安全指南規(guī)定,路由器只開放 DNS、HTTP、HTTPS、DHCP、DHCPv6 和 ICMPv6 服務(wù),秘密后門顯然是違反規(guī)定的。
閱讀完整指導(dǎo)文檔:
具體要求歸納如下:
LAN和WiFi接口上只能提供DNS,HTTP,HTTPS,DHCP,DHCPv6和ICMPv6服務(wù)。
如果路由器具有訪客WiFi模式,則此模式不允許訪問路由器的配置面板。
擴(kuò)展服務(wù)集標(biāo)識(shí)符(ESSID)不應(yīng)包含從路由器本身派生的信息(例如供應(yīng)商名稱或路由器型號(hào))。
路由器必須支持WPA2協(xié)議,并默認(rèn)使用它。
WiFi密碼的長(zhǎng)度應(yīng)為20位或更長(zhǎng)。
WiFi密碼不得包含從路由器本身(供應(yīng)商,型號(hào),MAC等)派生的信息。
路由器必須允許任何經(jīng)過身份驗(yàn)證的用戶更改此密碼。
更改WiFi密碼的過程不應(yīng)顯示密碼強(qiáng)度計(jì)或強(qiáng)制用戶使用特殊字符。
設(shè)置完成后,路由器必須限制對(duì)WAN接口的訪問,但少數(shù)服務(wù)除外,例如(CWMP)TR-069,SIP,SIPS和ICMPv6。
只有當(dāng)ISP從遠(yuǎn)程中心位置控制路由器的配置時(shí),路由器才能使CWMP可用。
路由器配置/管理面板的密碼必須至少包含8個(gè)字符,并且必須具有涉及以下兩項(xiàng)的復(fù)雜設(shè)置:大寫字母,小寫字母,特殊字符,數(shù)字。
就像WiFi密碼一樣,管理面板密碼不得包含與路由器相關(guān)的信息(供應(yīng)商,型號(hào),MAC等)。
路由器必須允許用戶更改此默認(rèn)管理面板密碼。
基于密碼的身份驗(yàn)證必須防止暴力攻擊。
路由器不得附帶未記錄的(后門)帳戶。
在默認(rèn)狀態(tài)下,只能通過LAN或WiFi接口訪問管理面板。
如果路由器供應(yīng)商想要通過WAN公開管理面板,則必須使用TLS。
最終用戶應(yīng)該能夠配置用于通過WAN接口訪問配置的端口。
路由器管理面板必須顯示固件版本。
路由器必須向用戶提供過期或壽命終止的固件。
路由器必須保留并顯示上次登錄日志。
路由器必須顯示任何本地防火墻服務(wù)的狀態(tài)和規(guī)則。
路由器必須列出每個(gè)接口(LAN / WAN / WiFi)的所有活動(dòng)服務(wù)。
路由器必須包括執(zhí)行工廠重置的方法。
路由器必須支持LAN over LAN和WiFi。
作者:solidot.org
