[ipv6-tf] Linux i problem z privacy extensions

Lukasz Stelmach stlman w poczta.fm
Sob, 12 Mar 2011, 23:30:53 CET 

W dniu 08.03.2011 09:06, Adam Osuchowski pisze:
> Lukasz Stelmach wrote:
>> Te uzyskane z RA są tak samo dobre. Nikt nie przekłada codziennie
>> kart sieciowych i nie zmienia im adresu MAC. Weź pod uwagę
>> scenariusz, w którym masz klaster do uruchomienia i udaje się
>> obejść bez DHCP (całkiem realny scenariusz).
> 
> Ok, ja nie twierdzę, że autokonfiguracja jest zła, tylko po prostu nie
> chcę ujawniać całemu światu mojego adresu MAC.

Jedynym* sposobem ujawnienia światu twojego adresu jest nawiązanie
połączenia z niego. Jeżeli zatem ustawisz use_temp_addr na coś
większego od 1 system będzie używał adresów losowych jako źródłowych.

* Drugim sposobem jest przesłąnie go w warstwie aplikacji np. przez
jakiś program P2P.

> Niech to będzie jakaś
> stała pseudo-losowa wartość nie będąca wprost z nim skorelowana.
> Myślałem na początku, że adresy tymczasowe załatwią sprawę, ale jak widać,
> nie załatwią bo w zasadzie są do czego innego. Dlatego też ponawiam pytanie,
> czy da się w Linuksie w jakiś sposób generować sufiksy do adresów
> z autokonfiguracji inne niż z EUI-64?

Na pierwszy, rzut oka nie. Wybacz moją tempotę ale w czym miałoby (poza
aplikacjami przesyłającymi adresy w "danych") przeszkadzać istnienie
MAC-opochodnych adresów, jeżeli do nawiązywania połączeń używane by były
te losowe?

>> A jak wyglądają valid_lft i preferred_lft?
> 
> Dla tymczasowych dynamicznych:
> 
> valid_lft 604793sec preferred_lft 85793sec
> 
> Dla dynamicznych:
> 
> valid_lft 2591993sec preferred_lft 604793sec
> 
> Ok, są duże, ale to nie jest jest jeszcze powód, żeby dokładać drugi adres,
> a jak już, to pierwszy usunąć.

Faktyczni dziwne. Nowy adres jest u mnie dokładany gdy poprzedniemu
wyczerpie się preferred_lft. Gdy wyczerpie się valid_lft, adres jest
usuwany. Jaka wersja jądra?

>> A mógłbyś przybliżyć bo w Windows się nigdy nie przyglądałem
>> jak to działa.
> 
> Ta komenda, którą napisałem w poprzednim mailu zmienia sposób ustalania
> sufiksu adresów z autokonfiguracji.
> Teraz zauważyłem, że Windowsy też czasami tworzą więcej niż jeden adres
> tymczasowy, ale nie doszedłem jeszcze do tego kiedy i na jakiej podstawie.

Nie wczytywałem się w RFC3041 ale widzę w nim "Valid Lifetime"
i "Preferred Lifetime". Skoro zatem Linux (i prawdopodobnie Windows)
implementuje opisany w tym dokumencie mechanizm to być może tam
znajdziesz dokładne wytłumaczenie.

>> Efekt był (właśnie sprawdzam czy jeszcze jest) taki, że po jednym
>> czy dwóch cyklach losowe adresy przestawały być generowane.
> 
> Cyklach timeoutu adresu czy zdejmowania ich z interfejsu?

Timeoutu.


-- 
Było mi bardzo miło.               Czwarta pospolita klęska, [...]
>Łukasz<                 Już nie katolicka lecz złodziejska.  (c)PP

---------------------------------------------------------------
Wszystko o szokujacym wypadku Roberta Kubicy!
Sprawdz >>> http://linkint.pl/f2916

Więcej informacji o liście ipv6-tf