Немецкие власти разработали правила защиты маршрутизаторов

Немецкие власти разработали правила защиты маршрутизаторов

Инициатива вызвала критику со стороны экспертов, которые посчитали идею провальной.

На минувшей неделе Федеральное управление по информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik, BSI) опубликовало рекомендации и минимальные требования по обеспечению безопасности маршрутизаторов. Инициатива вызвала критику со стороны экспертов, которые посчитали идею провальной.

По мнению ведомства, необходим «управляемый уровень безопасности» и защитные функции, которые «должны быть реализованы в дизайне и активированы по умолчанию». Для защиты домашних маршрутизаторов и устройства класса SOHO (Small office/Home office) в документе предлагаются следующие меры:

  • Установить ограничение LAN/Wi-Fi до DNS, HTTP/HTTPS, DHCP/DHCPv6 и ICMPv6, с публичного интерфейса должен быть доступен минимальный набор сервисов (CWMP для конфигурации, SIP, если есть поддержка VoIP, и ICMPv6);

  • Закрыть гостевым Wi-Fi сервисам доступ к настройкам устройства;

  • Установить шифрование WPA2 в качестве минимального значения по умолчанию, использовать надежный пароль, в котором будут исключены упоминания производителя, модели или MAC-адреса;

  • Установить стойкую парольную защиту на интерфейс настроек, использовать HTTPS, если это доступно в интерфейсе WAN;

  • Сделать обязательным использование межсетевого экрана;

  • Возможность удаленной конфигурации должна быть отключена по умолчанию, удаленная настройка должна быть доступна только через зашифрованное, авторизованное сервером соединение;

  • Контролируемые пользователями обновления прошивки с возможностью уведомления о доступности патча.

В рекомендациях также указывается, что сброс настроек к заводским должен возвращать настройки безопасности к первоначальному значению, а все персональные данные должны удаляться с устройства.

Участники команды OpenWRT и сообщества Chaos Computer Club (CCC) раскритиковали идеи ведомства, отметив, что BSI пропустило два важных аспекта. Во-первых, производители должны информировать пользователей о том, как долго они намерены выпускать обновления безопасности для своих продуктов. Во-вторых, у владельцев устройств должна быть возможность устанавливать пользовательское ПО даже после «окончания официальной поддержки». Кроме того, идея предоставить пользователям минимальный уровень безопасности недоработана - на самом деле уровень защиты будет зависеть от производителей (при условии, что они будут следовать директиве), подчеркивают специалисты.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.