Анонимизация адресов IPv6

Question

Анонимизация адресов IPv6

В соответствии с требованиями законодательства некоторых стран мы анонимизируем IP-адреса наших пользователей в наших лог-файлах. Используя IPv4, мы регулярно просто анонимизируем два последних байта, например. вместо 255.255.255.255 мы записываем 255.255.*.*

Какой алгоритм вы бы порекомендовали анонимизировать IPv6-адреса?

11

ip ipv6 anonymize anonymity

Источник

user456285 23 май '11 в 14:22

1 ответ

Решение

Чтобы анонимизировать общедоступные IPv6-адреса, вы можете взять первые 2 группы и заменить оставшуюся часть на CRC-16. Некоторые примеры (где abc1 и abc2 - значения CRC-16):

2001:0db8:85a3: 0000: 0000: 8a2e:0370:7334 -> 2001:0db8-abc1
2a02: 200: 7::123 -> 2a02:200-abc2

Такое сокращение позволяет легко сопоставить первые 2 группы (конечно, с некоторой вероятностью) с неанонимизированным IPv6 в полных журналах с более коротким временем хранения. Что хорошо для расследования проблем или инцидентов безопасности.

0

Источник

user901333 12 окт '19 в 20:20

Другие вопросы по тегам ip ipv6 anonymize anonymity

user168175 23 май '11 в 14:35 2011-05-23 14:35 · Accepted Answer · 2011-05-23 14:35

По крайней мере, вы хотите удалить EUI-64, то есть последние 64 бита адреса. более реалистично, вы хотите лишить себя возможности стать более приватным, так как оставшаяся часть будет идентифицировать только одну подсеть (то есть, возможно, один дом)

Глобальная адресация IPv6 очень иерархическая, из RFC2374:

 | 3|  13 | 8 |   24   |   16   |          64 bits               |
 +--+-----+---+--------+--------+--------------------------------+
 |FP| TLA |RES|  NLA   |  SLA   |         Interface ID           |
 |  | ID  |   |  ID    |  ID    |                                |
 +--+-----+---+--------+--------+--------------------------------+
 <--Public Topology--->   Site
                       <-------->
                        Topology
                                 <------Interface Identifier----->

Возникает вопрос, насколько частным является частная жизнь? Уберите 64 бита, и вы определили подсеть ЛВС, а не пользователя. Снимите еще 16, и вы определили небольшую организацию, то есть клиента интернет-провайдера, например, компанию / филиал с несколькими подсетями. Снимите следующие 24 с того, что вы в основном определили только интернет-провайдера или действительно большую организацию.

Вы можете реализовать это с помощью битовой маски точно так же, как и для адреса IPv4, вопрос становится легальным, хотя "сколько мне нужно раздеть, чтобы соответствовать конкретному законодательству", а не техническим на тот момент.