امتدادات خصوصية IPv6: أوقف تتبع العناوين

عندما تتصل بشبكة مع IPv6، قد يبث جهازك معرفاً دائماً مشتقاً من عنوان MAC لبطاقة الشبكة الخاصة بك. هذا يجعلك قابلاً للتتبع عبر الشبكات والمواقع المختلفة.

مشكلة الخصوصية#

يستخدم مخطط عنونة IPv6 الأصلي EUI-64 لتوليد معرفات الواجهة من عناوين MAC. يصبح MAC 00:1a:2b:3c:4d:5e لبطاقة الشبكة الخاصة بك جزءاً من عنوان IPv6 الخاص بك كـ 021a:2bff:fe3c:4d5e.

إليك كيفية عمل التحويل:

عنوان MAC:    00:1a:2b:3c:4d:5e
إدراج FF:FE:   00:1a:2b:ff:fe:3c:4d:5e
قلب البت 7:   02:1a:2b:ff:fe:3c:4d:5e
معرف الواجهة:   021a:2bff:fe3c:4d5e

قلب البت السابع (بت عالمي/محلي) جزء من معيار EUI-64. يصبح 00 02 لأن ذلك البت يشير إلى ما إذا كان العنوان فريداً عالمياً.

هذا يخلق عدة مشاكل:

• تتبع عبر الشبكات: جهازك يحمل نفس معرف الواجهة سواء كنت في المنزل، أو في مقهى، أو على WiFi عام
• تحديد مستمر: يمكن للمواقع ربط الزيارات عبر الوقت، حتى إذا قمت بمسح ملفات تعريف الارتباط
• كشف عنوان MAC: معرف أجهزتك مكشوف في كل حزمة

على عكس NAT في IPv4 الذي يخفي العناوين الداخلية، عادةً ما يخصص IPv6 عناوين قابلة للتوجيه عالمياً مباشرة للأجهزة. بدون امتدادات الخصوصية، أنت تبث نفس المعرف في كل مكان.

كيف تعمل امتدادات الخصوصية#

يقدم RFC 4941 (محدّث بواسطة RFC 8981) عناوين مؤقتة تحل محل العناوين المشتقة من EUI-64. بدلاً من استخدام عنوان MAC الخاص بك، يولد جهازك معرفات واجهة عشوائية.

تنشئ الآلية نوعين من العناوين:

عنوان مستقر: مولد من MAC الخاص بك أو بذرة عشوائية. يستخدم للاتصالات الواردة ويبقى متسقاً للشبكة. لا يستخدم لحركة المرور الصادرة.

عنوان مؤقت: مولد عشوائياً، يستخدم للاتصالات الصادرة، يتناوب دورياً (عادةً كل 24 ساعة على معظم الأنظمة).

عندما تتصفح الويب أو تقوم باتصالات صادرة، يستخدم نظام التشغيل الخاص بك العنوان المؤقت. يبقى العنوان المستقر متاحاً للخدمات التي تحتاج للوصول إلى جهازك.

جهازك يحتفظ بعناوين IPv6 متعددة في وقت واحد:

2001:db8:1234:5678:021a:2bff:fe3c:4d5e  # مستقر (EUI-64 أو خاص مستقر)
2001:db8:1234:5678:a4b2:c9d1:e3f4:5a6b  # مؤقت (نشط حالياً)
2001:db8:1234:5678:1234:5678:9abc:def0  # مؤقت (مهمل، ينتهي)

يحدث التناوب تلقائياً. تدخل العناوين القديمة حالة «مهملة» قبل انتهاء صلاحيتها تماماً، مما يضمن عدم كسر الاتصالات النشطة.

تمكين امتدادات الخصوصية#

Windows#

امتدادات الخصوصية ممكّنة افتراضياً على Windows منذ Vista. تحقق مع PowerShell:

Get-NetIPv6Protocol | Select-Object UseTemporaryAddresses

إخراج 2 يعني ممكّن للاتصالات الصادرة. كوّن يدوياً:

# تمكين العناوين المؤقتة
Set-NetIPv6Protocol -UseTemporaryAddresses Enabled
 
# تعطيل (غير موصى به)
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled

تحقق من عناوينك الحالية:

Get-NetIPAddress -AddressFamily IPv6 -PrefixOrigin RouterAdvertisement

تظهر العناوين المؤقتة قيم عمر Preferred تعد تنازلياً.

macOS#

ممكّن افتراضياً على macOS الحديث. تحقق:

sysctl net.inet6.ip6.use_tempaddr

يعيد 1 إذا كان ممكّناً. كوّن مع:

# تمكين
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
 
# اجعله دائماً
echo "net.inet6.ip6.use_tempaddr=1" | sudo tee -a /etc/sysctl.conf

عمر العنوان المؤقت (بالثواني):

sysctl net.inet6.ip6.temppltime  # العمر المفضل
sysctl net.inet6.ip6.tempvltime  # العمر الصالح

