Hallo zusammen,
ist es überhaupt möglich, hinter einem Anschluß der Deutschen Glasfaser anonym zu sein? Hat der Router nicht immer die gleiche IPv6 Adresse..?
Hi Stutenkerl,
der Router hat in der Tat immer die gleiche IPv6, jedoch wird diese nicht nach aussen
mitgeteilt, dafür gibt es die temporäre IPv6, die wie der Name schon sagt, regelmäßig wechselt.
Ruf über Start - Ausführen - cmd ein "DOS" Fenster auf und gib dort ipconfig ein.
Du wirst folgendes bei Dir sehen:
IPv6-Adresse. . . . .. . . . . . : 2a00:61e0:xxxx:xxxx:yyyy:yyyy:5967:4cb8
Temporäre IPv6-Adresse. . . . . . : 2a00:61e0:xxxx:xxxx:a03c:5960:f7cf:17c7
Zur Kontrolle öffne Deinen Browser und gehe zur Seite:
http://www.wieistmeineip.de/
dort wirst Du nur Deine temporäre IPv6-Adresse sehen.
IPv6 ist für mich auch noch Neuland. Sollte es jemand besser wissen, kann er es hier
kund tun.
MfG
HDS
(19.11.2015, 12:47)HDS schrieb: [ -> ]Ruf über Start - Ausführen - cmd ein "DOS" Fenster auf und gib dort ipconfig ein.
Du wirst folgendes bei Dir sehen:
IPv6-Adresse. . . . .. . . . . . : 2a00:61e0:xxxx:xxxx:yyyy:yyyy:5967:4cb8
Temporäre IPv6-Adresse. . . . . . : 2a00:61e0:xxxx:xxxx:a03c:5960:f7cf:17c7
Hallo HDS,
bei IPv6 ist es leider nicht mehr so einfach wie bei IPv4. Eine andere Adresse heißt noch nicht, dass man nicht wiedererkannt wird. Die Adresse teilt sich ähnlich wie bei IPv4 in einen Netzwerkteil und einen lokalen Teil. Allerdings wird dem Kunden jetzt nicht mehr eine einzelne Adresse in einem externen Netz zugewiesen, sondern gleich ein ganzes (Sub-)Netz. Der Netzwerkteil wird bei IPv6 "das Prefix" genannt und ist 64 Bit lang. In deinem Beispiel sind das 2a00:61e0:xxxx:xxxx. Der Rest der Adresse ist der lokale Teil, auch "Interface Identifier" genannt. Dieser Teil ist ebenfalls 64 Bit lang. Egal was dort steht, es sind alles "deine" Adressen.
Aus dieser Aufteilung ergeben sich zwei Möglichkeiten, dich im Internet wiederzuerkennen: Immer gleiches Prefix oder immer gleicher Interface Identifier.
Die sogenannten Privacy Extensions sorgen dafür, dass die zweite dieser Möglichkeiten wegfällt. Das Problem war/ist folgendes: Ursprünglich sollten sich Netzwerkteilnehmer ihre Adresse selbst erzeugen, und zwar als Kombination aus zugewiesenem Prefix und einer Umformung der Hardwareadresse ihrer Netzwerkkarte (MAC Adresse). Eine so erzeugte Adresse macht den Netzwerkteilnehmer aber überall wiedererkennbar, sogar wenn der Computer in einem anderen IPv6 Netz auftauchen würde, weil sich der auch nach außen sichtbare lokale Teil nie ändern würde, denn er besteht ja aus einer sich nie ändernden und zudem eindeutigen Hardwareadresse. Die Privacy Extensions verwenden deshalb nicht die Hardware Adresse der Netzwerkkarte, sondern würfeln sich regelmäßig einen neuen Interface Identifier und damit eine neue IPv6 Adresse.
Mit einer IPv6 Adresse, deren lokaler Teil mittels Privacy Extensions gebildet wurde, ist man aber deshalb noch lange nicht incognito unterwegs, denn da ist ja noch das Prefix. Das ist der Teil, den man vom Provider zugewiesen bekommt, so wie man bislang eine IPv4 Adresse zugewiesen bekommen hat. Und genau wie bei einer IPv4 Adresse ist man leicht wiedererkennbar, wenn das Prefix statisch vergeben wird. Das ist dann wie eine statische IPv4 Adresse.
