<div dir="ltr">The dd-wrt open source router firmware/software is safe. (shocker!)</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Feb 8, 2013 at 1:59 PM, Scott Plante <span dir="ltr">&lt;<a href="mailto:splante@insightsys.com" target="_blank">splante@insightsys.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <div>Thanks for the very thoughtful reply,
      Ron. I was actually referring to work. I didn&#39;t get a chance to
      test home until last night and it turns out that one was ok. It&#39;s
      a much newer router. We don&#39;t actually have guests very often at
      work, so that one doesn&#39;t get used much. One of the things we do
      occasionally use it for is to test being outside the firewall,
      e.g., to troubleshoot VPN connections. Still, we don&#39;t want our
      occasional guests or ourselves when we do connect to that router
      to be wide open on the Internet, so I&#39;m very glad to have caught
      that problem. I did go through all the <a href="http://grc.com" target="_blank">grc.com</a> tests and passed. <br>
      <br>
      After starting this email, I discovered the firmware update broke
      some configuration. Finally got it all straightened out again. It
      did pass a complete all 65k nmap tcp and upd port scan this time.
      I did understand about external UPnP being a bug--I was just
      bugged D-Link didn&#39;t have a firmware fix for it. It is an old
      device, though. I watched the whole Security Now video you posted.
      Lots of other interesting tid-bits in there too, like the <a href="http://jps.anl.gov/v6iss1.shtml" target="_blank">Journal of Physical
        Security</a> and the explanation of how networking works at a
      physical voltage-high/voltage-low level.<span class="HOEnZb"><font color="#888888"><br>
      <br>
      Scott</font></span><div><div class="h5"><br>
      <pre cols="72"></pre>
      On 2/7/2013 8:01 PM, Ron Frazier (ALE) wrote:<br>
    </div></div></div><div><div class="h5">
    <blockquote type="cite">
      <pre>Hi Scott,

You&#39;re welcome.  That makes it worth the time I spent to know that it helped someone.  I thought, statistically, with 1 of 50 people having the problem, that someone reading the message might have the problem.  I&#39;m glad you discovered the issue on your dlink and were able to troubleshoot it.  You may wish to do a thorough port scan on the external ports on your router to make sure that it&#39;s not exposing any open ports.  Hopefully, you caught it soon enough that one of the cracker scans never compromised your unit.  It is possible that some configuration data could have survived the new firmware installation.  Note that the GRC shields up all ports port scanner, the part not related to UPNP, only scans the 1st 1056 TCP ports.  The GRC common ports scanner only scans about 20 ports but does also scan two which are above 1056.  Depending on how paranoid you are, you could do a more thorough port scan on your router with some other tool.  As far as I know, the potential TCP port!
 s are 1 - 65535 and the UDP ports are the same.  You might be able to use something like nmap or zenmap (I think) to do the scan.  The two problems are that you&#39;d have to do it external to your house and it may take up to about 1 sec / port to scan based on some experiments I&#39;ve done on my Android tablet.  So, scanning all the ports might take a while.  Note also, that some upper ports will be open if you have active network connections as ephemeral ports are opened to receive replies from packets you send out, if I recall correctly.

I wanted to clarify something based on what you said.  External UPNP is a bug in the firmware and is something that was never supposed to exist in the first place.  If the systems were working properly, and were designed and tested properly, there would be no such thing as external UPNP.  So, you will never see a control to disable external UPNP since it&#39;s not even supposed to exist.

You said your guest router was hanging outside your firewall.  For what it&#39;s worth, I&#39;ll share a possible alternative to that which will allow you to keep your guest router inside the firewall.  This is a variation of something I use to segregate my wifi access at home from the access for my wife who uses a VPN for her company.

You can gang routers together.  I have 4 routers in my house.  One for me, which throttles my download bandwidth, which I use when my wife is working.  Another one for me, which is unthrottled, for use when she&#39;s not there.  One router for her.  And one to tie them all together and send packets to the internet.

In your case, your guest router could replace the one that I use for my wife.  And, the guest router would be behind your firewall.

Here&#39;s how you set it up.

Imagine the capital letter &#39;Y&#39;.

On the upper left leg of the &#39;Y&#39; is your router.  On the upper right leg of the &#39;Y&#39; is the guest router.  On the bottom leg of the &#39;Y&#39; is the master router, which could be your firewall, which ties the other two together on one side and connects to your cable / dsl modem on the other side.

