Hostname verstecken?

[Ozelot]

Um in wechselnden öffentlichen Netzwerken nicht identifizierbar zu sein verwende ich macchanger. Nun ist das vermutlich aber alleine nicht ausreichend. Z.B. wird ja offensichtlich auch der hostname im Netzwerk übermittelt. Den kann ich parallel natürlich auch immer ändern, aber bequem ist das nicht. Daher: Kann man die Übermittlung des hostnamens generell unterbinden und hat das Nachteile? Für ssh u.ä. spreche ich Rechner eigentlich immer direkt über die IP an.

[DeletedUserReAsG]

Das Einzige, was mir einfallen würde, das vie Broadcast ohne entsprechende Anfrage den Hostnamen übermitteln könnte, wäre avahi – wenn das nicht gebraucht wird, kann man es abschalten oder gleich ganz wegmachen.

Abgesehen davon wirst du für jemanden, den’s wirklich interessiert, so oder so in einem Netzwerk identifizierbar bleiben.

[inne]

Hallo, schau auch mal ins https://www.privacy-handbuch.de/handbuch_27.htm, dort haben sie das erklärt:

Man kann den NetworkManager unter Linux dazu überreden, beim Aufbau einer Netzwerk­verbindung keinen den Hostnamen an den DHCP-Server zu senden. Dafür sind folgende Zeilen in der Datei "/etc/NetworkManager/NetworkManager.conf" einzutragen:

Code: Alles auswählen

[ipv4]
dhcp-send-hostname=false 

[Ozelot]

Prima, danke! Avahi ist eh nicht auf dem System.

@niemand: "Identifizierbar" und "wirklich interessiert" ist freilich relativ, aber da lerne ich immer gern dazu. Bezieht sich Deine Bemerkung einfach auf das Nutzen der üblichen Internetdienste, Browser fingerprint u.ä. oder tatsächlich auf die Netzwerkebene? (Da geht freilich das eine oder andere mit Portscans, aber Standardvorgehen ist das in öffentlichen Netzen wohl eher nicht, oder?)

@inne: Aber dann auch nochmal der entsprechende Eintag für ipv6 oder?

[inne]

@inne: Aber dann auch nochmal der entsprechende Eintag für ipv6 oder?

Ja genau. Im wiki.debian.org und der Wikipedia haben sie dazu nichts.
Deswegen mal https://tldp.org/HOWTO/Linux+IPv6-HOWTO/ch06s05.html

Für den NetworkManager:

Code: Alles auswählen

[ipv6]
dhcp-send-hostname=false 
ip6-privacy=2

[inne]

Hier: https://developer.gnome.org/NetworkMana ... -ipv4.html und hier: https://developer.gnome.org/NetworkMana ... -ipv6.html steht auch, dass es den Wert dhcp-send-hostname für beide Sektionen gibt.

Für die Sektion [main] (global) gibt es diesen Wert nicht: https://developer.gnome.org/NetworkMana ... .conf.html

[wanne]

Ja. Auf Anhieb fallen mir 5 Protokolle ein, wo der Hostname übertragen wird:
E-Mail – Ist heute hoffentlich verschlüsselt.
dhcp: Kannst du das "host-name" in der "send" section im dhclient raus machen, falls du dhclient benutzt.
An Zig stellen in zeroconf/mDNS/NetBIOS/dlna... Da willst du passende Clienten abschalten. Allen voran ist das avahi. Es gibt aber einen Haufen andere grafische Software, die das von Hand auch nutzen.
Windows Freigaben
Auch wenn nicht im Standard: Kurtzzeitig gehörte es zum guten Stiel, dass ftp-clienten das machen. – Ist aber auch vorbei. Ich wette ein paar Steinaltclienten machen das.
Meine Empfehlung: Setz den Hostnamen vorsichtshalber auf "localhost". In jedem Netzwerk gibt es ein Paar Duzend von diesen localhosts.

