ไฟล์ WRData มีขนาดใหญ่ขึ้นโดยไม่มีสาเหตุ!!

วิธีแก้ไขเรื่องปัญหาไฟล์  WRData มีขนาดใหญ่ผิดปกติ ดำเนินการกับเครื่องที่พบปัญหาในหน้า console มีขั้นตอนดังนี้

วิธีที่ 1 (คลิกเลือกเครื่องที่มีปัญหา)

– Agent Commands > Re-Verify Data

– Agent Commands > Run Scan

หากคุณต้องการเร่งกระบวนการให้ไปที่เครื่องนั้นและคลิกขวาที่ไอคอน Webroot เลือก ” Refresh Configuration “ และคลิก “Ok” สิ่งนี้จะบังคับให้รับคำสั่งจาก Console ทันที

วิธีที่ 2

คือลบโฟลเดอร์ที่เป็นปัญหา แต่จะสามารถลบโฟลเดอร์ “WRData” ได้หลังจากเปลี่ยน Policy ของเครื่องนั่นๆที่พบปัญหาดังกล่าวเป็น Unmanage และปิดการทำงานของ Webroot ทั้งหมดไป หรือจะลบ Webroot ออกไปก่อนก็ย่อมได้ และเมื่อคุณเปิดใช้งานเอเจนต์อีกครั้งโฟลเดอร์นี้ก็จะถูกสร้างขึ้นใหม่โดยอัตโนมัติ

สำหรับใครที่สงสัยว่าโฟลเดอร์ WRData อยู่ที่ไหนบนเครื่อง ตามรูปด้านล่าง

WiFi จะเสถียร ดี เร็ว อยู่ที่ Channel capacity

คำถามที่ 1 : AP ตัวที่ผมมี user ล้น 100 คน ตลอด จะมีแนวทางแก้ไขปัญหาอย่างไรดีครับ ผมปรับ Max Client เป็น 150 หรือ 200 ได้หรือไม่ครับ? แล้วประสิทธิภาพจะลดลงเยอะไหมครับ ??

ตอบ : การปรับ Max Client ให้ทำ 2 ที่นะครับคือ
       – Advance setting ของ WLAN นั้น ๆ
       – Configure -> Access Point และดูที่ setting ของ AP Group ครับ

หลายครั้งที่เรามักจะเข้าใจว่า จำนวน Client ขึ้นอยู่กับความสามารถหรือข้อจำกัดของ AP แต่ในความเป็นจริง ความสามารถของ Enterprise AP เช่น Ruckus มี Processor และ Memory เกินกว่าความสามารถของ Radio frequency เสมอ คำถามที่ถูกต้องคือ หากเพิ่ม Client เป็น 150 หรือ 200 แล้ว ความถี่ในอากาศจะมีเวลาพอในการรับส่งข้อมูลของ Client ทั้งหมดได้หรือไม่

เพราะการใช้ความถี่ ใช้ทีละเครื่องครับ คือ AP ใช้ที แล้ว Client ก็ใช้ที ผลัดกันไปคนละเวลา

WiFi packet จะอยู่ในอากาศประมาณ 20-50 micro-second ดังนั้น ใน 1 วินาที เราสามารถจะใส่ packet เข้าไปได้ไม่มากกว่า 50,000+ packet ในจำนวน 50,000 นี้ แบ่งกันใช้ทุก client ของทุก AP ของทุก network ที่ใช้ความถี่เดียวกัน แม้ว่าจะมี AP ของคนอื่นที่ติดตั้งในบริเวณเดียวกันนั้น เช่น มือถือที่ทำตัวเป็น AP หากอยู่ในความถี่เดียวกัน ก็จะแบ่งเอา 50,000 นี้ไปใช้ด้วย

การ แบ่งเวลาไปใช้งาน เป็นคนละประเด็นของการรบกวนทางความถี่ การแบ่งเวลาไม่ถือว่าเป็นการรบกวน แต่เป็นสภาพแวดล้อมของการใช้ความถี่ด้วยจำนวนเครื่องที่หนาแน่น หรือเรียกว่า High density environment

และในสภาพแวดล้อมเอง ก็มีสัญญาณอื่น ๆ ในย่านความถี่ของ WiFi ปะปนอยู่ด้วย สัญญาณเหล่านี้คือสัญญาณรบกวนที่จะรบกวน WiFi packet ได้ก็ต่อเมื่อ “สัญญาณรบกวนและ WiFi packet มีการใช้ความถี่พร้อมกันเท่านั้น” เมื่อมีการรบกวนเกิดขึ้น ก็มักจะทำให้ WiFi packet เสียหาย ต้องส่ง Packet ใหม่ ก็จะทำให้เสียเวลาของความถี่มากขึ้นไปอีก จำนวน Packet ต่อ 1 วินาทีก็จะน้อยกว่า 50,000+ packet ลงไปอีก

