CRA Sınıf I Uyumluluk Kılavuzu: Yönlendirici, Modem, Anahtar

Yayınlandı 28 Mayıs 2026 Güncellendi 30 Mayıs 2026

Özet

Evde kullanılan bir Wi-Fi yönlendirici, modem-yönlendirici, internet modemi, mesh yönlendirici düğümü veya anahtar normalde Önemli Sınıf I ürün olarak planlanmalıdır. İstisna çekirdek işlevdir: öncelikle güvenlik duvarı, IDS/IPS, VPN ağ geçidi veya ağ yönetim cihazı olarak pazarlanan bir yönlendirici farklı bir kategori analizi gerektirebilir.

İlk kanıt adımı, tam olarak hangi CPE veya ağ cihazı için bir sınıflandırma-ve-sınır notudur. Bu not donanımı, bellenimi, WAN arayüzünü, kablosuz yığını, LAN yönetim arayüzünü, mobil uygulamayı, ISP veya tedarikçi bulutunu, uzaktan yönetim kanalını, güncelleme mekanizmasını, bileşen envanterini, destek süresini ve her türlü özel marka veya ISP bellenim değişikliğini tanımlamalıdır.

Ürün varyantı Olası CRA sınıfı Neden
Tüketici Wi-Fi yönlendirici Önemli Sınıf I İnternet bağlantısı ve yönlendirme çekirdek işlevdir
ISP modem-yönlendirici veya CPE Önemli Sınıf I Ürün, müşterileri internete bağlar
Bağımsız kablo, DSL veya fiber modem / ONT İnternet bağlantısı için tasarlandığında Önemli Sınıf I İnternet modemi işlevi ürünün çekirdek işlevidir
Mesh Wi-Fi kiti Önemli Sınıf I Mesh düğümleri yönlendirici ürününü veya ürün ailesini oluşturur
4G/5G mobil hotspot Önemli Sınıf I Hücresel WAN da internet bağlantısıdır
Yönetilen anahtar Önemli Sınıf I Anahtarlama artı yönetim düzlemi ağ-ürünü işlevine uyar ve kanıt sınırını genişletir
Yönetilmeyen veya yapılandırılamayan anahtar Duruma özel Yönetilen ağ ekipmanı gibi ele almadan önce dijital unsur içeren bir ürün olup olmadığını ve herhangi bir yönetim düzlemi, bellenim güncelleme yolu, bulut/uygulama işlevi ya da başka bir bağlı işlev bulunup bulunmadığını kontrol edin
VPN yönlendirici Duruma özel, genellikle Önemli Sınıf I VPN bu şekilde pazarlanıyorsa daha özgül işlev olabilir
Güvenlik duvarı, UTM veya IPS olarak pazarlanan yönlendirici Duruma özel, muhtemelen Önemli Sınıf II Güvenlik duvarı veya önleme çekirdek işlev hâline gelebilir
Bağımsız satılan ticari yönlendirici bellenimi Duruma özel Yazılım ürünü kendisi yönlendirici ürünü olabilir
OEM donanımlı ISP markalı CPE Önemli Sınıf I, role duyarlı Özel marka veya bellenim değişiklikleri imalatçı görevlerini kaydırabilir

Sınıflandırma temeli

Bir yönlendirici, modem veya anahtar için sınıflandırma yolu kararı. Pazarlanan çekirdek işlev üzerine bir üst soru üç yöne ayrılır. Vurgulanan A dalı: bir yönlendirici, internet modemi veya yönetilen anahtar, yönlendirme ve internet bağlantısı çekirdek işlev olduğu için Önemli Sınıf I madde 12'dir. B dalı: temelde güvenlik duvarı veya saldırı tespit ve önleme sistemi olarak pazarlanan bir kutu, Sınıf II madde 2 sorusunu gündeme getirir. C dalı: yönetilmeyen veya yapılandırılamayan bir anahtar ya da ticari açık kaynaklı bir bellenim imajı duruma özel bir kontrol gerektirir. Bir dipnot, paket filtreleme, ebeveyn denetimleri veya bir VPN istemcisinin bir yönlendiriciyi tek başına Sınıf II'ye taşımadığını belirtir.
İlk yönlendirme sorusu pazarlanan çekirdek işlevdir: bir yönlendirici veya modem Sınıf I madde 12'de kalır; öncelikle güvenlik duvarı olan bir kutu Sınıf II madde 2 sorusunu gündeme getirir.

CRA, yönlendiricileri, internet modemlerini ve anahtarları Önemli Sınıf I ürün olarak ele alır; bu Sınıf II güvenlik duvarı statüsüyle aynı şey değildir. Yönlendirme ve internet bağlantısı pazarlanan çekirdek işlev olmaya devam ettiği sürece, ek güvenlik özellikleri bir yönlendiriciyi Sınıf II'ye taşımaz.

Ürün, yalnızca ağ kenarında bulunduğu için Kritik olmaz. Kritik liste daha dardır ve tüketici yönlendiricilerini veya ISP CPE'lerini bütünüyle kapsamaz.

Yönlendirici ürünü neyi kapsar?

Bir yönlendirici, modem veya anahtar ürünü plastik kutudan fazlasını içerebilir:

  • önyükleyici, işletim sistemi, çekirdek, kablosuz sürücüler, WAN yığını ve LAN servisleri;
  • modem, ONT, Ethernet anahtar silikonu, yönetim VLAN davranışı ve varsa PoE denetimi;
  • web yönetim arayüzü, mobil uygulama eşleştirme ve yerel kurulum portalı;
  • TR-069, USP/TR-369 veya başka bir uzaktan yönetim kanalı;
  • uzaktan erişim, ebeveyn denetimleri, telemetri, mesh koordinasyonu veya güncelleme orkestrasyonu için kullanılan tedarikçi ya da ISP bulutu;
  • bellenim güncelleme servisi, imzalama anahtarları, kurtarma imajı ve destek süreci.

Kanıt dosyası, ürünün dışında kalanları da kaydetmelidir: müşterinin ISP hesabı, üçüncü taraf akıllı ev cihazları, kullanıcının kendi yazdığı ağ kuralları, ayrı satıldığında kullanıcının modemi ve imalatçının tedarik etmediği aşağı yöndeki operatör sistemleri.

İmalatçı hangi uygunluk yolunu planlamalı?

Önemli Sınıf I, her yönlendiricinin üçüncü taraf değerlendirmesi gerektirdiği anlamına otomatik olarak gelmez, ancak iç kontrolün hazır olduğu varsayılmamalıdır. İmalatçı genel iç kontrol yolunu kullanabiliyor ve uygulanabilir temel gereklilikler için ilgili uyumlaştırılmış standartları, ortak şartnameleri ya da en az "önemli" güvence düzeyinde uygun bir Avrupa siber güvenlik sertifikasyon şemasını tam olarak uygulamışsa, bu yol kullanılabilir. Bu referanslar yoksa, yalnızca kısmen uygulanmışsa, hiç uygulanmamışsa veya tüm ilgili gereklilikleri kapsamıyorsa, AB tip incelemesi artı iç üretim kontrolü ya da tam kalite güvencesi planlayın. Genel yol mekaniği ve AB uygunluk beyanının neleri içermesi gerektiği uygunluk değerlendirmesi ve uygunluk beyanı kılavuzlarında yer alıyor; bu sayfa yalnızca yönlendiriciye özgü seçimi ele alır.

Aynı donanım varyantı ayrıca güvenlik duvarı, VPN ağ geçidi, ağ yönetim cihazı veya yönetilen güvenlik platformu olarak da pazarlanıyorsa, o SKU için ayrı bir sınıflandırma notu oluşturun.

RED siber güvenlik son tarihi CRA ile nasıl eşleşiyor?

Yönlendiricilerin ve internete bağlı modemlerin çoğu bir radyo içerir (Wi-Fi, bir hücresel modem veya benzeri) ve radyo içeren bu alt küme, CRA gelmeden önce bir siber güvenlik eşiğini zaten aşmış durumdadır. 1 Ağustos 2025'ten itibaren Telsiz Ekipman Direktifi'nin siber güvenlik gereklilikleri (Delegasyon Tüzüğü (AB) 2022/30 ile belirlenen RED Madde 3.3 d, e ve f bentleri) Wi-Fi yönlendiriciler, mesh düğümleri, modem-yönlendiriciler ve hücresel ağ geçitleri gibi internete bağlı telsiz ekipmanına uygulanır. Yalnızca kablolu bir cihaz, örneğin sadece Ethernet kullanan bir yönlendirici ya da radyosu olmayan çıplak bir DSL, kablo veya fiber modem, RED'in siber güvenlik kapsamının dışında kalır, ancak bunların her biri yine de CRA kapsamında dijital unsur içeren bir üründür. CRA bildirim görevleri 11 Eylül 2026'da başlar ve CRA, Komisyon'un RED siber güvenlik Delegasyon Tüzüğü'nü Delegasyon Tüzüğü (AB) 2026/339 ile yürürlükten kaldırması yürürlüğe girdiğinde, iki rejimin çakışmaması için 11 Aralık 2027'de tam olarak uygulanabilir hâle gelir.

Telsiz ekipman siber güvenlik son tarihini CRA'ya eşleyen zaman çizelgesi. 1 Ağustos 2025'ten itibaren internete bağlı telsiz ekipman, RED siber güvenlik gerekliliklerini (d, e ve f bentleri) karşılar. RED siber güvenlik Delegasyon Tüzüğü daha sonra Delegasyon Tüzüğü (AB) 2026/339 ile yürürlükten kaldırılır ve CRA, 11 Eylül 2026'da başlayan bildirim görevleriyle birlikte 11 Aralık 2027'de tam olarak uygulanabilir hâle gelir. Paralel bir standart şeridi, RED aşaması için EN 18031 serisini, taslak CRA yönlendirici standardı olarak ETSI EN 304 627'yi ve EN 40000 yatay taslaklarını gösterir.
Yönlendirici imalatçıları Ağustos 2025'ten itibaren bir telsiz ekipman siber güvenlik eşiğini aşar; aynı görevler Aralık 2027'den itibaren CRA'ya geçer.

