德国制定路由器安全指南 完全遵守可获特殊认证标签

德国政府公开了保护 Small Office and Home Office (SOHO)路由器的安全指南草案，结合了来自硬件厂商、电信公司和社区的意见。这个安全指南是自愿性质的，批准之后路由器厂商也不需要必须遵守，但如果遵守的话他们可以在产品上添加合规的特殊标签。

安全指南规定，路由器只开放 DNS、HTTP、HTTPS、DHCP、DHCPv6 和 ICMPv6 服务，秘密后门显然是违反规定的。

阅读完整指导文档：

www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03148/TR03148.pdf;jsessionid=01F54E80B004E9BFB194DBC00DE9B961.2_cid360?__blob=publicationFile&v=2

具体要求归纳如下：

• LAN和WiFi接口上只能提供DNS，HTTP，HTTPS，DHCP，DHCPv6和ICMPv6服务。
• 如果路由器具有访客WiFi模式，则此模式不允许访问路由器的配置面板。
• 扩展服务集标识符（ESSID）不应包含从路由器本身派生的信息（例如供应商名称或路由器型号）。
• 路由器必须支持WPA2协议，并默认使用它。
• WiFi密码的长度应为20位或更长。
• WiFi密码不得包含从路由器本身（供应商，型号，MAC等）派生的信息。
• 路由器必须允许任何经过身份验证的用户更改此密码。
• 更改WiFi密码的过程不应显示密码强度计或强制用户使用特殊字符。
• 设置完成后，路由器必须限制对WAN接口的访问，但少数服务除外，例如（CWMP）TR-069，SIP，SIPS和ICMPv6。
• 只有当ISP从远程中心位置控制路由器的配置时，路由器才能使CWMP可用。
• 路由器配置/管理面板的密码必须至少包含8个字符，并且必须具有涉及以下两项的复杂设置：大写字母，小写字母，特殊字符，数字。
• 就像WiFi密码一样，管理面板密码不得包含与路由器相关的信息（供应商，型号，MAC等）。
• 路由器必须允许用户更改此默认管理面板密码。
• 基于密码的身份验证必须防止暴力攻击。
• 路由器不得附带未记录的（后门）帐户。
• 在默认状态下，只能通过LAN或WiFi接口访问管理面板。
• 如果路由器供应商想要通过WAN公开管理面板，则必须使用TLS。
• 最终用户应该能够配置用于通过WAN接口访问配置的端口。
• 路由器管理面板必须显示固件版本。
• 路由器必须向用户提供过期或寿命终止的固件。
• 路由器必须保留并显示上次登录日志。
• 路由器必须显示任何本地防火墙服务的状态和规则。
• 路由器必须列出每个接口（LAN / WAN / WiFi）的所有活动服务。
• 路由器必须包括执行工厂重置的方法。
• 路由器必须支持LAN over LAN和WiFi。

稿源：solidot