การรองรับจำนวน Client ได้มาก จึงเป็นเรื่องของการบริหารความถี่ คือ บริหารเวลาของความถี่ให้ใช้ได้คุ้มค่ามากที่สุด และบริหารพื้นที่ครอบคลุม ให้จำนวน Client ต่อ 1 พื้นที่ครอบคลุมของความถี่นั้น มีจำนวนพอเหมาะ ไม่มากไม่น้อยเกินไป

บริหารเวลา

       – เมื่อมีการส่ง WiFi packet ออกไปในอากาศ หาก Client ไม่ได้รับ ผู้ส่งจะไม่ได้รับ Acknowledgement จาก client ผู้ส่งก็จะต้องรอจนกว่าจะ Timeout แล้วก็ค่อยส่ง packet นั้นใหม่ ยิ่งพลาดมาก ก็ยิ่งเสียเวลาในความถี่ซ้ำไปซ้ำมามาก เวลานั่งรอ Timeout ก็ยิ่งมาก ทำอย่างไรให้พลาดน้อย ก็ต้องเพิ่ม SNR

เพิ่ม SNR หมายความว่า Signal ของเรามีระดับสัญญาณสูงกว่า Noise signal เมื่อปลายทางได้รับสัญญาณของเราที่ดังกว่า Noise ก็จะสามารถ Demodulate data ออกมาจากความถี่ได้สำเร็จ

การเพิ่ม SNR มักจะถูกคิดไปเฉพาะการเพิ่มเสาหรือกำลังส่ง แต่การเพิ่มเสาหรือเพิ่มกำลังส่ง จะเป็นการเพิ่มพื้นที่ครอบคลุม ยิ่งเพิ่มพื้นที่ครอบคลุม ก็จะทำให้ Channel นั้นมีโอกาสรับ Client มากขึ้น ก็ยิ่งทำให้สภาพแวดล้อมของ High density สาหัสขึ้นไปอีก

จึงจะต้องเพิ่ม SNR แต่ไม่เพิ่มพื้นที่ครอบคลุม วิธีคือทำให้ Client ใกล้ AP มากขึ้น แนวโน้มของการทำระบบ Wifi จึงเป็นการใช้ AP ตัวเล็กลง แต่จำนวน AP ในระบบมากขึ้น เพื่อครอบคลุมพื้นที่เท่าเดิม เพื่อรองรับจำนวน Client ต่อพื้นที่ที่มากขึ้นนั่นเอง ในอดีตจำนวน Client มาจากหลายคนแต่มีแค่ 1 เครื่อง มาเป็นปัจจุบันที่ 1 คนถือกันคนละ 1 เครื่อง และจะกลายเป็น 1 คนหลายเครื่องในอนาคต แปลว่าความหนาแน่นของ Wifi network ก็จะเพิ่มมากขึ้น การเพิ่ม SNR ก็ยิ่งมีความสำคัญมากขึ้น

       – ลดเวลาด้วยการทำให้แต่ละ packet นำพาจำนวนบิตได้มากขึ้น หรือเป็นการเพิ่ม PHY rate นั่นเอง การเพิ่ม PHY rate ก็มักจะหมายถึงการใช้มาตรฐานใหม่ ๆ ที่ให้ PHY rate หรือ Mbps ที่สูงขึ้น เช่น 11ac ทั้งนี้ เงื่อนไขที่จะทำให้เทคโนโลยีอย่าง 11ac ทำงานที่ PHY rate สูง ๆ ได้ ก็มักจะต้องพึ่งพา SNR ที่สูง เช่น Modulation 256QAM ของ 11ac ก็ต้องการ SNR ที่สูง เงื่อนไขเหมือนข้อแรก คือ ทำ SNR ให้สูงอย่างเหมาะสม โดยไม่เพิ่มความหนาแน่น คำตอบเดิมคือ การเพิ่มจำนวน AP เข้าไปในระบบ

บริหารพื้นที่ครอบคลุม

ต้องไม่หลุดประเด็นว่า เป็นการประเมินพื้นที่ครอบคลุมของความถี่ ไม่ใช่พื้นที่ครอบคลุมของ AP ดังนั้น ช่องสัญญาณหนึ่งบน AP 1 ตัวจะครอบคลุมพื้นที่กว้างไกลเท่าไหร่ ก็จะต้องดูว่า พื้นที่นั้นควรจะมี Client ไม่เกินกว่า 200 เครื่อง เมื่อได้พื้นที่แล้วก็หาจุดติดตั้ง AP ที่เหมาะสมซึ่งส่วนใหญ่ก็มักจะเป็นตรงกลางของพื้นที่

