คอนฟิก Mikrotik ให้บล๊อคเว็บโป้ บล๊อคเว็บที่ไม่ปลอดภัย
โพสต์แล้ว: 10 พ.ย. 2019 13:04ปัจจุบันนี้การจะบล๊อคเว็บโป้ บล๊อคเว็บที่ไม่มีความปลอดภัย ไม่ใช่เรื่องยากอีกต่อไปครับ ไม่ต้องซื้ออุปกรณ์อะไรเพิ่มด้วย ไม่ต้องซื้อโปรแกรมอะไรเพิ่มด้วย เพียงแค่เราเปลี่ยน DNS Server จากไอพี 8.8.8.8 หรือ 8.8.4.4 หรือที่รับมาจาก Router ไปเป็นไอพีของ Public DNS Server อื่นที่รู้จักเว็บโป้ ซึ่งเจ้าของเป็นองค์กรที่มีความน่าเชื่อถือครับ เช่น
CleanBrowsing - 185.228.168.168
OpenDNS - 208.67.222.123
Yandex - 77.88.8.7
CloudFlare - 1.1.1.1
ก็ยังมีอีกหลายเจ้าครับ แต่ทั้ง 3 เจ้าข้างบนนี้ผมทดสอบแล้วว่าใช้งานได้ครับ ทั้ง 3 เจ้าจะแสดงหน้าเว็บตอนถูกบล๊อคไม่เหมือนกันครับ บางเจ้าก็เคลมว่านอกจากจะบล๊อคเว็บโป้ได้แล้ว ก็จะไม่เอาข้อมูลเว็บไซต์ที่เราขอ Resolve ไปขายให้แก่บุคคลที่ 3 อีกด้วย
แม้ว่าเราจะไม่ใช้ DNS Server ตามข้างบนก็ตาม ทางกระทรวง ICT และ ISP ก็บล๊อคอยู่แล้วดังรูปนี้
แต่ไม่หมดครับเว็บมันเยอะมากมายมหาศาล จึงต้องอาศัย DNS Server พวกนี้ช่วย
เมื่อเรารู้คอนเซ็ปต์การบล๊อคเว็บโป้ได้แบบฟรีๆแล้ว ต่อไปเราก็มาคอนฟิก Mikrotik
1. กรณี Mikrotik เป็น DHCP Server ให้แจก DNS Server เป็น IP ข้างบน จะแจก 3 ไอพีเลยก็ได้เผื่อว่า DNS Server แรกๆจะเจ๊งไปจะได้มีสำรอง
ซึ่ง Clients จะได้ DNS Server มาทั้ง 3 ไอพีเลย ดังรูปนี้ครับ
2. แม้ว่าเราจะจ่าย DNS Server ตามข้อ 1 ไปพร้อมกับ DHCP แล้ว แต่อาจจะมี User บางท่านทำการคอนฟิก DNS Server เอง ซึ่งทำได้ครับ ดังรูปนี้
เขาก็จะเข้าเว็บโป้ได้อีก เพื่อป้องกันเหตุการณ์ลักษณะนี้ เราต้องคอนฟิก Mikrotik ให้ส่ง DNS Traffics จาก Users ทุกคนไปยัง DNS Server ตามข้างบนครับ วิธีการคอนฟิกมีดังต่อไปนี้
วิธีการคอนฟิก Mikrotik ให้ Redirect DNS Server ไปยัง DNS Server อื่น
ลองทดสอบแก้ไข DNS Server บน PC เองครับ เป็น 8.8.8.8
ลองเข้าเว็บโป้ดูก็จะเข้าไม่ได้ครับ
เมื่อมีคนเซ็ต DNS Server เอง บน Log ของ Mikrotik จะฟ้องแบบนี้ครับ (เมนู Log)
หมายเหตุ...
