Duitsland stelt waslijst aan regels en aanbevelingen op om routers veiliger te maken

De Duitse overheid heeft een voorstel opgesteld voor regels rond de beveiliging van routers voor in kleine kantoren en huizen. De regelt zijn samengesteld door routerleveranciers, Duitse telecomproviders en de Duitse hardwaregemeenschap.

Als deze dan eenmaal goedgekeurd zijn, moeten routerfabrikanten zich aan deze regels houden, als ze routers binnen de Duitse grenzen willen verkopen. Het 22 pagina’s tellende document, dat via Bund.de ook in het Engels te lezen valt, bevat tientallen aanbevelingen en regels voor de functies en mogelijkheden van routers.

Regels op een rij

Hieronder zetten we enkele van de belangrijkste regels en aanbevelingen op een rij:

  • Enkel DNS, http, HTTPS, DHCP, DHCPv6 en ICMPv6-diensten moeten beschikbaar zijn op de LAN- en wifi-interface.
  • Als een router ook een gast wifi-modus heeft, dan moet die modus geen toegang bieden tot het instellingenmenu van de modus.
  • De Extended Service Set Identifier (ESSID) mag geen informatie afgeleid van de router zelf (zoals de naam van de fabrikant of het routermodel) bevatten.
  • De router moet het WPA2-protocol ondersteunen en standaard gebruiken.
  • Wifi-wachtwoorden moeten 20 tekens of meer bevatten.
  • Wifi-wachtwoorden mogen geen informatie afgeleid van de router zelf (verkoper, model, MAC, etc.) bevatten.
  • De procedure om het wifi-wachtwoord zou geen meter moeten bevatten waarin de sterkte van het wachtwoord aangegeven wordt, en gebruikers moeten ook niet gedwongen speciale karakters gebruiken.
  • Het wachtwoord voor het configuratie/adminpaneel van een router moet minimaal acht karakters bevatten en een complete set-up hebben, waaronder twee van de volgende: hoofdletters, kleine letters, speciale tekens, cijfers.
  • Routers moeten de gebruiker ertoe in staat stellen het wachtwoord van het adminpaneel te wijzigen.
  • De wachtwoorden moeten beveiligd zijn tegen brute force attacks.
  • Routers mogen niet geleverd worden met niet gemelde (backdoor) accounts.
  • Het adminpaneel van de router moet de versie van de firmware tonen.
  • Routers moeten gebruikers waarschuwen over verouderde of niet langer ondersteunde firmware.

De reden waarom Duitsland dit soort stappen onderneemt, ligt in een grote hack van 2016. Toen werden er bijna een miljoen routers in Duitsland gekraakt, nadat een Britse hacker erachter kwam dat er iets niet goed was gegaan met de firmware van routers van Deutsche Telekom.