ว่าด้วยเรื่อง Cloudflare tunnel และ configuration ของมัน

ตอนนี้ที่บ้านมีใช้ Cloudflare tunnel สำหรับทำให้ Home Assistant เข้าถึงได้จากนอกบ้าน (ถ้าเป็นสมัยก่อนเราจะใช้การทำ dynamic dns + forward port จาก router) แต่ท่า Cloudflare tunnel นี้ทำอะไรได้มากกว่า แถมไม่ต้องไปพึ่งพาทั้ง dynamic dns และ configuration ของ router ที่ดีบ้างไม่ดีบ้างด้วย

ที่ผ่านมามีการใช้งานตัว tunnel ผ่าน cloudflared (ของแท้ต้องมี -ed) ที่เป็น docker image ของทาง Cloudflare เอามาทำสองอย่างคือ ทำตัว DNS ร่วมกับ Pi-hole กับเอามาทำ Tunnel เนี่ยแหล่ะ

ภาพอธิบายการทำงานของ cloudflare tunnel

ที่จะเล่าวันนี้คือ อยู่ ๆ ตัว cloudflared container (ที่รันอยู่บน k3s) ที่ทำหน้าที่ tunnel พออัพเกรด version ก็ใช้งานไม่ได้ ฟ้องว่าไม่ได้มีการ set ingress ผืด( ingress คือตัวที่บอกว่า ต้นทาง host หนึ่งๆ จะให้ forward request ไปที่ local server ตัวไหน) พยายามทำเท่าไหร่ก็ไม่สำเร็จ แก้ ingress ที่เป็น config.yaml ของมันยังไงก็ไม่เวิร์ค

Security Risk : ใครใช้ Router ที่แถมมากับ ISP โปรดอ่าน

ถ้าใครอ่านข่าว IT อยู่บ้างจะเห็นว่าช่วงที่ผ่านมามีข่าวเรื่องผู้ใช้งานอินเตอร์เน็ตในไทยโดยแฮค Router เพื่อแก้ไข DNS (ข่าวจาก Blognone)

เล่าสั้นๆก็คือ มีผู้ไม่ประสงค์ดีเข้ามาแก้ไข DNS ใน Router เรา ส่งผลให้เมื่อเราเข้าบางเว็บไซต์ (เช่น Google.com / Youtube.com)  Router ตัวนี้จะส่งเราไปยังเว็บไซต์ปลอม เพื่อดาวโหลดซอฟท์แวร์ไวรัสอีกที โดยหลอกเราว่า Adobe Flash บนเครื่องเก่าเกินไปให้ลงตัวใหม่ (ซึ่งเป็นไวรัส) หรืออีกกรณีที่เจอคือเมื่อเข้าเว็บแล้วจะถูกส่งไปหน้าเว็บอื่นก่อนเพื่อให้คลิกโฆษณาก่อนที่ส่งไปเว็บจริงๆที่เราต้องการ หรือใครมีอาการที่เข้าเว็บที่บ้านแล้วแปลกๆในขณะที่ที่ทำงานไม่เป็น และที่บ้านยังใช้ Router จาก True/Tot/3bb อยู่ ให้สันนิษฐานไว้ก่อนเลยว่าโดนแล้ว

 

ปัญหานี้ส่วนใหญ่เกิดได้จาก 2 กรณีใหญ่ๆคือ

1. ใช้รหัสผ่านของ Router เป็นค่าเริ่มต้นจากโรงงาน โดยส่วนใหญ่ Router ที่แถมมาตอนติดตั้งเน็ตจะเป็น Password เหมือนๆกัน tot เอย admin เอย router เอย … บางคนไม่รู้ด้วยซ้ำว่า Router ต้องตั้งค่าความปลอดภัยอะไรบ้าง ข้อนี้สามารถแก้ได้ง่ายได้ ดังนี้

  • เข้าไปยังหน้าตั้งค่า Router ผ่านทางหน้าเว็บ โดยส่วนใหญ่จะเป็น  http://192.168.1.1 หรือไม่ก็ http://192.168.0.1 แล้วก็ใส่ User / Password ที่ตั้งค่ามาจากโรงงาน ตัวอย่างเช่น Router TPLink ที่แถมมากับ True Internet จะเป็น User admin / password admin
  • เมื่อเข้ามาได้ก็เข้าไปที่หน้า Administration เปลี่ยนรหัสซะ เป็นอันจบ …
  • เรื่องวิธีเปลี่ยนรหัส น่าจะหาอ่านได้ทั่วๆไป search ด้วย Keyword “วิธีเปลี่ยนรหัส+router”  อันนี้เป็นวิธีเปลี่ยนรหัส Router ของ True http://support2.truecorp.co.th/detail.aspx?document_id=377

Default Password ของ Router มีอยู่ในหน้า Support ของ True

 

2. Router ที่ใช้อยู่มีช่องโหว่ด้านความปลอดภัย ซึ่งส่วนใหญ่จะเป็น Router ที่แถมมาจากตอนติดอินเตอร์เน็ตอีกเช่นกัน ข้อนี้แหล่ะที่อยากจะเขียนถึงในวันนี้ ช่วงโหว่อันนี้ค่อนข้างร้ายแรง ชนิดที่ว่าต่อให้เปลี่ยนรหัสเป็นรหัสยากขนาดไหน ก็ไม่มีผล เพราะรหัสสามารถถอดกลับมากได้อยู่ดี ช่องโหว่นี้ถูกเรียกกันว่า Rom-0

Scroll to top