ข้อมูลตามบทความนี้นะครับ ในปัจจุบันก็ยังใช้งานได้อยู่แน่ๆ แต่อีกไม่นานนักจะมีเทคโนโลยีการ Resolve DNS แบบใหม่มาใช้งาน (ปัจจุบันก็รองรับในหลายๆ Web Browser แล้วเช่น Firefox, Brave, Safari, Chrome, Edge, ...) ซึ่งมีชื่อว่า DOH ย่อมาจากคำว่า DNS over HTTPs ซึ่งการ Resolve จะไม่ได้ใช้พอร์ต UDP 53 อีก แต่จะใช้ TCP 443 แทน พอร์ตเดียวกับเว็บ HTTPS นั่นแหล่ะครับ
หน้าเว็บตอนที่ถูกบล๊อค
มาดูหน้าเว็บตอนที่เว็บถูกบล๊อคเมื่อใช้ DNS Server ของแต่ละเจ้าครับ
1. OpenDNS - 208.67.222.123
2. CleanBrowsing - 185.228.168.168
3. Yandex - 77.88.8.7
ยังไม่หมดครับ
ผมได้ทดสอบหลายๆรอบมาก พอที่จะสรุปปัญหาและวิธีการแก้ไขเพื่อที่ทำให้การทดสอบ "เวิร์ค" ดังต่อไปนี้ครับ
1. Windows ยังเก็บ DNS Cache ไว้อยู่ เมื่อเราเข้าเว็บเดิมมันรู้ IP Address อยู่แล้วจึงไม่ขอ DNS Resolver อีก ส่ง URL ตรงไปยัง IP ของ Web Server เลย ผลก็คือยังเข้า Web ได้อยู่ วิธีการแก้ไขคือให้เคลียร์ DNS Cache ครับ
2. Web Browser จำเว็บใน Cache พอเราพิมพ์ URL ของเว็บ มันก็ดึงข้อมูลใน Cache มาโชว์เลย ไม่ได้ขอ DNS Resolver ไม่ได้ส่ง URL ไปด้วยซ้ำ วิธีแก้ไขคือเคลียร์ Cache ของ Web Brower ครับ หรือไม่ก็ปิด Web Browser แล้วเปิดใหม่ หรือไม่ก็ใช้อีก Web Browser หนึ่ง
3. ทำทั้งข้อ 1 และ 2
4. บาง DNS Server ค่อนข้าง Resolve ช้าครับ แต่แค่อึดใจเท่านั้น ไม่ได้ใช้มากมาย ไงก็ลอง DNS Server ของ CleanBrowsing ดูครับ
แม้ว่าเราจะคอนฟิก DNS Redirect แบบนี้แล้ว ยูสเซอร์ก็ยังสามารถทะลุผ่านด่านของเราไปได้อีก ทั้งการใช้ VPN และการใช้ DOH (DNS Over HTTPs) ไงตอนนี้ก็ปล่อยเขาไปก่อนครับ จนกว่าเราจะหาทางป้องกันได้
เทคนิคการบล๊อค VPN Tunnel ด้วย Mikrotik
รวมเทคนิคการใช้งาน Elastix
รวมเทคนิคการใช้งาน Asterisk
รวมเทคนิคการใช้งาน Issabel
รวมเทคนิคการใช้งาน FreePBX
รวมเทคนิคการใช้งาน RasPBX - Asterisk on Raspberry Pi
รวมเทคนิคการใช้งาน Mikrotik RouterOS/Router Board
CleanBrowsing - 185.228.168.168
OpenDNS - 208.67.222.123
Yandex - 77.88.8.7
CloudFlare - 1.1.1.1
ก็ยังมีอีกหลายเจ้าครับ แต่ทั้ง 3 เจ้าข้างบนนี้ผมทดสอบแล้วว่าใช้งานได้ครับ ทั้ง 3 เจ้าจะแสดงหน้าเว็บตอนถูกบล๊อคไม่เหมือนกันครับ บางเจ้าก็เคลมว่านอกจากจะบล๊อคเว็บโป้ได้แล้ว ก็จะไม่เอาข้อมูลเว็บไซต์ที่เราขอ Resolve ไปขายให้แก่บุคคลที่ 3 อีกด้วย
แม้ว่าเราจะไม่ใช้ DNS Server ตามข้างบนก็ตาม ทางกระทรวง ICT และ ISP ก็บล๊อคอยู่แล้วดังรูปนี้
แต่ไม่หมดครับเว็บมันเยอะมากมายมหาศาล จึงต้องอาศัย DNS Server พวกนี้ช่วย
เมื่อเรารู้คอนเซ็ปต์การบล๊อคเว็บโป้ได้แบบฟรีๆแล้ว ต่อไปเราก็มาคอนฟิก Mikrotik
1. กรณี Mikrotik เป็น DHCP Server ให้แจก DNS Server เป็น IP ข้างบน จะแจก 3 ไอพีเลยก็ได้เผื่อว่า DNS Server แรกๆจะเจ๊งไปจะได้มีสำรอง
ซึ่ง Clients จะได้ DNS Server มาทั้ง 3 ไอพีเลย ดังรูปนี้ครับ
2. แม้ว่าเราจะจ่าย DNS Server ตามข้อ 1 ไปพร้อมกับ DHCP แล้ว แต่อาจจะมี User บางท่านทำการคอนฟิก DNS Server เอง ซึ่งทำได้ครับ ดังรูปนี้
เขาก็จะเข้าเว็บโป้ได้อีก เพื่อป้องกันเหตุการณ์ลักษณะนี้ เราต้องคอนฟิก Mikrotik ให้ส่ง DNS Traffics จาก Users ทุกคนไปยัง DNS Server ตามข้างบนครับ วิธีการคอนฟิกมีดังต่อไปนี้
วิธีการคอนฟิก Mikrotik ให้ Redirect DNS Server ไปยัง DNS Server อื่น
ลองทดสอบแก้ไข DNS Server บน PC เองครับ เป็น 8.8.8.8
ลองเข้าเว็บโป้ดูก็จะเข้าไม่ได้ครับ
เมื่อมีคนเซ็ต DNS Server เอง บน Log ของ Mikrotik จะฟ้องแบบนี้ครับ (เมนู Log)
หมายเหตุ...