Bir yönlendirici imalatçısı için pratik okuma şudur:

  • 1 Ağustos 2025 ile 10 Aralık 2027 arasında uygulanabilir telsiz ekipman, RED siber güvenlik gerekliliklerini karşılar; uyumlaştırılmış yol EN 18031 serisinden geçer ve üzerine inşa edildiği tüketici temeli ETSI EN 303 645'tir.
  • 11 Aralık 2027'den itibaren aynı siber güvenlik görevleri, daha geniş yaşam döngüsü yükümlülükleriyle birlikte CRA kapsamına girer: varsayılan olarak güvenli yapılandırma, güvenlik açığı işleme süreci, destek süresi beyanı ve 11 Eylül 2026'da zaten başlayan bildirim görevleri.
  • 11 Aralık 2027'den önce piyasaya sürülen bir yönlendirici, ancak o tarihten sonra esaslı biçimde değiştirilirse CRA kapsamına girer. Tek istisna, halihazırda satılmış birimler dâhil kapsam içindeki her ürün için geçerli olan bildirim görevidir.
  • Hazırlanmakta olan yönlendiriciye özgü uyumlaştırılmış CRA standardı, Sınıf I madde 12'ye ve temel siber güvenlik gerekliliklerine eşlenen ETSI EN 304 627'dir (Yönlendirici, Modem ve Anahtarlar). Henüz taslak olduğundan, uygunluk yolunu değerlendirme anında fiilen atıf yapılan standartlara göre planlayın ve ayrı bir proje başlatmak yerine RED için kurulan denetimleri (güvenli varsayılanlar, imzalı güncellemeler, erişim denetimi) CRA dosyasının temeli olarak yeniden kullanın.

Hangi kanıtlar hazır olmalı?

Kanıt alanı Bir yönlendirici veya modem-yönlendirici için neyin yakalanacağı Neden önemli
Amaçlanan kullanım Ev yönlendiricisi, ISP CPE, modem, ONT, mesh sistemi, mobil hotspot, anahtar, VPN yönlendirici, yönetilen anahtar Sınıf, gerçek ürün varyantını ve beyanları izler
WAN saldırı yüzeyi DHCP, PPPoE, IPv6, DNS proxy, NAT, güvenlik duvarı varsayılanları, uzaktan yönetim duruşu WAN tarafı, kullanıcı herhangi bir yapılandırma yapmadan önce güvenilmeyen trafiği alır
LAN yönetimi Web arayüzü, yerel API, kurulum portalı, parola politikası, hesap kurtarma, erişim denetimleri Çoğu yapılandırma ve sahiplik hatası burada olur
Kablosuz WPA2/WPA3 varsayılanları, WPS kararı, misafir izolasyonu, SSID/parola devreye alma, Wi-Fi yongası bellenimi Kablosuz varsayılanlar hane güvenlik varsayılanları hâline gelir
Uzaktan yönetim TR-069, USP/TR-369, tedarikçi bulutu, ISP bulutu, mobil uygulama uzaktan erişimi Bu çoğunlukla bir kutu ile filo yönetimli bir ürün arasındaki farktır
Güncelleme yolu İmzalı bellenim, geri alma koruması, ISP tarafından gönderilen sürümler, kurtarma bölümü, güncelleme bildirimi Yönlendirici güncellemeleri destek süresini kapsamalı ve OEM/ISP dallarında çalışmaya devam etmelidir
Tedarikçi kanıtı SoC SDK, Wi-Fi/baseband tedarikçisi, önyükleyici, çekirdek, TLS yığını, DNS/DHCP servisleri Yönlendirici tedarikçileri büyük bir üçüncü taraf bileşen yüzeyini devralır
Rol kanıtı OEM, ISP, ithalatçı, dağıtıcı ve özel marka sorumlulukları Markalı CPE ve bellenim çatallamaları CRA dosyasının kime ait olduğunu değiştirebilir

Hangi yönlendirici mimari ayrıntıları atlanmamalı?

Yönlendirici kanıtı, fiilen sevk edilen kenar cihazını izlemek zorundadır. Perakende bir Wi-Fi yönlendirici, ISP modem-yönlendirici, PON ONT, kablo modemi, mobil hotspot, mesh düğümü ve yönetilen anahtarın WAN maruziyeti, uzaktan yönetim ve bellenim dalı riskleri farklıdır.

Bir yönlendirici ağ geçidinin iç yapısı dört yatay düzlem bandı olarak çizilmiştir. Veri düzlemi WAN portunu, LAN anahtarını, Wi-Fi radyosunu ve donanım hızlandırmasını taşır. SoC CPU üzerinde çalışan denetim düzlemi yönlendirme ve NAT'ı, güvenlik duvarını, DHCP ve DNS'i ve Wi-Fi kimlik doğrulamasını taşır. Yönetim düzlemi web yönetim konsolunu, SSH, SNMP, TR-069 ve USP aracısını ve OTA güncelleme istemcisini taşır. Platform katmanı güvenli önyüklemeyi, A ve B bellenim banklarını ve flash ile DRAM'i taşır. Her düzlem, imalatçının ürün dosyasına ait ayrı bir bileşen grubudur.
Yönlendirici dört düzleme ayrılır: veri iletimi, CPU üzerindeki denetim yazılımı, yönetim erişimi ve her şeyi önyükleyip depolayan platform. Dördü de ürün dosyasına aittir.
Yönlendiriciyle kimin iletişim kurduğunu gösteren bir hub-and-spoke haritası. Yönlendirici, kesik çizgili bir ürün dosyası sınırı içinde merkezde yer alır. Hane tarafında: yerel bir yönetici cihazı ve hane LAN'ı ile IoT cihazları. Operatör ve internet tarafında: güvenilmeyen internet, ISP veya operatör otomatik yapılandırma sunucusu, bellenim güncelleme sunucusu ve tedarikçi bulutu. Sınırı aşan yedi etiketli akış: WAN uplink, LAN trafiği, Wi-Fi ilişkilendirmesi, yerel yönetim, uzaktan yönetim, imzalı bellenim güncellemesi ve tedarikçi telemetrisi.
Buradaki her akış ürün dosyası sınırını aşar: WAN uplink, haneye giden LAN ve Wi-Fi, yerel yönetim, operatör uzaktan yönetimi, imzalı güncellemeler ve bulut telemetrisi. Dosya hepsini hesaba katmalıdır.
Mimari kontrol noktası Yönlendirici, modem veya anahtar kanıt sorusu
Önyükleme zinciri ve kurtarma Önyükleme ROM'unu, önyükleyiciyi, güvenli önyükleme durumunu, A/B veya tek banklı imajı, kurtarma tetikleyicisini, geri alma sayacını ve fabrika ayarlarına dönüş davranışını belirleyin. Sürüm düşürme ve kurtarma kötüye kullanım testlerini saklayın.
WAN ve tedarik Ayrı Ethernet WAN'ı, PPPoE'yi, DHCP'yi, IPv6'yı, DOCSIS/PON/hücresel tedariği ve operatör profillerini ayırt edin. Yönetim arayüzü var olmadan önce hangi servislerin kimliği doğrulanmamış WAN girdisini ayrıştırdığını gösterin.
Wi-Fi ve baseband katmanı Wi-Fi bellenim bloblarını, düzenleyici alan yapılandırmasını, hostapd/wpa_supplicant çatallamalarını, WPS kararını ve mesh devreye almayı izleyin. Tedarikçi bellenimi danışma izlemesine girer.
Uzaktan yönetim TR-069/CWMP, USP/TR-369, tedarikçi bulutu veya ISP bulutu için denetleyici kimliğini, sertifika güvenini, bağlantı isteği davranışını, komut kapsamını ve denetlenebilirliği kaydedin.
Anahtar ve mesh denetimi Yönetilen anahtar arayüzü, SNMP/API, VLAN'lar, port aynalama, PoE, EasyMesh veya tescilli mesh denetleyicileri kendi yönetim düzlemi maruziyet kontrollerini gerektirir. Yönetilmeyen veya yapılandırılamayan anahtarlar için önce bir dijital yönetim veya güncelleme yüzeyinin bulunup bulunmadığını doğrulayın.
ISP ve özel marka dalları OEM derlemesini, ISP çatallamasını, operatör profilini, OTA onayını, destek süresi sahibini ve kullanıcı bildirim yolunu gösteren bir dal matrisi tutun.
Üretim ve iade Cihaz başına gizli anahtarları, basılı kimlik bilgilerini, hata ayıklama kabuğu politikasını, UART/JTAG durumunu, RMA silme işlemini ve bulut bağ çözümünü kaydedin.

WAN tarafı, cihazın kimliği doğrulanmamış girdiyi ilk ayrıştırdığı yerdir ve bu taraf erişim teknolojisiyle değişir. Perakende bir Ethernet-WAN yönlendirici, bir kablo modem-yönlendirici, bir fiber ONT ve bir hücresel hotspot aynı tedarik kanalını veya aynı yukarı yön eşini paylaşmaz.

Bir internet kenar cihazı için WAN erişim teknolojisi varyantları. Bir DSL modemi santraldeki bir DSLAM'e bağlanır; bir kablo modemi, BPI+ veya SEC ile şifrelenmiş ve sertifikayla kimliği doğrulanmış bir bağlantı üzerinden bir CMTS'ye bağlanır; bir fiber ONT, pasif bir bölücü üzerinden bir OLT'ye bağlanır; bir Ethernet WAN portu bir yukarı yön anahtarına bağlanır; ve bir hücresel modül bir mobil ağa bağlanır. Her varyant, WAN güven sınırında neyin değiştiğini belirtir: erişim eşi, tedarik kanalı ve cihaza ilk ulaşan kimliği doğrulanmamış girdi.
WAN sınırı erişim teknolojisine göre farklılaşır: DSL, kablo, fiber, Ethernet veya hücreselin her biri erişim eşini ve ilk kimliği doğrulanmamış girdiyi değiştirir.

Gerçek bir yönlendirici risk değerlendirmesi nasıl görünür?

