Google DNSSEC | 1412

สอนติดตั้ง WireGuard VPN ไว้ใช้งานเอง

1412 — Wed, 27 Apr 2022 16:28:03 +0000

WireGuard เป็น VPN แบบ Open Source ตัวนึงที่ฟรี และเคลมว่าตัวมันเองเร็วกว่า OpenVPN ซะด้วย จึงมีความน่าสนใจอย่างมาก สำหรับใครที่กำลังมองหา VPN Server ไว้ใช้งานแบบ Private ไม่ได้ไปแชร์กับใคร เพื่อความเป็นส่วนตัวที่สุด และรองรับทั้งคอมพิวเตอร์และแอพบนโทรศัพท์ทั้ง Android/iOS ตัวเลือก WireGuard ก็ตอบโจทย์นี้อย่างมากเลยครับ เรามาดูวิธีการติดตั้ง WireGuard VPN Server กันเลยครับ

เตรียมความพร้อม

เช่า VPS Linux แนะนำเป็น CentOS 7 ขึ้นไป หรือท่านใดสะดวกใช้ Ubuntu ก็ได้เช่นกัน สำหรับในไทย แนะนำ https://cloudhost.in.th/service/cloud-vps-hosting และสำหรับต่างประเทศ แนะนำ https://www.vultr.com (สมัครผ่านลิงก์ ได้รับเครดิตฟรี)
โปรแกรม WireGuard VPN Client สำหรับฝั่งผู้ใช้งาน สามารถดูระบบที่รองรับ และโหลดได้ที่ลิงก์ https://www.wireguard.com/install/ รองรับ Windows/Mac OSX/Linux/Android/iOS แบบครบจบๆ ติดตั้ง WireGuard VPN Server ตัวเดียว ใช้ได้หลากหลายอุปกรณ์

ติดตั้ง WireGuard

SSH เข้าไปที่ Server ของเรา และรันคำสั่งด้านล่างนี้

yum install wget -y
wget https://github.com/Nyr/wireguard-install/raw/master/wireguard-install.sh && bash wireguard-install.sh

โปรแกรมติดตั้ง จะถามการตั้งค่า Port ซึ่งค่า Default จะเป็น Port: 51820 เราสามารถใช้การตั้งค่า Default ได้เลย โดยการ Enter

Welcome to this WireGuard road warrior installer!

What port should WireGuard listen to?
Port [51820]:

จากนั้น จะให้เราตั้งค่า Client Name ให้เราตั้งค่าเป็นชื่ออุปกรณ์ก็ได้ เช่น iPhone_Me1 เป็นต้น

Enter a name for the first client:
Name [client]:

หลังจากนั้น ระบบติดตั้งจะถามการตั้งค่า DNS Server ที่โปรแกรม WireGuard จะเรียกใช้งานเพื่อ Reslove DNS แนะนำเป็นของ Quad9 เพราะว่ามาพร้อมกับการ Blacklist เว็บไซต์ไวรัสต่างๆด้วย หรือหากใครที่ไม่ต้องการระบบกรองเว็บไซต์ สามารถเลือกใช้ตัวเลือกที่ 2 และ 3 ได้ครับ หรือหากเลือกเป็นตัวเลือกที่ 1 สามารถใส่หมายเลข IP DNS Server ได้ด้วยตัวเอง โดยการกำหนด DNS Server ที่ตัวเซิฟเวอร์ใช้งานอยู่ที่ /etc/resolv.conf สำหรับ CentOS

Select a DNS server for the client:
   1) Current system resolvers
   2) Google
   3) 1.1.1.1
   4) OpenDNS
   5) Quad9
   6) AdGuard
DNS server [1]:

จากนั้นให้เรา Enter เพื่อเริ่มติดตั้งได้เลย เมื่อติดตั้งเสร็จ ระบบจะทำการสร้าง QR Codeขึ้นมา สำหรับแอพมือถือ เราสามารถใช้แอพ WireGuard ที่ติดตั้งอยู่ ถ่ายรูป QR Code ได้เลย และทำการเพิ่ม VPN Profile เข้าไปในแอพได้ สะดวกมากๆ

ส่วนทางฝั่งคอมพิวเตอร์ เราสามารถ cat ไฟล์ที่ระบบแจ้งว่าได้สร้างขึ้นมา เช่น /root/yourprofilename.conf แล้วคัดลอกไปสร้างเป็นไฟล์ conf ในคอมของเรา จากนั้นใช้โปรแกรม WireGuard เรียกใช้งานไฟล์ เราก็จะสามารถใช้งาน Profile ของเราได้แล้วครับ

บทสรุป WireGuard

WireGuard เป็นระบบ VPN ฟรีที่น่าสนใจอย่างมากครับ ด้วยตัว Software เค้าเคลมว่าเร็วกว่า OpenVPN และเร็วกว่า VPN ตัวอื่นๆ ตามผลเทสด้านล่างนี้

นอกจากนี้ เรายังสามารถสร้าง Profile แยกใช้งานได้หลายเครื่อง โดยการรันไฟล์ wireguard-install.sh เพื่อรันตัวติดตั้งอีกครั้ง ด้วยคำสั่งนี้

chmod +x wireguard-install.sh # Frist only
./wireguard-install.sh # Next for management

ระบบติดตั้งระขึ้นให้เลือกจัดการ Profile ของเราครับ

WireGuard is already installed.