Connect a lan cable from your router&#39;s WAN port to a LAN port on the switch on the master router.  Set up your router to get its WAN address via DHCP from the master router.

Connect a lan cable from the guest router&#39;s WAN port to a LAN port on the switch of the master router.  Set up the guest router to get its WAN address via DHCP from the master router.

Connect any devices that need to be shared, like a printer, to a LAN port on the switch of the master router.

Connect the WAN port on the master router to the cable / dsl modem.

This way, your router and your guest router are both behind your firewall.  The guest router is a separate network and will be completely isolated from your network.

If the master is 192.168.1.1, and yours is 192.168.2.1, and the guest is 192.168.3.1, then:

Users / programs on your router can communicate with other users / programs on that router.
Users / programs on the guest router can communicate with other users / programs on that router.
Users / programs on either your router or the guest router can communicate with users / programs / devices on the master router, or with the internet.

In this case, you have three separate networks, which are the lan switches and the wifi interfaces of each respective router.  It will be impossible for your router to communicate with the guest router, but that&#39;s the kind of isolation you want for the guest.

Another option is that many modern routers have a guest login feature available.  This allows you to set up a separate SSID and separate password for the guest.  Most routers which have guest logins have a feature which Netgear calls &quot;wireless isolation&quot;.  If you turn that on, guests cannot access other wireless clients on the same router.  They also have a feature which allows the guest to only access the internet.  If you turn that on, the guest cannot access anything attached to the lan switch of the router.  With both these on, the guest can only access the internet or anything on the downstream router, like the printer, etc.  However, if you really wanted to nail it down, you could program your master router / firewall to only allow data coming from the guest router to access the internet.

Hopefully that makes at least some sense.  Glad you solved your problem.

Sincerely,

Ron



Scott Plante <a href="mailto:splante@insightsys.com" target="_blank">&lt;splante@insightsys.com&gt;</a> wrote:

</pre>
      <blockquote type="cite">
        <pre>Thanks, Ron! Our main network was fine, but the little D-Link wireless 
router we have hanging outside the firewall for guest Internet access 
did have the flaw. I had to both update the firmware, and then I had to

completely disable UPnP.  I still couldn&#39;t just disable the external 
UPnP. Of course, in our case we don&#39;t really want guests modifying the 
config on the router anyway, but it&#39;s disgusting that there&#39;s still no 
fix to just block external UPnP to this day.

Scott

On 2/7/2013 3:06 PM, Ron Frazier (ALE) wrote:
</pre>
        <blockquote type="cite">
          <pre>Hi all,

I wanted to let you know about a nasty bug in the UPNP implementation
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>of millions of routers.  This could allow an external hacker free and
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>open access to your internal network.  I think this mainly applies to
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>home and small office routers, but this could apply to commercial
</pre>
        </blockquote>
        <pre>ones 
</pre>
        <blockquote type="cite">
          <pre>as well.

UPNP stands for Universal Plug and Play.  It is a feature of almost 
all routers that is usually on by default.  It allows things INTERNAL
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>to your network, like XBox game systems, Skype, DVR&#39;s and other
</pre>
        </blockquote>
        <pre>things 
</pre>
        <blockquote type="cite">
          <pre>to OPEN HOLES for incoming communications through your firewall, 
usually without your knowledge or permission, and sometimes without 
your ability to monitor or control it.  This is designed to allow 
gamers, for example, to instantly participate in network gaming 
without configuring the router.  It generally doesn&#39;t require 
authentication, and assumes anyone making a UPNP request from within 
your network is trustworthy.  This, in itself, is somewhat of a 
security risk, and I&#39;ve had UPNP turned off for years on my routers. 
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>It&#39;s one of the first things I disable when I set up a router, since
</pre>
        </blockquote>
        <pre>I 
</pre>
        <blockquote type="cite">
          <pre>have no need for it.

They discussed the new issue, which is much much worse, on the last 
two Security Now podcasts.