พื้นที่ ครอบคลุมของแต่ละ Channel บนแต่ละ AP จึงไม่ควรใหญ่เกินไป ไม่ใหญ่จนกระทั่งจำนวน Client มีมาก ก็ขึ้นอยู่กับพื้นที่ใช้งานประเภทนั้น ๆ เช่น การใช้ในห้องเรียนและโรงอาหาร ก็ใช้งานแตกต่างกัน เปิดปิดเครื่องแตกต่างกัน การ Upload/Download ก็แตกต่างกัน

บางครั้งเราพยายามจะแขวน AP บนเพดานสูงในห้องประชุมใหญ่ หากทำแบบนั้น พื้นที่ครอบคลุมของ AP ตัวนี้จะรองรับผู้ใช้ 800 คนทั้งห้องประชุมทันที เพราะทุก ๆ คนสามารถมองเห็น AP ตัวนี้แบบ Line-of-Sight ซึ่งเราอาจจะพิจารณาติดตั้ง AP ตัวเล็กรอบห้องประชุม AP (แทนจะเป็นตัวใหญ่ตรงกลาง) แต่ละตัวก็จะรองรับ Client ที่ไกลจากตัวไม่เกิน 25-30 เมตรก่อนที่ Client จะไปเจอกับ AP ตัวถัดไปและ Roaming ไปยัง AP ตัวที่ดีกว่า เป็นต้น

จากปัจจัย 2 ข้อข้างต้น ก็จะทำให้ประเมินได้ดียิ่งขึ้นว่า พื้นที่และจำนวน AP เท่าไหร่ จึงจะเหมาะสม

นอกจากนี้ การรองรับ Client เป็นจำนวนมาก ยังหมายถึงการเพิ่ม Band จาก Single band (2.4GHz) เป็น Dual band (2.4/5GHz) ก็เท่ากับเป็นการเพิ่ม Capacity อีก 1 เท่าตัว และยังรวมถึงความพยายามในการใช้ 11n หรือ 11ac ในลักษณะ Spatial streaming หลาย ๆ stream พร้อมกัน ก็ยิ่งทำให้การใช้ความถี่ใน 1 ช่วงเวลานั้น รับส่งจำนวน bit ได้มากขึ้นไปอีก สรุปคือ พยายามใช้ AP รุ่นใหม่ ๆ และไม่ยึดติดกับ AP รุ่นเดิม ๆ เช่น 11g หรือ 11n single band ก็จะช่วยให้ Wifi capacity เพิ่มขึ้นได้ ในทางกลับกัน ความพยายามที่จะใช้ AP รุ่นเก่า ๆ มารองรับ Client จำนวนมาก ก็มักจะพบกับความล้มเหลวอย่างตรงไปตรงมา

คำถามที่ 2 : ผลจากการทำ Dynamic PSK มี 2 SSID ทำให้ผู้ใช้รู้สึกว่ามันช้าลงกว่าตอนมี SSID เดียว มีวิธีแก้ปัญหาหรือไม่ครับ ???

ตอบ : การ มี 2 SSID เท่ากับการเพิ่มจำนวน Beacon packet ในอากาศให้มากขึ้น ไม่ได้เป็นข้อด้อย แต่การเปลืองเวลาในความถี่ ก็จะต้องเป็นการใช้ SSID นั้นเพื่อตอบจุดประสงค์ครับ เช่น เพื่อการแยก VLAN ระหว่าง User group ที่แตกต่างกัน แบบนี้ก็ถือว่าคุ้มค่าและเหมาะสมที่จะมี 2 SSID ครับ

ปกติ แล้ว Beacon packet สำหรับแต่ละ SSID คือ 10 beacon ต่อวินาที (Time interval = 100mS) การมี SSID เพียงแค่ 2 จะไม่ทำให้ผู้ใช้รู้สึกถึงช้าหรือเร็วครับ

แต่ผลของการมี SSID เพิ่มขึ้นมา ก็ทำให้เกิด Wifi Management Packet เพิ่มขึ้นมาด้วย เช่น
       – มี Probe request และ Probe response เพิ่มขึ้น
       – มี Association / De-association / Re-assocation เพิ่มขึ้น

