findet man folgende Angaben (Beispiel, angefärbt):

IPv6-Adresse: 2003:c2:53cf:8ab:e228:6dff:feda:976f
IPv6-Präfix: 2003:c2:53a8:a700::/56

Die obere "Adresse" ist die der Fritzbox selbst, und enthält immer die äußere MAC-Adresse. Das untere "Präfix" ist das Netzpräfix, das an die Geräte im LAN weitergegeben wird. Die beiden Adressen sind unabhängig voneinander. Nebenbei: Vom LAN aus wird die Fritzbox über eine linklokale Adresse angesprochen (Beispiel: fe80::e228:6dff:fe75:12c4), in der eine interne MAC-Adresse eingebaut ist.

Das Problem ist nun: Man ermittelt eine Traceroute zur Adresse 2003:c2:53a8:a700:4db6:22dd:b3:9346 (also zu einer Adresse mit dem Netz-Präfix), aber die Route endet an 2003:c2:53cf:8ab:e228:6dff:feda:976f (also der Fritzbox-Adresse), weil die Fritzbox in der ICMP-Antwort ihre eigene Adresse sendet.

Die letzte Frage war halt, wie diese Fritzbox-Adresse genau zustande kommt.

Grüße.

Zusatz:

Wenn ich aus dem LAN den Namen "fritz.box" über DNS auflöse, dann bekomme ich eine Adresse der Fritzbox, die sich aus dem LAN-Präfix (veränderlich) und der internen MAC-Adresse der Fritzbox (konstant) zusammensetzt. Einträge in der Hosts-Datei des Websurfenden spielen hier keine Rolle.

Wenn man dieses per JavaScript im Browser schafft, dann gibt es eine zweite Tracking-Möglichkeit. Aber die kann man wohl nicht abschalten.

Also, auch die Fritzbox benötigt Privacy Extensions. Innen und außen.
 
Zuletzt bearbeitet:
Habe nun selbst nachgeforscht per Mitschnitt in der Fritzbox.

Dort kann man sehen, daß der Präfix (im Beispiel 2003:c2:53cf:8ab::/64) für die Fritzbox-eigene Adresse per stinknormalem Router Advertisement von fe80::xxxx:xxxx:xxxx:xxxx (Gegenstelle beim Provider) an ff02::1 (alle Geräte, also auch die Fritzbox) gesendet wird.

Der Provider hängt also die MAC-Adresse nicht selbst an diese IPv6-Adresse an. Somit sollte es für AVM kein Problem darstellen, bei jedem Präfix-Wechsel auch den Interface Identifier neu auszuwürfen – wie bei den Privacy Extensions üblich. Eine Frage der Movitation?!

Grüße.
 
Dann solltest es mal an AVM melden sowie ggf. an Heise Security. AVM macht derzeit viel Mist bei Firmware und im Support selbst...

Bis eben dachte ich mir auch noch, ist doch egal, Adresse wird doch eh nicht verwendet, maximal für VoIP und Online Update Anfragen.

Aber beim Tracer vom NAS taucht wirklich die FB mit ihrer IP drinnen auf.:eek:
 
Damit werden nur Portscans erschwert, aber wechseln tut die IP wohl nicht.
 
Die Privacy Extension soll ja nur bei Client's angewendet werden um ein Tracking zu erschweren. Server - also auch die Fritz!Box - sollten auch die Möglichkeit haben, mit einer festen IP betrieben zu werden und verwenden deshalb den normalen Interface-Identifier. Bei mir führt ein TRACEROUTE auf die IPv6 meines NAS über den Heise-Server ohne Probleme nach dem 7. Hop wieder zur IPv6 meines NAS.
 
Es taucht aber eben immer die FB mit der MAC in der IP auf, man kann dich also durch Trace entsprechend tracken, und dass selbst bei Providerwechsel und so weiter, solange eben die FB nicht wechselst.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,695
Beiträge
2,216,692
Mitglieder
371,315
Neuestes Mitglied
jack-mack
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.