[Security Web SSL] Free SSL/TLS Certificates สำหรับ Nginx อย่างง่ายด้วย Let' Encrypt

สวัสดีทุกท่านครับ วันนี้ผมจะมาแนะนำวิธีการใช้งาน Let' Encrypt ซึ่งเป็น Free SSL/TLS Certificates ที่กำลังเป็นที่นิยมอย่างมากในช่วงนี้ มาใช้งานร่วมกับ Web ที่รันด้วย Nginx ซึ่งในบทความนี้จะใช้ Certbot เข้ามาช่วยในการติดตั้งจะง่ายแค่ไหนมาติดตามกันครับ

ปล. ทั้งนี้ Let' Encrypt จะสามารถใช้ได้กับ Web ที่เป็น Public เท่านั้นครับ

ขั้นตอนที่ 1 :: ทำการแก้ไข server_name ให้ถูกต้อง

nano /etc/nginx/sites-available/default 

ขั้นตอนที่ 2 :: ทำการติดตั้ง Git เพื่อที่จะใช้ในการ Clone Certbot โดยใช้คำสั่ง

apt-get install git

จะมีการถามว่าต้องการทำต่อหรือไม่ให้กด Y เพื่อติดตั้งให้เรียบร้อย

ขั้นตอนที่ 3 :: ใช้คำสั่ง

git clone https://github.com/certbot/certbot.git

เพื่อทำการ Clone Certbot จาก Github มาใช้งาน

ขั้นตอนที่ 4 :: เข้าไปที่ directory certbot ด้วยคำสั่ง

cd certbot/

ทำการตรวจสอบไฟล์ภายในด้วยคำสั่ง

ls 

ขั้นตอนที่ 5 :: ทำการเรียกใช้งาน Certbot ด้วยคำสั่ง

./certbot-auto --nginx

จะมีหน้าให้ยืนยัน name ของ webserver หากถูกต้องให้กด OK

จากนั้นรอสักพักจะมีหน้าจอขึ้นมาให้ใส่ Email ให้ใส่ Email ของผู้ดูแลลงไป แล้วกด OK

ระบบจะให้อ่านข้อตกลงและจากนั้นกด Agree เพื่อเข้าสู่ขั้นตอนต่อไป

ในขั้นตอนนี้จะมีการถามให้เลือกอยู่ 2 แบบ
แบบแรก Easy Web ของเราจะสามารถใช้งานได้ทั้ง http และ https
แบบที่สอง Secure ตรงนี้ระบบจะทำการ Redirect ให้ใช้เฉพาะ https
ซึ่งสามารถเลือกได้ตามความสะดวกในการใช้งานเลยครับ ส่วนในตัวอย่างนี้ผมเลือกแบบที่สอง ครับ

รอสักพักหากไม่มีอะไรผิดพลาดจะมีการแจ้งว่าได้ทำการติดตั้ง SSL/TLS Certificates เรียบร้อยแล้ว

ขั้นตอนที่ 6 :: ทดสอบเข้า Web ของเราจะพบว่าตอนนี้ SSL/TLS Certificate ถูกติดตั้งเรียบร้อยแล้ว และ หากดูรายละเอียดของ Certificate ก็จะเป็นดังรูปครับ

เพียงเท่านี้เราก็จะได้ Web ที่เป็น https ซึ่งมีความปลอดภัยในการรับส่งข้อมูลแล้วครับ ซึงวิธีนี้แทบไม่ต้องยุ่งกับการ Config Nginx เลย ทำให้ประหยัดเวลาได้มาก ซึ่งผมหวังว่าบทความนี้จะเป็นประโยชน์ต่อทุกท่านครับ

Credit :: https://github.com/certbot/certbot

[DNS] การประยุกต์ใช้งาน DNS บน Cloudflare เพื่อเปลี่ยน Cloud URL Mikrotik ให้จำง่ายขึ้น

