Alemania establece una guía para routers seguros

  • Cloud

Los fabricantes que sigan la lista de recomendaciones podrán colocar una etiqueta en sus productos que mostrará a los clientes que cumplen con los estándares de seguridad.

La agencia alemana de ciberseguridad, BSI, ha publicado una lista de especificaciones técnicas mínimas para routers de banda ancha en lo que se consideran una pautas para que los fabricantes establezcan un nivel mínimo de medidas de seguridad de TI que deben implementarse en los routers que se venden a los consumidores. Aquellos fabricantes que cumplan con los criterios establecidos podrán colocar una etiqueta en sus productos para mostrar a los clientes que cumplen con los estándares de seguridad.

El documento, de 22 páginas, enumera decenas de sugerencias y regulaciones entre las que destacan:

• Restricción de los servicios LAN/WiFi predeterminados a DNS, HTTP / HTTPS, DHCP / DHCPv6 e ICMPV6, y un conjunto mínimo de servicios disponibles en la interfaz pública.

• Asegurar que los servicios WiFi invitados no tengan acceso a la configuración del dispositivo
El router debe soportar el protocolo de cifrado WPA2, y utilizarlo por defecto.

• Las contraseñas deben tener al menos 20 dígitos

• El router debe permitir que cualquier usuario autenticado pueda cambiar la contraseña

• Debe incluir funciones de firewall de manera obligatoria

• La configuración remota debe estar deshabilitada de forma predeterminada, y solo se puede acceder a ella a través de una conexión cifrada y autenticada por el servidor

• La autenticación basada en contraseña debe estar protegida contra ataques de fuerza bruta.

• Actualizaciones de firmware deben estar controladas por el usuario, con opción de actualizaciones automáticas

• El acceso al panel de administrador sólo debe permitirse a través de interfaces LAN o WiFi; y si el fabricante quiere exponer el panel de administrador a través de WAN, debe utilizar TSL.

La guía está disponible para fabricantes, operadoras y asociaciones de consumidores. El objetivo, dice el gobierno, es impedir que el dispositivos se utilice para realizar ataques. El Chaos Computer Club (CCC), una conocida comunidad de hackes alemana ha criticado las recomendaciones, calificándolas de “farsa”.

TAGS