IPv6 statt Cookie-Tracking

Seit Sommer 2020 habe ich einen FTTH Anschluss, der nicht nur eine externe IPv6-Adresse nutzt sondern auch 254 Subnetze dahinter bereit stellt. Interessant dabei ist, dass die IPv6-Adressen und Subnetze anscheinend statisch sind. Das ist gut und schlecht.

IPv6 bei FTTH

Ein Blick auf die Verbindungseigenschaften der Fritz!Box zeigt, dass es eine externe öffentliche Adresse gibt, die zwar nur eine Gültigkeit von einigen Stunden hat, aber immer wieder erneuert wird.


Hinweis: Die Adressen sind keine realen Adressen.

Aus dem Log ist aber zu sehen, dass die IP-Adresse schon sehr lange Bestand hat und auch die Carrier Grade NAT-Adresse bestehen bleibt.

04.11.20 13:56:22 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
                      [8 Meldungen seit 01.11.20 01:15:02]
31.10.20 13:15:01 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
                      [3 Meldungen seit 30.10.20 12:45:00]
30.10.20 00:33:43 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
                      [3 Meldungen seit 29.10.20 00:33:30]
28.10.20 12:22:15 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
                      [2 Meldungen seit 28.10.20 00:22:14]
27.10.20 11:52:14 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
26.10.20 23:22:13 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
26.10.20 11:22:12 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
25.10.20 23:22:11 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
                      [3 Meldungen seit 25.10.20 00:22:09]
24.10.20 12:22:08 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
                      [4 Meldungen seit 22.10.20 23:52:06]
22.10.20 11:52:05 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
21.10.20 23:52:04 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
21.10.20 11:51:16 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
20.10.20 23:21:15 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
20.10.20 11:21:14 Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
19.10.20 23:40:15 IPv6-Präfix wurde erfolgreich aktualisiert. Neues Präfix: 2a00:6021:1398:f800::/56
19.10.20 23:21:30 IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2a00:6021:1398:f800::/56
19.10.20 23:21:30 Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2a00:6021:1000:3:a6:fd31:d31d:ad8e
19.10.20 23:21:13 Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1
19.10.20 23:21:00 Internetverbindung IPv6 wurde getrennt, Präfix nicht mehr gültig.
19.10.20 23:21:00 Internetverbindung wurde getrennt.
19.10.20 22:16:36 IPv6-Präfix wurde erfolgreich aktualisiert. Neues Präfix: 2a00:6021:1398:f800::/56
19.10.20 21:57:55 IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2a00:6021:1398:f800::/56
19.10.20 21:57:55 Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2a00:6021:1000:3:a6:fd31:d31d:ad8e
19.10.20 21:57:34 Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 100.75.184.235, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.75.128.1

Ein IPConfig auf meinem Desktop liefert:

Ethernet-Adapter vEthernet (Extern):

   Verbindungsspezifisches DNS-Suffix: fritz.box
   IPv6-Adresse. . . . . . . . . . . : 2a00:6021:1398:f800:e569:f4df:70eb:442e
   Temporäre IPv6-Adresse. . . . . . : 2a00:6021:1398:f800:40ef:ffdf:bd5c:486
   Verbindungslokale IPv6-Adresse  . : fe80::e569:f4df:70eb:442e%54

Mein PC ist im Subnetz 2a00:6021:1398:f800:xxxx:xxxx:xxxx:xxx und hat zwei IPv6-Adressen.

IPv6 Privacy Extensions

Das ist normal, denn die "Temporäre IPv6-Adresse" nutzt mein Client für ausgehende Verbindungen und die kann sich immer mal wieder ändern. Dazu gibt es extra "Privacy"-Extensions in IPv6, mit denen ein Nachtracken eines Clients in einem Netzwerk verhindert werden soll.

Die sorgen aber nur dafür, dass der Host-Teil der IPv6-Adresse verändert wird. Der Netzwerkteil bleibt aber unverändert, denn der ist ja vorgegeben.

IPv6 Privacy Extensions – Alptraum im Enterprise LAN
http://juser.fz-juelich.de/record/17937/files/ib-2011-08.pdf

IPv6 Privacy Extensions
https://www.youtube.com/watch?v=MnMYFsanJhY
Aufzeichnung aus einer Vorlesung „Kommunikationssysteme“ für Studierende der Wirtschaftsinformatik und BWL an der DHBW in Stuttgart.

Verräterische Public IP (Host)

Wenn ich mit so einer Konfiguration dann Dienste im Internet nutze, dann sieht die Gegenseite natürlich meine IPv6-Adresse.

Ich habe den Netzwerk-Teil rot umrandet, denn der ist quasi "statisch" für alle Nutzer hinter dem gleichen Internetzugang. Der grüne Anteil ist der Host-Anteil, der früher von der MAC-Adresse abgeleitet und daher auch statisch war. Ohne "IP Privacy Extension" können Webhoster einen Client auch nachverfolgen, wenn er aus unterschiedlichen Subnetzen kommt.

Sie konnten damit sogar grob ermitteln, an welchen Standorten sie zu welcher Zeit waren. Wer z.B. von zuhause (DSL/FTTP) dann zur Uni oder Arbeit fährt (UMTS/LTE) und dann in der Firma oder UNI (Statisches Internet online geht), verrät dies durch den Netzwerkteil.