Der nächste Fette leak ist wifi. Da werden alle Wifis gesendet die du konfiguriert hast. – Sprich wenn du irgend ein grafisches Tool zum konfigurieren nimmst: Alle in denen du jemals warst. – Das ist sehr eindeutig
Kannst du mit passive_scan=1 in der wpa_supplicant.conf abschalten. Oder dass er einzelne Netzwerke nicht verraten soll: scan_ssid=0.
Achtung: Nutzt du network-manager wird die wpa_supplicnat.conf ignoriert.

[Ozelot]

Danke, puh, das hilft wirklich weiter!

Was passiert denn, wenn ich die /etc/hostname leer lasse?

[MSfree]

dhcp: Kannst du das "host-name"...

Einige DHCP-Clients senden eine UID zusätzlich zum Hostnamen.

Meine Empfehlung: Setz den Hostnamen vorsichtshalber auf "localhost". In jedem Netzwerk gibt es ein Paar Duzend von diesen localhosts.…

Ein nichtssagender Name wäre ja OK, aber ausgerechnet localhost?

Man kann den Hostnamen aber auch einfach per Zufall erzeugen lassen, z.B. durch so etwas:

Code: Alles auswählen

#!/bin/sh
MyHostName=`dd if=/dev/urandom count=1 status=none|tr -d -c 'a-km-z1-9'|cut -b1-10`
/bin/hostname $MyHostName

[inne]

Meine Empfehlung: Setz den Hostnamen vorsichtshalber auf "localhost". In jedem Netzwerk gibt es ein Paar Duzend von diesen localhosts.…

Ein nichtssagender Name wäre ja OK, aber ausgerechnet localhost?

IMO ist 'localhost' der Default bei Fedora, wie bei Debian 'debian'? Ansonsten wird 'host' empfohlen z.B. bei Tails.

[MSfree]

IMO ist 'localhost' der Default bei Fedora, wie bei Debian 'debian'?

localhost ist immer in /etc/hosts definiert und zeigt auf 127.0.0.1. Es gibt auch eine Empfehlung, Nameserver so zu konfigurieren, daß sie "localhost" in 127.0.0.1 auflösen sollen. Blöd wird es aber, wenn man einen DHCP-Server betreibt, der die anfragenden Hostnamen in den DNS einträgt. Dann hat man plötzlich sowas wie localhost.domain.tld im DNS, was dann schon nicht mehr so toll ist.

[inne]

Ok, und die Domain wird dann statt zu 127.0.0.1 zur externen IP aufgelöst?
Ist das kein spezial Fall?

Es gibt auch eine Empfehlung, Nameserver so zu konfigurieren, daß sie "localhost" in 127.0.0.1 auflösen sollen.

[dufty2]

Code: Alles auswählen

user@host:~$ 

Mein kistchen heisst auch "host", worauf sich Tails (wie schon oben erwähnt), Whonix und noch ein paar geeinigt haben.
Und der user auch "user".
Einen randomisierten hostname würd' ich nicht empfehlen, denn das macht Dich einmalig (wahrscheinlich )

[MSfree]

Ok, und die Domain wird dann statt zu 127.0.0.1 zur externen IP aufgelöst?

Eine Domain kann man nicht auflösen, nur Hostnamen.

Wenn Rechner1 sich localhost nennt und der DHCP-Server den Hostnamen in den DNS einträgt, dann wird der Hostname localhost auf auf die per DHCP vergebene IP aufgelöst.

Wenn Rechner2 z.B. einen Webserver auf seinen Rechner hat, und den Webserver mit http://localhost ansprechen will, wird die IP für Localhost nicht mehr 127.0.0.1 sein, sondern die IP von Rechner1. Mal dir selbst aus, was für lustige und weniger lustige Dinge du damit in dem LAN anstellen kannst.