หลังจากเรารู้จักกับ Cloudflare และ วิธีการเปิดใช้บริการกันไปแล้วในบทความ 

https://netsecth.blogspot.com/2017/01/security-review-cloudflare.html

ในบทความนี้เราจะมาพูดถึงการประยุกต์ใช้งาน Cloudflare เพื่อมาช่วยให้เราสามารถจำ URL ไปที่อุปกรณ์ Mikrotik ของเราง่ายขึ้นโดยประยุกต์ใช่ร่วมกับ Cloud DDNS ของ Mikrotik เองซึ่งไม่ซับซ้อนและทำง่ายเอามากๆ มาดูวิธีทำกันเลยครับ

ขั้นตอนที่ 1 :: เปิดการใช้งาน Cloud DDNS ของ Mikrotik โดยไปที่เมนู IP > Cloud จากนั้น ติ๊กเครื่องหมายถูกที่ DDNS Enabled และ Update Time แล้วกด Apply > OK [อย่าลืม Copy DNS Name นะครับได้ใช้ในขั้นตอนต่อไป]

หมายเหตุ :: กรณีที่จะใช้งาน IP Cloud ได้นั้น จำเป็นจะต้องได้รับเป็น Public IP แบบสุ่ม หรือ แบบ Fixed จาก ISP เท่านั้น ไม่สามารถใช้งานกับ IP ที่เป็น NAT จาก ISP ได้ ในกรณีที่เป็น NAT ให้ท่านทำการติดต่อ ISP เพื่อขอให้เค้าเปิดการใช้งาน Public IP ให้ได้ (เฉพาะบางค่าย)

ขั้นตอนที่ 2 :: ทำการ Login Cloudflare และไปที่เมนู DNS

ขั้นตอนที่ 3 :: ทำการเลือกประเภท Record ไปที่ CNAME

ขั้นตอนที่ 4 :: ใส่ชื่อที่ต้องการเรียกแทน Cloud URL ของ Mikrotik ในช่องแรก ซึ่งตรงนี้ชื่อที่ใส่ไปจะตามด้วย Domain ของเรา เช่น ตัวอย่างใส่ mikrotik เวลาเรียกใช้งานก็จะเรียกเป็น mikrotik.netsecth.in.th เป็นต้น และ ใส่ DNS Name ที่ได้มาจาก Mikrotik ลงในช่องที่ 2

ขั้นตอนที่ 5 :: ยกเลิกการใช้งาน HTTP Proxy ของ Record โดยกดที่รูปเมฆสีส้มให้กลายเป็นสีเทา

ขั้นตอนที่ 6 :: ทำการกด Add Record เป็นอันเสร็จสิ้นขั้นตอน

ขั้นตอนที่ 7 :: ทดสอบใช้งาน โดยการทำ Forward Port ที่ตัว Mikrotik เพื่อให้แสดงหน้า Web Configuration ตัวอย่างใน Rule ที่ 17 ของ Firewall > NAT ดังรูป

เพิ่มเติม :: Firewall > NAT Rule 17 เป็นการสั่งให้ forward port 8080 ที่ถูกเรียกมาจากภายนอกให้ไปที่ port 80 ของ IP 192.168.0.240 โดยในตัวอย่างจะเป็นหมายเลข IP ของ Mikrotik

จากนั้นทำการทดสอบเข้าตาม URL ใหม่ที่เราตั้งค่า DNS บน Cloudflare หากใช้งานได้ก็จะปรากฎหน้า  Web Configuration ของ Mikrotik ดังรูป

เพียงเท่านี้ท่านก็จะได้ URL ใหม่ของ Mikrotik ที่สวยงามโดยไม่ต้องซื้อ Dynamic DNS มาเพิ่มเติมและ Setup ให้ยุ่งยากแล้วครับ

[Security Review] การเริ่มใช้งาน Cloudflare

สวัสดีครับทุกท่าน และ สวัสดีปีใหม่ 2017 หลังจากที่ไม่ได้เขียนอะไรลง Blog เลยมานานมากแล้ว ในที่สุดก็มีเวลาว่างสักที

สำหรับวันนี้ผมจะมาแนะนำบริการของทาง Cloudflare ซึ่งมีพี่ท่านนึงแนะนำมา หลังจากที่นำมาใช้แล้วมีประโยชน์อย่างมาก ผมจึงได้นำมาเขียน Review วิธีการใช้งานในวันนี้ครับ โดยทุกท่านสามารถเข้าไปดูและใช้งาน Cloudflare ได้ที่ URL :: https://www.cloudflare.com/

ว่าแต่ Cloudflare คืออะไรละ...

