IPv6 Privacy Extensions: Stoppen Sie Adress-Tracking#

Wenn Sie sich mit einem Netzwerk mit IPv6 verbinden, sendet Ihr Gerät möglicherweise eine permanente Kennung, die von der MAC-Adresse Ihrer Netzwerkkarte abgeleitet ist. Dies macht Sie über verschiedene Netzwerke und Websites hinweg verfolgbar.

Das Datenschutzproblem#

Das ursprüngliche IPv6-Adressierungsschema verwendet EUI-64, um Interface-IDs aus MAC-Adressen zu generieren. Die MAC 00:1a:2b:3c:4d:5e Ihrer Netzwerkkarte wird Teil Ihrer IPv6-Adresse als 021a:2bff:fe3c:4d5e.

So funktioniert die Konvertierung:

MAC-Adresse:    00:1a:2b:3c:4d:5e
FF:FE einfügen: 00:1a:2b:ff:fe:3c:4d:5e
7. Bit flippen: 02:1a:2b:ff:fe:3c:4d:5e
Interface-ID:   021a:2bff:fe3c:4d5e

Das 7-Bit-Flip (Universal/Local-Bit) ist Teil des EUI-64-Standards. Die 00 wird zu 02, weil dieses Bit anzeigt, ob die Adresse global eindeutig ist.

Dies schafft mehrere Probleme:

• Netzwerkübergreifendes Tracking: Ihr Gerät trägt dieselbe Interface-ID, ob Sie zu Hause, im Café oder in öffentlichem WiFi sind
• Persistente Identifikation: Websites können Besuche über die Zeit korrelieren, selbst wenn Sie Cookies löschen
• MAC-Adressoffenlegung: Ihre Hardware-Kennung wird in jedem Paket exponiert

Anders als IPv4s NAT, das interne Adressen versteckt, weist IPv6 typischerweise global routbare Adressen direkt Geräten zu. Ohne Privacy Extensions senden Sie überall dieselbe Kennung.

Wie Privacy Extensions funktionieren#

RFC 4941 (aktualisiert durch RFC 8981) führt temporäre Adressen ein, die EUI-64-abgeleitete Adressen ersetzen. Anstatt Ihre MAC-Adresse zu verwenden, generiert Ihr Gerät zufällige Interface-IDs.

Der Mechanismus erstellt zwei Adresstypen:

Stabile Adresse: Generiert aus Ihrer MAC oder einem zufälligen Seed. Wird für eingehende Verbindungen verwendet und bleibt für das Netzwerk konsistent. Wird nicht für ausgehenden Verkehr verwendet.

Temporäre Adresse: Zufällig generiert, für ausgehende Verbindungen verwendet, rotiert regelmäßig (typischerweise alle 24 Stunden auf den meisten Systemen).

Wenn Sie im Web surfen oder ausgehende Verbindungen herstellen, verwendet Ihr OS die temporäre Adresse. Die stabile Adresse bleibt für Services verfügbar, die Ihr Gerät erreichen müssen.

Ihr Gerät behält mehrere IPv6-Adressen gleichzeitig bei:

2001:db8:1234:5678:021a:2bff:fe3c:4d5e  # Stabil (EUI-64 oder stable private)
2001:db8:1234:5678:a4b2:c9d1:e3f4:5a6b  # Temporär (aktuell aktiv)
2001:db8:1234:5678:1234:5678:9abc:def0  # Temporär (deprecated, läuft ab)

Die Rotation geschieht automatisch. Alte Adressen treten in einen „deprecated"-Zustand ein, bevor sie vollständig ablaufen, wodurch aktive Verbindungen nicht abbrechen.

Privacy Extensions aktivieren#

Windows#

Privacy Extensions sind standardmäßig seit Vista in Windows aktiviert. Überprüfen Sie mit PowerShell:

Get-NetIPv6Protocol | Select-Object UseTemporaryAddresses

Ausgabe 2 bedeutet für ausgehende Verbindungen aktiviert. Konfigurieren Sie manuell:

# Temporäre Adressen aktivieren
Set-NetIPv6Protocol -UseTemporaryAddresses Enabled
 
# Deaktivieren (nicht empfohlen)
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled

Prüfen Sie Ihre aktuellen Adressen:

Get-NetIPAddress -AddressFamily IPv6 -PrefixOrigin RouterAdvertisement

Temporäre Adressen zeigen Preferred-Lebenszeitwerte, die herunterzählen.

macOS#

Standardmäßig auf modernem macOS aktiviert. Überprüfen Sie:

sysctl net.inet6.ip6.use_tempaddr

Gibt 1 zurück, falls aktiviert. Konfigurieren Sie mit:

# Aktivieren
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
 
# Permanent machen
echo "net.inet6.ip6.use_tempaddr=1" | sudo tee -a /etc/sysctl.conf

Lebensdauer temporärer Adressen (in Sekunden):

sysctl net.inet6.ip6.temppltime  # Bevorzugte Lebensdauer
sysctl net.inet6.ip6.tempvltime  # Gültige Lebensdauer

