[technique] IPv6 et vie privee

Matthieu Herrb matthieu at herrb.eu
Sam 13 Oct 17:13:09 CEST 2012


On Sat, Oct 13, 2012 at 09:51:42AM +0200, Laurent GUERBY wrote:
> FYI
> 
> Sauf erreur la gestion de la privée n'est pas référencée
> sur le chiliproject :
> 
> http://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/IPv6
> 
> Une question pour les spécialistes : est-ce qu'au niveau
> de la configuration serveur RA/DHCPv6 on peut "forcer"
> les utilisateurs a ne pas reveler leur MAC ?

En dehors du travail de Fernando Gont que tu cites, Je ne connais pas
de RFC qui parlerait explicitement de cela, mais ça ne veut pas dire
qu'il n'y en a pas... Voici ce que je sais sur le sujet.


Au niveau du routeur IPv6, on peut bloquer l'émission des RA pour ne
pas avoir d'adresse SLAAC sur les machines du réseau concerné (c'est
ce qui est fait à Tetaneutral il me semble...). Et mettre en place un
serveur DHCPv6 qui affecte les adresses IPv6 soit dynamiquement à
partir d'un pool soit de manière statique (mais sans correspondance
connue avec une adresse MAC).

Au niveau du routeur, selon la puissance d'expression de ton filtre,
tu peux bloquer les adresses SLAAC. Elles ont les 2 octets  'ff fe'
aux positions 11 et 12 dans l'adresse IPv6. 

> 
> Et dans l'autre sens au niveau client que faire ?

Sur un réseau ou SLAAC est la méthode standard d'affectation des
adresses IPv6: 

- Activer l'extension privacy si ce n'est pas le cas par défaut, 
  (RFC3041 remplacé par RFC4941) Je vais mettre quelques liens sur le
  wiki pour les différents systèmes...
- Modifier l'adresse MAC a chaque connexion (OpenBSD propose 'ifconfig
  <if> lladdr random' pour cela :-)
- Bloquer avec le pare-feu local les paquets contenant l'adresse SLAAC
  si possible. 

Si les adresses IPv6 sont affectéees par un serveur DHCPv6 elles ne
sont normalement pas liées à l'adresse MAC. 

Cela dit, il a été montré qu'il y a plein d'autres moyens pour les
sites web qui veulent traquer leurs utilisateurs de collecter des
informations discriminantes sur ceux-ci (type de navigateur,
extensions installées,...):
http://news.cnet.com/8301-1009_3-20005185-83.html 
-- 
Matthieu Herrb



Plus d'informations sur la liste de diffusion technique