Gizlilik Uzantıları varsayılan olarak açık mı?

Evet, Windows, macOS, iOS ve çoğu modern Linux dağıtımında. Daha eski sistemlerde veya belirli sunucu yapılandırmalarında bunlar etkinleştirilmemiş olabilir. IPv6 adresinize bakarak kontrol edin; günden güne değişiyorsa çalışıyor demektir.

IPv6 adresimde neden birden fazla adres listeleniyor?

Modern yığınlar, gelen bağlantılar için sabit bir adresin yanı sıra giden bağlantılar için bir veya daha fazla geçici adresi korur. Linux'ta ip -6 addr show veya macOS'ta Sistem Tercihleri her ikisini de gösterir. Her ikisi de normaldir.

VPN kullanmak IPv6 gizliliğini tartışmalı hale getirir mi?

VPN çıkışının IPv6 adresi (varsa) hedefin gördüğü şeydir. Ancak birçok VPN yalnızca IPv4'te tünel açar ve IPv6'yı doğrudan sızdırarak gerçek adresinizi açığa çıkarır. VPN'nizin gerçekten IPv6'yı işleyip işlemediğini kontrol edin — VPN sızıntı testimize bakın .

IPv6 adresimin günlük değişimden daha hızlı değişmesini sağlayabilir miyim?

Linux'ta: sysctl net.ipv6.conf.all.temp_prefered_lft kullanım ömrünü kontrol eder. Azaltılması, biraz daha fazla bağlantı devri pahasına daha sık döner. Çoğu kullanıcı, varsayılan günlük rotasyondan yeterli gizlilik elde eder.

IPv6 MAC adresimi gösteriyor mu?

Yalnızca Gizlilik Uzantıları kapalıysa ve EUI-64 adreslemesi kullanılıyorsa. Modern sistemler varsayılan olarak ya Gizlilik Uzantılarını ya da RFC 7217 kararlı adreslerini kullanır; her ikisi de MAC'den türetilmek yerine rastgeledir. Varsayılan modern yapılandırmada MAC'iniz IPv6 trafiğinizden çıkarılamamalıdır.

IPv6 Gizlilik Uzantılarının Açıklaması: IPv6 Adresiniz Neden Her Gün Değişiyor?

IPv6, orijinal olarak her cihazın, cihazın MAC adresinden türetilen ve onu kalıcı, benzersiz bir tanımlayıcı yapan sabit, global olarak yönlendirilebilen bir adrese sahip olacağı şekilde tasarlandı. Gizlilik topluluğu sert bir şekilde geri adım attı; sorunun cevabı, cihazınıza günlük olarak değişen geçici adresler sağlayan Gizlilik Uzantılarıydı. Bunun nasıl çalıştığını anlamak, IPv6'nın sizin hakkınızda ne yaptığını ve neyi açıklamadığını netleştirir.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

IPv6 Gizlilik Uzantıları (RFC 4941, RFC 8981'de güncellenmiştir), sabit bir adres üzerinden izlemeyi önlemek için rastgele, zaman sınırlı IPv6 adresleri oluşturur. Bunlar olmasaydı IPv6, internete bağlı her cihazı, katıldığı tüm ağlarda kalıcı ve benzersiz bir şekilde adreslenebilir hale getirirdi; bu da bir izleme kabusu olurdu. Bunlarla birlikte IPv6, kabaca IPv4 + NAT varsayılanı kadar özeldir, ancak bazı avantajları ve bazı uyarıları vardır.

Orijinal sorun

IPv6 adresleri 128 bittir; 64 bit tipik olarak ağ önekini, 64 bit ise arayüz tanımlayıcıyı temsil eder. Orijinal Durum Bilgisiz Adres Otomatik Yapılandırma (SLAAC) standardı, arayüz tanımlayıcısını EUI-64 formatını kullanarak cihazın MAC adresinden türetmiştir. Her cihazda şunlar vardı:

Katıldığı her ağda aynı arayüz tanımlayıcı
Ağ kartının MAC
A'sına kalıcı olarak bağlı bir adres

Bu, internete bağlı her cihazın kalıcı olarak görünür bir seri numarasına sahip olmasına eşdeğerdi. İzleyiciler, başka hiçbir araca ihtiyaç duymadan ağlardaki cihazların parmak izlerini alabiliyordu. Gizlilik felaketi erkenden belli oldu.