Linux#

Die Konfiguration variiert je nach Distribution. Die meisten modernen Distributionen aktivieren Privacy Extensions standardmäßig, aber prüfen Sie:

sysctl net.ipv6.conf.all.use_tempaddr

• 0 = deaktiviert
• 1 = aktiviert, öffentliche Adressen bevorzugen
• 2 = aktiviert, temporäre Adressen bevorzugen (empfohlen)

Korrekt aktivieren:

sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2
sudo sysctl -w net.ipv6.conf.default.use_tempaddr=2

Permanent machen durch Bearbeiten von /etc/sysctl.conf oder Erstellen von /etc/sysctl.d/99-ipv6-privacy.conf:

net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2

Änderungen anwenden:

sudo sysctl -p

Aktive Adressen prüfen:

ip -6 addr show scope global

Temporäre Adressen sind mit temporary-Flag markiert und zeigen preferred_lft- und valid_lft-Werte.

Mobile Geräte#

iOS: Privacy Extensions standardmäßig seit iOS 4.3 aktiviert. Keine Benutzerkonfiguration verfügbar.

Android: Standardmäßig auf Android 8.0+ aktiviert. Frühere Versionen können stabile Adressen verwenden. Prüfen Sie in Einstellungen → Info → Status, obwohl Sie Privacy Extensions typischerweise nicht deaktivieren können.

Wann Privacy Extensions NICHT verwenden#

Privacy Extensions brechen Szenarien, die stabile Adressen erfordern:

Server und Services: Wenn Sie einen Webserver, SSH-Daemon oder irgendeinen Service betreiben, der eingehende Verbindungen benötigt, deaktivieren Sie Privacy Extensions oder konfigurieren Sie den Service, um spezifisch an die stabile Adresse zu binden.

# Linux: für spezifisches Interface deaktivieren
sudo sysctl -w net.ipv6.conf.eth0.use_tempaddr=0

DNS-Records: Sie können DNS nicht auf eine rotierende Adresse zeigen lassen. Server benötigen stabile IPs.

Netzwerkausrüstung: Router, Firewalls und Netzwerkinfrastruktur sollten stabile Adressierung für Management verwenden.

Firewall-Regeln: Wenn Sie spezifische Adressen whitelisten, brechen temporäre Adressen beim Rotieren.

Logging und Monitoring: Logs über Adressänderungen hinweg zu korrelieren wird schwierig. Für interne Netzwerke, wo Datenschutz kein Anliegen ist, vereinfachen stabile Adressen die Fehlerbehebung.

Über Privacy Extensions hinaus#

Privacy Extensions schützen nur die Interface-ID. Ihr /64-Präfix offenbart immer noch Ihren ISP und allgemeine Lage. Zusätzliche Maßnahmen:

VPN mit IPv6-Unterstützung: Tunnelt allen Verkehr durch den IPv6-Adressraum des VPN-Anbieters. Verifizieren Sie, dass Ihr VPN tatsächlich IPv6-Verkehr routet; viele deaktivieren IPv6 vollständig, was Ihre echte IPv6-Adresse leakt.

Testen Sie auf Lecks bei test-ipv6.com, während Sie mit Ihrem VPN verbunden sind.

Präfix-Rotation: Einige ISPs rotieren Ihr /64-Präfix regelmäßig. Das ist selten und nicht standardisiert. Die meisten Privatverbindungen behalten dasselbe Präfix unbegrenzt.

Tor: Tor unterstützt IPv6 an Exit-Nodes, aber viele Relays sind nur IPv4. Ihr Verkehr könnte über IPv4 ausgehen, selbst wenn Sie IPv6-Konnektivität haben.

NAT66: Network Address Translation für IPv6 existiert, bricht aber das End-zu-End-Prinzip und ist kontrovers. Nicht empfohlen.

Die praktischste Kombination: Privacy Extensions auf Client-Geräten aktiviert + VPN für vollständige Adressmaskierung bei Bedarf.

Prüfen Sie Ihre aktuelle Datenschutzhaltung, indem Sie ping6.net besuchen und beobachten, ob sich Ihre Interface-ID über die Zeit ändert (sollte sie mit aktivierten Privacy Extensions).

Privacy Extensions sind eine grundlegende Sicherheitsmaßnahme, die auf allen Client-Geräten aktiviert sein sollte. Sie sind kein perfekter Schutz, aber sie eliminieren den offensichtlichsten Tracking-Vektor in IPv6-Adressierung.

Verwandte Artikel#

• IPv6-Sicherheits-Best-Practices - Schützen Sie Ihr Netzwerk gegen IPv6-spezifische Bedrohungen
• DHCPv6 vs SLAAC - Verstehen Sie Adresszuweisung und Datenschutzimplikationen