Guvernul german a publicat un proiect de reguli privind securizarea routerelor pentru utilizare home și afaceri mici.
Mai jos, am extras din acest proiect, cateva reguli de mare importanta:
– Numai serviciile DNS, HTTP, HTTPS, DHCP, DHCPv6 și ICMPv6 ar trebui să fie disponibile pe interfața LAN și WiFi.
– Dacă routerul are un mod WiFi vizitator, acesta nu trebuie să permită accesul la panoul de configurare al routerului.
– Identificatorul setului de servicii extins (ESSID) nu trebuie să conțină informații derivate din routerul însuși (cum ar fi numele furnizorului sau modelul de router).
– Routerul trebuie să accepte protocolul WPA2 și să îl utilizeze în mod implicit.
– Parolele WiFi trebuie să aibă o lungime de minim 20 de caractere.
– Parolele WiFi nu trebuie să conțină informații derivate din routerul însuși (furnizor, model, MAC etc.).
– Router-ul trebuie să permită oricărui utilizator autentificat să schimbe această parolă.
– Procedura de modificare a parolei WiFi nu trebuie să afișeze un indicator de putere a parolei sau să forțeze utilizatorii să utilizeze caractere speciale.
– După configurare, routerul trebuie să restricționeze accesul la interfața WAN, cu excepția câtorva servicii, cum ar fi (CWMP) TR-069, SIP, SIPS și ICMPv6.
– Parola pentru configurația / administrarea routerului trebuie să aibă cel puțin 8 caractere și trebuie să aibă o configurație complexă care implică două dintre următoarele: litere mari, litere mici, caractere speciale, numere.
– La fel ca parolele WiFi, parolele din panoul de administrare nu trebuie să conțină informații referitoare la router (vânzător, model, MAC etc.).
– Router-ul trebuie să permită utilizatorului să modifice această parolă implicită pentru panoul de administrare.
– Autentificarea bazată pe parolă TREBUIE protejată împotriva atacurilor de forță brute.
– Routerele nu trebuie să fie livrate cu conturi nedocumentate (backdoor).
– În starea implicită, accesul la panoul de administrare trebuie permis numai prin interfața LAN sau WiFi.
– Dacă vânzătorul ruterului dorește să expună panoul de administrare prin WAN, trebuie să utilizeze TLS.
– Utilizatorul final trebuie să poată configura portul care va fi utilizat pentru a accesa configurația prin interfața WAN.
– Panoul de administrare a routerului trebuie să afișeze versiunea de firmware.
– Router-ul trebuie să-l informeze pe utilizatori cu privire la un firmware depășit sau la sfârșitul duratei de viață.
– Router-ul trebuie să păstreze și să afișeze loguri de conectare.
– Router-ul trebuie să afișeze starea și regulile oricărui serviciu local de firewall.
– Router-ul trebuie să prezinte toate serviciile active pentru fiecare interfață (LAN / WAN / WiFi).
– Routerele trebuie să includă o modalitate de a efectua resetarea la configuratia din fabrică.
– Routerele trebuie să suporte DHCP prin LAN și WiFi.
Sursa : https://www.zdnet.com