<a href="http://twit.tv/sn" target="_blank">http://twit.tv/sn</a>
<a href="http://twit.tv/show/security-now/389" target="_blank">http://twit.tv/show/security-now/389</a>
<a href="https://www.youtube.com/watch?v=wEa43qM4JjQ#t=09m44s" target="_blank">https://www.youtube.com/watch?v=wEa43qM4JjQ#t=09m44s</a>  (Youtube video 
of 389.  Relevant part starts at 09:44.)
<a href="http://media.grc.com/sn/sn-389.mp3" target="_blank">http://media.grc.com/sn/sn-389.mp3</a> - MP3 audio of 389.
<a href="http://twit.tv/show/security-now/390" target="_blank">http://twit.tv/show/security-now/390</a>
<a href="http://www.grc.com/securitynow.htm" target="_blank">http://www.grc.com/securitynow.htm</a>  (Episode 390 hasn&#39;t been posted 
here yet, but should be shortly.)

UPNP was always intended to be used only on your INTERNAL LAN.  It
</pre>
        </blockquote>
        <pre>was 
</pre>
        <blockquote type="cite">
          <pre>never intended to be exposed on the Internet on the WAN.  A group of 
security researchers at Rapid7 spent months last year using bots to 
probe EVERY routable IPv4 address on the Internet. They sent UDP UPNP
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>discovery packets to every address several times.  The results of the
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>probes were both surprising and very disconcerting.

They found that 2.2% of ALL IPv4 routers exposed to the internet 
responded to UPNP discovery requests.  This corresponds to 81 MILLION
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>routers.  This means that they are exposing the UPNP service to the 
EXTERNAL internet at large.  This is a MAJOR security flaw.  Of
</pre>
        </blockquote>
        <pre>those, 
</pre>
        <blockquote type="cite">
          <pre>20%, or 16.2 MILLION are exposing their SOAP API to the EXTERNAL 
internet at large.

This means that a REMOTE cracker, just by sending a few UDP packets
</pre>
        </blockquote>
        <pre>to 
</pre>
        <blockquote type="cite">
          <pre>your router&#39;s EXTERNAL address, can punch holes in your firewall and 
break into your INTERNAL LAN just as though he was your XBOX sitting 
in your house.  It requires no authentication or decryption on the 
cracker&#39;s part, and is trivially easy.

This is very bad news for the 81 million people, most of which, don&#39;t
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>even know they are vulnerable.

For years, Steve Gibson has been operating the Shields Up service on 
his website.  It provides a way to scan your network from the outside
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>to see if net bios is being exposed, or if common TCP service ports 
are being exposed.  In light of these events, he has added testing
</pre>
        </blockquote>
        <pre>for 
</pre>
        <blockquote type="cite">
          <pre>the UPNP vulnerability.

I would recommend that each person reading this make use of Steve&#39;s 
port scanner to test your router&#39;s external IPv4 address to determine
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>if you are vulnerable to the UPNP attack vector. Here&#39;s how.

Go to the Shields Up main page at:
</pre>
        </blockquote>
        <pre><a href="https://www.grc.com/x/ne.dll?bh0bkyd2" target="_blank">https://www.grc.com/x/ne.dll?bh0bkyd2</a>
</pre>
        <blockquote type="cite">
          <pre>You will probably have to trust <a href="http://grc.com" target="_blank">grc.com</a> in noscript, etc. for 
everything to work.  Read what it says there and click proceed. Keep 
in mind, some of the verbiage is a decade old, but the site is still 
very useful.  The stuff related to UPNP is new.

Once you&#39;re on the second page, you will get to a screen with some 
menu buttons on it.

Click the orange GRC&#39;s Instant UPNP Exposure Test button.

His server will query the UPNP ports for your external IPv4 address. 
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>It will then report back as to whether your router didn&#39;t respond at 
all (PREFERABLE), actively rejected the remote request (OK), or did 
respond to the UPNP discovery request (BAD). The result page also 
contains verbiage explaining the results.

Note that a simple port scan, like from nmap, will not do the trick 
here.  First, you have to send the scan from outside your router, on 
the internet side.  Second, the UPNP discovery request is a 
specifically formatted UDP packet, not just a simple ping. Since it&#39;s
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>UDP, the source address can be spoofed by a cracker.

If your router is in the category that did respond, you are 
potentially vulnerable to attack.  At the very least, a cracker could
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>find out that your UPNP service is listening on the WAN, and it will 
probably tell him which UPNP stack you have in its reply. This may 
give him the info he needs to attack you.  If your router is among
</pre>
        </blockquote>
        <pre>the 
</pre>
        <blockquote type="cite">
          <pre>1 in 5 (of the 81 million) that exposes its SOAP API to the WAN, you 
are vulnerable to immediate attack.  If your router responds to an 
external UPNP request, which it NEVER should, you should find a way
</pre>
        </blockquote>
        <pre>to 
</pre>
        <blockquote type="cite">
          <pre>turn off that functionality and retest it.  If you cannot turn it
</pre>
        </blockquote>
        <pre>off, 
</pre>
        <blockquote type="cite">
          <pre>you should discontinue using this router.

