Zavirovaný router?

Mám pocit, že už jsem to potkal podruhé.
Jak se to do toho modemu může dostat?

Podruhé mi včera večer volal šéf, že to má doma ( má přesně TP-Link TD-W8901G ) a prý to zresetuje sám. Koukal jsem na web TP-Linku, ale žádný nový fw jsem nenašel.
Poprvé - už v únoru jsem zde na poradně měl takový divný dotaz a teď jsem si na něj vzpomněl: http://pc.poradna.net/q/view/1175389-divne-dns-ser very
Dovolím si citát z té únorové diskuze:
shiro, 04.02.2014 11:35
este mi povedz ako by si dokazal zavirit router :D
okrem niekolkych backdoorov co sa prevalilo posledne, ale stejne to nic nerobi.

Viz:
http://pc.poradna.net/f/view/1225948-napadeny-rout er-tp-link

V podstate nejde o "zavirovani" routeru, ale o zmenu konfigurace. Zmenou DNS serveru te pak router presmerovava na stranky, kde uz pak muzes opravdu neco chytit

To je klidně možné. Jenže otázka je: co s tím?
Minimálně v tom mém prvním případě můžu zaručit, že:
modem byl nastaven pro konfiguraci pouze z LAN
heslo do konfigurace nebylo původní, ale ani nějak zvlášť silné ( delší zdrobnělina křestního jména s některými písmeny velkými )
od začátku nastaveno DNS 1) O2 ADSL a 2) Google
uživatel do toho nelezl, neuměl to.

Teď vidím, že se do toho někdo dostal a změnil konfiguraci. Na stránkách TP-Linku není fw novější než rok.
Resetovací tlačítko je hezká věc, ale na jak dlouho? DNS umím nastavit i na jednotlivých PC když na to přijde, ale je to normální?
A když není fw, tak který adsl modem místo toho? V únoru měly stejný problém Asusy. Předtím snad Syslink, jestli se dobře pamatuji.

Řešením by bylo nastavit firewall na vnější rozhraní, pokud to ten router umožňuje. Veškeré SYN pakety zahazovat (vyjma přesměrovaných portů, jestli jsou využívány). Nahrát alternativní firmware, který umožní plnohodnotné nastavení firewallu, případně sofistikovanější model. Mikrotik nebo něco vyššího (já používám Ubiquiti Edge Max).

PS: už aby bylo silně používané IPv6, tam totiž "ochrana NATem", jak je to u většiny uživatelů těhle levných krámů řešeno není možná. Místo toho se konfiguruje firewall: Dovnitř povolené služby (konkrétní IP adresa + konkrétní služba), jinak nic, ven povolit vše. Pak k takovým problémům nemůže dojít.

A ty myslíš, že s tím IPv6 to bude lepší? Naopak. Všechny počítače budou vystrčený přímo do internetu, protože firewall nikdo konfigurovat nebude

To záleží na výrobcích, jestli k tomu uživatele donutěj. Stejně jako dnes bude přednastavené: Vše dovnitř zakázat, vše ven povolit. A když někdo bude chtít otevřít nějakou službu ven, tak místo "přesměrování portů", vytvoří pravidlo ve firewallu.

V počtu kroků je to totožné - tedy, teoreticky lepší, neboť když člověk chce konfigurovat službu na neveřejné síti v IPV4, tak musí konfigurovat jak NAT, tak firewall, v IPV6 se konfiguruje jen ten firewall. A pokud si někdo otevře celou síť nebo počítač, jeho problém, stejně jako dnes. Pokud chci provozovat služby na internetu, musím o tom něco vědět, neboť nesu riziko sám.

Použít tvé DLS pouze jako bridge a za to dát "normální" router