На минувшей неделе Федеральное управление по информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik, BSI)опубликовалорекомендации и минимальные требования по обеспечению безопасности маршрутизаторов. Инициатива вызвала критику со стороны экспертов, которые посчитали идею провальной.
По мнению ведомства, необходим «управляемый уровень безопасности» и защитные функции, которые «должны быть реализованы в дизайне и активированы по умолчанию». Для защиты домашних маршрутизаторов и устройства класса SOHO (Small office/Home office) вдокументепредлагаются следующие меры:
- Установить ограничение LAN/Wi-Fi до DNS, HTTP/HTTPS, DHCP/DHCPv6 и ICMPv6, с публичного интерфейса должен быть доступен минимальный набор сервисов (CWMP для конфигурации, SIP, если есть поддержка VoIP, и ICMPv6);
- Закрыть гостевым Wi-Fi сервисам доступ к настройкам устройства;
- Установить шифрование WPA2 в качестве минимального значения по умолчанию, использовать надежный пароль, в котором будут исключены упоминания производителя, модели или MAC-адреса;
- Установить стойкую парольную защиту на интерфейс настроек, использовать HTTPS, если это доступно в интерфейсе WAN;
- Сделать обязательным использование межсетевого экрана;
- Возможность удаленной конфигурации должна быть отключена по умолчанию, удаленная настройка должна быть доступна только через зашифрованное, авторизованное сервером соединение;
- Контролируемые пользователями обновления прошивки с возможностью уведомления о доступности патча.
В рекомендациях также указывается, что сброс настроек к заводским должен возвращать настройки безопасности к первоначальному значению, а все персональные данные должны удаляться с устройства.
Участники команды OpenWRT и сообщества Chaos Computer Club (CCC) раскритиковали идеи ведомства, отметив, что BSI пропустило два важных аспекта. Во-первых, производители должныинформироватьпользователей о том, как долго они намерены выпускать обновления безопасности для своих продуктов. Во-вторых, у владельцев устройств должна быть возможность устанавливать пользовательское ПО даже после «окончания официальной поддержки». Кроме того, идея предоставить пользователям минимальный уровень безопасностинедоработана- на самом деле уровень защиты будет зависеть от производителей (при условии, что они будут следовать директиве), подчеркивают специалисты.
Источник: securitylab.ru