Németországban irányelvekkel szabályoznák a routerek biztonságát

A német BSI már össze is állított egy 22 oldalból álló szabálytervezetet, ami rengeteg hasznos kikötést tartalmaz, de még nem tökéletes.

Németországban irányelvekkel szabályoznák a routerek biztonságát

A routerek piacán elég nagy a káosz

A routerek szegmensében sok problémát okoznak a dokumentálatlan hátsó ajtók, a késve vagy egyáltalán nem érkező biztonsági frissítések, valamint azok a különböző alapértelmezett szoftveres beállítások is, amelyek gyengítik a router védelmének szintjét. Németországban a Szövetségi Információbiztonsági Hivatal a jelek szerint megelégelte, hogy fejetlenség és káosz uralkodik a kisvállalkozásoknak és átlagfelhasználóknak szánt routerek piacán, így elkészült egy törvénytervezet, ami szabályozza a routerek biztonsági követelményeit, illetve a különböző funkciók kialakítását is.

A BSI a szabálytervezetet a routergyártókkal, a német telekommunikációs vállalatokkal, valamint a német hardveres közösség képviselőivel folytatott egyeztetések és megbeszélések után foglalta írásba, amelynek eredményeként egy 22 oldalból álló, mély technikai részleteket is kitárgyaló dokumentum született, ami itt található.

Egyelőre nincs szó törvényről, csak irányelvekről, amelyeket ajánlott betartani

Galéria megnyitásaA tervezet szerint a kisvállalkozások és átlagfelhasználók számára piacra dobott routereknél elvárás lesz, hogy az admin kezelőfelület jelszavának és felhasználónevének módosítását egyszerűen, átlagos számítógépes ismeretek birtokában is el lehessen végezni, a jelszó létrehozásánál pedig a biztonságra is figyelmeztetnie kell a szoftvernek – vagyis osztályozza a jelszó erősségét. A WiFi jelszónak legalább 20 karakterből kell állnia, a WPA2 támogatásnak pedig alapértelmezettnek kell lennie. Utóbbihoz persze a korábbi rések ellen védő frissítéseket is tartalmaznia kell a rendszernek. Amennyiben a router rendelkezik vendég WiFi hálózattal, úgy a vendéghálózat felől nem lehet elérhető az admin felület, és alapértelmezetten a WAN port felől sem, tehát a távoli elérést gyárilag tiltani kell – a felhasználó csak külön lépésekben engedélyezheti. És az admin felület WAN porton keresztül csak TLS adattitkosítás mellett lehet elérhető, vagyis a távelérésnek biztonságosnak kell lennie.

Fontos megkötés, hogy sem az admin jelszó, sem az ESSID, sem pedig a WiFi jelszó nem tartalmazhat a gyártó nevére vagy az eszköz típusára utaló karaktersorokat, hossza pedig legalább 8 karakter legyen, ami tartalmaz kis- és nagybetűt, speciális karaktereket és számokat is. A jelszavakat minden esetben védeni kell a szótár alapú erőszakos feltöréssel szemben (brute force), dokumentálatlan hátsóajtók pedig egyetlen routeren sem lehetnek.

A felhasználói kezelőfelületnek egyértelműen tartalmaznia kell az aktuális firmware verziót, rendelkezésre áll állnia online és manuális szoftverfrissítési opciónak, valamint automatikus szoftverfrissítésre is képes kell lennie a routernek. Ezzel együtt az elavult firmware verzióra is egyértelműen figyelmeztetnie kell a felhasználót. Megkötés még, hogy a routernek az egyes interfészekhez tartozó aktív szolgáltatásokat is mutatnia kell (WAN, WiFi, LAN), valamint a helyi tűzfal szolgáltatás státuszával és szabályaival kapcsolatban is informálnia kell a felhasználót. A naplónak tartalmaznia kell az utolsó bejelentkezés időpontját és ennek is jól látható helyen kell megjelennie. Elvárás továbbá, hogy egyszerűen gyári alapállapotba lehessen helyezni a routert, ha szükséges.

A szabálytervezet még messze nem tökéletes

A fentieken felül rengeteg egyéb szabályt is tartalmaz a dokumentum, amellyel kapcsolatban egy hely hackercsoportnak, a Chaos Cumputer Clubnak elég negatív véleménye alakult ki:

szerintük az aktuális szabálytervezet „egy bohózat”.

A CCC képviselői az OpenWrt szakembereivel együtt vettek részt a BSI megbeszélésein, ahol a telekommunikációs cégek lobbicsoportjai nagy erőket fordítottak arra, hogy szabotálják a szabálytervezetet.

A CCC szerint két fontos dolognak még mindenképpen bele kell kerülnie a dokumentumba. Az egyik az, hogy minden routernek úgy kell forgalomba kerülnie, hogy egyértelműen feltüntetik mellettük, meddig készül hozzájuk firmware frissítés, hogy lehessen kalkulálni a várható „élettartamukkal”. A másik az, hogy a gyártói támogatás megszűnése után lehetővé kell tenni egyedi firmware telepítését az adott eszközökre – ilyen az OpenWRT, a DD-WRT vagy éppen a Tomato is.

Pótolják a hiányosságokat?

Mivel a szabálytervezet még nem érte el végleges állapotát, így nincs kizárva, hogy a későbbi megbeszélések során sikerül beemelni a hiányzó részeket a szabályozásba. Fontos kiemelni, hogy a tervek szerint az új szabályozás nem kötelező érvényű, azaz a routerek gyártóinak nem kell betartaniuk a követelményeket, ám ha betartják őket, kapnak egy matricát, ami tanúsítja, hogy az adott termék megfelel a német szabályozásoknak. Amennyiben sokan tudatosan azokat a routereket keresik majd, amelyek biztonságosak, a versenytársaknak is muszáj lesz lépniük, kellően biztonságos útválasztókat kell piacra dobniuk, különben megcsappan a forgalmuk.

Neked ajánljuk

Kiemelt
-{{ product.discountDiff|formatPriceWithCode }}
{{ discountPercent(product) }}
Új
Teszteltük
{{ product.commentCount }}
{{ voucherAdditionalProduct.originalPrice|formatPrice }} Ft
Ajándékutalvány
0% THM
{{ product.displayName }}
nem elérhető
{{ product.originalPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.displayName }}

Tesztek

{{ i }}
{{ totalTranslation }}
Sorrend

Szólj hozzá!

A komment írásához előbb jelentkezz be!
{{ orderNumber }}
{{ showMoreLabelTranslation }}
A komment írásához előbb jelentkezz be!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Segíts másoknak, mondd el, mit gondolsz a cikkről.

Kapcsolódó cikkek

Magazin címlap arrow_forward