Cloudflare นั้นคือผู้ให้บริการ DNS , HTTP Proxy และ ความปลอดภัย Website ร่วมถึงทำให้ประสิทธิภาพในการรองรับการใช้งานของ Website นั้นๆ ดีขึ้นด้วย ร่วมถึงสามารถป้องกันการโดน DDoS ได้อีกด้วย!!! น่าสนใจทีเดียว เรามาดูการวิธีเข้าใช้งานกันดีกว่าครับ

ขั้นตอนที่ 1 :: ไปยัง https://www.cloudflare.com/ จากนั้นทำการ Sign Up ซึ่งอยู่มุมบนขวา เพื่อสมัครใช้งาน โดยไม่มีค่าใช้จ่ายใดๆ ในการสมัครและยังมีขั้นตอนไม่ยุ่งยาก ผมจะไม่พูดถึงขั้นตอนการสมัครแล้วกันครับ มันจะเบสิคเกินไป เอาเป็นว่าสมัครเสร็จก็ Login เลยแล้วกันครับ

ขั้นตอนที่ 2 :: ในขั้นตอนการเริ่มใช้งานนั้น เราจำเป็นต้องมี Domain ก่อนครับ ซึ่งท่านที่จะนำไปใช้ก็คงต้องมีอยู่แล้วแน่นอน หากยังไม่มีสามารถไปจด Domain ได้ตามต้องการเลยครับ ส่วนตัวผมจะใช้งาน Domain :: netsecth.in.th ซึ่งจดไว้กับ Thnic :: https://www.thnic.co.th/

หลังจากที่เรา Login เข้ามาแล้วให้กด + Add Site ที่มุมบนขวา เพื่อทำการสแกนรายละเอียดของ Domain ของเรา โดยวิธีการสแกนก็เพียงแค่ใส่ Domain แล้วกด Begin Scan ได้เลยครับ

 ระบบของ Cloudflare ก็จะเริ่ม Scan Domain ของเราว่ามีรายละเอียดการให้บริการเดิมอะไรบ้าง

ขั้นตอนที่ 3 :: หลังจากที่ Scan เสร็จหากมีบริการอะไร Cloudflare จะใส่รายละเอียด Record ให้โดยอัตโนมัติ โดย Domain ของผมจะมีในส่วนของ e-mail redirect ที่ใช้บริการของ Thnic เดิม 1 Record หากรายละเอียดใดหายไปก็สามารถใส่เพิ่มได้เลย หรือ จะเก็บไว้ใส่เพิ่มทีหลังก็ได้ครับ หากพอใจกับข้อมูลแล้วให้กด Continue เพื่อไปยังขั้นตอนต่อไปได้เลยครับ

ขั้นตอนที่ 4 :: เลือก Plan โดยในส่วนของผมจะเลือกในส่วนที่เป็นฟรี ซึ่งมีบริการเพียงพอสำหรับการใช้งานของผมแล้ว แต่หากท่านเป็นองค์กรขนาดกลางหรือใหญ่ ที่ต้องการบริการอื่นเพิ่มเติมก็สามารถศึกษาข้อมูลได้ตามรายละเอียดหน้านี้ได้เลยครับ หรือ จะเลือกฟรีไปก่อนแล้วเปลี่ยนทีหลังก็ได้ครับ หลังจากเลือกเสร็จแล้วให้กด Continue เลยครับ

ขั้นตอนที่ 5 :: เปลี่ยน Nameserver ปัจจุบันให้ชี้มาที่ Nameserver ของ Cloudflare โดยการไปที่ Web ของผู้ให้บริการ Domain ของท่าน ในส่วนของผมเป็น Thnic

เข้าไปที่ Web ของผู้ให้บริการจากนั้นจัดการ แก้ไข DNS

ทำการใส่ DNS ของ Cloudflare แทนของเดิม

หมายเหตุ :: ต้องใส่ให้ถูกต้องและต้องใส่ทั้ง 2 Server

กลับไปที่ Cloudflare แล้วกด Continue

ขั้นตอนที่ 6 :: รอ Nameservers อัพเดท ซึ่งอาจจะใช้เวลาประมาณ 24 ชั่วโมง ให้ลองเข้ามาทำการกด Recheck เรื่อยๆ

