安全指南規定，路由器只開放 DNS、HTTP、HTTPS、DHCP、DHCPv6 和 ICMPv6 服務，秘密后門顯然是違反規定的。

閱讀完整指導文檔：

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03148/TR03148.pdf;jsessionid=01F54E80B004E9BFB194DBC00DE9B961.2_cid360?__blob=publicationFile&v=2

具體要求歸納如下：

LAN和WiFi接口上只能提供DNS，HTTP，HTTPS，DHCP，DHCPv6和ICMPv6服務。

如果路由器具有訪客WiFi模式，則此模式不允許訪問路由器的配置面板。

擴展服務集標識符（ESSID）不應包含從路由器本身派生的信息（例如供應商名稱或路由器型號）。

路由器必須支持WPA2協議，并默認使用它。

WiFi密碼的長度應為20位或更長。

WiFi密碼不得包含從路由器本身（供應商，型號，MAC等）派生的信息。

路由器必須允許任何經過身份驗證的用戶更改此密碼。

更改WiFi密碼的過程不應顯示密碼強度計或強制用戶使用特殊字符。

設置完成后，路由器必須限制對WAN接口的訪問，但少數服務除外，例如（CWMP）TR-069，SIP，SIPS和ICMPv6。

只有當ISP從遠程中心位置控制路由器的配置時，路由器才能使CWMP可用。

路由器配置/管理面板的密碼必須至少包含8個字符，并且必須具有涉及以下兩項的復雜設置：大寫字母，小寫字母，特殊字符，數字。

就像WiFi密碼一樣，管理面板密碼不得包含與路由器相關的信息（供應商，型號，MAC等）。

路由器必須允許用戶更改此默認管理面板密碼。

基于密碼的身份驗證必須防止暴力攻擊。

路由器不得附帶未記錄的（后門）帳戶。

在默認狀態下，只能通過LAN或WiFi接口訪問管理面板。

如果路由器供應商想要通過WAN公開管理面板，則必須使用TLS。

最終用戶應該能夠配置用于通過WAN接口訪問配置的端口。

路由器管理面板必須顯示固件版本。

路由器必須向用戶提供過期或壽命終止的固件。

路由器必須保留并顯示上次登錄日志。

路由器必須顯示任何本地防火墻服務的狀態和規則。

路由器必須列出每個接口（LAN / WAN / WiFi）的所有活動服務。

路由器必須包括執行工廠重置的方法。

路由器必須支持LAN over LAN和WiFi。
作者：solidot.org