中国电信IPv6のいくつかの特徴

Tags:
Categories:

  • 中国电信IPv6のいくつかの特徴

  • 中国电信 IPv6 のいくつかの特徴

中国ではすでに全面的にIPv6の使用が展開されており、IPv6アドレスプールが十分に大きく、個人の各デバイスがIPv6アドレスを取得できる。
家庭ユーザーが使用するには、すべてのスタックデバイスがIPv6をサポートしている必要があるが、すでに長年推進されており、現在では2016年以降に購入したデバイスは基本的にIPv6をサポートしている。

全スタックデバイスには以下が含まれる: 都市部デバイス->コミュニティルーター->家庭ルーター(光回線モデム、ルーター)->端末デバイス(携帯電話、パソコン、テレビなど)

ここでは標準的なIPv6プロトコルの議論はせず、中国電信のIPv6のいくつかの特徴についてのみ議論する。

アドレス割り当て

まずアドレス割り当て方式について、IPv6には3つの割り当て方式がある: 静的割り当て、SLAAC、DHCPv6。
湖北省中国電信はSLAACを使用しており、つまり中国電信のIPv6アドレスはデバイスが自動的に割り当てる。中国電信のIPv6アドレスプールが十分に大きいため、アドレスの衝突は発生しない。

中国電信のIPv6アドレスはランダムに割り当てられ、24時間後に再割り当てされる。外部からアクセスするにはDDNSサービスを使用する必要がある。

ファイアウォール

現在、一般的な80139445などのポートがIPv4ファイアウォールと同様にすべてブロックされていることが確認できる。これは非常に理解できることで、運営事業者レベルのファイアウォールは確かにネットワークセキュリティ意識の欠如する一般ユーザーを保護できる。2020年には中国電信のIPv6はすべて開放されていたが、現在はいくつかの一般的なポートがブロックされている。

443ポートは中国電信ネットワーク内では時折開放されているが、中国移動、中国聯通に対しては開放されていない。開発者はこの点に注意すべきである。開発環境でテストが完了したサービスは、中国電信の携帯電話でもアクセスできるが、中国移動の携帯電話ネットワークではアクセスできないことがある。

簡単なファイアウォールテストに基づき、開発者は運営事業者ファイアウォールへの不信任を念頭に置き、5桁のポート番号を使用してサービスを提供することを推奨する。

また、中国電信のファイアウォールは22ポートをブロックしておらず、Windowsのリモートデスクトップサービスポート3389もブロックしていない。
つまりリモートログイン制御が可能で、これによりいくつかのリスクが生じる可能性がある。

攻撃者がIPまたはDDNSドメイン名を取得すると、攻撃を開始することができ、ブルートフォース攻撃を利用してパスワードを取得し、制御権を獲得することができる。ドメイン名は氏名、住所などの個人情報を暴露し、社会工学的手法を利用してさらに多くの情報を取得し、パスワード破解の速度を上げることもできる。

SSHのパスワードログインを無効にし、鍵認証ログインのみを使用する、またはVPNを使用してリモートログインする、またはジャンボサーバーを使用してリモートログインすることを推奨する。