Bunu teknik dosyadaki bir risk değerlendirmesinde beklenen derinliğin bir örneği olarak kullanın. İmalatçının yine de değerlendirmeyi gerçek yönlendirici, modem yongası, kablosuz yığın, uzaktan yönetim kanalı, tedarikçi SDK'ları, güncelleme sahipliği, satış beyanları ve destek süresi sözüne karşı yürütmesi gerekir.

Örnek ürün profili

Örnek ürün: ExampleCo HomeRouter R1, AB'de perakende ve ISP beyaz etiket kanalları üzerinden satılan bir Wi-Fi 7 ev yönlendiricisi. Ethernet WAN, dört LAN portu, misafir Wi-Fi, yerel bir web yönetim arayüzü, mobil uygulamayla devreye alma, isteğe bağlı ISP uzaktan yönetimi, imzalı OTA bellenim, otomatik güncelleme kontrolleri, DNS/DHCP servisleri, ebeveyn denetim profilleri ve bir kurtarma imajı içerir.

Ürün sınırı, yönlendirici donanımını, önyükleyiciyi, çekirdeği, Wi-Fi sürücülerini, WAN servislerini, LAN servislerini, güvenlik duvarı varsayılanlarını, yerel web arayüzünü, mobil uygulama eşleştirmesini, uzaktan erişim için tedarikçi bulutunu, isteğe bağlı ISP uzaktan yönetim aracısını, OTA servisini, kurtarma imajını, destek web sitesini, koordineli açıklama alımını ve danışma sürecini içerir. Ayrı satıldığında müşterinin modemini, ISP aboneliğini, üçüncü taraf akıllı ev cihazlarını, kullanıcının kimlik sağlayıcısını ve aynı ekonomik operatör bunları ürünün parçası olarak tedarik etmedikçe aşağı yöndeki ISP OSS/BSS sistemlerini hariç tutar.

Örnek yönlendirici için fabrikadan iadeye tedarik yaşam döngüsü. Birinci aşama, fabrika: cihaz başına kimlik, benzersiz kimlik bilgileri, sertifikalar ve varsayılan bir SSID. İkinci aşama, WAN bağlantısı: Ethernet, PPPoE, DOCSIS, PON veya hücresel, ilk kimliği doğrulanmamış girdiyi belirler. Üçüncü aşama, tedarik: operatör veya tedarikçi bir ACS ya da USP profilini ve komut kapsamını bağlar. Dördüncü aşama, devreye alma: zorunlu parola değişimi, misafir izolasyonu ve WPS kararı. Beşinci aşama, bellenim: sürüm düşürmeleri reddeden imzalı bir temel. Altıncı aşama, sıfırlama, yeniden satış veya RMA: bulut bağ çözümü, jeton iptali ve mesh üyeliği temizliği. Alt bir şerit, her geçişte geçmesi gereken negatif testleri listeler.
Her yaşam döngüsü adımı neyin değiştiğini ve yanlış aktörün yönlendiriciyi devralamayacağını kanıtlayan denetimi adlandırır.
HomeRouter R1 kanıt sınırı Yönlendirici dosyasının donanımı, bellenimi, kablosuzu, bulut yönetimini, ISP varyantlarını ve destek süresi operasyonlarını birbirine bağlaması gerekir.
Daha fazla operatör bağımlılığı
Müşteri ve ISP ortamı Dağıtım varsayımları
ISP hesabı Ayrı modem Akıllı ev cihazları Hane uç noktaları ISP OSS araçları
Kanıt

Beklenen ev kullanımı, ISP tedariği, yönetim sahipliği ve desteklenmeyen dağıtım modları hakkındaki varsayımları belgeleyin.

Yönlendirici imalatçısının ürününün başladığı yer
Yönlendirici donanımı AB pazarına sürülen
WAN LAN anahtarı Wi-Fi radyoları SoC Sıfırlama düğmesi Kurtarma yuvası
Kanıt

Ürün dosyası | SKU sınır notu | risk dosyası | DoC | CE kaydı | destek süresi beyanı

Bellenim ve servisler Değerlendirilecek saldırı yüzeyi
Önyükleyici Çekirdek DNS/DHCP Web yönetimi TR-069 / USP OTA aracısı
Kanıt

Bileşen envanteri | servis envanteri | kablosuz varsayılan testleri | güvenli güncelleme testleri | uzaktan yönetim incelemesi

Tedarikçi katmanı Yönlendirici bileşen durum tespiti
SoC SDK Wi-Fi bellenimi Ethernet sürücüsü TLS kitaplığı DNS servisi Mobil SDK
Kanıt

Tedarikçi danışma bültenleri, SDK sürüm kaydı, bellenim dalı sahipliği, bileşen CVE triyajı ve yama yayma kanıtı.

Destek süresi boyunca
Yaşayan CPE filosu Güncellemeler ve rol devri
OEM bellenim düzeltmeleri ISP dal birleştirmeleri Güvenlik bültenleri Kullanıcı bildirimleri İstismar bildirimi
Kanıt

Dal matrisini, güncelleme sürüm kaydını, ISP onay izini, danışma kaydını ve aktif olarak istismar edilen güvenlik açıkları ya da ciddi güvenlik olayları için bildirim karar kaydını tutun.

ISP markalı CPE özel kanıt gerektirir, çünkü ürün; tasarım, marka, bellenim onayı, uzaktan yönetim ve kullanıcı desteğini farklı ekonomik operatörler arasında bölebilir.
Örnek yönlendirici için ilk açılış maruz kalma penceresi. Bir zaman çizelgesi, fabrika varsayılanlarının etkin olduğu açılıştan, varsayılanların değiştirildiği ve pencerenin kapandığı devreye alınmış duruma uzanır. İkisi arasında bir maruz kalma penceresi açık kalır ve kullanıcı herhangi bir şeyi değiştirmeden önce dört şey yönlendiriciye ulaşabilir: oturum açmadan önce ayrıştırılan DSL, DOCSIS, PON veya hücreselden gelen WAN girdisi; gönderilen varsayılan SSID ve parola; bir profili bağlayabilen bir operatör TR-069 veya USP sunucusu; ve tedarikçi bulutu, mobil eşleştirme ve OTA uç noktaları. Bir şerit, devreye almada pencereyi neyin kapattığını listeler: zorunlu parola değişimi, imzalı bellenim temeli, kapsamı sınırlı uzaktan yönetim ve misafir ağ izolasyonu.
Sürüm geçidi: bellenim mühendisliği ilk açılış temeline sahiptir, ürün güvenliği maruziyet testine sahiptir ve destek, sıfırlama ile RMA kanıtına sahiptir. Çıktı: tedarik kaydı, kurulum sonrası maruziyet taraması, sürüm düşürme reddi testi ve devir veya bağ çözümü sonucu.
Yanıtlanan soru: hane herhangi bir ayarı değiştirmeden önce hangi WAN girdisi, operatör profili ve varsayılan servis yönlendiriciye zaten ulaşabilir?
Uzaktan yönetim komut sınırıTR-069/CWMP, USP/TR-369, tedarikçi bulutu ve ISP bulutu, filo denetim yolları olarak kapsamlandırılmalıdır.
Komut alanı
Tipik eylem
Risk sorusu
Saklanacak kanıt
Yapılandırma
DNS, Wi-Fi, güvenlik duvarı, port yönlendirme veya köprü modu.
Denetleyici, değerlendirilen profilin izin verdiğinden fazlasını değiştirebilir mi?
Komut kapsamı matrisi ve denetim örneği.
Tanılama
Günlükler, paket sayaçları, hat istatistikleri veya destek paketi.
Dışa aktarma SSID, jeton, müşteri tanımlayıcısı veya topoloji sızdırıyor mu?
Redaksiyon testi ve veri envanteri.
Bellenim
Operatör onaylı güncelleme, kurtarma imajı veya dal değişimi.
Eski veya yanlış bölgesel bir derleme gönderilebilir mi?
İmzalı bildirim, dal haritası ve geri alma reddi.
Sahiplik
Bulut eşleştirme, ISP geçişi, cihaz iadesi veya yeniden satış.
Önceki sahip, ISP veya uygulama jetonu kutuyu hâlâ denetleyebilir mi?
Sıfırlama, bağ çözümü ve geçiş testleri.
Kanıt geçidi: uzaktan yönetim bir filo denetim yoludur, yalnızca bir operatör özelliği değil. Sürüm dosyası her denetleyici kimliğini komut kapsamına ve bellenim dalına bağlamalıdır. Çıktı: TR-069/USP profil incelemesi, denetleyici sertifika envanteri ve komut denetimi örneği.
Yanıtlanan soru: hangi uzaktan yönetim komutu DNS'i, güvenlik duvarını, bellenimi veya sahiplik durumunu değiştirebilir ve bu kapsamı kim onayladı?
OEM, ISP ve özel marka bellenim dalı matrisiAynı donanım farklı destek sahipleri, bulut uç noktaları ve yama zamanlamasıyla sevk edilebilir.
OEM temeliReferans bellenim ve bileşen envanteri

Kaynak dalı, SDK sürümü, Wi-Fi bellenimi, çekirdek ve imzalama anahtarı başlangıç temelidir.

ISP çatallamasıOperatör profili ve sürüm geçidi

ACS/USP uç noktası, marka, varsayılan yapılandırma, onay iş akışı ve kullanıcı bildirim sahibi belgelenir.

Perakende SKUTedarikçi bulutu ve uygulama bağlama

Mobil uygulama, bulut eşleştirme, mesh servisi ve destek süresi beyanı tedarikçi sürüm sürecinde kalır.

Yama birleştirmeGüvenlik düzeltmesi yayılımı

OEM, ISP ve özel marka dallarının aynı güvenlik düzeltmesini mi yoksa belgelenmiş bir istisnayı mı aldığını izleyin.

