IPV6 Privacy mit Networkmanager richtig einstellen
Hauseigenes Apt-Repo: https://apt.iteas.at
Getestet mit Ubuntu 16.04, 18.04
Voraussetzung für das ganze ist das die IPV6 Adresse über SLAAC bezogen wird.
Default hat Ubuntu die Privacy_Extensions aktiviert. Dies erhöht zwar die Sicherheit des Benutzers. Erhöht aber auch gewaltig die Fehleranfälligkeit von Internet abhängigen Applicationen die auf die IP Adresse schauen. Die Empfehlung ist diese zu deaktivieren. Dies kann natürlich auch pro Verbindung im Networkmanager grafisch oder auf der CMD auch wieder per Verbindung deaktivieren. z.B. /etc/NetworkManager/system-connections/Kabelnetzwerkverbindung\ 1
... ip6-privacy=0 ...
Zu dem gibt es noch zwei Generierungsarten von Adressen.
- stable-privacy (Standardeinstellung im Networkmanager) Die daraus resultiernde IPV6 Adresse wird mit einem Secure HASH vom Hostkey generiert und ist von der Netzwerkkarte unabhängig. Die Rückverfolgbarkeit ist hiermit ausgeschlossen. Adresse ändert sich bei Neuinstallation des Betriebsystems.
- eui64 (Standard wenn man den Configwert „addr-gen-mode“ in der CMD löscht) Die daraus resultiernde IPV6 Adresse wird mit einem Teil der MAC generiert und ändert sich beim Tausch der Netzwerkkarte. Hier ist die Rückverfolgbarkeit des Hosts gegeben.
Auch diese Werte können in so machem Networkmanager Interface eingestellt werden. Bei XFCE gibt es hier eine Einstellungsmöglichkeit. Bei KDE nicht. Auf der CMD könnte ein solcher Block z. B. so aussehen:
[ipv6] addr-gen-mode=stable-privacy dns=::1; dns-search= ignore-auto-dns=true ip6-privacy=0 may-fail=false method=auto
Ändert man hier etwas genügt ein Neustart des Services.
systemctl restart NetworkManager
Bei einer Neuinstallation des Hosts ändert sich die Adresse immer.
Default Einstellungen in Networkmanager festlegen
Das macht gerade in VM Templates Sinn. nano /etc/NetworkManager/NetworkManager.conf
[main] plugins=ifupdown,keyfile [ifupdown] managed=false [device] wifi.scan-rand-mac-address=no [connection] ipv6.ip6-privacy=0 addr-gen-mode=eui64
Der Bereich mit „Connections“ wurde angehängt. Damit bekommt der Rechner oder die VM immer die an die Hardware gebundene IPV6 Adresse. Auch beim Anlegen eines neuen Interfaces/Verbindung in Networkmanager bleibt die Adresse gleich.
Links
Configure method for creating the address for use with RFC4862 IPv6 Stateless Address Autoconfiguration. The permitted values are: „eui64“, or „stable-privacy“. If the property is set to „eui64“, the addresses will be generated using the interface tokens derived from hardware address. This makes the host part of the address to stay constant, making it possible to track host's presence when it changes networks. The address changes when the interface hardware is replaced. The value of „stable-privacy“ enables use of cryptographically secure hash of a secret host-specific key along with the connection identification and the network address as specified by RFC7217. This makes it impossible to use the address track host's presence, and makes the address stable when the network interface hardware is replaced. On D-Bus, the absence of an addr-gen-mode setting equals enabling „stable-privacy“. For keyfile plugin, the absence of the setting on disk means „eui64“ so that the property doesn't change on upgrade from older versions. Note that this setting is distinct from the Privacy Extensions as configured by „ip6-privacy“ property and it does not affect the temporary addresses configured with this option.