ข้อมูลตามบทความนี้นะครับ ในปัจจุบันก็ยังใช้งานได้อยู่แน่ๆ แต่อีกไม่นานนักจะมีเทคโนโลยีการ Resolve DNS แบบใหม่มาใช้งาน (ปัจจุบันก็รองรับในหลายๆ Web Browser แล้วเช่น Firefox, Brave, Safari, Chrome, Edge, ...) ซึ่งมีชื่อว่า DOH ย่อมาจากคำว่า DNS over HTTPs ซึ่งการ Resolve จะไม่ได้ใช้พอร์ต UDP 53 อีก แต่จะใช้ TCP 443 แทน พอร์ตเดียวกับเว็บ HTTPS นั่นแหล่ะครับ
หน้าเว็บตอนที่ถูกบล๊อค
มาดูหน้าเว็บตอนที่เว็บถูกบล๊อคเมื่อใช้ DNS Server ของแต่ละเจ้าครับ
1. OpenDNS - 208.67.222.123
2. CleanBrowsing - 185.228.168.168
3. Yandex - 77.88.8.7
ยังไม่หมดครับ
ผมได้ทดสอบหลายๆรอบมาก พอที่จะสรุปปัญหาและวิธีการแก้ไขเพื่อที่ทำให้การทดสอบ "เวิร์ค" ดังต่อไปนี้ครับ
1. Windows ยังเก็บ DNS Cache ไว้อยู่ เมื่อเราเข้าเว็บเดิมมันรู้ IP Address อยู่แล้วจึงไม่ขอ DNS Resolver อีก ส่ง URL ตรงไปยัง IP ของ Web Server เลย ผลก็คือยังเข้า Web ได้อยู่ วิธีการแก้ไขคือให้เคลียร์ DNS Cache ครับ
2. Web Browser จำเว็บใน Cache พอเราพิมพ์ URL ของเว็บ มันก็ดึงข้อมูลใน Cache มาโชว์เลย ไม่ได้ขอ DNS Resolver ไม่ได้ส่ง URL ไปด้วยซ้ำ วิธีแก้ไขคือเคลียร์ Cache ของ Web Brower ครับ หรือไม่ก็ปิด Web Browser แล้วเปิดใหม่ หรือไม่ก็ใช้อีก Web Browser หนึ่ง
3. ทำทั้งข้อ 1 และ 2
4. บาง DNS Server ค่อนข้าง Resolve ช้าครับ แต่แค่อึดใจเท่านั้น ไม่ได้ใช้มากมาย ไงก็ลอง DNS Server ของ CleanBrowsing ดูครับ
แม้ว่าเราจะคอนฟิก DNS Redirect แบบนี้แล้ว ยูสเซอร์ก็ยังสามารถทะลุผ่านด่านของเราไปได้อีก ทั้งการใช้ VPN และการใช้ DOH (DNS Over HTTPs) ไงตอนนี้ก็ปล่อยเขาไปก่อนครับ จนกว่าเราจะหาทางป้องกันได้
เทคนิคการบล๊อค VPN Tunnel ด้วย Mikrotik
รวมเทคนิคการใช้งาน Elastix
รวมเทคนิคการใช้งาน Asterisk
รวมเทคนิคการใช้งาน Issabel
รวมเทคนิคการใช้งาน FreePBX
รวมเทคนิคการใช้งาน RasPBX - Asterisk on Raspberry Pi
รวมเทคนิคการใช้งาน Mikrotik RouterOS/Router Board