Enkele kenmerken van China Telecom IPv6
Categories:
-
Enkele kenmerken van China Telecom IPv6
-
Enkele kenmerken van China Telecom IPv6
In China is het gebruik van IPv6 volledig uitgerold, met een voldoende grote IPv6-adrespool, zodat elk apparaat van een persoon een IPv6-adres kan krijgen.
Voor huishoudelijke gebruikers is het nodig dat alle apparatuur in de keten IPv6 ondersteunt om uiteindelijk IPv6 te kunnen gebruiken. Aangezien dit al jaren wordt bevorderd, ondersteunt vrijwel alle apparatuur die na 2016 is gekocht, IPv6.
De volledige keten omvat: stadsapparatuur -> buurtrouter -> thuisrouter (glasvezelmodem, router) -> eindapparatuur (telefoon, computer, tv, enz.).
Hier wordt niet gediscussieerd over de standaard IPv6-protocollen, maar enkel over enkele kenmerken van China Telecom IPv6.
Adresverdeling
Allereerst de adresverdelingsmethode. IPv6 heeft drie verdelingsmethoden: statische toewijzing, SLAAC en DHCPv6.
Hubei Telecom gebruikt SLAAC, wat betekent dat het IPv6-adres automatisch wordt toegewezen door het apparaat. Omdat de IPv6-adrespool van Telecom groot genoeg is, zijn er geen adresconflicten.
De IPv6-adressen van Telecom worden willekeurig toegewezen en worden na 24 uur opnieuw toegewezen. Voor toegang vanaf externe locaties is een DDNS-dienst vereist.
Firewall
Momenteel is gebleken dat veelvoorkomende poorten zoals 80, 139 en 445 zijn afgeschermd, net zoals bij de IPv4-firewall. Dit is zeer begrijpelijk; een firewall op netwerkniveau kan inderdaad bescherming bieden aan gewone gebruikers die weinig kennis hebben van netwerkbeveiliging. In 2020 waren alle IPv6-adressen van Telecom open, maar nu zijn enkele veelgebruikte poorten afgeschermd.
De poort 443 is af en toe open binnen het Telecom-netwerk, maar niet open voor China Mobile en China Unicom. Ontwikkelaars moeten hier rekening mee houden. Een service die goed is getest in de ontwikkelomgeving, en zelfs toegankelijk is via een mobiele telefoon op het Telecom-netwerk, is mogelijk niet toegankelijk via het mobiele netwerk van China Mobile.
Gebaseerd op eenvoudige firewalltests, wordt aanbevolen dat ontwikkelaars wantrouwen jegens de netwerksfirewall koesteren en een 5-cijferige poort kiezen voor hun dienstverlening.
Bovendien blokkeert de Telecom-firewall poort 22 niet, en ook de Windows Remote Desktop-poort 3389 niet.
Dit betekent dat extern kan worden ingelogd en bestuurd, wat enige risico’s met zich meebrengt.
Nadat een aanvaller het IP-adres of de DDNS-domeinnaam heeft verkregen, kan deze beginnen met gerichte aanvallen, gebruikmakend van brute-force om het wachtwoord te kraken en zo controle te verkrijgen. Domeinnamen kunnen ook persoonlijke informatie onthullen, zoals naam en adres, en kunnen mogelijk worden gebruikt in sociale-engineeringaanvallen om meer informatie te verkrijgen en het kraken te versnellen.
Het wordt aanbevolen om het wachtwoordlogin voor ssh uit te schakelen en alleen sleutellogin te gebruiken, of gebruik te maken van een VPN-verbinding voor extern inloggen, of een jumpserver te gebruiken voor extern inloggen.