Yama geçidi: destek süresi sözü, kullanıcıların fiilen aldığı bellenim dalını izler. Kanıt: dal matrisi, dal başına bileşen-envanteri farkı, ISP onay izi, özel marka sürüm sahibi ve bir dalın aynı düzeltmeyi alamadığı belgelenmiş istisna.
Yanıtlanan soru: OEM bir yönlendirici güvenlik açığını düzelttiğinde, her ISP, perakende ve özel marka dalı düzeltmenin kullanıcılarına ulaştığını nasıl kanıtlar?

Varlık Envanteri

Varlık Neden önemli Nerede bulunur
WAN-LAN trafik denetimi Hanenin internete maruziyetini denetler NAT, güvenlik duvarı varsayılanları, çekirdek ağ iletişimi
Yönlendirici yönetici hesabı ve oturumları DNS, Wi-Fi, port yönlendirme, güncellemeler ve sıfırlama üzerinde denetim verir Web arayüzü, mobil uygulama, yerel jeton deposu, bulut hesabı
Wi-Fi kimlik bilgileri ve misafir izolasyonu Zayıf varsayılanlar ev ağını ve bağlı cihazları açığa çıkarır Wi-Fi yapılandırması, devreye alma akışı, misafir ağ kuralları
Uzaktan yönetim kimlik bilgisi Bir filo denetim kimlik bilgisi birçok yönlendiriciyi etkileyebilir TR-069/USP aracısı, sertifika deposu, ISP ACS/bulut
Bellenim imzalama güven dayanağı Yönlendirici güncelleme kanalını korur Önyükleyici, güvenli depolama, OTA servisi
DNS/DHCP yapılandırması Kullanıcıları yönlendirebilir veya bağlantıyı bozabilir Yerel servisler, yönetim arayüzü, ISP tedariği
Anahtar yönetim durumu VLAN'lar, port izolasyonu, PoE ve yönetim erişimi aşağı yöndeki ağları açığa çıkarabilir Yönetilen anahtar arayüzü, CLI, SNMP/API, anahtar ASIC yapılandırması
Modem/ONT tedarik durumu Kayıt, köprü/yönlendirici modu ve yönetim kimlik bilgileri internet kenarını etkiler Modem bellenimi, operatör profili, uzaktan yönetim aracısı
Destek ve tanılama günlükleri SSID'leri, seri numaralarını, IP'leri, müşteri hesap bağlantılarını ve çökme verilerini ortaya çıkarabilir Cihaz günlükleri, mobil uygulama, destek portalı
Bellenim dalı durumu ISP/OEM dal kayması güvenlik açıklarını yamasız bırakabilir OEM Git/sürüm sistemi, ISP çatallaması, OTA deposu
Güvenli önyükleme ve geri alma karşıtı durum Kurtarma yolunu korur ve bilinen savunmasız imajların geri dönmesini önler Önyükleyici, eFuse/RPMB/TPM durumu, üretim kayıtları
Wi-Fi/baseband bellenimi Radyo bellenimi kimlik doğrulamayı, erişilebilirliği ve ağ maruziyetini etkileyebilir Wi-Fi yongası, bellenim blobu, tedarikçi SDK'sı, üretim imajı

Güven Sınırları

Ortam Beklenen maruziyet Risk sonucu
WAN arayüzü Güvenilmeyen ağ trafiğine sürekli maruz Ayrıştırıcı hataları ve açıkta kalan servisler cihazı ele geçirebilir
LAN ve kurulum ağı Hane uç noktaları ve IoT cihazlarıyla paylaşılır Yerel saldırganlar yönetimi, keşfi ve zayıf varsayılanları hedefleyebilir
Kablosuz arayüz Fiziksel yakınlıktan erişilebilir WPS, zayıf devreye alma veya misafir izolasyonu hataları LAN'ı açığa çıkarır
Anahtar yönetim düzlemi Yapılandırmaya bağlı olarak yönetim VLAN'ından, LAN'dan veya operatör araçlarından erişilebilir Zayıf varsayılanlar VLAN'ları, PoE denetimini veya ayna portlarını açığa çıkarabilir
Uzaktan yönetim yolu Cihaza tedarikçi veya ISP altyapısından erişir Kimlik bilgisi sızıntısı veya ACS ele geçirilmesi birçok yönlendiriciye yayılabilir
OTA ve kurtarma yolu Ayrıcalıklı bellenim imajları alır Zayıf imzalama veya geri alma tüm güvenlik düzeltmelerini baltalar
ISP/özel marka dalı Bellenimi, bulut uç noktalarını ve destek süresini değiştirebilir Bir marka sürüm ve destek kararlarını denetlediğinde görevler kayabilir

Tehdit Senaryoları

Kimlik Tehdit senaryosu Risk altındaki varlık Giriş noktası
R1 WAN yönetim uç noktası varsayılan olarak veya ISP profiliyle etkinleştirilmiş Yönetici hesabı, yönlendirici yapılandırması WAN
R2 İlk kullanım parolası paylaşılmış, tahmin edilebilir veya partiler arasında yeniden kullanılacak biçimde basılmış Yönetici hesabı, Wi-Fi kimlik bilgileri Devreye alma
R3 DHCP, IPv6, DNS veya PPPoE ayrıştırıcı kusuru kimlik doğrulamadan önce tetiklenebilir Yönlendirici bütünlüğü, erişilebilirlik WAN servisleri
R4 TR-069 veya USP kimlik bilgisi sızar ve uzaktan yapılandırma değişikliklerine izin verir Uzaktan yönetim kimlik bilgisi, DNS, bellenim kanalı ISP/tedarikçi yönetimi
R5 OTA kurtarma imzasız veya eski bellenimi kabul eder Bellenim bütünlüğü OTA / kurtarma
R6 Misafir Wi-Fi LAN cihazlarına veya yönetim arayüzüne yönlendirme yapabilir Hane uç noktaları, yönlendirici yönetimi Kablosuz / LAN
R7 WPS veya QR devreye alma ilk kurulumdan sonra kötüye kullanılabilir Wi-Fi kimlik bilgisi Kablosuz devreye alma
R8 Hata ayıklama kabuğu, telnet, SSH veya UART üretimde erişilebilir kalır Yönlendirici bütünlüğü, gizli anahtarlar Bellenim / fiziksel
R9 ISP markalı bellenim çatallaması bir OEM güvenlik düzeltmesini kaçırır Bellenim dalı durumu Sürüm süreci
R10 Mobil uygulama uzaktan erişim jetonu yönlendirici devrinden veya fabrika sıfırlamasından sonra geçerli kalır Yönetici hesabı, sahiplik Bulut / uygulama
R11 DNS veya ebeveyn denetim bulutu arızası güvensiz yedek davranış oluşturur DNS bütünlüğü, erişilebilirlik Bulut bağımlılığı
R12 SoC SDK, Wi-Fi bellenimi veya paketlenmiş ağ arka plan programındaki tedarikçi açığı destek sırasında triyajlanmaz Yönlendirici bütünlüğü, erişilebilirlik Tedarikçi bileşeni
R13 Yönetilen anahtar arayüzü veya SNMP/API zayıf varsayılan kimlik bilgileriyle kullanıcı LAN'ında açıkta Anahtar yönetim durumu, VLAN bütünlüğü LAN / yönetim düzlemi
R14 Modem veya ONT tedarik profili, değerlendirilen sürüm durumunun dışında uzaktan yönetimi veya köprü modu davranışını etkinleştirir Modem/ONT tedarik durumu, WAN maruziyeti Operatör tedariği
R15 Kurtarma modu, sıfırlama-basılı önyükleme veya TFTP kurtarma kimliği doğrulanmamış ya da düşürülmüş bir imajı kabul eder Bellenim bütünlüğü, güvenli önyükleme durumu Önyükleyici / kurtarma
R16 Wi-Fi bellenimi, mesh devreye alma veya WPS davranışı, sürüm kanıtı olmadan donanım revizyonları arasında farklılık gösterir Wi-Fi kimlik bilgileri, misafir izolasyonu Kablosuz / tedarikçi SDK'sı
R17 USP/TR-369 veya TR-069 komut kapsamı operatör profilinin amaçladığından fazlasına izin verir Uzaktan yönetim kimlik bilgisi, DNS, OTA ISP/tedarikçi yönetimi
R18 Uygulama bağlama veya bulut sahiplik jetonu fabrika sıfırlamasından ya da ISP iadesinden sonra kalır Yönetici hesabı, sahiplik Sıfırlama / bulut hesabı

İlk Risk Kaydı

Kimlik Olasılık Etki İlk karar Gerekçe
R1 Düşük Yüksek Sürüm öncesi ele al Uzaktan yönetim maruziyeti doğrudan denetim verir ve taranması kolaydır
R2 Orta Yüksek Sürüm öncesi ele al Hane kullanıcıları devreye alma değişimi zorlamadıkça çoğunlukla varsayılan ayarları tutar
R3 Orta Yüksek Sürüm öncesi ele al WAN ayrıştırıcıları kimlik doğrulamadan önce açıktadır
R4 Orta Ağır Sürüm öncesi ele al Uzaktan yönetim arızaları bir ISP filosuna yayılabilir
R5 Düşük Ağır Sürüm öncesi ele al Bellenim geri alma bilinen savunmasız derlemeleri canlı tutabilir
R6 Orta Orta Sürüm öncesi ele al Misafir izolasyonu çekirdek bir kullanıcı beklentisidir
R7 Orta Orta Sürüm öncesi ele al Fiziksel yakınlık saldırıları apartmanlarda ve paylaşımlı alanlarda gerçekçidir
R8 Orta Yüksek Sürüm öncesi ele al Hata ayıklama erişimi yinelenen bir üretim kaçış yoludur
R9 Orta Yüksek Sürüm öncesi ele al OEM ve ISP sürümleri ayrıldığında dal kayması öngörülebilir
R10 Orta Yüksek Sürüm öncesi ele al Yönlendirici yeniden satışı ve ISP iade akışları öngörülebilir
R11 Düşük Orta Sürüm öncesi ele al Buluta bağımlı denetimler güvenli yedek davranış gerektirir
R12 Orta Yüksek Sürüm öncesi ele al Yönlendirici bileşen yığınları destek boyunca güvenlik açıkları alır
R13 Orta Yüksek Sürüm öncesi ele al Yönetilen anahtar yapılandırması birçok aşağı yön cihazını etkileyebilir
R14 Düşük Yüksek Sürüm öncesi ele al Tedarik kayması internet kenarını filo ölçeğinde açığa çıkarabilir
R15 Orta Ağır Sürüm öncesi ele al Kurtarma, saldırganların ve servis ekiplerinin ulaşabileceği ayrıcalıklı bir yoldur
R16 Orta Yüksek Sürüm öncesi ele al Radyo ve mesh davranışı çoğunlukla tedarikçi SDK'larıyla ve donanım revizyonlarıyla değişir
R17 Orta Ağır Sürüm öncesi ele al Uzaktan yönetim kapsam hataları filoları etkileyebilir
R18 Orta Yüksek Sürüm öncesi ele al Yönlendirici iadeleri, yeniden satış ve ISP değişimleri normal yaşam döngüsü olaylarıdır

