بعض خصائص IPv6 الخاصة بـ China Telecom

Tags:
Categories:

  • بعض خصائص IPv6 الخاصة بـ China Telecom

  • بعض خصائص IPv6 الخاصة بـ China Telecom

لقد تم تعميم استخدام IPv6 على نطاق واسع محليًا، ومجوعة عناوين IPv6 كبيرة بما يكفي، بحيث يمكن لكل جهاز فرد الحصول على عنوان IPv6.
عند استخدام المستخدمين المنزليين، يجب أن تدعم جميع الأجهزة في البنية التحتية الكاملة IPv6 لاستخدامه في النهاية. وبما تم الترويج له لسنوات عديدة، فإن الأجهزة التي تم شراؤها بعد عام 2016 تدعم IPv6 بشكل أساسي.

تشمل الأجهزة في البنية التحتية الكاملة: أجهزة Metropolitan -> جهاز توجيه المجمع السكني -> جهاز التوجيه المنزلي (المودم الضوئي، جهاز التوجيه) -> الأجهزة الطرفية (الهاتف، الكمبيوتر، التلفزيون، إلخ)

هنا لن نناقش بروتوكول IPv6 القياسي، بل سنناقش فقط بعض خصائص IPv6 الخاصة بـ China Telecom.

تخصيص العناوين

أولاً وقبل كل شيء، طريقة تخصيص العناوين، IPv6 لديه ثلاث طرق تخصيص: التخصيص الثابت، SLAAC، DHCPv6.
تستخدم Hubei Telecom SLAAC، مما يعني أن عنوان IPv6 الخاص بالاتصالات يتم تعيينه تلقائيًا بواسطة الجهاز. وبما أن مجموعة عناوين IPv6 الخاصة بالاتصالات كبيرة بما يكفي، فلن تكون هناك مشكلة تعارض في العناوين.

عنوان IPv6 الخاص بالاتصالات يتم تعيينه عشوائيًا، ويعاد تعيينه بعد 24 ساعة. إذا كنت تريد الوصول من الخارج، يجب استخدام خدمة DDNS.

جدار الحماية

حاليًا، يمكن ملاحظة أن المنافذ الشائعة مثل 80 و 139 و 445 قد تم حظرها، مما يتوافق مع جدار حماية IPv4. هذا مفهوم جدًا، حيث يمكن لجدار حماية على مستوى المشغل بالفعل حماية المستخدمين العاديين الذين يفتقرون إلى الوعي بأمن الشبكة. في عام 2020، كان IPv6 الخاص بالاتصالات مفتوحًا، والآن تم حظر بعض المنافذ الشائعة.

المنفذ 443 مفتوح أحيانًا داخل شبكة الاتصالات، ولكنه غير مفتوح لشبكات China Mobile أو China Unicom. يجب على المطورين الانتباه لهذه النقطة. الخدمة التي تم اختبارها جيدًا في بيئة التطوير، ويمكن الوصول إليها حتى عبر هاتف شبكة الاتصالات، ولكن لا يمكن الوصول إليها عبر شبكة الهاتف المحمول.

بناءً على اختبار جدار الحماية البسيط، يُنصح المطورون بألا يثقوا في جدران حماية مشغلي الخدمة، واختيار منفذ مكون من 5 أرقام لتقديم الخدمة.

بالإضافة إلى ذلك، لم يقم جدار حماية الاتصالات بحظر المنفذ 22، كما لم يتم حظر منفذ خدمة سطح المكتب البعيد في Windows 3389.
أي أنه يمكن تسجيل الدخول والتحكم عن بُعد، مما يؤدي إلى بعض المخاطر.

بعد حصول المهاجم على عنوان IP أو اسم نطاق DDNS، يمكنه البدء في شن هجوم مستهدف، واستخدام طريقة التخمين العنيف للحصول على كلمة المرور، وبالتالي الحصول على حق التحكم. كما يمكن لكشف اسم النطاق بعض المعلومات الشخصية، مثل الاسم والعنوان، ويمكنه أيضًا استخدام الهندسة الاجتماعية للحصول على مزيد من المعلومات لتسريع عملية الاختراق.

يُنصح بإيقاف تشغيل تسجيل الدخول بكلمة المرور عبر ssh، واستخدام تسجيل الدخول بالمفتاح فقط، أو استخدام VPN لتسجيل الدخول عن بُعد، أو استخدام خادم القفزة (Jump Server) لتسجيل الدخول عن بُعد.