sábado, 26 de outubro de 2013

Extensões de Privacidade do IPv6 no Linux

Olá Pessoal.

No artigo anterior, intitulado "Endereço IPv6 e Função EUI-64 no Microsoft Windows", foi explicado ao leitor como habilitar a função EUI-64 no Windows para que o sufixo dos endereços IPv6 seja gerado a partir do endereço MAC das interfaces de rede. Essa configuração é necessária porque o comportamento padrão dos sistemas operacionais da Microsoft® consiste em gerar aleatoriamente os sufixos dos endereços IPv6, prática documentada na RFC 4941.

A Microsoft® optou por adotar essa prática das "extensões de privacidade" porque entende que utilizar o endereço MAC das interfaces de rede no próprio endereço IPv6 é um risco de segurança que atinge à privacidade dos usuários, uma vez que fica mais fácil rastrear a máquina do usuário independente da rede em que ele esteja conectado.

Enquanto que sistemas Microsoft utilizam as "extensões de privacidade" por padrão, as diversas distribuições do sistema operacional Linux utilizam por padrão a função de expansão EUI-64 para gerar o sufixo dos endereços IPv6 a partir do endereço MAC das interfaces de rede, conforme pode ser observado na figura abaixo em relação ao endereço de link-local (fe80) da interface wlan0.


Da mesma forma que no artigo anterior o leitor aprendeu a configurar o Windows para mudar seu comportamento padrão, esse artigo mostra como configurar o Linux para mudar seu comportamento padrão, ou seja, habilitar as "extensões de privacidade" para que os sufixos dos endereços IPv6 sejam gerados aleatoriamente. Para fazê-lo no Linux (em distribuições baseadas no Debian) é necessário ter privilégio de root e digitar as seguintes linhas de comando:

echo "2" > /proc/sys/net/ipv6/conf/all/use_tempaddr
/etc/init.d/networking restart

O resultado dessa configuração pode ser observado na figura abaixo que traz a saída do comando ifconfig na interface eth0. Reparem que com essas configurações, a partir do prefixo da rede (2001:db8:cafe::/64), o Linux autoconfigura dois endereços IPv6 com sufixos diferentes, sendo um originalmente gerado através da função EUI-64 (vermelho) e outro temporário gerado aleatoriamente (amarelo). Dessa forma os endereços com sufixo aleatório/temporário serão preferíveis aos endereços com sufixo EUI-64.


Essa configuração pode ser desfeita a qualquer momento alterando o valor do arquivo "use_tempaddr". Os possíveis valores do arquivo de configuração "use_tempaddr" localizado em "/proc/sys/net/ipv6/conf/all" são:

  • <= 0 : Desativa a Privacidade (Padrão)
  • == 1 : Ativa a Privacidade c/ Preferência por EUI-64
  • >= 2 : Ativa a Privacidade c/ Preferência por Sufixos Aleatórios/Temporários

Façam seus testes...

Abraço.

Samuel.

Nenhum comentário:

Postar um comentário