德國制定路由器安全指南 完全遵守可獲特殊認證標籤

Editor發表於2018-11-28

德國政府公開了保護 Small Office and Home Office (SOHO)路由器的安全指南草案,結合了來自硬體廠商、電信公司和社群的意見。這個安全指南是自願性質的,批准之後路由器廠商也不需要必須遵守,但如果遵守的話他們可以在產品上新增合規的特殊標籤。


安全指南規定,路由器只開放 DNS、HTTP、HTTPS、DHCP、DHCPv6 和 ICMPv6 服務,祕密後門顯然是違反規定的。


德國制定路由器安全指南 完全遵守可獲特殊認證標籤



閱讀完整指導文件:


https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03148/TR03148.pdf;jsessionid=01F54E80B004E9BFB194DBC00DE9B961.2_cid360?__blob=publicationFile&v=2


具體要求歸納如下:


LAN和WiFi介面上只能提供DNS,HTTP,HTTPS,DHCP,DHCPv6和ICMPv6服務。


如果路由器具有訪客WiFi模式,則此模式不允許訪問路由器的配置皮膚。


擴充套件服務集識別符號(ESSID)不應包含從路由器本身派生的資訊(例如供應商名稱或路由器型號)。


路由器必須支援WPA2協議,並預設使用它。


WiFi密碼的長度應為20位或更長。


WiFi密碼不得包含從路由器本身(供應商,型號,MAC等)派生的資訊。


路由器必須允許任何經過身份驗證的使用者更改此密碼。


更改WiFi密碼的過程不應顯示密碼強度計或強制使用者使用特殊字元。


設定完成後,路由器必須限制對WAN介面的訪問,但少數服務除外,例如(CWMP)TR-069,SIP,SIPS和ICMPv6。


只有當ISP從遠端中心位置控制路由器的配置時,路由器才能使CWMP可用。


路由器配置/管理皮膚的密碼必須至少包含8個字元,並且必須具有涉及以下兩項的複雜設定:大寫字母,小寫字母,特殊字元,數字。


就像WiFi密碼一樣,管理皮膚密碼不得包含與路由器相關的資訊(供應商,型號,MAC等)。


路由器必須允許使用者更改此預設管理皮膚密碼。


基於密碼的身份驗證必須防止暴力攻擊。


路由器不得附帶未記錄的(後門)帳戶。


在預設狀態下,只能通過LAN或WiFi介面訪問管理皮膚。


如果路由器供應商想要通過WAN公開管理皮膚,則必須使用TLS。


終端使用者應該能夠配置用於通過WAN介面訪問配置的埠。


路由器管理皮膚必須顯示韌體版本。


路由器必須向使用者提供過期或壽命終止的韌體。


路由器必須保留並顯示上次登入日誌。


路由器必須顯示任何本地防火牆服務的狀態和規則。


路由器必須列出每個介面(LAN / WAN / WiFi)的所有活動服務。


路由器必須包括執行工廠重置的方法。


路由器必須支援LAN over LAN和WiFi。


來源:solidot.org

宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。 



更多閱讀:


1、Asis 2016 b00ks (off by one利用)


2、[原創]網鼎杯第一場預選 babyheap


3、[原創]ctf pwn中的unsorted bin利用及chunk shrink——0ctf2018 heapstorm2 writeup


4、[原創]反虛擬機器技術總結


相關文章