ดังนั้น การมี SSID เพิ่มขึ้นมาเป็น 2 SSID นั้น ในระบบปกติ User จะไม่สามารถสังเกตเห็นความช้า/เร็วที่เปลี่ยนแปลงไปได้ แต่สำหรับระบบที่อยู่ในสภาพ High density มีโอกาสเป็นไปได้ที่ SSID ที่เพิ่มขึ้นจะมีผลต่อ User ซึ่งการ Monitor ตัวแปร (parameter) ต่าง ๆ ของ AP ตัวนั้น ๆ ผ่านทาง ZoneDirector สามารถให้คำตอบที่ชัดเจนได้ครับ

คำถามที่ 3 : เนื่องจากผมใช้ Firewall เป็นตัว DHCP จึงทำ Subnet ไว้แจกเลขได้แค่ ประมาณ 500 เครื่อง (ใช้ Class C )
แต่เลขเหล่านั้นไม่พอแจกผู้ใช้แล้วครับ ผมจึงอยากจะขยายไปใช้ Class B ซึ่งรองรับได้หลัก 1000 up
แน่นอนว่า Broadcast จะต้องมีเยอะมาก ที่ปรึกษาด้าน Firewall เป็นห่วงเรื่องการ Broadcast ในกลุ่มผู้ใช้มาก ๆ จึงแนะนำให้ทำ VLAN ซึ่งแบ่งเป็น ย่อย ๆ (ผมว่าลำบากครับ) จึงอยากปรึกษาว่า ถ้าผมเปิดแจกเลขไอพีจำนวนมาก จะมีผลจากการ Broadcast มากหรือน้อยเพียงใด ?

แล้ว ฟังก์ชัน Isolate ที่ป้องกันการ Broadcast ของ Ruckus มี หรือไม่ครับ ป้องกันได้มากน้อยเพียงใด
อยากสอบถามมาว่า Ruckus มีระบบ Isolate ที่ป้องกันการ Broadcast หรือไม่ ตั้งค่ายังไง
และใช้แล้วจะมีประสิทธิภาพในการจัดการ Broadcast หรือไม่

หรือปัญหาแบบนี้ ทาง Optimus จะแนะนำผมอย่างไรในการแก้ปัญหา IP ไม่พอครับ ??? ขอบคุณมากครับ

ตอบ : เป็นประเด็นที่คิดไปคนละทิศคนละทาง ในทาง Radio และในทาง Network

ถ้า คิดในทาง Network สมมติว่าเรามี 2 VLAN แต่ละ VLAN อยู่กันคนละ SSID ดังนั้น เรามี 2 Broadcast domain บน Network ซึ่ง Broadcast packet ของ VLAN หนึ่งจะไม่ไปรบกวนในอีก VLAN หนึ่ง

แต่คิดในทาง Radio ทั้ง 2 SSID นั้นก็อยู่บน AP ตัวเดียวกันบน Radio band เดียวกัน หมายความว่า เมื่อ VLAN-A ส่ง Broadcast ออกมาใช้ Radio แล้ว VLAN-B ก็จะส่ง Broadcast ออกมาบน Radio เดียวกันนั้นไม่ได้ เพราะ Radio band ถูกใช้งานอยู่ แตกต่างจาก VLAN บน Network ที่ทั้ง 2 VLAN สามารถจะส่ง Broadcast packet พร้อมกันได้

ดังนั้น การแยก Broadcast domain บน Network จึงไม่ได้ช่วยให้สถานการณ์ของการใช้ Radio ดีขึ้นเท่าไหร่นัก เพราะ Broadcast packet ของทุก ๆ VLAN ยังคงมาพบกันบนอากาศอยู่ดี

การลด Broadcast บน Radio domain จึงจะมุ่งประเด็นไปที่ Client isolation มากกว่า ซึ่งเป็นการลด Broadcast packet ที่ตัว Client ไม่ให้เข้าสู่ระบบ ไม่ว่า Client นั้นจะอยู่ VLAN ใด

ใน ZoneDirector จะมี “Isolate wireless client traffic from all hosts on the same VLAN/subnet”

ความหมายตามคู่มือ เขียนว่า

โดย สรุปคือ Client จะสามารถติดต่อรับส่ง ARP ที่เกี่ยวข้องกับหมายเลข IP และ MAC address ของ Gateway เท่านั้น ที่เหลือจะถูก Drop ที่ AP ทั้งหมด และไม่มีโอกาสเลยที่ ARP นั้นจะถูกส่งออกไปในอากาศ (เว้นแต่ในกรณีของ Mesh)