Denetim ve Kanıt Eşlemesi

Tehditler Tasarım denetimi İmalatçının tutması gereken kanıt
R1, R8 WAN yönetimi varsayılan olarak kapalı, üretim servis envanteri, yönetim için güvenlik duvarı kuralları, telnet veya fabrika kabuğu yok Maruziyet taramaları, üretim imajı kontrol listesi, servis listesi farkı
R2, R7 Benzersiz kurulum gizli anahtarı veya zorunlu kimlik bilgisi oluşturma, kısa eşleştirme penceresi, WPS devre dışı veya gerekçeli, hız sınırları Devreye alma testi, kimlik bilgisi oluşturma kanıtı, kablosuz kurulum incelemesi
R3 Ayrıştırıcı sertleştirme, fuzzing, servis ayrıcalık ayrımı, varsayılan-bırak WAN duruşu Fuzzing raporları, servis izolasyon tasarımı, çökme triyajı
R4 Karşılıklı kimlik doğrulama, sertifika rotasyonu, en az ayrıcalıklı tedarik, ACS/USP profil incelemesi Uzaktan yönetim güvenlik incelemesi, sertifika yaşam döngüsü kaydı
R5 Güvenli önyükleme, imzalı bellenim, monoton sürüm sayacı, kurtarma imajı imza kontrolleri OTA test raporu, sürüm düşürme reddi, kurtarma testi
R6 Misafir ağı izolasyonu, misafirden erişilemeyen yönetim arayüzü, mesh düğümleri arasında regresyon testleri Ağ izolasyon testi, mesh dolaşım testi
R9 OEM/ISP dal matrisi, yama birleştirme politikası, sürüm onayı, destek sonu hizalaması Dal matrisi, yama yayma kaydı, ISP onay izi
R10 Sahiplik devri iş akışı, sıfırlamada bulut bağ çözümü, jeton iptali, iade edilen cihaz silme Sıfırlama testi, sahiplik devri testi, RMA kontrol listesi
R11 Yerel DNS yedek davranışı, güvenli ebeveyn denetim arıza modu, açık kullanıcı bildirimi Arıza modu testi, kullanıcı bildirim kanıtı
R12 Bileşen envanteri izleme, tedarikçi danışma alımı, bellenim bileşeni sahibi, sürüm notu izlenebilirliği Bileşen envanteri farkı, danışma günlüğü, bileşen karar kaydı
R13 Yönetim düzlemi bağlama, benzersiz yönetici kurulumu, SNMP/API varsayılan olarak devre dışı ya da sertleştirilmiş, VLAN izolasyon testleri Maruziyet taraması, varsayılan yapılandırma testi, anahtar yönetimi incelemesi
R14 Değerlendirilen tedarik profili, uzaktan yönetim kısıtlamaları, operatör değişiklik denetimi, geri alma ve denetim izi Tedarik profili kaydı, filo yapılandırma denetimi, operatör onay izi
R15 Kimliği doğrulanmış kurtarma, imzalı kurtarma imajı, geri alma karşıtı durum, gerektiğinde fiziksel kurtarma uyarısı Kurtarma kötüye kullanım testi, önyükleme zinciri kaydı, sürüm düşürme reddi
R16 Donanım revizyonu matrisi, Wi-Fi bellenimi envanteri, WPS/mesh regresyon testleri, düzenleyici alan incelemesi Revizyon matrisi, radyo bellenimi kaydı, kablosuz kurulum testleri
R17 En az ayrıcalıklı uzaktan yönetim profili, denetleyici sertifika envanteri, komut denetimi ve onayı TR-069/USP profil incelemesi, sertifika yaşam döngüsü kaydı, denetim örneği
R18 Sahiplik devri iş akışı, sıfırlamada bulut bağ çözümü, ISP iade silme, jeton iptali Sıfırlama testi, iade edilen cihaz kontrol listesi, bulut bağ-çözümü kanıtı

Denetimlerden Sonra Kalan Risk

Kalan alan Neden kalır Operasyon kanıtı
ISP dal kayması OEM ve ISP sürüm onayı farklı hızlarda ilerleyebilir Dal matrisi, eskalasyon yolu, sürüm farkı incelemesi
Hane uç noktası ele geçirilmesi Bir LAN istemcisindeki kötü amaçlı yazılım hâlâ yerel yönetimi veya DNS ayarlarını hedefleyebilir Yerel kimlik doğrulama denetimleri, jeton iptali, yönetici uyarıları
Yeni WAN güvenlik açıkları WAN'a bakan kod, destek süresi boyunca düşmanca trafik almaya devam eder İstismar izleme, fuzzing temposu, acil güncelleme süreci
Tedarikçi bellenim gecikmesi Wi-Fi ve SoC tedarikçileri düzeltmeleri kendi takvimlerinde yayımlayabilir Tedarikçi SLA kaydı, hafifletme notları, müşteri danışma süreci

Destek, Güncellemeler ve Bildirim Nasıl İşlemeli?

HomeRouter R1 örneği için pratik CRA dosyası, yalnızca pazar öncesi sürüm kanıtını değil, destek süresi operasyon modelini de içermelidir.

Operasyon alanı Hazırlanacak kanıt
Destek süresi Perakende SKU ve ISP markalı SKU için, satın alma sırasında ve teknik olarak mümkün olduğunda yönlendirici arayüzünde ay/yıl bitiş tarihi görünür olan bir destek süresi gerekçesi. Beklenen kullanım daha kısa olmadıkça en az beş yıl planlayın.
Güvenlik güncellemesi erişilebilirliği Güvenlik bellenim düzeltmeleri ve güvenlik güncelleme paketleri, yayımlandıktan sonra en az 10 yıl ya da daha uzunsa destek süresinin kalan kısmı boyunca erişilebilir kalır. Kurtarma imajları, özetler, sürüm notları ve geri alma kararları kanıt olarak saklanmalıdır, ancak her güvenlik dışı paket yasal bir 10 yıllık erişilebilirlik taahhüdü olarak tanımlanmamalıdır.
OEM ve ISP dal matrisi Hangi bellenim dalının değerlendirildiği, kimin imzaladığı, kimin sürümü onayladığı, acil düzeltmelerin kime ait olduğu ve yukarı yön güvenlik düzeltmelerinin özel marka derlemelerine nasıl ulaştığı.
Tek güvenlik açığı iletişim noktası Yalnızca abone desteği veya yalnızca otomatik bir sohbet robotu değil, kayıtlı imalatçı için doğrudan bir güvenlik açığı bildirim iletişim noktası. Markalı bir SKU için imalatçı bir ISP ise, ISP ürün güvenliği bildirimleri için bir alım yoluna sahiptir.
Bileşen durum tespiti Çekirdek, kablosuz bellenim, DNS/DHCP servisleri, TLS yığını, mobil SDK'lar ve uzaktan yönetim aracısı için bileşen envanteri izleme; uygun olduğunda tedarikçi danışma triyajı, yukarı yön bildirimi ve düzeltme paylaşımı ile.
Aktif istismar iş akışı Koordinatör olarak atanan CSIRT'e ve ENISA'ya tek bildirim platformu üzerinden bildirim: 24 saat içinde erken uyarı, 72 saat içinde takip bildirimi, düzeltici veya hafifletici bir önlem mevcut olduktan sonra 14 gün içinde nihai güvenlik açığı raporu ve uygun olduğunda etkilenen kullanıcı bildirimi veya hafifletme talimatları.
Ciddi ürün güvenliği olayı iş akışı Aynı platform ve adresler üzerinden bildirim: 24 saat içinde erken uyarı, 72 saat içinde takip bildirimi, olay bildiriminden sonra bir ay içinde nihai olay raporu ve uygun olduğunda kullanıcı bildirimi dâhil müşteri/ISP koordinasyonu.
Teknik dosya içindekiler tablosu Ürün kimliği, sınır diyagramı, WAN/LAN/kablosuz varlıkları, tehdit modeli, risk kaydı, denetimler, test kanıtı, bileşen envanteri, güncelleme süreci, güvenlik açığı süreci, destek süresi gerekçesi, talimatlar, beyan ve uygunluk yolu kaydı.

Sürüm öncesinde hangi doğrulama geçitleri çalışır?

Bir yönlendirici sürümü, genel bir "güvenlik incelendi" notuyla geçmemelidir. Sevkiyatı durdurabilecek özgül kararları listeleyin ve her birine, koruduğu arızayı, kapatan denetimi ve denetimin gerçekten çalıştığını kanıtlayan çıktıyı verin.

Yönlendirici sürüm geçitleri ve kapanış kayıtları Bir yönlendirici imalatçısının onaydan önce kapatabilmesi gereken altı karar, her biri adlandırılmış bir kanıt çıktısıyla.
  1. G1İlk kullanım kimlik bilgileriSürümü durdur
    • Arıza

      Paylaşılan veya tahmin edilebilir bir yönetici ya da Wi-Fi parolası ya da bir parti boyunca yeniden kullanılan basılı bir gizli anahtar.

    • Denetim

      Cihaz başına benzersiz gizli anahtar veya zorunlu kimlik bilgisi oluşturma; WPS kapalı veya gerekçeli.