Gizlilik Uzantıları nasıl çalışır

Düzeltme basittir:

Cihaz, EUI-64 kullanmak yerine rastgele bir 64 bit arayüz tanımlayıcısı oluşturur.
Geçici bir IPv6 oluşturmak için bunu ağ önekiyle birleştirir adres.
Geçici adres, giden bağlantılar için kullanılır.
Yeni bir rastgele arayüz tanımlayıcısı periyodik olarak - genellikle günlük olarak - oluşturulur ve eskisi kullanımdan kaldırılır.
Eski adres, kaldırılmadan önce devam eden bağlantılar için kısa bir süre canlı tutulur.

Sonuç: Giden trafik, birinden farklı bir IPv6 adresi kullanır ertesi gün. IP'ye göre izleme yapan siteler, tipik bir IPv4 dinamik adresine benzer, dönen bir tanımlayıcı görür.

OS desteği

Windows — 2009'daki Windows 7'den beri varsayılan olarak etkindir.
macOS / iOS — yıllardır varsayılan olarak etkindir; iOS, giden trafik için varsayılan olarak geçici adresler kullanır.
Linux — çekirdekte desteklenir; varsayılan olarak etkin olup olmadığına dağıtıma bağlıdır. Çoğu modern dağıtım bunu mümkün kılar.
Android — Wi-Fi düzeyinde MAC rastgeleleştirmesini kullanır, ayrı ancak IPv6 gizliliğiyle ilgilidir.

Modern işletim sistemlerindeki çoğu kullanıcı için Gizlilik Uzantıları zaten açıktır.

Kararlı adres hala mevcuttur

Cihazlar genellikle hem kararlı adres (gelen bağlantılar, barındırma hizmetleri için) ve geçici bir adres (giden bağlantılar için). Bir bağlantı başlattığınızda geçici adres kaynaktır. Birisi size bağlandığında (veya cihazınız bir sunucu gibi davrandığında), hedef kararlı adres olur.

Kararlı adres hâlâ EUI-64 tabanlı (MAC'den türetilmiş) veya RFC 7217 tarafından oluşturulmuş (modern yığınlar tarafından önerilen, ağ başına kararlı bir sözde rastgele değer) olabilir. RFC 7217 sabit adresleri, cihazın katıldığı her ağ için benzersizdir; ev ağınız bir sabit adres görür, ofis ağınız farklı bir adres görür.

Hangi Gizlilik Uzantıları korumaz

Oturum içi izleme. Tek bir tarama oturumu tek bir geçici adres kullanır; siteler saatlerce süren etkinlikleri ilişkilendirebilir.
Uygulama düzeyinde tanımlayıcılar. Çerezler, hesaplar, parmak izleri, adres rotasyonlarında kalır.
Ağ öneki bağlantısı. Ağınızdaki tüm adresler aynı /64 önekini paylaşır; siteler, bireysel adresler dönse bile ağınızı tanımlayabilir.
Ters DNS. Bir cihazın sabit adresine göre yapılandırılmış ters DNS'si varsa, sabit adres bazı bağlamlarda görünmeye devam edebilir.

CGNAT karşılaştırması

CGNAT'li IPv4 için, genel IP'niz binlerce başka kullanıcıyla (sitelerle) paylaşılır. sizi aynı çıkıştaki başka kimseden kolayca ayıramaz. Gizlilik uzantılarına sahip IPv6 için her cihaz kendi benzersiz adreslerini alır ancak bunlar dönüşümlü olarak kullanılır. Farklı gizlilik özellikleri:

CGNAT IPv4: sitelerden zayıf IP tabanlı izleme; kalabalığa karışırsınız
IPv6 gizliliği: kısa pencerelerde bireysel cihaz tanımlama; rotasyon, uzun vadeli izlemeyi yener

İkisi de aynı şekilde daha iyi değildir; bunlar farklı ödünleşimlerdir.