Wenn also in deinem Beispiel der Anfang der Adresse (2a00:61e0:xxxx:xxxx) immer gleich bleibt, dann hast du das IPv6-Äquivalent einer statischen IP Adresse.
Kann man das "wiedererkennen" evt. durch einen Filter verhindern? Wenn wir als Beispiel mal ein Telefon nehmen, da kann ich doch auch entscheiden ob die Rufnummer übertragen wird oder nicht..
Es gibt konzeptionell betrachtet zwei Möglichkeiten, die Wiedererkennung zu erschweren: a) man verwendet wechselnde Prefixes, oder b) man verwendet Prefixes, die gleichzeitig auch von vielen anderen verwendet werden.
Der zweite Ansatz kommt z.B. heraus, wenn man VPN Dienste nutzt, oder auch wenn der Kontakt nach außen über CGN (Carrier Grade NAT) stattfindet.
Der erste Ansatz (wechselnde Prefixes) ist die für die Benutzer einfachere Möglichkeit. Im Prinzip spricht nichts dagegen, wie bei IPv4 üblich wechselnde Adressen bzw. jetzt eben wechselnde Prefixes zu vergeben. Wegen der Menge verfügbarer Adressen bei IPv6 muss man sich auch nicht zwischen statischen und dynamischen Prefixes entscheiden, sondern kann beides gleichzeitig zuweisen: Wer Server betreiben will, nutzt das statische Prefix. Wer kein zu leichtes Ziel für die Werbeindustrie sein will, nutzt das dynamische Prefix. Oder eben beides, je nach Anwendung. Diese Lösung wurde bereits vor Jahren vom damaligen Bundesdatenschützer Peter Schaar favorisiert. Allerdings ist es absolut notwendig, dass es im dynamischen Prefix wirklich keinen festen Adressbestandteil gibt, der immer nur einem Kunden zugewiesen wird, wie das z.B. dort angedacht war:
http://heise.de/-1383772
Ob die auf dem Netz von Deutsche Glasfaser tätigen ISPs dynamische oder statische Prefixes oder beides zuweisen, kann ich nicht sagen. Mein Anschluss ist noch in der Wunschdenken-Phase.
(20.11.2015, 23:50)Mansa schrieb: [ -> ]?????????
Ich werde versuchen, alle 9 Fragen zu beantworten, aber zuerst ein paar Ergänzungen:
Der FAQ-Seite* entnehme ich, dass die IPv6 Prefixes quasi statisch vergeben werden. Damit entfällt natürlich die Möglichkeit, wechselnde Prefixes zu verwenden.
')
http://www.buerger-fuer-glasfaser.de/fragen/alle-fragen-und-antworten-auf-einen-blick/
Auf der selben Seite steht, dass Dual Stack Lite verwendet wird, also die vergebenen IPv4 Adressen nicht öffentliche Adressen sind und ausgehende Verbindungen erst beim Provider per NAT auf wenige öffentliche IPv4 Adressen umgesetzt werden.
Damit ergibt sich als das am ehesten vor Tracking schützende Verhalten (ohne externe Dienstleister), IPv6 zu deaktivieren und nur IPv4 mit CGNAT für ausgehende Verbindungen zu verwenden. Die ausgehenden Verbindungen werden dann zwar über kaum wechselnde Adressen geführt, aber da diese Adressen auch von allen anderen Kunden verwendet werden, ist keine Wiedererkennung anhand der IP Adresse möglich. Wenn in nennenswertem Umfang Dienste nur noch über IPv6 angeboten werden, ist das Abschalten von IPv6 natürlich nicht mehr sinnvoll. Spätestens dann wäre eine bessere Lösung von Seiten der ISPs wünschenswert.
Zu den Fragen:
? Ja.
? Nein.
? Kommt auf den Einzelfall an.
? Bloß nicht.