Select an option:
   1) Add a new client
   2) Remove an existing client
   3) Remove WireGuard
   4) Exit
Option:

นอกจากนี้ เรายังสามารถติดตั้ง WireGuard VPN ไว้หลายๆประเทศ เช่น TH, SG, USA และเลือกใช้งาน Profile ที่เหมาะสมหรือที่ต้องการได้ Software ทั้งหมดฟรีและดีจริงๆ

The post สอนติดตั้ง WireGuard VPN ไว้ใช้งานเอง first appeared on 1412.

DNSSEC คืออะไร? วิธีเปิดใช้ DNSSEC Domain/Client

1412 — Mon, 20 Jul 2020 17:44:40 +0000

Domain Name System Security Extensions (DNSSEC) คือ รูปแบบการให้บริการ DNS Server แบบเข้ารหัสข้อมูล โดยใช้ระบบ Public Key & Private Key เมื่อเรามีการเรียกเว็บไซต์ผ่านเบราเซอร์ หากโดเมนนั้นๆมีการตั้งค่า DNSSEC ไว้ DNS Server ที่รองรับ DNSSEC ก็จะส่งค่า IP ปลายทางมาให้เรา พร้อมกับ Public Key เพื่อให้เราไว้ใช้ยืนยันกับ DNS Server ว่าเป็นข้อมูลที่ถูกต้อง ไม่ได้ถูกเปลี่ยนเส้นทางระหว่างการร้องขอ DNS Record นั่นเอง

ทำไมต้อง DNSSEC

โดยหลักๆเลยก็คือ เรื่องของความปลอดภัย เพื่อยืนยันว่าเราจะเชื่อมต่อไปยัง Server ที่ถูกต้อง ไม่ได้เชื่อมต่อไปยัง Server ของ Hacker แล้วกรอกข้อมูล Login ของเราไปให้แฮกเกอร์ เป็นต้น

ถ้าโดเมนที่รองรับถูกเปลี่ยนเส้นทาง และหากมีการเซต DNSSEC ไว้ โดเมนนั้นๆจะเข้าไม่ได้เลยครับ

จะใช้ DNSSEC ได้อย่างไร

เนื่องจาก DNSSEC เกี่ยวข้องกับระบบ Domain Name ซึ่งจะเป็นในส่วนของฝั่ง Server และ Client ที่เป็นส่วนของผู้ใช้งาน เพราะฉะนั้น การที่จะรองรับการใช้งาน DNSSEC ได้นั้น จะต้องรองรับทั้ง 2 ฝั่ง ซึ่งปัจจุบันนี้ Domain Name นามสกุลต่างๆนั้นเกือบจะทั้งหมด รองรับการตั้งค่า DNSSEC อยู่แล้ว รวมถึงฝั่งของ Client ก็เช่นกัน เบราเซอร์รุ่นใหม่ๆ ก็รองรับการใช้งาน DNSSEC ด้วยเช่นกัน

ทดสอบ DNSSEC ฝั่ง Domain Name

วิธีการเช็คโดเมนของเรารองรับ DNSSEC ไหม สามารถเช็คได้ที่ลิงก์ https://dnsviz.net ครับ กรอกชื่อโดเมนที่ต้องการ > คลิกที่ Analyze > Continue แล้วเราจะได้ Chain DNS มาครับ ซึ่ง Chain ที่มีความปลอดภัย จะต้องไม่มีลูกศรสีดำ ระหว่าง Chain นะครับ

เพิ่มเติม: สามารถทดสอบได้อีกเว็บ https://dnssec-analyzer.verisignlabs.com/ เป็นเว็บเพิ่มเติม ดูง่ายดี

การเปิดใช้งาน DNSSEC ที่ฝั่ง Domain Name

General Top Level Domain Name (gLTD). Example: .com, .net, .org

วิธีการที่แสนจะง่ายที่สุด สำหรับโดเมนที่เป็น General Top-Level Domain (gTLD) เช่น .com, .net, .org เป็นต้น ที่ผมค้นพบก็คือ ใช้บริการ DNS ของ Cloudflare DNS Server เพียงแค่เราชี้ Name Server ไปหา Cloudflare โดเมนของเราก็จะได้รับการเข้ารหัส DNS เป็นที่เรียบร้อย อันเนื่องมาจาก Cloudflare DNS นั้นรองรับ DNSSEC อยู่แล้วนั่นเอง

xvlnw.com DNSSEC Authentication Chain (21/07/2020)

