Quelques caractéristiques de l'IPv6 China Telecom
Categories:
-
Quelques caractéristiques de l’IPv6 China Telecom
-
Quelques caractéristiques de l’IPv6 China Telecom
La Chine a déjà généralisé l’utilisation de l’IPv6. La plage d’adresses IPv6 étant suffisamment large, chaque appareil personnel peut obtenir une adresse IPv6. Pour une utilisation par les utilisateurs domestiques, tous les équipements de bout en bout doivent prendre en charge l’IPv6 afin de pouvoir finalement utiliser l’IPv6. Comme cela a été promu depuis de nombreuses années, aujourd’hui, les appareils achetés après 2016 prennent généralement tous en charge l’IPv6.
Les équipements de bout en bout incluent : équipements métropolitains -> routeurs de quartier -> routeurs domestiques (modem optique, routeur) -> appareils terminaux (téléphone, ordinateur, télévision, etc.)
Ici, nous ne discuterons pas des protocoles IPv6 standards, mais uniquement des caractéristiques spécifiques de l’IPv6 China Telecom.
Attribution d’adresses
Tout d’abord, la méthode d’attribution d’adresses. L’IPv6 dispose de trois méthodes d’attribution : attribution statique, SLAAC, DHCPv6. China Telecom utilise SLAAC dans la province du Hubei, ce qui signifie que les adresses IPv6 sont automatiquement attribuées par l’appareil. Étant donné que la plage d’adresses IPv6 de China Telecom est suffisamment grande, il n’y aura pas de conflits d’adresses.
Les adresses IPv6 de China Telecom sont attribuées aléatoirement et réattribuées après 24 heures. Pour accéder depuis l’extérieur, un service DDNS doit être utilisé.
Pare-feu
Nous pouvons constater actuellement que les ports courants tels que 80, 139, 445, etc., ont été bloqués par le pare-feu au même titre que l’IPv4. C’est tout à fait compréhensible : le pare-feu au niveau de l’opérateur peut réellement protéger les utilisateurs ordinaires qui manquent de conscience en matière de cybersécurité. En 2020, l’IPv6 de China Telecom était ouvert ; aujourd’hui, certains ports courants ont été bloqués.
Le port 443 est occasionnellement ouvert dans le réseau China Telecom, mais fermé pour les réseaux China Mobile et China Unicom. Les développeurs doivent prendre note de ce point. Un service qui fonctionne parfaitement en environnement de test, même accessible depuis un téléphone sur le réseau China Telecom, peut ne pas être accessible depuis un téléphone sur le réseau China Mobile.
Sur la base de tests simples de pare-feu, nous recommandons aux développeurs de ne pas faire confiance aux pare-feu des opérateurs et de choisir un port à 5 chiffres pour fournir leurs services.
En outre, le pare-feu de China Telecom ne bloque pas le port 22, ni le port 3389 du service Bureau à distance Windows.
Cela signifie que l’on peut se connecter à distance et contrôler les appareils, ce qui entraîne certains risques.
Une fois qu’un attaquant obtient l’adresse IP ou le nom de domaine DDNS, il peut lancer des attaques ciblées, en utilisant des méthodes de force brute pour obtenir le mot de passe et ainsi prendre le contrôle. Le nom de domaine expose également certaines informations personnelles, telles que le nom et l’adresse, et peut également être utilisé pour recueillir davantage d’informations par ingénierie sociale afin d’accélérer le processus de piratage.
Nous recommandons de désactiver la connexion par mot de passe SSH, d’utiliser uniquement l’authentification par clé, ou d’utiliser un VPN pour la connexion à distance, ou encore d’utiliser une passerelle pour la connexion à distance.