China Telecom IPv6'nın Bazı Özellikleri
Categories:
China Telecom IPv6’nın Bazı Özellikleri
China Telecom IPv6’nın Bazı Özellikleri
Çin genelinde IPv6 kullanımı tümüyle yaygınlaştırılmıştır; IPv6 adres havuzu yeterince büyüktür, bu nedenle kişisel her cihaz bir IPv6 adresi edinebilir.
Ev kullanıcılarının IPv6’yı kullanabilmesi için tüm yığın (full-stack) cihazların IPv6’yı desteklemesi gerekir. Zaten yıllardır teşvik edildiği için, şu anda 2016 yılından sonra satın alınan cihazların çoğu temel olarak IPv6’yı desteklemektedir.
Tüm yığın cihazları şunları içerir: Şehir cihazları -> Site yönlendiricisi -> Ev yönlendiricisi (Optik modem, yönlendirici) -> Terminal cihazları (telefon, bilgisayar, televizyon vb.)
Burada standart IPv6 protokolünü tartışmayacağız, yalnızca Telecom’un IPv6’sının bazı özelliklerini tartışacağız.
Adres Tahsisi
Öncelikle adres tahsis yöntemi: IPv6’nın üç tahsis yöntemi vardır: Statik tahsis, SLAAC, DHCPv6.
Hubei Telecom SLAAC kullanmaktadır; yani Telecom’un IPv6 adresleri cihazlar tarafından otomatik olarak atanır. Telecom’un IPv6 adres havuzu yeterince büyük olduğu için adres çakışması sorunu oluşmaz.
Telecom IPv6 adresleri rastgele atanır ve 24 saat sonra yeniden atanır. Dışarıdan erişmek için DDNS hizmeti kullanmak gerekir.
Güvenlik Duvarı
Şu anda, yaygın olan 80, 139, 445 gibi portların IPv4 güvenlik duvarıyla uyumlu şekilde zaten engellendiği görülmektedir. Bu çok anlaşılabilir bir durumdur; operatör düzeyindeki güvenlik duvarları, ağ güvenliği bilinci olmayan sıradan kullanıcıları koruyabilir. 2020 yılında Telecom IPv6 tamamen açıktı, ancak artık bazı yaygın portlar engellenmiş durumda.
443 portu Telecom ağı içinde ara sıra açık olsa da, Mobile ve Unicom ağlarına karşı açık değildir. Geliştiricilerin bu noktaya dikkat etmesi gerekir. Geliştirme ortamında test edilen ve hatta Telecom cep telefonu ağıyla erişilebilen bir hizmet, Mobile cep telefonu ağından erişilemeyebilir.
Basit bir güvenlik duvarı testine dayanarak, geliştiricilerin operatör güvenlik duvarına güvenmemesini ve hizmet sunmak için bir 5 haneli port seçmesini öneririm.
Ayrıca, Telecom güvenlik duvarı 22 portunu engellemez ve Windows’un Uzak Masaüstü hizmeti portu olan 3389 de engellenmez.
Yani uzaktan giriş kontrolü mümkündür, bu da bazı risklere yol açar.
Saldırgan IP adresini veya DDNS alan adını elde ettikten sonra, hedefli saldırı başlatabilir, şifreyi ele geçirmek için kaba kuvvet (brute force) yöntemini kullanarak kontrolü ele geçirebilir. Ayrıca alan adı ad, adres gibi bazı kişisel bilgileri ifşa edebilir ve sosyal mühendislik kullanarak daha fazla bilgi elde ederek kırma hızını artırabilir.
ssh şifreli girişini kapatmayı, yalnızca anahtar kullanarak giriş yapmayı veya VPN veya jump host (köprü sunucusu) kullanarak uzaktan giriş yapmayı öneririm.