A német kormány szeretné szabályozni, hogy milyen routereket lehessen az országban árusítani és telepíteni, s ennek érdekében tárgyalásokba kezdtek. A hónap elején egy vázlatot hozták nyilvánosságra a kis- és középvállalati routerek szabályozásával kapcsolatban. A Német Szövetségi Információs Biztonsági Hivatal (BSI) publikálása router-gyártók, német távközlési cégek és a német hardverközösség bevonásával történt.
A jóváhagyás után a gyártóknak meg kell majd felelniük az új követelményeknek, ha Németország határain belül routert szeretnének eladni. A lista igencsak hosszú, a 22 oldalas dokumentum számos új szabályt tartalmaz, amit nem tudunk mind felsorolni, de itt van néhány lényegesebb:
- Csak DNS, http, HTTPS, DHCP, DHCPv6 és ICMPv6 szolgáltatások lehetnek elérhetők a LAN és WiFi interfészeken.
- Amennyiben a routerben található vendég WiFi mód, úgy ezen keresztül ne lehessen elérni a router konfigurációs paneljét.
- A kiterjesztett SSID nem tartalmazhat olyan információt, ami magára a routerre utal (mint például a gyártó vagy a modell nevét).
- A router köteles támogatni a WPA2 protokollt, és alapértelmezés szerint ezt kell használnia.
- A WiFi jelszavak minimum 20 karakter hosszúságúnak kell lenniük, s az azonosítóhoz hasonlóan nem tartalmazhatnak információt a gyártóra vonatkozóan (gyártó, modell, MAC azonosító).
- A routeren legyen lehetőség minden autentikált felhasználónak a jelszó módosítására. A jelszó módosítási procedúra során nem lehet erősségmérőt használni vagy arra kényszeríteni a felhasználót, hogy speciális karaktert használjon.
- A telepítés után a routeren kötelező korlátozni a WAN interfész elérését, néhány szolgáltatástól eltekintve, mint a CWMP TR-069, SIP, SIPS, ICMPv6.
- A CWMP-t csak abban az esetben lehet elérhetővé tenni, ha az ISP egy távoli központból kontrollálja a router konfigurációját.
- Az admin felületet egy minimum 8 karakter hosszú jelszóval kell védeni, továbbá az alábbiak közül tartalmaznia kell legalább kettőt: kisbetű, nagybetű, szám, speciális karakter. A korábbiakhoz hasonlóan ebben sem szerepelhet a gyártóra vonatkozó információ, viszont biztosítani kell a felhasználónak a lehetőséget arra, hogy a jelszót módosítsa.
- A jelszóalapú azonosítást kötelesek megvédeni a Brute force támadásokkal szemben.
- A routereket nem szállíthatják nem dokumentált (backdoor) felhasználói fiókokkal.
- Alapértelmezett állapotban csak a LAN vagy WiFi interfészen keresztül lehet elérni az admin panelt. Ha a gyártók szeretnék WAN-on keresztül is elérhetővé tenni, akkor kötelesek a TLS-t használni.
- A router adminfelületén kötelesek feltüntetni a firmware verziót, továbbá kötelesek tájékoztatni a felhasználót elavult vagy kifutó, ún. end-of-life firmware-ek esetén.
- A fentieken kívül az alábbiakat kell még tartalmaznia: log az utolsó bejelentkezésekről; minden helyi tűzfalszolgáltatás állapotát és a rájuk vonatkozó szabályokat; egy listát az interfészekhez tartozó aktív szolgáltatásokról (LAN/WAN/WiFi).
- Minden routerben elérhetővé kell tenni a gyári beállítások visszaállításának lehetőségét.
- Kötelezően támogatnia kell a DHCP-t LAN-on és WiFi-n keresztül.
Aki esetleg kíváncsi a teljes listára, az angol nyelven itt elérheti a kiadott dokumentumot.
A szabályozás oka egy 2016-os incidensre vezethető vissza, amikor egy BestBuy néven ismert brit hacker megpróbálta a Deutsche Telekom routereit feltörni, de egy elrontott firmware update-nek köszönhetően mintegy egymillió routert sikerült megrongálnia.
Természetesen a szabályozás nem aratott osztatlan sikert minden oldalon. Egy jól ismert német hacker csoport, a Chaos Computer Club (CCC) múlt heti blogposztjában kritizálta a kezdeti terveket, szerintük az egész egy „vicc”. A csapat is részt vett az egyeztetéseken, és a beszámolójuk szerint a távközlési társaságok minden eszközzel megpróbálták szabotálni az új szabályozást. Szerintük két lényegese téma nem is került terítékre, pedig fontos lenne beszélni róluk.
Az egyik, hogy a felhasználóknak már a router megvásárlása előtt tudniuk kellene a firmware lejárati idejéről. A másik, hogy miután egy gyártó már nem támogat tovább egy firmware-t, akkor engedélyezniük kellene, hogy a felhasználók egyéni firmware-t telepíthessenek a kifutó vagy end-of-life eszközökre.
Persze a megbeszélések még folytatódnak, ez nem a végleges tervezet, de várhatóan Németország lesz az első ország, ami ha nem is törvényt, de átfogó, központi szabályozást ír elő a routerekre vonatkozóan.
Forrás: zdnet.com