Wer dies erschweren will, sollte daher die IP Privacy Extensions aktiv lassen. Für statische PCs in einem Firmennetzwerk ist dies allerdings wieder von Nachteil, wenn ein Client immer wieder seine IP-Adresse verändert. Das macht die Suche in Log-Dateien doch sehr schwer

Verräterische Public IP (Netz)

Aber auch der vordere Teil der IPv6-Adresse ist datenschuttrechtlich bedenklich, denn während bei klassischen DSL-Anschlüssen der Provider meist nach 24h eine Zwangstrennung durchführt und damit oft auch eine neue IPv4-Adresse verbunden ist. Hier hingegen bleibt die IPv6-Netzwerk-Adresse des Kunden über viele Tage unverändert.

Das sind natürlich "goldene Zeiten" für Werbenetzwerke und Tracker. Sie können dank IPv6 Privacy Extensions vieleicht nicht den individuellen Rechner anhand der IP-Adresse so einfach identifizieren aber die Familie ist damit sehr einfach.

Es reicht, wenn ein Familienmitglied z.B. bei einem Webshop etwas bestellt. Damit ist eine Verbindung von IPv6-Netzwerk zur Postadresse und Bankverbindung hergestellt.

Ich bin sicher, dass dieses Wissen vom Betreiber nicht so schnell "vergessen" wird. Ich gehe eher davon aus, dass dieses Wissen sogar noch verkauft wird.

Denn als Surfer hinterlassen sie nicht nur Spuren auf der Webseite, die sie ansurfen sondern auch bei allen Servern, von denen Skripte, Schriften, Bilder u.a. nachgeladen werden. Und es wäre eine Illusion, wenn diese nicht auch die IPv6-Adresse lange genug protokollieren würden.

IPv6 ist unsichrer als IPv4 mit NAT

Rein technische ist IPv6 natürlich die bessere Plattform für den Betrieb ganz vieler Endgeräte und geeignet, die verschiedenen "Zwischentechniken" wie NAT und Proxies mit ihren Einschränkungen überflüssig zu machen. Gerade NAT wird gerne als Firewall mittverstanden. Wenn irgendwann in der Zukunft alle Endgeräte routbare IPv6-Adressen bekommen, dann werden Direktverbindungen, z.B. bei Audio/Video oder andere Dienste sehr viel effizienter arbeiten als heute über ein Relay bei dem Anbieter.

Mit Blick auf die Privatsphäre wäre es aber wünschenswert, wenn nur die Systeme eine statische Adresse bekommen, die auch dauerhaft per DNS unter ihrer IPv6-Adresse erreichbar sein müssten. Reine Clients oder Systeme, die immer nur zeitweise online sind, könnten auch mit dynamischen IPv6-Adressen arbeiten. Leider ist das meines Wissens so von keinem Provider umgesetzt.

Ich könnte nun natürlich den IPv6-Support des Routers deaktivieren, so dass meine Clients "nur" IPv4-Adressen bekommen. In dem Fall würde ich dann einmal das NAT der Fritz!Box und dann noch das CarrierGradeNat (CGT) des Providers nutzen, denn die extern vergeben 100.75.0.0-Adressen sind nicht im Internet routbar, sondern auch nur "Privat". Der Provider muss diese dann noch mal umsetzen.

Aber mein Client würde ich nach Extern dann schon hinter eine Pool öffentlicher IP-Adressen des Providers verbergen und die andere Seite könnte mich kaum mehr über die IP-Adresse verfolgen.

Ganz vorsichtige Menschen nutzen besser ein VPN oder gleich einen TOR-Browser, wenn Sie nicht nachvollziehbar sein wollen. Beim VPN kennt natürlich der Anbieter ihre Identität und dürfte mit Strafverfolgungsbehörden kooperieren.

Interessante Frage: Wenn ein Betreiber einen Bezug zwischen Person und IP-Adresse herstellt und diese Daten verkauft oder anderweitig "abgibt", sollte es einen Pflicht zur Information des "Inhabers" geben.

Beim Provider-NAT sind sie natürlich auch nicht "geheim", aber die Zuordnung des Kunden zur IP-Adresse unterliegt ihrem Provider und da dieser im gleichen Land ist und damit den gleichen Gesetzen und Vorschriften unterliegt, könnte der Schutz etwas besser sein.

Allerdings scheinen die demokratisch gewählten Politiker gerade alles daran zu setzen, diese Fristen mit den Killerargumenten "Kinderschutz" und "Terrorabwehr" zugunsten einer längeren Vorratsdatenspeicherung zu verwässern. Der nächste Diktator bedankt sich schon heute für die Vorarbeit, die man ihm dann nicht mehr vorwerfen kann.

Achten Sie daher genau, welche Webseiten sie wie besuchen. Auch "Whistleblower"-Webseiten u.a., die auf eine Protokollierung der Client-IP verzichten, können durch den Provider sehr gut zugeordnet werden. Das durften auch "Chelsea Manning" (vormals Bradley Manning https://de.wikipedia.org/wiki/Chelsea_Manning ) und Edward Snowden (https://de.wikipedia.org/wiki/Edward_Snowden) erfahren.

Weitere Links