? Was sonst?
? Siehe oben.
? Handbuch, Seite 3 unten.
? Nur bei Vollmond.
? Theoretisch ja, praktisch nein.
(21.11.2015, 12:04)EricNelson schrieb: [ -> ] (20.11.2015, 23:50)Mansa schrieb: [ -> ]?????????
IPv6 zu deaktivieren und nur IPv4 mit CGNAT für ausgehende Verbindungen zu verwenden.
Wie kann man das umsetzen? Einen anderen Router am Glasfaseranschluss verwenden?
Vielleicht habt ihr schon von der Freifunk-Intiative gehört. Ich habe das grundsätzliche Anliegen hier mal zusammengefasst:
http://www.ulrichivens.de/index.php/2016/02/05/freifunk-mitmachen-ist-angesagt/
Im Prinzip macht man damit eine "Anonymisierung". So wie ich das verstanden habe bekommt jeder Client jedesmal eine neue, nicht statische IPv4 und IPv6. Die Knoten (Router) arbeiten (jedenfalls mit der Aachener Firmware) auf IPv4 und IPv6. Das IPv6 Prefix ist natürlich auch immer gleich. Es ist aber nirgendwo erfasst welcher Client zu welchem Menschen gehört. Kommt der "Aonymisierung" recht nahe.
Der gesamte Traffic wird via VPN getunnelt und geht nicht am häuslichen Übergangspunkt in das Internet, sondern an einem Superknoten in Berlin.
Hiermit hätte man dann zwei Fliegen mit einer Klappe geschlagen. Ein (fast) anonymes Netz und zudem einen freien Hotspot z.B. für Gäste, Nachbarn die kein Glasfaser haben, den Garten oder wo auch immer. Ohne WLAN-Störerhaftung, die Date gehen nämlich erst bei einem Provider (Superknoten) in das Internet. Die zur Verfügung zu stellende Bandbreite kann man einstellen. Mit Billig-Routern wie dem TP-Link WR-841N gehen aber ohnehin nicht mehr als ca. 15 MBit UP/Down, da die CPU schwach ist und der VPN-Tunnel Rechenleistung benötigt. Kostet dafür aber auch nur 15 Euro. Zum Ausprobieren und rumspielen ist das aber Klasse. Übrigens: Das-15-Euro-Teil hat deutlich besseres WLAN als der Genexis.
Gruß
Ulli
Anonymität im Web ist zunächst mal eine Illusion. Aber ich verstehe schon, worauf die Frage abzielt.
Zunächst mal war/ist man an den alten ipv4 NAT Anschlüssen per DSL auch immer auffindbar. Leider müssen die Provider die Daten entsprechend aufbewahren. VDS sei dank :/ Darüber hinaus lässt sich eine IP-Adresse wenigstens grob gg. eine GeoLocation auflösen.
Aber zurück zu möglichen Lösungen:
1. Macht mit bei FreiFunk, solange es noch geht. Kauft euch billige Router und ihr seid in Sachen Rückverfolgbarkeit ein ganzes Stück weiter. Wenn Ihr da mehr Tempo wollt, braucht Ihr ggf. einen Offloader hinter dem Freifunk-Router. Schaut mal bei
http://forum.freifunk.net vorbei. Da gibts jede Menge Infos von guten Leuten.
2. Besorgt euch ein TOR-Browser-Paket und surft darüber mehr oder weniger anonym
3. Werft einen Blick auf "eblocker", ist eine halb proprietäre Anonymisierungslösung mit TOR und ICAP-Proxy
4. Entledigt Euch vom Genexsis-Zwangsrouter und nutzt einen OpenWRT-Router (vgl.
http://www.heise.de/netze/artikel/OpenWRT-wuerfelt-IPv6-Praefixe-1445607.html)
Als Ausblick könnte man mal grob ins Auge fassen, im DGF-Netz mit den Präfixen Karussell zwischen den Anschlüssen zu fahren, wenn sich für sowas genügend Leute fänden. Aber dafür bräuchte man zunächst mal andere Router, das ist bis August noch Zukunftsmusik.