While you&#39;re there on the Shields Up page, you can select other 
buttons as follows:

File Sharing - tests to see if your router is exposing any net bios 
file sharing ports to the WAN.
Common Ports - tests to see if certain commonly used TCP service
</pre>
        </blockquote>
        <pre>ports 
</pre>
        <blockquote type="cite">
          <pre>are listening on the WAN.
All Service Ports - tests to see if the first 1056 TCP service ports 
are listening on the WAN
User Specified Custom Port Probe - used to test a specific TCP port 
number after entering it into the blank.
Lookup Specific Port Information - used to lookup data about what 
certain port numbers are commonly used for.

Here are other resources that Steve provides relative to the UPNP 
problem so you can research it:


</pre>
        </blockquote>
        <pre><a href="https://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/SecurityFlawsUPnP.pdf" target="_blank">https://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/SecurityFlawsUPnP.pdf</a>

</pre>
        <blockquote type="cite">
          <pre><a href="http://toor.do/DEFCON-19-Garcia-UPnP-Mapping-WP.pdf" target="_blank">http://toor.do/DEFCON-19-Garcia-UPnP-Mapping-WP.pdf</a>
<a href="http://www.upnp-hacks.org/upnp.html" target="_blank">http://www.upnp-hacks.org/upnp.html</a>
<a href="http://toor.do/upnp.html" target="_blank">http://toor.do/upnp.html</a>

</pre>
        </blockquote>
        <pre><a href="http://www.h-online.com/security/news/item/Millions-of-devices-vulnerable-via-UPnP-Update-1794032.html" target="_blank">http://www.h-online.com/security/news/item/Millions-of-devices-vulnerable-via-UPnP-Update-1794032.html</a>

</pre>
        <blockquote type="cite">
          <pre>
I recommend that you test your internet facing IPv4 addresses for
</pre>
        </blockquote>
        <pre>UPNP 
</pre>
        <blockquote type="cite">
          <pre>vulnerability immediately.  If your router responds to the external 
UPNP inquiry, I suggest turning off UPNP from its control panel and 
retesting.  If it still responds, consider upgrading the firmware and
</pre>
        </blockquote>
        <pre></pre>
        <blockquote type="cite">
          <pre>retesting, or removing and replacing the router.

I hope you find this information useful.

Sincerely,

Ron


</pre>
        </blockquote>
        <pre>_______________________________________________
Ale mailing list
<a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a>
<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a>
See JOBS, ANNOUNCE and SCHOOLS lists at
<a href="http://mail.ale.org/mailman/listinfo" target="_blank">http://mail.ale.org/mailman/listinfo</a>
</pre>
      </blockquote>
      <pre>
--

Sent from my Android Acer A500 tablet with bluetooth keyboard and K-9 Mail.
Please excuse my potential brevity.

(To whom it may concern.  My email address has changed.  Replying to former
messages prior to 03/31/12 with my personal address will go to the wrong
address.  Please send all personal correspondence to the new address.)

(PS - If you email me and don&#39;t get a quick response, you might want to
call on the phone.  I get about 300 emails per day from alternate energy
mailing lists and such.  I don&#39;t always see new email messages very quickly.)

Ron Frazier
<a href="tel:770-205-9422" value="+17702059422" target="_blank">770-205-9422</a> (O)   Leave a message.
linuxdude AT <a href="http://techstarship.com" target="_blank">techstarship.com</a>


_______________________________________________
Ale mailing list
<a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a>
<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a>
See JOBS, ANNOUNCE and SCHOOLS lists at
<a href="http://mail.ale.org/mailman/listinfo" target="_blank">http://mail.ale.org/mailman/listinfo</a>
</pre>
    </blockquote>
    <br>
  </div></div></div>

<br>_______________________________________________<br>
Ale mailing list<br>
<a href="mailto:Ale@ale.org">Ale@ale.org</a><br>
<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>
See JOBS, ANNOUNCE and SCHOOLS lists at<br>
<a href="http://mail.ale.org/mailman/listinfo" target="_blank">http://mail.ale.org/mailman/listinfo</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>.!# RichardBronosky #!.
</div>