Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Atención: problemas de privacidad con IPv6 y Windows 10

sierpinski
-1

Ahora que está de moda ver a gente en pilotos de IPv6, me ha parecido adecuado recordar esto.

Uno de los gravísimos problemas de privacidad que genera IPv6 es que revela a todo el mundo la dirección MAC del equipo con el que te conectas a la red. Para resolver esta cagada de IPv6, Windows 10 incluye un parche bastante guarro que genera direcciones temporales de IPv6 (las conocidas como "privacy extensions" descritas en el RFC 4941). Cambia las partes de la dirección IP que normalmente llevan la MAC y pone en su lugar números aleatorios, los cuales duran varios días, hasta que se generan otros. A pesar de ser una guarrada (lo suyo es que el estándar IPv6 estuviera bien hecho, pero no lo está), resuelve este problema de privacidad.

image.png

Por suerte viene activado por defecto. Pero por desgracia, debido a un bug, estas direcciones dejan de funcionar tras unas horas y el sistema empieza a revelar tu MAC a Internet:

social.technet.microsoft.com/Forums/wind…ronetworking

Un error muy grave, y lo pongo aquí para que lo tengáis en cuenta si habéis tenido la mala suerte de caer en un piloto de IPv6, especialmente en el de Orange, que está ocasionando tantos problemas.

Para evitar este grave fallo de privacidad, os recomiendo desactivar IPv6 completamente, ya que no sirve para nada: solvetic.com/tutoriales/article/4298-com…-windows-10/

rbetancor
2

¿Problema de privacidad? ...

¿Problema de seguridad? ...

¿me lo explicas?

🗨️ 26
sierpinski
-1

Me he equivocado en el título, puse seguridad cuando quise decir privacidad. Arreglado.

Aunque también hay problemas de seguridad evidentes, como la eliminación de las NATs.

🗨️ 25
Obi-Wan
2

NAT como solución de seguridad. Virgen santa. La solución de seguridad correcta es un cortafuegos en el router (y de forma recomendada en los equipos).

NAT no es una solución de seguridad, sino una solución para no conceder a todo dispositivo conectado a Internet su IP pública, como se preveía y se hacía originalmente. No se puede con IPv4 por escasez. Así que a cambio surgen cosas como NAT, con los consiguientes problemas para las conexiones punto a punto.

Y MAC como dato privado... ¿Eres consciente de que en el caso de las tarjetas Wifi la MAC se emite de forma pública desde siempre (da igual si usas IPv4 o IPv6 y no hay nada que Windows pueda hacer para evitarlo? (Aunque tu puedes ir cambiando de MAC con ciertos programas y confiando en no colisionar con otro dispositivo).

🗨️ 20
sierpinski
-1

NAT como solución de seguridad. Virgen santa. La solución de seguridad correcta es un cortafuegos en el router (y de forma recomendada en los equipos).

La discusión sobre si NAT añade seguridad o no es como lo de si Ono es fibra o no, así que no quiero ensuciar un hilo que he abierto para avisar de algo importante con esta discusión que ya no aporta nada.

Y MAC como dato privado... ¿Eres consciente de que en el caso de las tarjetas Wifi la MAC se emite de forma pública desde siempre (da igual si usas IPv4 o IPv6 y no hay nada que Windows pueda hacer para evitarlo?

Sí... si vives a varios metros de tu víctima. Lo que no puede ser es que yo entre a cualquier web y el administrador pueda conocer la MAC de mi dispositivo.

🗨️ 19
Obi-Wan
1
🗨️ 18
sierpinski
-1
🗨️ 17
mceds
2
🗨️ 10
sierpinski
-1
🗨️ 9
mceds
1
🗨️ 1
sierpinski
rbetancor
🗨️ 5
sierpinski
-1
🗨️ 4
rbetancor
0
🗨️ 3
sierpinski
🗨️ 2
rbetancor
1
🗨️ 1
BocaDePez
BocaDePez
ToooWuu
rbetancor
1
🗨️ 4
sierpinski
🗨️ 3
rbetancor
🗨️ 2
sierpinski
🗨️ 1
rbetancor
Obi-Wan
rbetancor
1

Aunque también hay problemas de seguridad evidentes, como la eliminación de las NATs

NAT != Seguridad y lo vamos a dejar ahí, como bien has dicho luego, para no ensuciar el hilo

Saber tu MAC != problema de privacidad, en el mundo actual, si quieres privacidad, comprate un cayuco a remo, págalo en efectivo, vete a la playa mas cercana y te pones a remar rumbo a la isla mas perdida que puedas imaginar del pacífico sur, eso sí ... procura que sea alguna por la que no pase un satélite por encima tres o cuatro veces al día, y por supuesto, deja atrás todo dispositivo electrónico. Así y solo así ... PUEDE que tengas privacidad ... del resto, asume que esa palabra no tiene sentido ninguno hoy en día.