    • Kanıt

      Devreye alma testi ve kimlik bilgisi oluşturma kanıtı.

  2. G2Tedarik sonrası WAN maruziyetiSürümü durdur
    • Arıza

      Uzaktan yönetim ya da kimliği doğrulanmamış WAN girdisini ayrıştıran gereksiz veya değerlendirilmemiş bir servis, kullanıcı herhangi bir şeyi yapılandırmadan önce erişilebilir.

    • Denetim

      WAN yönetimi varsayılan olarak kapalı, varsayılan-bırak duruşu, ayrıştırıcı sertleştirme ve asgari bir servis listesi.

    • Kanıt

      Tedarik sonrası WAN maruziyet taraması.

  3. G3Kablosuz ve misafir izolasyonuSürümü durdur
    • Arıza

      Misafir ağı LAN cihazlarına yönlendirme yapabilir veya yönetim arayüzüne ulaşabilir.

    • Denetim

      Varsayılan olarak misafir izolasyonu; misafirden erişilemeyen yönetim arayüzü; mesh düğümleri arasında regresyon.

    • Kanıt

      Ağ izolasyonu ve mesh dolaşım testi.

  4. G4Güncelleme ve kurtarma yoluSürümü durdur
    • Arıza

      OTA veya kurtarma, imzasız ya da eski bir bellenim imajını kabul eder.

    • Denetim

      Güvenli önyükleme, imzalı imajlar, monoton bir sürüm sayacı ve sürüm düşürme reddi.

    • Kanıt

      Başarısız sürüm düşürme ve kurtarma kötüye kullanım testi sonucu.

  5. G5Uzaktan yönetim kapsamıBelgelenmedikçe durdur
    • Arıza

      TR-069 veya USP komut kapsamı, denetleyicinin değerlendirilen operatör profilinden fazlasını değiştirmesine izin verir.

    • Denetim

      En az ayrıcalıklı profil, denetleyici sertifika envanteri, komut denetimi.

    • Kanıt

      Profil incelemesi ve komut denetimi örneği.

  6. G6Tedarikçi yığınıİzlemeyle sevk et
    • Arıza

      Destek penceresi sırasında SoC SDK'sında, Wi-Fi belleniminde veya paketlenmiş bir ağ arka plan programında bir güvenlik açığı ortaya çıkar.

    • Denetim

      Adlandırılmış bir sahibi olan bileşen envanteri, danışma izleme ve geri taşıma hazırlığı.

    • Kanıt

      Etkilenen bileşen triyaj kararı.

Sürümü durdurBelgelenmedikçe durdurİzlemeyle sevk et
Her yönlendirici sürüm geçidi, sevkiyatı durduran bir arızayı onu kapatan kayıtla eşleştirir.

Yönlendirici geliştirmesi konseptten desteğe kadar kime aittir?

Bir yönlendirici sürümünün sahipliği, ürün tanımından müşterilerin evlerinde ve ISP ağlarında çalışan bir filoya geçerken el değiştirir. Aşağıdaki ray her aşamaya tek bir sorumlu lider, o liderin güncel tuttuğu kaydı ve bir sonraki aşama başlamadan kapanması gereken geçidi verir.

Konseptten desteğe altı aşamada bir yönlendirici sürümü için sahiplik rayı: konsept, tasarım, bellenim, sürüm, operasyon ve destek. Her aşama lider sahibi, tutulan kaydı ve inceleme geçidini adlandırır. Aşamalar arasında dondurma işaretleri yer alır: sınırı dondur, tasarımı dondur, adayı dondur, kararı dondur, çalışmaya devam et. Kesik çizgili bir geri bildirim döngüsü destekten konsepte geri döner ve güvenlik açığı bildirimlerinin, ISP ve tedarikçi danışma bültenlerinin ve istismar edilen hata sonuçlarının bir sonraki sınır notunu, tehdit listesini ve bileşen envanterini yeniden açtığını gösterir.
Sahiplik rayı her derleme adımında kayıt sahibini, kapanış geçidini ve inceleme tetikleyicisini atar.

Her geçiş bir dondurma noktasıdır: sınır mimari başlamadan önce sabitlenir, tasarım amacı koddan önce, derleme doğrulamadan önce ve sürüm sevk edilmeden önce; ardından bellenim destek penceresi boyunca çalışır durumda tutulur. Bir güvenlik açığı bildirimi, bir ISP ya da tedarikçi danışma bülteni veya bir saha arızası, halihazırda sevk edilmiş olanı değil, bir sonraki sınır notunu, tehdit listesini ve bileşen envanterini yeniden açar.

Dosyaya hangi kanıt kayıtları girer?

Dosya, bir incelemecinin yönlendirici kararını ürün kimliğinden güvenlik denetimlerine kadar izlemesine olanak vermelidir. Her satır, dağınık ekran görüntülerinden oluşan bir klasöre değil, güncel tutulan bir kayda işaret eder.

Kanıt alanı Bir yönlendirici, modem-yönlendirici veya anahtar için neyin yakalanacağı
Ürün kimliği Model, donanım revizyonları, SoC ve Wi-Fi yongası, WAN türü, bellenim dalı, mobil uygulama sürümü, anahtar/mesh seçenekleri
Amaçlanan kullanım Ev yönlendiricisi, ISP CPE, internet modemi, ONT, mesh kiti, mobil hotspot, yönetilen anahtar veya VPN yönlendirici; perakende ve ISP markalı varyantlar adlandırılmış
Siber dayanıklılık tasarım dosyası WAN maruziyeti, LAN ve kablosuz varsayılanları, uzaktan yönetim yetkisi, OTA ve kurtarma yolu, tehdit listesi ve müdahale planı
Bileşen envanteri Önyükleyici, çekirdek, Wi-Fi bellenimi, WAN-PHY/modem yığını, DNS/DHCP servisi, TLS yığını, uzaktan yönetim aracısı, mobil SDK'lar; adlandırılmış sahipler ve danışma izleme ile
Güvenli varsayılanlar Paylaşılan varsayılan kimlik bilgisi yok, WAN yönetimi varsayılan olarak kapalı, imzalı güncellemeler, sürüm düşürme reddi, misafir izolasyonu, kilitli hata ayıklama portları, tedarik sonrası servis envanteri
Güncelleme mekanizması İmzalı bellenim, kurtarma imajı, geri alma karşıtı durum, ISP/OEM dal haritası, kullanıcı güncelleme bildirimi
Güvenlik açığı işleme Açıklama politikası, tek iletişim noktası, triyaj iş akışı, bileşen danışma izleme, ISP/özel marka danışma yönlendirmesi
Kullanıcı talimatları Güvenli devreye alma, parola ve misafir kurulumu, güncelleme ayarları, destek sonu açıklaması, hizmetten çıkarma ve sıfırlama
İzlenebilirlik ve iletişim Tip/parti/seri bilgisi, imalatçı veya ISP iletişimi, destek süresi bitiş tarihi ve yalnızca otomatik bir robot olmayan tek bir güvenlik açığı bildirim iletişim noktası

Bir yönlendirici bileşen envanterine ne girer?

CRA, ürünün bileşenlerini tanımlayan ve en azından üst düzey bağımlılıkları kapsayan, makine tarafından okunabilir bir bileşen envanteri gerektirir; henüz tek bir sabit biçim adlandırmaz. Yönlendirici imalatçıları normalde CycloneDX veya SPDX seçer. Bileşen envanteri mekaniğinin ürünler arası ayrıntısı ayrı bileşen envanteri kılavuzunda yer alır; bu bölüm yönlendiriciye özgü ağacı ele alır.

Bir yönlendirici sürümü, tek bir ikili dosya değil, ayrı güncelleme döngülerine sahip birkaç dijital unsur sevk eder. İki desen CRA asgarisini karşılar: unsurlara ayrılmış bölümleri olan tek bir ürün düzeyinde bileşen envanteri (önyükleyici, çekirdek, Wi-Fi bellenimi, WAN-PHY yığını, ağ arka plan programları, TLS, uzaktan yönetim aracısı ve web arayüzü, her biri sürüme sabitlenmiş) ya da sevk edilen her unsur için her sürümde yenilenen ayrı bir envanter. Makine tarafından okunabilir olması ve üst düzey bağımlılıkları kapsaması koşuluyla her ikisi de kabul edilebilir.

Bir yönlendirici sürümünün bileşen envanterinin soldan sağa köklü bir ağacı. Kök, yönlendirici sürümüdür. Sekiz dal, bir yönlendiricide sevk edilen üst düzey dijital unsurlara ulaşır: önyükleyici ve güvenli önyükleme zinciri, çekirdek ve işletim sistemi, Wi-Fi bellenimi, WAN-PHY ve modem yığını, ağ arka plan programları, TLS kitaplığı, uzaktan yönetim aracısı ve web yönetim arayüzü. Her dal, örnek yapraklar olarak tipik bileşenleri listeler ve sağ taraftaki bir rozet tanımlayıcı şemasını adlandırır (PURL, CPE, tedarikçi kimliği, imza veya derleme karması). Bir dipnot CRA asgarisini yineler: CycloneDX veya SPDX gibi yaygın kullanılan, makine tarafından okunabilir bir biçimde üst düzey bağımlılıklar.
Bileşen envanteri her üst düzey dijital unsuru, olağan içeriğini ve sürüm sabitleme kanıtını kapsamalıdır.

Sürüm onayı neyi kontrol eder?

AB sürümünden önceki onay, aşağıda Q1'den Q4'e gösterilen dört kayıt klasörünü kapatabilmelidir. Eksiksiz dosya dizini yukarıdaki kanıt haritasında yer alır; buradaki dört soru yalnızca bir klasör boş olduğunda sürümü engelleyenlerdir.

