Особенности IPv6 от China Telecom
Categories:
-
Особенности IPv6 от China Telecom
-
Особенности IPv6 от China Telecom
В Китае уже широко внедрено использование IPv6, и пулы IPv6-адресов достаточно велики, чтобы каждый пользователь мог получить IPv6-адрес для каждого своего устройства. Для использования IPv6 домашним пользователям необходимо, чтобы все устройства в сети поддерживали IPv6. Поскольку эта технология активно продвигается уже много лет, на сегодняшний день (с 2016 года и позже) практически все устройства поддерживают IPv6.
Полный стек устройств включает: городские устройства -> маршрутизаторы в жилых комплексах -> домашние маршрутизаторы (оптические модемы, маршрутизаторы) -> конечные устройства (телефоны, компьютеры, телевизоры и т.д.).
Здесь не обсуждаются стандартные протоколы IPv6, а рассматриваются только особенности IPv6 от China Telecom.
Назначение адресов
Прежде всего, способ назначения адресов. IPv6 имеет три способа назначения адресов: статическое назначение, SLAAC, DHCPv6. China Telecom в провинции Хубэй использует SLAAC, что означает, что IPv6-адреса назначаются устройствами автоматически. Поскольку пулы IPv6-адресов у China Telecom достаточно велики, конфликты адресов не возникают.
IPv6-адреса China Telecom назначаются случайным образом и переназначаются каждые 24 часа. Для внешнего доступа необходимо использовать службу DDNS.
Брандмауэр
В настоящее время можно заметить, что такие распространенные порты, как 80, 139, 445 и другие, уже заблокированы наравне с IPv4-брандмауэром. Это вполне понятно, так как брандмауэр на уровне провайдера действительно может защитить обычных пользователей, не обладающих достаточным уровнем осведомленности в вопросах кибербезопасности. В 2020 году IPv6 от China Telecom был полностью открыт, но сейчас уже заблокированы некоторые распространенные порты.
Порт 443 иногда открыт в сети China Telecom, но закрыт для мобильных сетей China Mobile и China Unicom. Разработчики должны учитывать это. Сервис, который работает в тестовой среде и доступен даже с мобильного телефона в сети China Telecom, может быть недоступен с мобильного телефона в сети China Mobile.
На основе простых тестов брандмауэра рекомендуется разработчикам не доверять брандмауэрам провайдеров и выбирать порт с 5 цифрами для предоставления услуг.
Кроме того, брандмауэр China Telecom не блокирует порт 22, а также порт удаленного рабочего стола Windows 3389.
Это означает, что возможен удаленный доступ и управление, что может привести к определенным рискам.
После получения IP-адреса или домена DDNS злоумышленники могут начать атаку, используя метод перебора паролей для получения доступа и контроля. Домен также может раскрыть некоторую личную информацию, такую как имя и адрес, что может использоваться для социальной инженерии и ускорения взлома.
Рекомендуется отключить вход по паролю SSH, использовать только аутентификацию по ключам или подключаться через VPN или использовать промежуточный сервер для удаленного доступа.