Saber tu MAC, solo me sirve para saber quien es el fabricante de tu tarjeta de red, para el resto de 'magufadas', hay que hacer tracking ... cosa que ya se hace de 50.000 maneras diferentes.

🗨️ 3
BocaDePez
BocaDePez

asume que esa palabra no tiene sentido ninguno hoy en día.

Pensando así nunca vencerás a los poderes fácticos.

🗨️ 2
rbetancor
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

A mi el IPv6 no me gusta.

mceds

No estoy al tanto de la "scene" de software de Windows, pero calculo que debe de haber no menos de una docena de programas gratuitos para cambiar los 64 bits del host por alguna cadena aleatoria. Lo mismo que la gente aprendió a "apagar y encender el router ADSL para que me dé una nueva IP y así evitar esperar 108 horas para descargar el siguiente capítulo de JDT en Fileshare", aprenderá esto.

De hecho, con un poco de arte programatoria, hacerlo en Powershell debería ser trivial.

Personalmente, me acojona más lo del CGNAT. Bueno, y que los programadores de ed2k y Kademlia no tengan la menor prisa o interés por reprogramar los protocolos para IPv6, pero ésa es otra (triste) historia.

BocaDePez
BocaDePez
1

os recomiendo desactivar IPv6 completamente, ya que no sirve para nada

5ed8203b5d448035b98e7972a9ab35086ace35ff5c3cd170b4395242b20162ae
🗨️ 9
sierpinski

Por supuesto que es mi opinión, de ahí el "os recomiendo".

🗨️ 8
BocaDePez
BocaDePez
1

Deberían crear el IPv7, el 6 es muy lioso y complicado.

🗨️ 7
superllo
2

Con 256 bits y furcias.

🗨️ 6
mceds
2
🗨️ 5
superllo
🗨️ 4
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 2
rbetancor
🗨️ 1
mceds
EmuAGR

Estaba pensando que este señor tiene un gorro de aluminio hasta que he recordado que la mayoría de juicios por descarga de P2P se absuelven porque es imposible identificar quién ha usado la conexión para descargar. Si la MAC se propaga a nivel de red se puede identificar qué equipo de la LAN hizo la descarga y dificultar el P2P.

Está un poco feo, la verdad. No sé por qué DHCPv6 tiene que funcionar así y no simplemente dando direcciones como DHCP.

🗨️ 3
ToooWuu

> No sé por qué DHCPv6 tiene que funcionar así y no simplemente dando direcciones como DHCP.

No no, es que lo que comenta sierpinski sobre "la dirección IP que es fija porque es creada a partir de la MAC y por eso no cambia nunca" es cuando no se usa DHCPv6 para asignar la IP, si no SLAAC

mceds

Si la MAC se propaga a nivel de red se puede identificar qué equipo de la LAN hizo la descarga y dificultar el P2P.

Estamos en las mismas. Un PC o una tablet la pueden usar varias personas.

🗨️ 1
muzuz

Windows 10 incluye un parche bastante guarro que genera direcciones temporales de IPv6

La extensiones de privacidad de IPv6 no son exclusivas de Windows, de hecho en Mac y debian viene también activadas por defecto.

🗨️ 3
sierpinski

El hecho de que existan en otros sistemas operativos y que vengan escritas en un RFC no significa que las extensiones de privacidad no sean una guarrada. Los que idearon el IPv6 originalmente pensaron que era aceptable mostrar la MAC de los equipos al resto del mundo. Luego llegó otra gente con dos dedos de frente que ideó dichas extensiones y las puso en el RFC, pero no dejan de ser una guarrada, un parche para algo que jamás debió ocurrir.

🗨️ 2
muzuz

No si yo no te discuto que sea guarro o una chapuza la solución, pero no es un parche de windows 10 como yo entiendo que quiere decir la frase.

🗨️ 1
sierpinski

Tienes razón. Lo he aclarado en el post.

BocaDePez
BocaDePez

No entiendo: Estoy en Linux y la ipv6 contiene mi MAC. No parece un error exclusivo de W10.

🗨️ 1
sierpinski

El error no es que tu MAC aparezca en tu IP. Eso no es un error, es una cagada enorme que está en el estándar de IPv6.

El error es que Windows tiene las "privacy extensions" que arreglan esa cagada cambiando la parte de tu MAC que contiene tu IP por números al azar, pero dejan de funcionar al poco rato de conectar el ordenador, exponiendo tu MAC privada de nuevo. Es decir, puede que creas que al tener activadas las "privacy extensions" puedes mantener tu privacidad y seguridad, pero no es así, ya que no funcionan correctamente.