IPv6 gizlilik duruşunuzu kontrol etme

Hızlı kontroller:

Ana sayfamızı veya herhangi bir IP arama sitesini ziyaret edin — gösterdiği IPv6 adresi günlük olarak değişiyor mu?
IPv6 adresiniz MAC adresinize benzeyen baytlarla bitiyorsa (ortasına FF:FE eklenmiş olarak), Gizlilik Uzantıları kapalıdır.
Rastgele görünüyorsa ve zaman içinde değişiyorsa, Gizlilik Uzantıları çalışıyordur.

Devre dışı bırakılıyor Tamamen IPv6

Bazı kullanıcılar VPN sızıntılarını veya diğer sorunları önlemek için IPv6'yı devre dışı bırakır. Takas:

IPv6'ya özgü izleme risklerini ortadan kaldırır
Tüm trafiği IPv4 üzerinden zorlar (genellikle mobil kullanıcılar için CGNAT)
Bazı hizmetler, bazı yapılandırmalarda IPv6 gerektiriyorsa bozulabilir veya başarısız olabilir

Çoğu kullanıcı için IPv6'yı etkin bırakmak Gizlilik Uzantıları ile doğru varsayılandır. VPN sızıntısı endişesi olan kullanıcılar için protokolü devre dışı bırakmak yerine VPN'nizin IPv6'ya doğru şekilde tünel açtığından emin olun.

Sık sorulan sorular

Gizlilik Uzantıları varsayılan olarak açık mı?: Evet, Windows, macOS, iOS ve çoğu modern Linux dağıtımında. Daha eski sistemlerde veya belirli sunucu yapılandırmalarında bunlar etkinleştirilmemiş olabilir. IPv6 adresinize bakarak kontrol edin; günden güne değişiyorsa çalışıyor demektir.
IPv6 adresimde neden birden fazla adres listeleniyor?: Modern yığınlar, gelen bağlantılar için sabit bir adresin yanı sıra giden bağlantılar için bir veya daha fazla geçici adresi korur. Linux'ta <code>ip -6 addr show</code> veya macOS'ta Sistem Tercihleri her ikisini de gösterir. Her ikisi de normaldir.
VPN kullanmak IPv6 gizliliğini tartışmalı hale getirir mi?: VPN çıkışının IPv6 adresi (varsa) hedefin gördüğü şeydir. Ancak birçok VPN yalnızca IPv4'te tünel açar ve IPv6'yı doğrudan sızdırarak gerçek adresinizi açığa çıkarır. VPN'nizin gerçekten IPv6'yı işleyip işlemediğini kontrol edin — <a href="/vpn-leak-test">VPN sızıntı testimize bakın</a>.
IPv6 adresimin günlük değişimden daha hızlı değişmesini sağlayabilir miyim?: Linux'ta: <code>sysctl net.ipv6.conf.all.temp_prefered_lft</code> kullanım ömrünü kontrol eder. Azaltılması, biraz daha fazla bağlantı devri pahasına daha sık döner. Çoğu kullanıcı, varsayılan günlük rotasyondan yeterli gizlilik elde eder.
IPv6 MAC adresimi gösteriyor mu?: Yalnızca Gizlilik Uzantıları kapalıysa ve EUI-64 adreslemesi kullanılıyorsa. Modern sistemler varsayılan olarak ya Gizlilik Uzantılarını ya da RFC 7217 kararlı adreslerini kullanır; her ikisi de MAC'den türetilmek yerine rastgeledir. Varsayılan modern yapılandırmada MAC'iniz IPv6 trafiğinizden çıkarılamamalıdır.