Linux#

يختلف التكوين حسب التوزيعة. تمكّن معظم التوزيعات الحديثة امتدادات الخصوصية افتراضياً، لكن تحقق:

sysctl net.ipv6.conf.all.use_tempaddr

• 0 = معطل
• 1 = ممكّن، يفضل العناوين العامة
• 2 = ممكّن، يفضل العناوين المؤقتة (موصى به)

مكّن بشكل صحيح:

sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2
sudo sysctl -w net.ipv6.conf.default.use_tempaddr=2

اجعله دائماً بتحرير /etc/sysctl.conf أو إنشاء /etc/sysctl.d/99-ipv6-privacy.conf:

net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2

طبّق التغييرات:

sudo sysctl -p

تحقق من العناوين النشطة:

ip -6 addr show scope global

تُعلّم العناوين المؤقتة بعلامة temporary وتظهر قيم preferred_lft وvalid_lft.

الأجهزة المحمولة#

iOS: امتدادات الخصوصية ممكّنة افتراضياً منذ iOS 4.3. لا يوجد تكوين متاح للمستخدم.

Android: ممكّن افتراضياً على Android 8.0+. الإصدارات الأقدم قد تستخدم عناوين مستقرة. تحقق في الإعدادات ← حول ← الحالة، على الرغم من أنك عادةً لا تستطيع تعطيل امتدادات الخصوصية.

متى لا تستخدم امتدادات الخصوصية#

امتدادات الخصوصية تكسر السيناريوهات التي تتطلب عناوين مستقرة:

الخوادم والخدمات: إذا كنت تشغل خادم ويب أو خادم SSH أو أي خدمة تحتاج اتصالات واردة، عطّل امتدادات الخصوصية أو كوّن الخدمة للربط بالعنوان المستقر تحديداً.

# Linux: تعطيل لواجهة محددة
sudo sysctl -w net.ipv6.conf.eth0.use_tempaddr=0

سجلات DNS: لا يمكنك توجيه DNS إلى عنوان متناوب. تحتاج الخوادم إلى عناوين IP مستقرة.

معدات الشبكة: الموجهات وجدران الحماية والبنية التحتية للشبكة يجب أن تستخدم عنونة مستقرة للإدارة.

قواعد جدار الحماية: إذا قمت بإدراج عناوين محددة في قائمة بيضاء، العناوين المؤقتة ستنكسر عند تناوبها.

التسجيل والمراقبة: ربط السجلات عبر تغييرات العناوين يصبح صعباً. للشبكات الداخلية حيث الخصوصية ليست مصدر قلق، العناوين المستقرة تبسط استكشاف الأخطاء.

بخلاف امتدادات الخصوصية#

تحمي امتدادات الخصوصية فقط معرف الواجهة. بادئة /64 الخاصة بك لا تزال تكشف عن مزود خدمة الإنترنت الخاص بك والموقع العام. تدابير إضافية:

VPN مع دعم IPv6: ينفق كل حركة المرور عبر مساحة عناوين IPv6 لمزود VPN. تحقق من أن VPN الخاص بك فعلاً يوجه حركة مرور IPv6؛ العديد يعطلون IPv6 تماماً، مما يسرب عنوان IPv6 الحقيقي الخاص بك.

اختبر التسريبات على test-ipv6.com أثناء الاتصال بـ VPN الخاص بك.

تناوب البادئة: بعض مزودي خدمة الإنترنت يناوبون بادئة /64 الخاصة بك دورياً. هذا نادر وغير موحد. معظم الاتصالات السكنية تحتفظ بنفس البادئة إلى أجل غير مسمى.

Tor: يدعم Tor IPv6 في عقد الخروج، لكن العديد من المرحلات IPv4 فقط. قد تخرج حركة المرور الخاصة بك عبر IPv4 حتى إذا كان لديك اتصال IPv6.

NAT66: ترجمة عنوان الشبكة لـ IPv6 موجودة لكنها تكسر مبدأ من طرف إلى طرف ومثيرة للجدل. غير موصى بها.

الجمع الأكثر عملية: امتدادات الخصوصية ممكّنة على أجهزة العميل + VPN لإخفاء العنوان الكامل عند الحاجة.

تحقق من وضع خصوصيتك الحالي بزيارة ping6.net وملاحظة ما إذا كان معرف الواجهة الخاص بك يتغير عبر الوقت (يجب أن يتغير مع امتدادات الخصوصية ممكّنة).

امتدادات الخصوصية إجراء أمان أساسي يجب تمكينه على جميع أجهزة العميل. إنها ليست حماية مثالية، لكنها تزيل ناقل التتبع الأكثر وضوحاً في عنونة IPv6.

مقالات ذات صلة#

• أمان IPv6 - تعلم اعتبارات الأمان الأوسع لشبكات IPv6
• DHCPv6 مقابل SLAAC - فهم كيفية عمل امتدادات الخصوصية مع SLAAC