[MSfree]

Einen randomisierten hostname würd' ich nicht empfehlen, denn das macht Dich einmalig (wahrscheinlich )

Ja, der ist einmalig. Die Idee ist aber, den Hostname ständig zu wechseln jeweils mit einer Zufallszeichenfolge. Das kann man mit cron alle halbe Stunde machen oder auch nur jeweils einmal nach dem Booten.

Aber wie schon gesagt, manche DHCP-Clients verschicken eine UID, da kannst du deinen Hostnamen und deine MAC wechseln, wie du willst, du bist über die UID erkennbar.

[DeletedUserReAsG]

Die Idee ist aber, den Hostname ständig zu wechseln jeweils mit einer Zufallszeichenfolge. Das kann man mit cron alle halbe Stunde machen oder auch nur jeweils einmal nach dem Booten.

… und genau das macht dich mit hoher Sicherheit wiedererkennbar (je nach Umfeld – in den meisten offenen Netzen dürften aber nicht sehr viele Leute mit randomisiertem Hostnamen umherlaufen). Du könntest natürlich ein größeres Wörterbuch hernehmen, und daraus per Zufall einen Eintrag als temporären Hostnamen verwenden. Aber wie schon geschrieben wurde: wer wirklich will, den interessiert das nicht – der nimmt andere Merkmale.

Auf der anderen Seite, und das ist nur meine persönliche Ansicht: was interessiert mich, wenn der erste Punkt auf der Route weiß, dass ich schonmal da war? Was ich über ihn mache, weiß er trotzdem nicht, und idealerweise ist der nächste Punkt auf der Route eh der Eingang zum Tunnel (VPN, ssh, wasauchimmer).

[Ozelot]

Stimmt, dieses Verhalten ist dann ziemlich einzigartig. Ich frage mich aber, wie das unter normalen Umständen als ein zusammenhängendes Verhalten identifiziert werden sollte, es sei denn, daß jemand die logs nebeneinanderlegt und das Muster erkennt.

Zum zweiten Punkt: Bewegungsprofile.


Trickreich wäre es, kontinuierlich die Hostnamen anderer Rechner aus dem Netzwerk zu klauben und in einer Liste zu speichern, aus der man dann immer zufällig seinen Hostnamen auswählt.

[DeletedUserReAsG]

Zum zweiten Punkt: Bewegungsprofile.

Zumindest in urbanen Gegenden würde mir da die nahezu flächendeckende Kameraabdeckung mehr Sorgen machen, als vereinzelte offene Netze, die ich nutze.

Trickreich wäre es, kontinuierlich die Hostnamen anderer Rechner aus dem Netzwerk zu klauben und in einer Liste zu speichern, aus der man dann immer zufällig seinen Hostnamen auswählt.

Und dann bist du wieder identifizierbar, weil du halt eine unbekannte MAC zum bekannten Hostnamen hast.

Sorry, aber ich befürchte, deine Fixierung auf den Hostnamen lässt dich den ganzen Rest ausblenden.

[unitra]

Das Vorhaben mag zwar erstrebenswert sein, und ist technisch auch umsetzbar, aber der Aufwand ist groß.

Meiner Meinung nach ist die Würfelung des Knotennamens nur ein winziger Teil dieser Strategie sein.

Wie bereits beschrieben, muss man das im Gesamtkontext betrachten und ein häufig eingesetzter Knotenname ist besser als ein jedes Mal zufälliger Name.

Security by obscurity ist kein guter Ansatz, so sieht das hier zumindest aus. Aber eventuell liegt hier nur ein Teil der Informationenen vor.

[Ozelot]

Ihr habt ja recht, daß es nur ein Aspekt unter vielen ist. Das ändert ihn aber auch nicht und macht ihn zu keiner Fixierung: Es liegt ja im Wesen einer Forumsfrage, daß es genau um ein Thema geht. Wie ich das dann in den Gesamtkontext meiner Situation einbette, oder warum mich dieser Aspekt genau interessiert, muß ich ja nicht immer dazuschreiben (auch wenn ich dann jedes Mal hier diese Kommentare bekomme). Wir können uns ja darauf einigen, daß ich den Wunsch habe, alles zu lernen, was mit Identifikation auf der Netzwerkebene zu tun hat. Und da danke ich Euch: Das waren ein paar ungemein hlilfreiche Antworten.

