중국 전신 IPv6의 몇 가지 특징
Categories:
-
중국 전신 IPv6의 몇 가지 특징
-
중국 전신 IPv6의 몇 가지 특징
중국은 이미 IPv6 사용을 전면적으로 확대하고 있으며, IPv6 주소 풀이 충분히 크기 때문에 개인의 각 장치가 IPv6 주소를 얻을 수 있습니다. 가정 사용자가 사용할 때는 최종적으로 IPv6를 사용하기 위해 전체 스택 장치가 IPv6를 지원해야 합니다. 이미 여러 해 동안 추진되어 왔기 때문에 현재 2016년 이후에 구매한 장치는 기본적으로 IPv6를 지원합니다.
전체 스택 장치에는 도시 장치->단지 라우터->가정 라우터(광섬유 모뎀, 라우터)->터미널 장치(휴대폰, 컴퓨터, TV 등)가 포함됩니다.
이 글에서는 표준 IPv6 프로토콜에 대해서는 논의하지 않고, 중국 전신의 IPv6 특징에 대해서만 논의합니다.
주소 할당
먼저 주소 할당 방식에 대해 살펴보면, IPv6는 정적 할당, SLAAC, DHCPv6의 세 가지 할당 방식이 있습니다. 후베이 전신은 SLAAC을 사용하는데, 즉 전신의 IPv6 주소는 장치가 자동으로 할당하는 것입니다. 전신의 IPv6 주소 풀이 충분히 크기 때문에 주소 충돌이 발생하지 않습니다.
전신 IPv6 주소는 무작위로 할당되며, 24시간 후 다시 할당됩니다. 외부에서 접근하려면 반드시 DDNS 서비스를 사용해야 합니다.
방화벽
현재 일반적인 80, 139, 445 등의 포트가 IPv4 방화벽과 일치하여 모두 차단된 것을 확인할 수 있습니다. 이는 매우 이해할 수 있는 것으로, 운용사업자 수준의 방화벽은 사이버 보안 의식이 부족한 일반 사용자를 실제로 보호할 수 있습니다. 2020년에는 전신 IPv6가 모두 개방되어 있었지만, 현재는 일부 일반 포트가 차단되었습니다.
443 포트는 전신 네트워크 내에서 가끔 개방되지만, 이동통신 및 유니콤에는 개방되지 않습니다. 개발자는这一点을 명심해야 합니다. 개발 환경에서 테스트한 서비스는 심지어 전신 네트워크 휴대폰으로도 접근할 수 있지만, 이동통신 휴대폰 네트워크로는 접근할 수 없습니다.
간단한 방화벽 테스트를 통해 개발자는 운용사업자 방화벽에 대한 불신을 명심하고 5자리 포트를 사용하여 서비스를 제공하는 것을 권장합니다.
또한, 전신 방화벽은 22 포트를 차단하지 않았으며, Windows 원격 데스크톱 서비스 포트 3389도 차단하지 않았습니다.
즉 원격 로그인과 제어가 가능하며, 이는 몇 가지 위험을 야기할 수 있습니다.
공격자가 IP 또는 DDNS 도메인을 획득하면 공격을 개시할 수 있으며, 무차별 대입 방식을 이용해 비밀번호를 획득하여 제어권을 얻을 수 있습니다. 도메인은 이름, 주소 등 개인 정보를 노출시킬 수 있으며, 사회공학적 방법을 이용해 더 많은 정보를 획득하여 무차별 대입 속도를 높일 수 있습니다.
SSH의 비밀번호 로그인을 비활성화하고 키 로그인만 사용하거나, VPN을 이용한 원격 로그인 또는 점프 서버를 이용한 원격 로그인을 권장합니다.