Klasör Sürüm sorusu Yönlendiriciye özgü kanıt işaretçisi
Q1 Sınıflandırma gerekçesi notu Bu ürün neden bu şekilde sınıflandırılıyor? Çekirdek işlev (yönlendirme ve internet bağlantısı), amaçlanan kullanım, satış beyanları, perakende ve ISP varyantı ile seçilen uygunluk yolu
Q2 Sevk edilen unsurlar envanteri Ürün tam olarak nedir? Yönlendirici donanımı, bellenim, WAN/LAN/kablosuz servisleri, web arayüzü, uzaktan yönetim aracısı, OTA servisi, bulut uç noktaları ve hariç tutulan müşteri/ISP sistemleri
Q3 Güvenli varsayılan test paketi Varsayılan olarak ne güvence altına alındı ve güvenli biçimde nasıl güncellenecek? Paylaşılan varsayılan kimlik bilgisi yok, WAN yönetimi varsayılan olarak kapalı, imzalı güncellemeler, sürüm düşürme reddi, misafir izolasyonu, WPS kararı, kilitli hata ayıklama portları, tedarik sonrası servis envanteri
Q4 Güvenlik açığı işleme süreci Sevkiyattan sonra güvenlik açıkları ve ciddi olaylar nasıl ele alınacak? Kamu iletişimi, açıklama politikası, triyaj iş akışı, bileşen danışma izleme, ISP/özel marka danışma yönlendirmesi, 24 saat ve 72 saat bildirim hazırlığı
Sürüm onayı sahnesi. İnceleme masasında Q1'den Q4'e etiketlenmiş dört kayıt klasörü bulunur: Q1 sınıflandırma gerekçesi notu, Q2 sevk edilen unsurlar envanteri, Q3 güvenli varsayılan test paketi ve Q4 güvenlik açığı işleme süreci. Her klasörden gelen oklar, onay işaretiyle işaretlenmiş bir sürüm onay mührüne yakınsar. Bir not, sürüm öncesi kontrolleri listeler: bellenim dalına ve tedarikçi temeline sabitlenmiş dosyalar, 24 saat ve 72 saat bildirim hazırlığına sahip adlandırılmış bir sahip ve cihaz başına kimlik bilgilerini ve WAN yönetim duruşunu kapsayan bir güvenli varsayılan test paketi. Bir dipnot geçidi yineler: bir kayıt eksikse sürüm sevk edilmez.
Kanıt: dört kaydın her birini, imzaladığı tam bellenim sürümüne sabitleyin; böylece aynı sürüm daha sonra yanıtı yeniden türetmeden yeniden açılabilir.
Onaydan önce imalatçı dört kaydı gösterebilmelidir: sınıflandırma gerekçesi, sevk edilen unsurlar envanteri, güvenli varsayılan testleri ve güvenlik açığı işleme hazırlığı.

Sürüm onayı klasörleri Q1 - Q4

  1. Q1 Sınıflandırma gerekçesi notu. Neden Sınıf I madde 12? Çekirdek işlev, amaçlanan kullanım, satış beyanları, perakende ve ISP varyantı ile seçilen uygunluk yolu.
  2. Q2 Sevk edilen unsurlar envanteri. Yönlendirici donanımı, bellenim, WAN/LAN/kablosuz servisleri, web arayüzü, uzaktan yönetim aracısı, OTA servisi, bulut uç noktaları ve hariç tutulan müşteri/ISP sistemleri.
  3. Q3 Güvenli varsayılan test paketi. Paylaşılan varsayılan kimlik bilgisi yok, WAN yönetimi varsayılan olarak kapalı, imzalı güncellemeler, sürüm düşürme reddi, misafir izolasyonu, WPS kararı, kilitli hata ayıklama portları.
  4. Q4 Güvenlik açığı işleme süreci. Kamu iletişimi, açıklama politikası, triyaj iş akışı, bileşen danışma izleme ve uyarılar, bildirimler ve nihai raporlar için bildirim hazırlığı.

Onay geçidi: bir kayıt eksikse sürüm onaylanmaz.

Yönlendirici ithalatçıya, dağıtıcıya, ISP'ye ve operatöre nasıl devredilir?

Bir yönlendirici sürümü için ekonomik operatör devri. İmalatçı veya OEM sürüm paketi, bir akış rayı boyunca ithalatçı pazar öncesi kabulünden, dağıtıcının görünür özeninden, imalatçı hâline gelebilecek ISP veya özel markadan ve operatör ya da aboneden geçer. Bir durdurma koşulları satırı, sevkiyatı veya listelemeyi duraklatan durumları adlandırır: paket, izlenebilirlik, destek tarihi veya güvenlik açığı iletişim uyuşmazlığı ya da değerlendirilen derlemeden farklı bir bellenim dalı veya uzaktan yönetim profili. Yan kontrol A, yetkili temsilci yetkisinin isteğe bağlı olduğunu ve böyle bir temsilcisi olmayan AB dışı bir imalatçının ithalatçı, dağıtıcı ve en yüksek kullanıcı sıralamasını kullandığını açıklar. Yan kontrol B, kendi markasını koyan bir ithalatçı veya dağıtıcının ya da markalı bir bellenim çatallaması veya yeni bir yönetim bulutu gibi esaslı bir değiştiricinin, o teklif için imalatçı hâline geldiğini açıklar.
Devir haritası, her satış öncesi kontrolün kime ait olduğunu ve yönlendiriciyi her rolde neyin durdurduğunu gösterir.

Ekonomik operatör devri: roller ve yan kontroller

  1. 01 İmalatçı / OEM. Sürüm paketine sahiptir: beyan, CE, dosya dizini, destek penceresi ve güvenlik açığı iletişimi.
  2. 02 İthalatçı. Paketi, CE'yi, dosya dizinini, destek tarihini ve güvenlik açığı iletişimini doğrular ve alınan derlemenin değerlendirilen derleme olduğunu teyit eder: kablosuz ülke ayarları, ISP profilleri, uzaktan yönetim sertifikaları, uygulama eşleştirme ve OTA uç noktaları. Bunlardan herhangi biri şüpheliyse sevkiyatı duraklatın.
  3. 03 Dağıtıcı. Görünür CE'yi, sağlanan belgeleri, destek ve güncelleme beyanlarını kontrol eder ve değerlendirilen sınırın dışında kalan "güvenlik ağ geçidi", "iş güvenlik duvarı" veya "yönetilen VPN cihazı" gibi beyanlar eklemez. Desteği abartırsa, beyanla uyuşmazsa ya da bilinen bir sorundan sonra satışı sürdürürse listelemeyi duraklatın.
  4. 04 ISP veya özel marka. Marka, bulut yönetimi, güncelleme sahipliği ve uzaktan yönetim işletimi kendi başına imalatçı yükümlülüklerini tetikleyebilir. Yönlendiriciyi kendi adı altında piyasaya sürmek ya da onu esaslı biçimde değiştirmek (markalı bellenim, yeni bir bulut, yeni bir güncelleme kanalı), onu o teklif için imalatçı yapar; bu nedenle tedarikçi dosyası kendi rol analizinin yerini tutmaz.
  5. 05 Operatör veya abone. Danışma bültenlerini ve güncellemeleri alır ve sorunları geri bildirir. İmalatçı değildir.

Yan kontrol A. Yetkili temsilci yetkisi isteğe bağlıdır, ancak var olduğunda yazılı olmalı ve beyanı ile belgeleri erişilebilir tutmayı ve otoritelerle iş birliği yapmayı kapsamalıdır. Böyle bir temsilcisi olmayan AB dışı bir imalatçı sıralamayı kullanır: ithalatçı, dağıtıcı, ardından en yüksek kullanıcı tabanı. Bildirim zincirinde AB merkezli bir operatör yoksa, bildirim uç noktası en çok kullanıcının bulunduğu Üye Devlete düşer.

Yan kontrol B. Kendi markasını koyan bir ithalatçı veya dağıtıcı ya da herhangi bir esaslı değiştirici, etkilenen teklif için imalatçı hâline gelir.

Sıkça Sorulan Sorular

Güvenlik duvarı olduğu için bir yönlendirici Sınıf II midir?

Varsayılan olarak hayır. Normal bir yönlendirici genellikle Önemli Sınıf I'dir. Güvenlik duvarı, saldırı tespiti veya saldırı önleme ürünün çekirdek işlevi olduğunda bir Sınıf II sorusu hâline gelir.

ISP'nin sağladığı bir yönlendirici kapsam içinde mi?

Evet, AB pazarına dijital unsur içeren bir ürün olarak sürülmüşse. Asıl pratik mesele, markalı bellenim, destek süresi, güncelleme kanalı ve güvenlik açığı süreci için imalatçının kim olduğudur.

Bir yönlendirici Kritik mi?

Hayır. Tüketici yönlendiricileri, ISP modem-yönlendiricileri ve anahtarlar, yalnızca ağ erişimi için önemli oldukları için Kritik değildir.

Ticari açık kaynaklı yönlendirici bellenimi yanıtı değiştirir mi?

Değiştirebilir. Ticari olarak sağlanan bir bellenim imajı veya cihaz dağıtımı kendisi dijital unsur içeren bir ürün olabilir. İmalatçı, piyasaya neyin sürüldüğünü ve güncellemeler ile güvenlik açığı işlemenin kime ait olduğunu belgelemelidir.

Yazılım gerçekten özgür ve açık kaynaklı yazılım olarak nitelendiriliyor ve Önemli bir kategoriye giriyorsa, CRA'nın, gerekli teknik belgelerin piyasaya sürülme anında kamuya açık olduğu özel bir uygunluk seçeneği vardır. Bu yolu, yalnızca açık kaynaklı paketler içerdiği için özel bir ISP bellenim çatallamasına ya da ticari bir cihaza uygulamayın.

RED siber güvenlik son tarihini karşılamak bir yönlendiricinin zaten CRA uyumlu olduğu anlamına gelir mi?

Hayır. 1 Ağustos 2025'ten itibaren internete bağlı telsiz ekipman Telsiz Ekipman Direktifi'nin siber güvenlik gerekliliklerini karşılar ve bu denetimler (güvenli varsayılanlar, güncelleme bütünlüğü, erişim koruması) doğru temeldir. Ancak CRA daha geniş bir yaşam döngüsü ekler: belgelenmiş bir güvenlik açığı işleme süreci, yayımlanmış bir destek süresi bitiş tarihi, tüm ürün genelinde varsayılan olarak güvenlik ve bildirim görevleri. RED siber güvenlik Delegasyon Tüzüğü, CRA devraldığında 11 Aralık 2027'den itibaren yürürlükten kaldırılır.

