Extensões de Privacidade IPv6: Pare o Rastreamento de Endereços

Quando você se conecta a uma rede com IPv6, seu dispositivo pode estar transmitindo um identificador permanente derivado do endereço MAC da sua placa de rede. Isso torna você rastreável através de diferentes redes e sites.

O Problema de Privacidade#

O esquema original de endereçamento IPv6 usa EUI-64 para gerar IDs de Interface a partir de endereços MAC. O MAC 00:1a:2b:3c:4d:5e da sua placa de rede se torna parte do seu endereço IPv6 como 021a:2bff:fe3c:4d5e.

Veja como funciona a conversão:

Endereço MAC:   00:1a:2b:3c:4d:5e
Inserir FF:FE:  00:1a:2b:ff:fe:3c:4d:5e
Inverter 7º bit: 02:1a:2b:ff:fe:3c:4d:5e
ID Interface:   021a:2bff:fe3c:4d5e

A inversão do 7º bit (bit universal/local) é parte do padrão EUI-64. O 00 se torna 02 porque esse bit indica se o endereço é globalmente único.

Isso cria vários problemas:

• Rastreamento entre redes: Seu dispositivo carrega o mesmo ID de Interface seja em casa, em uma cafeteria ou em WiFi público
• Identificação persistente: Sites podem correlacionar visitas ao longo do tempo, mesmo se você limpar cookies
• Divulgação de endereço MAC: Seu identificador de hardware é exposto em cada pacote

Diferente do NAT do IPv4 que esconde endereços internos, o IPv6 tipicamente atribui endereços globalmente roteáveis diretamente aos dispositivos. Sem extensões de privacidade, você está transmitindo o mesmo identificador em todos os lugares.

Como Funcionam as Extensões de Privacidade#

RFC 4941 (atualizada pela RFC 8981) introduz endereços temporários que substituem endereços derivados de EUI-64. Em vez de usar seu endereço MAC, seu dispositivo gera IDs de Interface aleatórios.

O mecanismo cria dois tipos de endereços:

Endereço estável: Gerado a partir do seu MAC ou uma semente aleatória. Usado para conexões de entrada e permanece consistente para a rede. Não usado para tráfego de saída.

Endereço temporário: Gerado aleatoriamente, usado para conexões de saída, rotaciona periodicamente (tipicamente a cada 24 horas na maioria dos sistemas).

Quando você navega na web ou faz conexões de saída, seu SO usa o endereço temporário. O endereço estável permanece disponível para serviços que precisam alcançar seu dispositivo.

Seu dispositivo mantém múltiplos endereços IPv6 simultaneamente:

2001:db8:1234:5678:021a:2bff:fe3c:4d5e  # Estável (EUI-64 ou privado estável)
2001:db8:1234:5678:a4b2:c9d1:e3f4:5a6b  # Temporário (atualmente ativo)
2001:db8:1234:5678:1234:5678:9abc:def0  # Temporário (obsoleto, expirando)

A rotação acontece automaticamente. Endereços antigos entram em um estado "obsoleto" antes de expirar completamente, garantindo que conexões ativas não quebrem.

Habilitando Extensões de Privacidade#

Windows#

Extensões de privacidade são habilitadas por padrão no Windows desde o Vista. Verifique com PowerShell:

Get-NetIPv6Protocol | Select-Object UseTemporaryAddresses

Saída 2 significa habilitado para conexões de saída. Configure manualmente:

# Habilitar endereços temporários
Set-NetIPv6Protocol -UseTemporaryAddresses Enabled
 
# Desabilitar (não recomendado)
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled

Verifique seus endereços atuais:

Get-NetIPAddress -AddressFamily IPv6 -PrefixOrigin RouterAdvertisement

Endereços temporários mostram valores de tempo de vida Preferred que fazem contagem regressiva.

macOS#

Habilitado por padrão no macOS moderno. Verifique:

sysctl net.inet6.ip6.use_tempaddr

Retorna 1 se habilitado. Configure com:

