На минувшей неделе Федеральное управление по информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik, BSI) опубликовало рекомендации и минимальные требования по обеспечению безопасности маршрутизаторов. Инициатива вызвала критику со стороны экспертов, которые посчитали идею провальной.

По мнению ведомства, необходим «управляемый уровень безопасности» и защитные функции, которые «должны быть реализованы в дизайне и активированы по умолчанию». Для защиты домашних маршрутизаторов и устройства класса SOHO (Small office/Home office) в документе предлагаются следующие меры:

-Установить ограничение LAN/Wi-Fi до DNS, HTTP/HTTPS, DHCP/DHCPv6 и ICMPv6, с публичного интерфейса должен быть доступен минимальный набор сервисов (CWMP для конфигурации, SIP, если есть поддержка VoIP, и ICMPv6);

-Закрыть гостевым Wi-Fi сервисам доступ к настройкам устройства;

-Установить шифрование WPA2 в качестве минимального значения по умолчанию, использовать надежный пароль, в котором будут исключены упоминания производителя, модели или MAC-адреса;

-Установить стойкую парольную защиту на интерфейс настроек, использовать HTTPS, если это доступно в интерфейсе WAN;

-Сделать обязательным использование межсетевого экрана;

-Возможность удаленной конфигурации должна быть отключена по умолчанию, удаленная настройка должна быть доступна только через зашифрованное, авторизованное сервером соединение;

-Контролируемые пользователями обновления прошивки с возможностью уведомления о доступности патча.

В рекомендациях также указывается, что сброс настроек к заводским должен возвращать настройки безопасности к первоначальному значению, а все персональные данные должны удаляться с устройства.

Участники команды OpenWRT и сообщества Chaos Computer Club (CCC) раскритиковали идеи ведомства, отметив, что BSI пропустило два важных аспекта. Во-первых, производители должны информировать пользователей о том, как долго они намерены выпускать обновления безопасности для своих продуктов. Во-вторых, у владельцев устройств должна быть возможность устанавливать пользовательское ПО даже после «окончания официальной поддержки». Кроме того, идея предоставить пользователям минимальный уровень безопасности недоработана — на самом деле уровень защиты будет зависеть от производителей (при условии, что они будут следовать директиве), подчеркивают специалисты.

Источник: securitylab.ru