安全指南規定,路由器只開放 DNS、HTTP、HTTPS、DHCP、DHCPv6 和 ICMPv6 服務,秘密后門顯然是違反規定的。
閱讀完整指導文檔:
具體要求歸納如下:
LAN和WiFi接口上只能提供DNS,HTTP,HTTPS,DHCP,DHCPv6和ICMPv6服務。
如果路由器具有訪客WiFi模式,則此模式不允許訪問路由器的配置面板。
擴展服務集標識符(ESSID)不應包含從路由器本身派生的信息(例如供應商名稱或路由器型號)。
路由器必須支持WPA2協議,并默認使用它。
WiFi密碼的長度應為20位或更長。
WiFi密碼不得包含從路由器本身(供應商,型號,MAC等)派生的信息。
路由器必須允許任何經過身份驗證的用戶更改此密碼。
更改WiFi密碼的過程不應顯示密碼強度計或強制用戶使用特殊字符。
設置完成后,路由器必須限制對WAN接口的訪問,但少數服務除外,例如(CWMP)TR-069,SIP,SIPS和ICMPv6。
只有當ISP從遠程中心位置控制路由器的配置時,路由器才能使CWMP可用。
路由器配置/管理面板的密碼必須至少包含8個字符,并且必須具有涉及以下兩項的復雜設置:大寫字母,小寫字母,特殊字符,數字。
就像WiFi密碼一樣,管理面板密碼不得包含與路由器相關的信息(供應商,型號,MAC等)。
路由器必須允許用戶更改此默認管理面板密碼。
基于密碼的身份驗證必須防止暴力攻擊。
路由器不得附帶未記錄的(后門)帳戶。
在默認狀態下,只能通過LAN或WiFi接口訪問管理面板。
如果路由器供應商想要通過WAN公開管理面板,則必須使用TLS。
最終用戶應該能夠配置用于通過WAN接口訪問配置的端口。
路由器管理面板必須顯示固件版本。
路由器必須向用戶提供過期或壽命終止的固件。
路由器必須保留并顯示上次登錄日志。
路由器必須顯示任何本地防火墻服務的狀態和規則。
路由器必須列出每個接口(LAN / WAN / WiFi)的所有活動服務。
路由器必須包括執行工廠重置的方法。
路由器必須支持LAN over LAN和WiFi。
作者:solidot.org