# Habilitar
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
 
# Tornar permanente
echo "net.inet6.ip6.use_tempaddr=1" | sudo tee -a /etc/sysctl.conf

Tempo de vida de endereço temporário (em segundos):

sysctl net.inet6.ip6.temppltime  # Tempo de vida preferido
sysctl net.inet6.ip6.tempvltime  # Tempo de vida válido

Linux#

Configuração varia por distribuição. A maioria das distribuições modernas habilita extensões de privacidade por padrão, mas verifique:

sysctl net.ipv6.conf.all.use_tempaddr

• 0 = desabilitado
• 1 = habilitado, preferir endereços públicos
• 2 = habilitado, preferir endereços temporários (recomendado)

Habilite adequadamente:

sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2
sudo sysctl -w net.ipv6.conf.default.use_tempaddr=2

Torne permanente editando /etc/sysctl.conf ou criando /etc/sysctl.d/99-ipv6-privacy.conf:

net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2

Aplique mudanças:

sudo sysctl -p

Verifique endereços ativos:

ip -6 addr show scope global

Endereços temporários são marcados com flag temporary e mostram valores preferred_lft e valid_lft.

Dispositivos Móveis#

iOS: Extensões de privacidade habilitadas por padrão desde iOS 4.3. Nenhuma configuração de usuário disponível.

Android: Habilitado por padrão no Android 8.0+. Versões anteriores podem usar endereços estáveis. Verifique em Configurações → Sobre → Status, embora você tipicamente não possa desabilitar extensões de privacidade.

Quando NÃO Usar Extensões de Privacidade#

Extensões de privacidade quebram cenários que requerem endereços estáveis:

Servidores e serviços: Se você está executando um servidor web, daemon SSH ou qualquer serviço que precisa de conexões de entrada, desabilite extensões de privacidade ou configure o serviço para vincular especificamente ao endereço estável.

# Linux: desabilitar para interface específica
sudo sysctl -w net.ipv6.conf.eth0.use_tempaddr=0

Registros DNS: Você não pode apontar DNS para um endereço rotativo. Servidores precisam de IPs estáveis.

Equipamentos de rede: Roteadores, firewalls e infraestrutura de rede devem usar endereçamento estável para gerenciamento.

Regras de firewall: Se você lista endereços específicos, endereços temporários quebrarão quando rotacionarem.

Registro e monitoramento: Correlacionar logs através de mudanças de endereço torna-se difícil. Para redes internas onde privacidade não é uma preocupação, endereços estáveis simplificam a solução de problemas.

Além das Extensões de Privacidade#

Extensões de privacidade apenas protegem o ID de Interface. Seu prefixo /64 ainda revela seu ISP e localização geral. Medidas adicionais:

VPN com suporte IPv6: Tunela todo tráfego através do espaço de endereçamento IPv6 do provedor VPN. Verifique se sua VPN realmente roteia tráfego IPv6; muitas desabilitam IPv6 completamente, o que vaza seu endereço IPv6 real.

Teste vazamentos em test-ipv6.com enquanto conectado à sua VPN.

Rotação de prefixo: Alguns ISPs rotacionam seu prefixo /64 periodicamente. Isso é raro e não padronizado. A maioria das conexões residenciais mantém o mesmo prefixo indefinidamente.

Tor: Tor suporta IPv6 em nós de saída, mas muitos relays são apenas IPv4. Seu tráfego pode sair via IPv4 mesmo se você tiver conectividade IPv6.

NAT66: Network Address Translation para IPv6 existe, mas quebra o princípio ponta-a-ponta e é controverso. Não recomendado.

A combinação mais prática: extensões de privacidade habilitadas em dispositivos cliente + VPN para mascaramento completo de endereço quando necessário.

Verifique sua postura atual de privacidade visitando ping6.net e notando se seu ID de Interface muda ao longo do tempo (deve mudar com extensões de privacidade habilitadas).

Extensões de privacidade são uma medida básica de segurança que deve ser habilitada em todos os dispositivos cliente. Elas não são proteção perfeita, mas eliminam o vetor de rastreamento mais óbvio no endereçamento IPv6.

Artigos Relacionados#

• Segurança IPv6 — Explore considerações mais amplas de segurança para redes IPv6
• DHCPv6 vs SLAAC — Entenda como extensões de privacidade funcionam com SLAAC