แต่สำหรับโดเมนที่เป็น Country-Code Top-Level Domain (ccLTD) ยกตัวอย่างประเทศไทย เช่น .in.th, .co.th, .at.th เป็นต้น การเข้ารหัส DNSSEC จะเริ่มจาก .th => .in.th => yourname.in.th ซึ่งจะมี Chain เพิ่มขึ้นมาอีก 1 Chain นั่นเอง ในกรณีโดเมนของประเทศไทย ที่ทาง THNIC เป็นผู้ดูแลนั้น ณ ขณะนี้ก็รองรับการทำ DNSSEC เป็นที่เรียบร้อยแล้ว แต่การใช้งาน Cloudflared DNS Server เพียงอย่างเดียว จะทำให้ DNSSEC ไม่สมบูรณ์ ตามภาพตัวอย่างด้านล่างนี้

cloudhost.in.th DNS chain before using DNSSEC. (21/07/2020)

cloudhost.in.th – DNS Chain Status: INSECURE

วิธีการเปิดใช้งาน DNSSEC สำหรับโดเมน .th ใช้บริการร่วมกับ Cloudflared DNS Server

ให้เราไปที่ Cloudflare.com > Your Domain > เมนู DNS > DNSSEC > คลิกที่ Enable DNSSEC จากนั้นทาง Cloudflare จะให้ข้อมูล Key ต่างๆ โดย Key ที่ต้องนำมากรอกคือ Key Tag, Algorithm, Digest Type และ Digest ให้เรานำเอาไปกรอกที่ระบบจัดการโดเมนกับทางผู้ให้บริการที่เราใช้บริการอยู่ หากไม่ทราบ แนะนำให้ติดต่อกับผู้ให้บริการจดโดเมน แจ้งขอเปิดใช้งาน DNSSEC นะครับ และเมื่อเราตั้งค่าเสร็จเรียบร้อย จะต้องรอให้ DNS Update ใช้เวลาประมาณ 1 Hour ตามที่ทาง Cloudflare แจ้งไว้ หลังจากเสร็จสมบูรณ์แล้ว ที่ฝั่งของ Cloudflare จะได้ตามรูปครับ

Cloudhost.in.th is protected with DNSSEC.

หลังจากทุกอย่างเรียบร้อย เราก็ลองมาตรวจสอบ DNS Chain อีกครั้ง ผลที่ได้ตามรูปครับ สังเกตว่าจะไม่มีลูกศรสีดำเหมือนก่อนหน้านี้แล้วครับ เป็นอันเสร็จสิ้นในส่วนของโดเมน หรือส่วนของผู้ดูแลระบบนะครับ

cloudhost.in.th – All DNS Chain is SECURE.

ทดสอบ DNSSEC ฝั่ง Client

เราสามารถตรวจสอบอุปกรณ์ของเราว่ารองรับ DNSSEC หรือไม่? ได้ที่ลิงก์ https://dnssec.vs.uni-due.de โดยเข้าเว็บแล้วกด Start Test

Client not support DNSSEC.

Client support DNSSEC.

การเปิดใช้งาน DNSSEC ที่ฝั่ง Client

สำหรับฝั่ง Client ผมแนะนำให้ใช้ DNS ของ Cloudflare DNS Client หรือ Google DNS Client ซึ่งรองรับการใช้งาน DNSSEC อยู่แล้ว

Cloudflare DNS

Cloudflare DNS IPv4

1.1.1.1 และ 1.0.0.1
1.1.1.2 และ 1.0.0.2 (ป้องกันโดเมนไวรัส)
1.1.1.3 และ 1.0.0.3 (ป้องกันโดเมนไวรัส และป้องกันเว็บโป้ เหมาะสำหรับเด็ก)

Cloudflare DNS IPv6

2606:4700:4700::1111 และ 2606:4700:4700::1001
2606:4700:4700::1112 และ 2606:4700:4700::1002 (ป้องกันโดเมนไวรัส)
2606:4700:4700::1113 และ 2606:4700:4700::1003 (ป้องกันโดเมนไวรัส และป้องกันเว็บโป้ เหมาะสำหรับเด็ก)

Google DNS

Google DNS IPv4

8.8.8.8 และ 8.8.4.4

Google DNS IPv6

2001:4860:4860::8888 และ 2001:4860:4860::8844

ทำไมต้อง Cloudflare + Google

โดยส่วนตัว ผมจะแนะนำ 2 ตัวนี้นะครับ อันเนื่องมาจากความเร็วในการ Reslove DNS และมาตรฐานความปลอดภัยครับ มีความน่าเชื่อถือสูงด้วย

สำหรับการตั้งค่า DNS เราสามารถเลือกใช้โปรแกรม แอพ มาช่วยการตั้งค่าได้ รวมถึง เราสามารถเลือกใช้ทั้ง Cloudflare, Google อย่างละ 1 ตัวก็ได้นะครับ เพราะว่า DNS Setting เราจะสามารถกรอกได้ 2 อัน เพื่อป้องกันอีกตัวล่มนั่นเอง

The post DNSSEC คืออะไร? วิธีเปิดใช้ DNSSEC Domain/Client first appeared on 1412.