Cechy IPv6 China Telecom

Friday, June 28, 2024

Categories:

Sieć

Cechy IPv6 China Telecom
Cechy IPv6 China Telecom

W Chinach zostały już w pełni wdrożone usługi IPv6, a pulę adresów IPv6 jest wystarczająco duża, aby każdy urządzenie osobiste mogło uzyskać własny adres IPv6.
Aby użytkownicy domowi mogli korzystać z IPv6, wszystkie urządzenia muszą być kompatybilne z IPv6. Ponieważ wdrażanie trwa od wielu lat, obecnie większość urządzeń kupionych po 2016 roku jest już kompatybilna z IPv6.

Kompletny zestaw urządzeń obejmuje: urządzenia miejskie -> routery w osiedlach -> urządzenia domowe (modemy światłowodowe, routery) -> urządzenia końcowe (telefony, komputery, telewizory itp.).

W tym artykule nie omawiamy standardowego protokołu IPv6, a jedynie cechy IPv6 China Telecom.

Przydzielanie adresów

Po pierwsze, metoda przydziału adresów. IPv6 ma trzy metody przydziału: statyczny przydział, SLAAC i DHCPv6.
China Telecom w prowincji Hubei używa SLAAC, co oznacza, że adresy IPv6 są automatycznie przydzielane przez urządzenia. Ze względu na dużą pulę adresów IPv6 China Telecom nie występują konflikty adresów.

Adresy IPv6 China Telecom są przydzielane losowo i ponownie przydzielane co 24 godziny. Aby uzyskać dostęp z zewnątrz, konieczne jest użycie usługi DDNS.

Zapora sieciowa

Obecnie można zaobserwować, że popularne porty takie jak 80, 139, 445 są już zgodne z zaporą sieciową IPv4 i zostały zablokowane. Jest to bardzo łatwe do zrozumienia, ponieważ zapora sieciowa na poziomie operatora rzeczywiście może chronić zwykłych użytkowników, którzy nie posiadają świadomości cyberbezpieczeństwa. W 2020 roku IPv6 China Telecom było otwarte, ale obecnie niektóre popularne porty zostały zablokowane.

Port 443 jest czasami otwarty w sieci China Telecom, ale nie jest dostępny w sieciach China Mobile i China Unicom. Deweloperzy powinni zwrócić uwagę na ten fakt. Usługa, która działa poprawnie w środowisku testowym, a nawet telefon z sieci China Telecom może uzyskać dostęp, ale telefon z sieci China Mobile nie może.

Na podstawie prostych testów zapory sieciowej sugerujemy, aby deweloperzy pamiętać o nieufności wobec zapory sieciowej operatora i wybierać porty z 5 cyfr do świadczenia usług.

Ponadto, zapora sieciowa China Telecom nie blokuje portu 22, a port usługi pulpitu zdalnego Windows 3389 również nie jest zablokowany.
Oznacza to, że możliwe jest zdalne logowanie i kontrolowanie, co może wiązać się z pewnymi ryzykami.

Gdy atakujący uzyskają IP lub nazwę domeny DDNS, mogą rozpocząć ataki, wykorzystując metodę przełamywania haseł w celu zdobycia hasła i uzyskania kontroli. Nazwa domeny może również ujawniać pewne informacje osobiste, takie jak imię i nazwisko, adres itp., co może być wykorzystane w atakach inżynierii społecznej w celu przyspieszenia przełamywania haseł.

Zaleca się wyłączenie logowania hasłem ssh, używanie jedynie logowania kluczem, lub korzystać z VPN do zdalnego logowania, lub używać serwera pośredniego do zdalnego logowania.