德国政府提出路由器安全指导规范

2018-11-26 13:55:01爱云资讯谢云

德国政府在月初公布了关于保护小型办公室和家庭办公室(SOHO)路由器规则的初稿。

由德国联邦信息安全办公室(BSI)发布的规则已经与路由器供应商,德国电信和德国硬件社区的意见相结合。

一旦获得批准,路由器制造商如果想在德国境内销售路由器,就必须遵守这些新规则。

这份22页的文档在这里以英文提供,列出了各种路由器功能和特性的数十条建议和规则。我们可能无法列出本文的所有规则,因为有些规则确实是技术性的,但我们选择了一些更重要的规则:

LAN和WiFi接口上只能提供DNS,HTTP,HTTPS,DHCP,DHCPv6和ICMPv6服务。
如果路由器具有访客WiFi模式,则此模式不允许访问路由器的配置面板。
扩展服务集标识符(ESSID)不应包含从路由器本身派生的信息(例如供应商名称或路由器型号)。
路由器必须支持WPA2协议,并默认使用它。
WiFi密码的长度应为20位或更长。
WiFi密码不得包含从路由器本身(供应商,型号,MAC等)派生的信息。
路由器必须允许任何经过身份验证的用户更改此密码。
更改WiFi密码的过程不应显示密码强度计或强制用户使用特殊字符。
设置完成后,路由器必须限制对WAN接口的访问,但少数服务除外,例如(CWMP)TR-069,SIP,SIPS和ICMPv6。
只有当ISP从远程中心位置控制路由器的配置时,路由器才能使CWMP可用。
路由器配置/管理面板的密码必须至少包含8个字符,并且必须具有涉及以下两项的复杂设置:大写字母,小写字母,特殊字符,数字。
就像WiFi密码一样,管理面板密码不得包含与路由器相关的信息(供应商,型号,MAC等)。
路由器必须允许用户更改此默认管理面板密码。
基于密码的身份验证必须防止暴力攻击。
路由器不得附带未记录的(后门)帐户。
在默认状态下,只能通过LAN或WiFi接口访问管理面板。
如果路由器供应商想要通过WAN公开管理面板,则必须使用TLS。
最终用户应该能够配置用于通过WAN接口访问配置的端口。
路由器管理面板必须显示固件版本。
路由器必须向用户提供过期或寿命终止的固件。
路由器必须保留并显示上次登录日志。
路由器必须显示任何本地防火墙服务的状态和规则。
路由器必须列出每个接口(LAN / WAN / WiFi)的所有活动服务。
路由器必须包括执行工厂重置的方法。
路由器必须支持LAN over LAN和WiFi。

这些只是BSI的一些建议,您可以在上面链接的文档中找到更多内容。

德国采取措施标准化路由器安全性的原因与2016年底发生的一起事件有关,当时一名被称为“BestBuy”的英国黑客试图劫持德国电信路由器,但拙劣的固件更新并几乎崩溃德国有一百万台路由器。

BSI对SOHO路由器进行监管的努力并未令所有相关方感到高兴。在上周的博客文章中,一个着名的德国黑客社区混沌计算机俱乐部(CCC)批评了这些建议的初稿,称其为“闹剧”。

CCC表示,它与OpenWrt的成员一起参加了关于这个主题的BSI会议,OpenWrt是一个为SOHO路由器提供开源固件的软件项目,他们说电信游说团体已经投入大量精力来破坏整个规则。

这两个小组提出了两个问题,他们说这些问题没有列入BSI建议,这些规则至关重要。

一个是所有路由器都应该有固件的到期日期,用户在购买设备之前必须能够看到它们。其次,在供应商停止支持模型固件后,供应商应允许用户在废弃和EOL设备上安装自定义固件。

预计将继续就BSI规则进行谈判。10月,加利福尼亚州通过州立法,为互联网连接(IoT)设备使用的密码制定了一套严格的规则,标志着这是世界上第一个特定于物联网的规则。虽然德国没有通过官方法律,但它将成为第一个试图通过任何特定路由器指南的国家。

相关文章
热门文章
头条文章
重点文章
推荐文章
热点文章
关于我们|联系我们|免责声明|会展频道
冀ICP备2022007386号-1 冀公网安备 13108202000871号 爱云资讯 Copyright©2018-2023