Đức đề xuất các hướng dẫn bảo mật cho bộ định tuyến

Được xuất bản bởi Cơ quan an ninh thông tin liên bang Đức (BSI), các quy tắc được áp dụng với các nhà cung cấp bộ định tuyến như viễn thông Đức và cộng đồng phần cứng Đức.

Sau khi được phê duyệt, các nhà sản xuất bộ định tuyến không phải tuân thủ các yêu cầu này, nhưng nếu có, họ có thể sử dụng một nhãn dán đặc biệt trên sản phẩm của họ để thể hiện sự tuân thủ.

Tài liệu gồm 22 trang, liệt kê hàng chục đề xuất và quy tắc cho các chức năng và tính năng của các bộ định tuyến khác nhau. Chúng tôi không thể liệt kê được tất cả các quy tắc trong bài viết này, vì một số quy tắc thực sự mang tính kỹ thuật, nhưng chúng tôi đã chọn một vài quy tắc quan trọng:

• Chỉ các dịch vụ DNS, HTTP, HTTPS, DHCP, DHCPv6 và ICMPv6 mới khả dụng trên giao diện LAN và WiFi.
• Nếu bộ định tuyến có chế độ WiFi khách, chế độ này không được cho phép truy cập vào bảng cấu hình của bộ định tuyến.
• Mã định danh dịch vụ mở rộng (ESSID) không được chứa thông tin có nguồn gốc từ chính bộ định tuyến (chẳng hạn như tên nhà cung cấp hoặc mô hình bộ định tuyến).
• Bộ định tuyến phải hỗ trợ giao thức WPA2 và sử dụng nó theo mặc định.
• Mật khẩu WiFi phải có độ dài 20 chữ số trở lên.
• Mật khẩu WiFi không được chứa thông tin có nguồn gốc từ chính bộ định tuyến (nhà cung cấp, mẫu, MAC, v.v.).
• Bộ định tuyến phải cho phép bất kỳ người dùng được xác thực nào thay đổi mật khẩu này.
• Quy trình thay đổi mật khẩu WiFi không được hiển thị đồng hồ đo cường độ mật khẩu hoặc buộc người dùng sử dụng các ký tự đặc biệt.
• Sau khi thiết lập, router phải hạn chế quyền truy cập vào giao diện WAN, ngoại trừ một số dịch vụ, chẳng hạn như (CWMP) TR-069, SIP, SIPS và ICMPv6.
• Bộ định tuyến phải làm cho CWMP chỉ khả dụng nếu ISP kiểm soát cấu hình của bộ định tuyến từ một vị trí trung tâm, từ xa.
• Mật khẩu cho cấu hình / bảng quản trị của bộ định tuyến phải có ít nhất 8 ký tự và phải có thiết lập phức tạp liên quan đến hai trong số sau: chữ in hoa, chữ thường, ký tự đặc biệt, số.
• Bộ định tuyến phải cho phép người dùng thay đổi mật khẩu bảng điều khiển quản trị mặc định này.
• Xác thực dựa trên mật khẩu PHẢI được bảo vệ khỏi các cuộc tấn công bạo lực.
• Bộ định tuyến không được gửi với tài khoản không có giấy tờ (backdoor).

Lý do Đức thực hiện các bước chuẩn hóa an ninh bộ định tuyến có liên quan đến sự cố xảy ra vào cuối năm 2016 khi một hacker người Anh gọi là "BestBuy" đã cố gắng chiếm đoạt các bộ định tuyến của Deutsche Telekom, và ảnh hưởng đến gần một triệu bộ định tuyến trên khắp cả nước.

Những nỗ lực của BSI trong việc điều chỉnh bộ định tuyến SOHO đã không làm hài lòng tất cả các bên liên quan. Trong bài blog đăng tải tuần trước, Câu lạc bộ máy tính Chaos (CCC), cộng đồng hacker nổi tiếng ở Đức đã chỉ trích dự thảo này và gọi chung là trò hề. CCC đã tham dự cuộc họp BSI cùng với các thành viên của Open Wrt, một dự án phần mềm cung cấp firmware mã nguồn mở cho các bộ định tuyến SOHO và thấy rằng các nhóm vận động hành lang viễn thông đã cố gắng làm vô hiệu hóa các quy định này.

Hai nhóm nêu lên hai vấn đề rất quan trọng mà không được đưa vào các khuyến nghị của BSI. Một là thông tin ngày hết hạn của firmware cần phải được cung cấp cho người dùng khi họ mua thiết bị. Thứ hai, sau khi nhà cung cấp ngừng hỗ trợ phần mềm của mô hình, các nhà cung cấp nên cho phép người dùng cài đặt phần mềm tùy chỉnh trên các thiết bị ngừng sản xuất hoặc kinh doanh.

Các cuộc thảo luận về các quy tắc BSI dự kiến sẽ tiếp tục. Vào tháng 10, tiểu bang California thông qua một bộ quy tắc mật khẩu cho các thiết bị kết nối Internet (IoT), và đây được xem là quy định cụ thể đầu tiên về an ninh các thiết bị IoT trên thế giới. Trong khi đó Đức sẽ trở thành quốc gia đầu tiên ban hành các hướng dẫn bộ định tuyến.