Întrebare fară răspuns

Huawei 658 V2 - manipulează conexiunile HTPPS încercând să întroducă propiul certificat digtal

Am acest router de la Huawei și din când în când primesc atenținoări de la site-urile https despre conexiune că nu este corect certificatul.

Aparent, routerul încearcă să insereze propiul certificat valid pentru "mediarouter.home" în locul certificatelor emise de fiecare site în parte.

Acest lucru e o breșă de securitate, având în vedere ca astfel se pot intercepta parole (eg: online banking).

Ca de obicei, serviciul clienți este complet inutil pentru ca fie nu accepta punerea în mod bridge fie nu ofera upgrade de firmware.

După două săptămâni pierdute pe telefoane încercând să explic fiecărui operator ce se întâmplă și dat fiind faptul că se refuză permanent discuție cu persoane tehnice, urmează sa ma adresez ANPC.

  • Răspunde
  • Distribuie această întrebare

Răspunsuri

Salut, X7, și bun venit în Comunitate!
Îmi pare rău pentru situația pe care ne-ai descris-o și pentru nemulțumirea ta.
Dacă deja ai depus o sesizare la noi, înseamnă că ea este în atenția colegilor noștri care cu siguranță fac toate verificările necesare pentru remedierea problemei. Îți recomandăm să aștepti să primești informațiile legate de soluționare din partea lor.

DanielaH
DanielaH

DanielaH

User level
Nivel
4
5000 / 5000
puncte
Echipă
Custom field 2
DanielaH

Salut,
De circa un an folosesc si eu internetul prin fibra de la Orange - eu am primit un router HG8247W5. Sunt foarte atent la certificatele folosite, insa niciodata nu am patit ceva similar (nu am permis nici macar solutiilor antivirus sa imi faca inspectie SSL, iar in browser am intotdeauna certificatul corect).
Ma indoiesc sa aiba Orange vreun interes sa sustina aceste incercari de manipulare a certificatului; mi se pare mai plauzibil ca o fi o problema de configuratie, poate chiar intr-o sectiune in care nici macar Orange nu are acces. Zic asta si pentru ca, daca ar fi intr-adevar intentia de a spiona traficul, ar folosi un certificat valid si ar incerca sa te convinga sa ti-l instalezi si tu pe computer astfel incat browserele sa nu detecteze o problema de certificat.
Incearca sa soliciti inlocuirea routerului cu un alt model ca un prim pas. Sau incearca un reset al routerului la setarile din fabrica. S-ar putea sa iti rezolve rapid si curat problema.
Si eu am nevoie de router setat in bridge si am tot zis ca urmeaza sa cer asta (pentru moment mi-am pus propriul router dupa si l-am lasat asa, ca "hop" intermediar, dar am toata configuratia in routerul meu), insa pana una-alta sunt probleme separate: daca nu rezolvi cu bridge, incearca cu un alt model. Ma indoiesc ca ANPC paote face ceva in acest sens, fiind vorba de echipamentul final.

Aici e vorba de un router ADSL. Problema cu certificatul nu e doar la Orange, apare la cautari pe internet si in alte tari unde acest router e oferit de operatorii de internet.

Diferenta e ca acolo problemele se rezolva prin update firmware oferit de acesti operatori.

Succes in a le cere celor de la Orange sa faca update de firmware remote pe acest router. :)

Până la urmă am rezolvat si problema cu certificatele "personalizate" Huawei: trecerea în modul bridge.

Atentie: ba acest model, modul "bridge" nu înseamnă că intră într-un mod blackbox. El operează în continuare și poate fi accesat prin conexiune directa si interfata de mgmt e in continuare activa.

Pentru cine mai caută pe viitor:
1. solicitare la Orange pentru trecut in modul bridge.
2. se folosete wizard-ul din interfata lui si se alege ultima optiune, cea care spune "I already have a modem / router"
3. Se dezactiveaza firewall etc si orice alte optiuni care ar putea afecta traficul: port forwarding, DMZ etc
4. Foarte important: se dezactiveaza DHCP server si se sterg si toate rezervările de adrese
5. Roterul personal se coneceaza intre portul wan de pe el si portul lan 1 de pe echipamentul Orange
6. Routerul personal se configureaza astfel incat WAN ip sa fie automatic / dinamic.
7. Repornire ambele routere.

Optional: se poate lasa activ modulul wifi pentru acess si mentenanta (modul wifi se poate dezactiva / activa de la butonul fizic de pe lateral)

Ar trebui ca dupa restart in routerul personal sa apara ip de WAN de la Orange in locde ip de NAT. Dupa cum spumeam mai sus: bonus nu mai a erori de securitate de la certificatul Huawei.

Toate cele de mai sus au fost aflate sapand inclusiv pe acest forum, fara nici un fel de ajutor de la relatii clienti orange care REFUZA sa te puna in legatura cu cineva de la tehnic.