หาก Nameservers อัพเดทเรียบร้อย สถานะ Domain ของท่านบน Cloudflare จะเป็น Active ซึ่งพร้อมรองรับการใช้งานของท่าน

ก็เป็นอันเรียบร้อยครับ สำหรับการเข้าใช้บริการ Cloudflare ซึ่งในบทความหน้าผมจะพาประยุกต์ ใช้งาน DNS ด้วย Cloudflare เพื่อจัดการ Name ง่ายๆ ร่วมถึงการนำไปใช้งานร่วมกับ URL Cloud แสนยืดยาวของ Mikrotik ให้เป็นชื่อสั่นๆ ของเราเองครับ

ซึ่งในการเขียนบทความผมไม่ได้ค่านายหน้านะครับ ใช้งานดีเลยบอกต่อ แต่!!! อย่าเชื่อจนกว่าจะได้ลองด้วยตัวเองครับ

Credit :: https://www.thnic.co.th/ , https://www.cloudflare.com/
              และ พี่เอ นักวิชาการคอมพิวเตอร์ คณะวิทยาศาสตร์ มข. ที่ชวนใช้งานครับ

[Ubiquiti] การติดตั้ง UniFi Controller Version 5 บน Debian/Ubuntu

สำหรับวันนี้ผมจะมาแนะนำวิธีการอัพเกรด UniFi Controller เป็น Version 5 บน Debian/Ubuntu โดยใช้ไฟล์จาก https://www.ubnt.com/download/ ซึ่งมีขั้นตอนดังนี้ครับ

ขั้นตอนที่ 1 : ยกเลิกการติดตั้ง UniFi Controller Version ก่อนหน้าด้วยคำสั่ง

                         apt-get purge unifi

หมายเหตุ : อย่าลืม Backup Config ก่อนทำการลบ

ขั้นตอนที่ 2 : ทำการใช้คำสั่ง

                           wget http://dl.ubnt.com/unifi/5.0.6/unifi_sysvinit_all.deb

                       หรือ

                           wget https://www.ubnt.com/downloads/unifi/5.0.6/unifi_sysvinit_all.deb

เพื่อทำการโหลดไฟล์ติดตั้งมาไว้ที่ Server

ขั้นตอนที่ 3 : ทำการติดตั้งด้วยคำสั่ง

                         dpkg -i unifi_sysvinit_all.deb

หากการติดตั้งเรียบร้อยต้องไม่มี Error ใดๆ และได้ ผลลัพธ์ดังรูป

ขั้นตอนที่ 4 : ทำการติดตั้ง UniFi Controller ผ่านหน้า Web จนสามารถ Login เข้าสู่ระบบได้

ขั้นตอนที่ 5 : กดที่เครื่องหมายฟันเฟือง แล้วเลือกเมนู Maintenance เลื่อนหาหัวข้อ RESTORE จากนั้นเลือกไฟล์ Config เดิม

ขั้นตอนที่ 6 : รออัพโหลดไฟล์ให้เรียบร้อย จากนั้นจะมีให้กด Confirm ให้ทำการกดแล้วรอการ Restart Controller โดยอัตโนมัติ ซึ่งจะใช้เวลาสักพัก

หากไม่มีอะไรผิดพลาด Controller จะเด้งหน้า Login ขึ้นมาให้หลังจาก Restart ตัวเองเรียบร้อยเป็นอันเสร็จสิ้น

[UniFi] การนำ UniFi Access Point เข้าสู่ UniFi Controller แบบผ่าน Layer3

วันนี้ผมจะมานำเสนอวิธีการนำ UniFi เข้าสู่ UniFi Controller แบบผ่าน Layer3 กล่าวคือ UniFi Controller และ UniFi AP เพียงแค่อยู่ในระบบเครือข่ายภายในองค์กรเดียวกัน ซึ่ง UAP และ UniFi Controller ไม่จำเป็นต้องอยู่ในวงเน็ตเวิร์คเดียวกัน โดยวิธีการมีดังนี้ครับ