Yeniden kontrol tetikleyicisi: RED dosyasını başlangıç noktası olarak ele alın ve 11 Aralık 2027'den önce CRA temel gerekliliklerine karşı boşluk değerlendirmesi yapın.

CRA kapsamında bir yönlendiriciye hangi uyumlaştırılmış standart uygulanır?

Telsiz ekipman aşaması için uyumlaştırılmış set, tüketici temeli olarak ETSI EN 303 645 üzerine inşa edilen EN 18031 serisidir. Hazırlanmakta olan yönlendiriciye özgü CRA standardı, Sınıf I madde 12'ye eşlenen ETSI EN 304 627'dir (Yönlendirici, Modem ve Anahtarlar). Henüz taslak olduğundan, değerlendirme anında atıf yapılan standartları ve her türlü uyumlaştırma kısıtlamasını teyit edin.

Uygunluk kaydı: dayanılan standartları, sürümü, ürüne uymayan her kısıtlamayı ve sonuçta ortaya çıkan uygunluk yolunu adlandıran kısa bir not.

Yönetilen bir anahtar yönlendirici gibi mi ele alınır ve yönetilmeyen bir anahtar kapsam içinde mi?

Yönetilen bir anahtarın bir yönetim düzlemi (web arayüzü, CLI, SNMP/API, VLAN'lar) ve bir bellenim güncelleme yolu vardır, bu yüzden normalde kendi yönetim düzlemi kanıtıyla Önemli Sınıf I ağ ekipmanı olarak ele alınır. Yönetim yüzeyi, bellenim güncellemesi ve bağlı işlevi olmayan, tümüyle yönetilmeyen, yapılandırılamayan bir anahtar, hiç dijital unsur içeren bir ürün olup olmadığına dair duruma özel bir kontrol gerektirir.

Sınır kaydı: anahtar SKU'su başına bir yönetim veya güncelleme yüzeyinin bulunup bulunmadığını belirten tek satırlık bir not.

Mesh Wi-Fi kitleri tek bir ürün mü yoksa birkaç ürün mü?

Bir sistemi oluşturan mesh düğümleri normalde yönlendirici ürünü veya ürün ailesidir. Kiti sevk edildiği hâliyle değerlendirin: denetleyici düğüm, uydu düğümler, devreye alma akışı ve mesh denetim protokolü. Düğümler arası güven ve devreye alma el sıkışması kablosuz saldırı yüzeyinin parçasıdır.

Sınır kaydı: kitteki düğümleri, mesh denetim protokolünü ve devreye alma yöntemini sınır notunda adlandırın.

Yalnızca köprüleme yapan bağımsız bir modem veya ONT kapsam içinde mi?

İnternet bağlantısı için tasarlanmış bir modem, kablo modemi veya fiber ONT, köprü modunda bile normalde Önemli Sınıf I'dir, çünkü internet modemi işlevi ürünün çekirdek işlevidir ve cihazın hâlâ bir bellenimi, bir tedarik kanalı ve çoğunlukla bir uzaktan yönetim aracısı vardır. Köprü ile yönlendirici modu maruziyeti değiştirir, temel sınıflandırmayı değil.

Sınır kaydı: tedarik kanalını, uzaktan yönetim aracısını ve değerlendirilen varsayılanın köprü mü yoksa yönlendirici modu mu olduğunu kaydedin.

4G veya 5G mobil hotspot kapsam içinde mi?

Evet. Hücresel WAN da internet bağlantısıdır, bu yüzden bir mobil hotspot veya 4G/5G yönlendirici normalde Önemli Sınıf I'dir. Hücresel tedarik yolu ve SIM/eSIM işleme WAN saldırı yüzeyinin parçasıdır.

Sınır kaydı: hücresel modülü, tedarik yolunu ve yönetim kanalını adlandırın.

Bir yönlendirici ne kadar süre desteklenmeli ve güncellenmeli?

Destek süresi, beklenen kullanım süresi daha kısa olmadıkça en az beş yıldır; birçok yönlendirici ve ISP CPE çok daha uzun çalışır, bu yüzden dosya, imalatçının fiilen sunabileceği bir pencere belirtmeli ve satın alma öncesinde bitiş tarihini göstermelidir. Güvenlik güncellemeleri, yayımlandıktan sonra en az on yıl ya da daha uzunsa destek süresinin kalan kısmı boyunca erişilebilir kalmalıdır. Genel kurallar destek süresi ve destek sonu açıklaması kılavuzlarında yer alıyor.

Destek kaydı: perakende SKU ve ISP markalı SKU için, satın alma sırasında ve mümkün olduğunda yönlendirici arayüzünde bitiş tarihi görünür olan bir destek süresi gerekçesi.

Bir yönlendirici için güvenli güncelleme nedir?

Güvenli önyükleme zinciri üzerinden doğrulanan imzalı bir bellenim imajı; eski savunmasız bir derlemenin yeniden yüklenememesi için monoton bir sürüm sayacı; ve imzasız ya da düşürülmüş imajları da reddeden bir kurtarma yolu. ISP tarafından gönderilen ve OEM güncellemelerinin ikisi de bu yolu izlemelidir.

Test çıktısı: tam bellenim derlemesi için imzalı güncelleme doğrulama günlüğü, başarısız sürüm düşürme testi ve kurtarma kötüye kullanım testi.

TR-069 veya USP uzaktan yönetimi ürün sınırını değiştirir mi?

İmalatçı veya ISP uzaktan yönetim kanalını sağlıyorsa, bu kanal sınırın içindedir ve yalnızca bir operatör özelliği değil, bir filo denetim yoludur. Operatörün otomatik yapılandırma sunucusu, bağlantı isteği mekanizması, komut kapsamı ve sertifika güveni, hepsi değerlendirmeye girer.

Kanıt: değerlendirilen operatör profiline bağlı bir denetleyici sertifika envanteri ve bir komut kapsamı matrisi.

ISP markalı CPE için imalatçı kimdir?

Ürünü kendi adı veya ticari markası altında piyasaya süren ya da değerlendirilen ürünü esaslı biçimde değiştiren kişi. OEM donanımını yeniden markalayan, bellenimi çatallayan, yönetim bulutunu çalıştıran veya güncelleme kanalına sahip olan bir ISP, güvenlik açığı bildirim iletişimi dâhil o markalı SKU için imalatçı yükümlülüklerini üstlenebilir.

Rol kaydı: beyanın, bellenim dalının, güncelleme kanalının, destek süresinin ve bildirim iletişiminin kime ait olduğunun yazılı bir bölüşümü.

Bir yönlendirici imalatçısının oluşturması gereken ilk kanıt öğesi nedir?

Tam olarak hangi SKU için kısa bir sınıflandırma-ve-sınır notu: yönlendirici, modem-yönlendirici, mesh kiti, anahtar, hotspot veya VPN yönlendirici. WAN türünü, kablosuz yığını, LAN yönetim yüzeyini, uzaktan yönetim kanalını, bulut servislerini, güncelleme sahipliğini, destek süresini ve hariç tutulan sistemleri adlandırın.

Sınıflandırma kaydı: risk değerlendirmesinin, uygunluk-yolu seçiminin, ithalatçı paketinin ve destek süresi beyanının hepsinin başvurabileceği tek sayfalık bir not.

Sürümden sonra yönlendirici belleniminde bir güvenlik açığı bulunursa ne olur?

Düzeltici önlemleri derhal alın ve bildirim sırasına hazır olun: aktif olarak istismar edilen bir güvenlik açığı için 24 saatlik erken uyarı, 72 saatlik bildirim, düzeltici veya hafifletici bir önlem mevcut olduğunda bir nihai rapor ve kullanıcı bildirimi. Bir yönlendirici için düzeltici önlem genellikle OEM, ISP ve özel marka dalları arasında gönderilen imzalı bir bellenim güncellemesidir; bir dalın aynı düzeltmeyi alamadığı durumlarda belgelenmiş bir istisnayla. Genel bildirim mekaniği güvenlik açığı işleme ve koordineli güvenlik açığı açıklaması kılavuzlarında yer alıyor.

Düzeltici eylem kaydı: etkilenen modeller ve bellenim dalları, imzalı güncelleme çıktısı, dal yayma izi, kullanıcı danışma metni ve bildirim referansı.

Yönlendirici risk değerlendirmesi ne zaman güncellenmeli?

Sevk edilen bir yönlendirici, bir güven sınırını kaydıracak şekilde değiştiğinde: yeni bir WAN türü, yeni bir uzaktan yönetim profili, bir Wi-Fi veya SoC SDK değişikliği, yeni bir bulut bağımlılığı, bir mesh devreye alma değişikliği, bir hata ayıklama portu davranış değişikliği ya da yeni bir ISP dalı. Değişiklik bir maruziyeti veya yetki yolunu yeniden açıyorsa bir sürüm notu yeterli değildir. Bildirim görevleri 11 Eylül 2026'dan itibaren geçerlidir, bu nedenle açıklama politikası ve tek iletişim noktası o tarihten önce çalışıyor olmalıdır.

Yeniden kontrol tetikleyicisi: WAN maruziyetinde, kablosuz varsayılanlarında, uzaktan yönetim kapsamında, güncelleme yolunda, tedarikçi bileşenlerinde veya ISP dalında herhangi bir değişiklik, sınır notunu ve risk değerlendirmesini yeniden açar.

Sırada Ne Yapmalı

SKU düzeyinde sınır notuyla başlayın: yönlendirici, modem-yönlendirici, mesh kiti, anahtar, VPN yönlendirici veya güvenlik duvarı varyantı. Ardından bellenimi, kablosuz yığını, uzaktan yönetimi, bulut servislerini, tedarikçi bileşenlerini, güncelleme sahipliğini ve destek süresini teknik dosyaya eşleyin; o dosyanın ürünler arası yapısı teknik belgeler kılavuzunda yer alıyor.