Security by obscurity ist natürlich, klar, ein Problem. Präziser gesagt aber nur als allgemeine Methode schlecht. Sie kann in einzelnen (sich nicht wiederholenden) Fällen, leider, ungemein praktisch sein. Etwa analog zu kruden Hacks beim Programmieren - die man grundsätzlich als Methode nicht empfehlen darf..

Und konkret: Wenn ich hostnamen und MAC kontinuierlich würfle, dann bin ich nur zu bestimmten Zeitpunkten aber nicht zwischen verschiedenen Zeitpunkten identifizierbar. Uniqueness != Objektpermanenz

[wanne]

Und konkret: Wenn ich hostnamen und MAC kontinuierlich würfle, dann bin ich nur zu bestimmten Zeitpunkten aber nicht zwischen verschiedenen Zeitpunkten identifizierbar.

Doch. Ein gewürfelter hostname ist nunmal auffällig, da das keiner sonst hat. Ein einfacher Silbencheck reicht. Einer der sich alle 5s ändert auch. Auch wenn dus nicht an einen bestimmten festnageln kannst: Nach 5s ist bekannt, wer das absurd verhalten hat. Du kannst auch blinkende Lichter im Dunkeln reidentifizieren. Insbesondere wenn sich die MAC-Adresse nicht synchron ändert wird das sicher auch durch alle Tracker erkannt werden. Sich selten ändernde Hostnamen sind gar nicht so unüblich: Der WMP macht das manchmal. Du könntest dir jetzt überlegen die Zeitabstände so zu vergrößern dass es nicht mehr auffällig ist, MAC und hostname gleichzeitig zu ändern, und echte Silben/Wörter zu verwenden. Aber dann wird das alles etwas komplizierter.

[Ozelot]

Stimmt.

Und die Tips sind gut (und wären nicht schwer zu skripten).

Oben bezog ich mich auf die Idee, bekannte Hostnamen zu wechseln, nicht zufällige. Und gewürfelte Namen fallen freilich auch nur einem Menschen auf, keiner Maschine. Identifizierbar wäre das dann zwar, hast recht, aber wenigstens nur für jemanden der händisch nachguckt oder ein Programm spezifisch dafür schreibt, oder?

[wanne]

Und gewürfelte Namen fallen freilich auch nur einem Menschen auf, keiner Maschine. Identifizierbar wäre das dann zwar, hast recht, aber wenigstens nur für jemanden der händisch nachguckt oder ein Programm spezifisch dafür schreibt, oder?

Wie gesagt: Ich tippe das tracking lösungen mitunter nicht dumm sind und dumindest das verschwinden und kurz später liegende wiederauftuachen zuordnen kann. Klar um randomisierte Namen zu finden bächte man ein Programm. Ich könnte mir aber gut vorstellen dass es inen Pool mit absurditäten gibt, Und da schwimmst du dann sehr schnell vermutlich eher alleine.

[Ozelot]

Hast recht. Und danke - das ist was mich interessiert: Was wird in der Praxis tatsächlich getrackt und was nicht. Am praktikabelsten erscheint mir momentan, einen "normalen" hostnamen aus einer Liste typischer Namen mit einer gewürfelten MAC dann für genau eine Session / in einem spezifischen Netz zu nutzen und beim nächsten wieder neu zu würfeln. Wahlweise könnte man auch ein paar hundert Paare aus Allerweltshostnamen und Zufalls-MAC erzeugen und per Zufall auswählen. Da ist man dann auch kein Blinklicht mehr. Während der Session im gleichen Netz zu wechseln ist wohl wirklich Quatsch.