ขั้นตอนที่ 1 : ทำการ SSH เข้าไปที่ตัว UAP โดยผ่าน IP ของตัว UAP (วงที่ต่อ UAP ควรมี DHCP เพื่อให้ง่ายต่อการเข้าถึง UAP)

ขั้นตอนที่ 2 : ทำการ Restart UAP ด้วยคำสั่ง

syswarpper.sh restore-default

เพื่อล้างการตั้งค่าเดิม และ เพื่อให้มั่นใจว่าการตั้งค่าต่อไปจะไม่มีปัญหา

เมื่อใช้คำสั่งเรียบร้อย จะมีการแจ้งสถานะ Clearing CFG เมื่อเสร็จสิ้นจะหลุดจาก SSH

ขั้นตอนที่ 3 : ให้ทำการ SSH เข้าไปที่ UAP ใหม่แล้ว Login ด้วย User Password Default

User : ubnt
Pass : ubnt 

จากนั้นใช้คำสั่งเพื่อนำตัว UAP เข้าหา UniFi Controller ดังนี้

mca-cli

เพื่อเข้าสู่โหมดการใช้คำสั่ง
จากนั้นสั่งให้เข้าหา UniFi Controller ด้วยคำสั่ง

set-inform http://unifi.domain:8080/inform
หรือ
set-inform http://ip-address:8080/inform

ขั้นตอนที่ 4 : ไปที่ UniFi Controller จากนั้นกด ADOPT

รอการ Adopting

หากไม่มีอะไรผิดพลาดจะเข้าสู่สถานะ Provisioning UAP ก็จะเชื่อมต่อกับ UniFi Controller แบบสมบูรณ์

** หากขึ้นสถานะ Disconnect ให้กลับไปทำขั้นตอนที่ 3 ใหม่แต่ใช้ User Pass ของ Unifi Controller ที่เชื่อมต่อ

[UniFi] การนำ UniFi เข้าสู่ UniFi Controller แบบผ่าน Layer2

วันนี้ผมจะมานำเสนอวิธีการนำ UniFi เข้าสู่ UniFi Controller แบบผ่าน Layer2 กล่าวคือ UniFi Controller และ UniFi AP จะต้องอยู่ในวง L2 Network เดียวกันโดยวิธีการมีดังนี้ครับ

ขั้นตอนที่ 1 : เตรียม UAP ให้พร้อมต่อการ Config เข้ากับ Controller โดยตัว UAP จะต้องเป็น default ไม่มี Config อะไรมาก่อนโดยสถานะจะต้องเป็นสีส้ม หากเป็นสีเขียวให้ทำการกด Reset ตัวอุปกรณ์

** วิธีการ Reset นั้นเพียงแค่ใช้เข็มแทงเข้าไปที่รูด้านข้าง Port LAN รอจนไฟดับ แล้วปลดเข็มออก จากนั้นรอจนไฟติดเป็นสีส้มค้าง UAP ก็จะพร้อมสำหรับการ Config

ขั้นตอนที่ 2 : ไปดูที่ UniFi Controller จะสังเกตุเห็นว่ามี UAP เข้ามาที่ Controller หากมีหลายตัว ให้เปรียบเทียบ Mac Address เพื่อหาตัวที่ต้องการจากนั้นกด ADOPT เพื่อให้ตัว UAP เชื่อมต่อกับ UniFi Controller

** Mac Address สามารถดูได้ที่ด้านหลังของอุปกรณ์

หลังจากกดแล้ว Status ของตัวอุปกรณ์จะขึ้นเป็น Adopting

เมื่อสิ้นสุดขั้นตอนการ Adopting แล้วหากไม่มี Update ก็จะเข้าสู่ Status Provisioning เพื่อเตรียมความพร้อมต่างๆ ก่อนให้บริการ

ขั้นตอนที่ 3 : ตั้งชื่อของตัวอุปกรณ์หรือปรับค่าอื่นๆ ตามต้องการจากนั้นรอให้ขึ้นสถานะ Connected ก็เป็นอันพร้อมใช้งาน