Aceeasi problema am avut-o si eu mai demult. :))

Nu cu router-ul, ci cu refuzul celor de la Call Center de a mi se face transfer la cineva cu care sa vorbesc aceeasi limba. :)) Nu prea am inteles de ce... Nu e eficient deloc, si metoda asta cu "intermediar" duce la timp pierdut aiurea, si posibil informatie pierduta pe parcurs. Presupun ca Orange are mult mai putini "specialisti" decat are call center agents, si atunci nu prea ar face fata, daca toti clientii ar vrea sa vorbeasca cu cineva mai tehnic. La Voda, stiu ca exista chiar numar dedicat (*777 parca...?) unde poti sa suni si esti intampinat de un staff dedicat pentru probleme tehnice. La Orange n-am gasit asa ceva, si da, de cele mai multe ori, cei de la Call Center, fie nu se pricep (ceea ce e ok, nu ala e job-ul lor), fie nu vor sa te ajute. Si mi s-a intamplat sa fiu intampinat cu foarte multa ostilitate uneori. Parca sunam sa le cer bani, nu sa vin cu o idee de imbunatatire a serviciilor oferite (care, by the way, nu s-a implementat nici pana in ziua de azi).

Presupun ca asta e procedura interna...sa treaca toate chestiile pe la call center-ul non-specializat, ca pe urma sa se duca sa intrebe la specialisti, si sa se intoarca cu informatia. Singura problema in cazul asta este, cum am zis mai sus, ca nu e eficient deloc si exista riscul sa se piarda informatii importante pe drum. Asta pe langa faptul ca uneori informatia furnizata de specialisti e incompleta/gresita etc. Si atunci, in functie de persoana pe care o intrebi, o sa ai un alt raspuns. Ceea ce nu e ok deloc. Pentru ca creeaza confuzie.

Deci da...si eu mi-as dori sa avem acces direct/sau macar la cerere cu cineva de la tehnic cu care sa vorbim aceeasi limba. Cateodata se intampla sa te contacteze cineva si sa puteti purta o conversatie ok, ca intre doi oameni cu abilitati tehnice. Si e miiinunat cand se intampla asta. Te simti de parca ti-ai gasit sufletul pereche. :)) Din pacate, nu mereu se intampla asta.

arsradu
arsradu

arsradu

User level
Nivel
4
5000 / 5000
puncte
Custom field 2
arsradu

Radule nu voi fi epistolar pe un subiect diferit de topic. Pe scurt, incompetența este mai ieftină, iar cei cu sclipirea de inteligență nu se pot exprima. Compromisul este ceea ce ai constatat: secretarele preiau informația brută, fără o prelucrare, iar "open minds from back office" oferă o posibilă soluție pe baza celor relatate. Partea favorabilă pt Oro la această abordare? La eventuala revenire, orice soluție neacceptată de client înseamnă o altă ușă-n nas. Cauza? Clientul trebuie pliat pe "cheful" Oro, nu invers. Restul e ... can-can.

Revin: dupa aproximativ 48H de functionare in modul bridge, problemele cu certificatul au disparut.

Insa routerul Asus legat la cel Orange afisaza multiple loguri cu:

"dnsmasq[3803]: possible DNS-rebind attack detected: dns.msftncsi.com"

Dincolo de asta, am un sistem linux care pe placa de rețea legata la LAN-ul din care face parte routerul Huawei / Orange înregistrează permanent "martian packets" (https://en.wikipedia.org/wiki/Martian_packet)

Asta inseamna ca desi am ip public pe routerul Asus, routerul Orange / Huawei incearca in continuare sa faca măgării umblând la packetele TCP care circulă prin el și modificând headere.

Pare cel putin o problemă de hardware / firmware daca nu chiar o berșă de securitate în care routerul incearcă sa intercepteze informatii.

Dacă e cineva de la Orange aici, vă rog frumos să vă intersați despre upgrade de firmware la acest router care să rezolve problema.

Revin după mai multe luni de funcționare: probleme apar intermitent pe conexiunea orange cu tot ce înseamnă conexiuni https. Anumite site-uri refuză conexiunile din cauza acestui router huawei care are firmware depașit.

Spun asta in cunostinta de cauza pentru ca aceleasi site-uri merg fara probleme pe conexiunea RCS.

Am decis sa încerc un router 3rd part adsl, sa vad daca functioneaza si problema dispare. Revin cu detalii.

Salut! Am observat că petreci timp în Comunitatea Orange, dar nu te-ai înscris încă.
Dacă te inscrii și devii membru, poți adresa întrebări în comunitate, poți să ajuți și tu alți membri și poți câștiga puncte, badge-uri și să te bucuri de multe alte beneficii!