Einige Merkmale des China Telecom IPv6

Friday, June 28, 2024

Categories:

Netzwerk

Einige Merkmale des China Telecom IPv6
Einige Merkmale des China Telecom IPv6

In China wurde die Verwendung von IPv6 flächendeckend eingeführt, der IPv6-Adresspool ist groß genug, sodass jedes Gerät eines Einzelnen eine IPv6-Adresse erhalten kann. Um IPv6 zu Hause nutzen zu können, müssen alle Geräte in der gesamten Kette IPv6 unterstützen. Da dies bereits viele Jahre lang vorangetrieben wurde, unterstützen im Allgemeinen Geräte, die nach 2016 gekauft wurden, IPv6.

Die gesamte Gerätekette umfasst: städtische Geräte -> Router im Wohngebiet -> Heimrouter (Optikmodem, Router) -> Endgeräte (Handy, Computer, Fernseher usw.).

Hier wird nicht über den standardmäßigen IPv6-Protokoll diskutiert, sondern nur über einige Merkmale von China Telecom IPv6.

Adressverteilung

Zunächst zur Adressverteilung: IPv6 hat drei Verteilungsarten: statische Verteilung, SLAAC, DHCPv6. China Telecom in der Provinz Hubei verwendet SLAAC, d.h. die IPv6-Adresse von China Telecom wird automatisch vom Gerät verteilt. Da der IPv6-Adresspool von China Telecom groß genug ist, tritt kein Adresskonflikt auf.

Die China Telecom IPv6-Adresse wird zufällig verteilt und nach 24 Stunden neu verteilt. Für den Zugriff von außen muss ein DDNS-Dienst verwendet werden.

Firewall

Derzeit lässt sich feststellen, dass häufige Ports wie 80, 139, 445 bereits mit dem IPv4-Firewall abgeglichen und alle gesperrt sind. Dies ist leicht verständlich, da ein providerseitiger Firewall tatsächlich helfen kann, normale Benutzer ohne ausreichendes Netzwerksicherheitsbewusstsein zu schützen. 2020 waren alle China Telecom IPv6-Adressen offen, mittlerweile sind einige häufig genutzte Ports gesperrt.

Der Port 443 ist im China Telecom-Netzwerk gelegentlich offen, jedoch nicht gegenüber den Netzwerken von China Mobile und China Unicom. Entwickler sollten dies beachten. Ein Dienst, der in der Entwicklungsumgebung gut funktioniert und sogar von einem Handy im China Telecom-Netzwerk aus erreichbar ist, lässt sich eventuell nicht von einem Handy im China Mobile-Netzwerk aus erreichen.

Basierend auf einfachen Firewall-Tests wird Entwicklern empfohlen, der Firewall des Providers nicht zu vertrauen und einen Port mit 5-stelliger Nummer für ihren Dienst zu wählen.

Darüber hinaus hat die China Telecom-Firewall den Port 22 nicht gesperrt, ebenso wenig wie den Windows-Remotedesktop-Port 3389. Das bedeutet, dass Remote-Login und -Steuerung möglich sind, was jedoch einige Risiken birgt.

Nachdem Angreifer die IP-Adresse oder den DDNS-Domainnamen erhalten haben, können sie mit gezielten Angriffen beginnen und durch Brute-Force-Versuche das Passwort knacken, um so die Kontrolle zu erlangen. Domainnamen können außerdem persönliche Informationen wie Namen und Adresse preisgeben und können durch Social-Engineering-Techniken genutzt werden, um zusätzliche Informationen zu erhalten und den Knackprozess zu beschleunigen.

Es wird empfohlen, die Passwortanmeldung von ssh zu deaktivieren und nur Schlüsselanmeldung zu verwenden oder Remote-Login über VPN oder Jump-Server durchzuführen.