Deskmodder.de

Seit Fritz!OS 7.5 wird am WAN der IPv6 Interface Identifier zufällig erzeugt und seit 8.0 auch die ULAs.
Warum? Wo werden die geleakt, dass man sie heutzutage als schützenswert ansieht, früher aber nicht?

Ei, das ist ein wenig tricky das zu erklären. Also im Prinzip sind die IPv4 Adressen sehr beschränkt inzwischen, wir reden hier von ca. 4 Milliarden Adressen. Nimmt man die Weltbevölkerung und alle die Online sein können, selbst mit Smartphones, kam IPv6 ins Spiel. IPv6 kann bis zu rund 340 Sextillionen Adressen vergeben. Dabei spaltet sich eine IPv6 Adresse in 128Bit auf, und mehrere Blöcke.
Es könnte also so aussehen: 2021:2022:2023:2024:1234:5678:9012:3456. Oder aber mit Buchstaben noch vermischt. Wie man sieht die Möglichkeiten sind vielfältig.

Um es möglichst einfach zu erklären bestehen die ersten vier Blöcke aus der "Network Präfix", die anderen vier aus der "Identifier Präfix". Beide sind mit jeweils 64 Bit verschlüsselt. Wobei auch das sich noch aufspaltet in 56Bit und 64Bit, aber das wäre hier zuviel zum erklären. Die "Network Präfix" kommt von Deinem Provider und wird an Deinen Router gesendet, der wiederum sendet einen "Identifier Präfix" zurück, bestehend aus der MAC Adresse z.B.
Sobald beide sich identifizieren können, und sich als "authentisch" herausstellen wird die Verbindung hergestellt, Du bist online.

Die ULAs (Unique Local Addresses) sind im Prinzip dasselbe, nur werden die "Network Präfixe" nicht vom Provider gestellt, sondern von Deinem Router selbst. Das betrifft ein Netzwerk im eigenen Haushalt, ein Mesh z.B. Hier wird aber nichts ins Internet geroutet, sondern das machen die Parteien im heimischen Netzwerk unter sich selbst aus.

Es wird also nichts geleakt, es sind Zufallsadressen die ein Router generiert und abgleicht, und bei ca. 340 Sextillionen Adressen ist die Wahrscheinlichkeit sehr hoch, dass der Router sie nicht ändern muss.
Und damals, als das Internet hochkam, groß wurde, hat mit den IPv4 Adressen niemand damit gerechnet, dass die mal erschöpft sein könnten. Das ist also kein "Sicherheitsleck" sondern eine Antwort auf die Zeit. Heute sind ja quasi alle vernetzt, was sich damals keiner vorstellen konnte.

Danke für die ausführliche Antwort.
Vor Fritz!OS 7.5 beinhalteten WAN-IP und ULAs die MAC-Adresse der Fritz!Box. Jede Website konnte z.B. mit traceroute die physische Adresse des Routers auslesen. Das war tracking-technisch vielleicht ein wenig unglücklich.