Alguns recursos do IPv6 da China Telecom
Categories:
-
Alguns recursos do IPv6 da China Telecom
-
Alguns recursos do IPv6 da China Telecom
A China já implementou totalmente o uso do IPv6 e o pool de endereços IPv6 é grande o suficiente para que cada dispositivo pessoal obtenha um endereço IPv6.
Para uso pelos usuários domésticos, todos os dispositivos da pilha precisam suportar IPv6 para usar o IPv6. Como a implementação já vem acontecendo há muitos anos, praticamente todos os dispositivos comprados após 2016 já suportam IPv6.
Os dispositivos da pilha incluem: equipamentos metropolitanos -> roteadores de bairro -> roteadores domésticos (ONTs, roteadores) -> dispositivos terminais (celulares, computadores, TVs, etc.).
Aqui não vamos discutir o protocolo IPv6 padrão, apenas alguns recursos do IPv6 da China Telecom.
Atribuição de endereços
Primeiro, o método de atribuição de endereços. O IPv6 tem três métodos de atribuição: atribuição estática, SLAAC e DHCPv6.
A China Telecom em Hubei utiliza SLAAC, ou seja, o endereço IPv6 é atribuído automaticamente pelos dispositivos. Como o pool de endereços IPv6 da China Telecom é grande o suficiente, não haverá conflitos de endereços.
O endereço IPv6 da China Telecom é atribuído aleatoriamente e reatribuído após 24 horas. Para acesso externo, é necessário usar um serviço DDNS.
Firewall
Atualmente, pode-se observar que portas comuns como 80, 139, 445 já foram bloqueadas pelos firewalls do IPv4, o que é muito fácil de entender. Firewalls de nível operador realmente conseguem proteger usuários comuns que carecem de consciência de segurança cibernética. Em 2020, o IPv6 da China Telecom estava totalmente aberto, mas agora algumas portas comuns foram bloqueadas.
A porta 443 ocasionalmente está aberta dentro da rede da China Telecom, mas não está aberta para redes móveis e Unicom. Os desenvolvedores devem prestar atenção a isso. Serviços testados corretamente no ambiente de desenvolvimento, até mesmo acessíveis por celulares na rede da China Telecom, podem não ser acessíveis por redes móveis da China Mobile.
Com base em testes simples de firewall, recomenda-se que os desenvolvedores lembrem-se de não confiar nos firewalls dos operadores e escolham uma porta de 5 dígitos para fornecer serviços.
Além disso, o firewall da China Telecom não bloqueia a porta 22. A porta de serviço de desktop remoto do Windows 3389 também não é bloqueada.
Isso significa que é possível fazer login remoto e controlar, o que pode gerar alguns riscos.
Depois que um invasor obtém o IP ou o nome de domínio DDNS, pode iniciar ataques, usar métodos de força bruta para obter senhas e, assim, obter controle. Domínios também podem expor algumas informações pessoais, como nome e endereço, e podem usar engenharia social para obter mais informações e acelerar a velocidade de quebra.
Recomenda-se desativar o login por senha do SSH, usar apenas login por chave, ou usar VPN para login remoto, ou usar um jump server para login remoto.