เมื่อเราสกัด ARP จาก Wifi client ได้ Wifi client แต่จะเครื่องจะมองไม่เห็นกันโดยสิ้นเชิง กิจกรรมต่าง ๆ ที่ก่อให้เกิด Broadcast packet ถูกลดจำนวนลงไปเป็นอย่างมาก ก็จะทำให้ Broadcast packet น้อยลง ผลก็คือ VLAN จะรองรับจำนวน Client ได้มากขึ้น เพราะความกังวลเรื่อง Broadcast flooding หมดไปแล้ว ความจำเป็นในการแยก VLAN ก็น้อยลง ก็จะสามารถเพิ่มจำนวน Host ใน Subnet โดยใช้ Subnet ที่ใหญ่ขึ้นได้

อีกฟีเจอร์หนึ่งที่จะช่วยให้แต่ละ VLAN สามารถรองรับจำนวน Client มาก ๆ ได้ คือ Rate limit ผมแนะนำให้ตั้ง Rate limit เอาไว้สำหรับแต่ละ Client ใน WLAN ไม่มากกว่า 20 Mbps ซึ่งไม่ใช่ Internet rate limit แต่เป็น Network access rate limit หมายความว่า เราจะสร้างข้อจำกัดเพื่อลดความสามารถในการโจมตีระบบของ Client เอาไว้ที่ไม่เกินกว่า 20Mbps (ทุกวันนี้ Client 11ac สามารถโจมตีระบบด้วย Throughput สูงถึง 400-500Mbps) ส่วน Internet bandwidth limit นั้นปล่อยให้เป็นหน้าที่ของ Firewall/Router ไปครับ

Rate limit setting ดูที่ Advance setting ของ WLAN ครับ

สินค้าที่เกี่ยวข้อง

  • Prospace DIAG WiFi

    DIAG WiFi บริการตรวจเช็คคุณภาพงาน IT (WiFi Assessment)

    DIAG WiFi, Prospace, Wireless

สอบถามข้อมูลเพิ่มเติม สามารถติดต่อได้ที่ ติดต่อแผนก Marketing

โทร : 02-2479898 ต่อ 87 

เรียบเรียงเป็นภาษาไทยโดย : คุณ วุฒิ กิ่งหิรัญวัฒนา

เก็บ Log ตามพรบ.ได้ 100%…จริงหรือ ?

เก็บ Log ตามพรบ.ได้ 100%…จริงหรือ

ลูกค้าที่กำลังคิดจะซื้อ Firewall ย่อมจะต้องถามผู้ขายว่า Firewall ของคุณสามารถเก็บ Log ตามพรบ.ได้ใช่ไหม ซึ่งผู้ขายมักจะตอบว่า “ทำได้ 100% จ้า” ซึ่งมักจะเป็นคำตอบที่ถูกเพียงบางส่วน

มีความจริงอยู่ 2 เรื่องที่อยู่บนหน้าจอของเราตลอดเวลา 

ความจริงที่ 1 : เรื่องของ POST และ GET

หน้า web ที่เราเห็นผ่าน Browser ก็คือ Command ที่ใช้คุยกันระหว่าง Browser และ Web server ซึ่งมีอยู่ 2 Command ที่ พรบ. ให้ความสนใจคือ คำสั่ง POST (Browser ทำการ Post ข้อมูลไปยัง Web site) และคำสั่ง GET (Browser ขอ Get ข้อมูลมาจาก Website)

เราโหลดอะไรจาก website มาแสดงบน Browser ของเรา พรบ.ต้องการให้เราเก็บว่า มีการใช้คำสั่ง GET จาก Client เครื่องนั้น ๆ และ พรบ.ก็ต้องการให้เราเก็บว่า ผู้ใช้ (Browser) มีการใช้คำสั่ง POST เพื่อส่งข้อมูลไปยัง website เช่น การโพสข้อความต่าง ๆ ไปยังกระทู้

ความจริงเรื่อง 2 : HTTPS

สังเกตว่า เวลาที่จะทำธุรกรรมกับ webiste ของธนาคาร หรือ Login เข้า Facebook ที่บรรทัด URL ของ Browser จะมีรูปกุญแจสีเขียวขึ้นมา แสดงว่า เรากำลังติดต่อกับ website ด้วย HTTPS ตัว S ก็แปลว่า มีการเข้ารหัสข้อมูล

เข้ารหัส แปลว่า Encrypte ข้อมูลก่อนส่งออกจาก Browser อุปกรณ์ตรงกลาง เช่น AP, Switch, Router, Firewall, ฯลฯ จะไม่สามารถอ่านข้อมูลเหล่านั้นได้เลย ได้แต่เพียงส่งข้อมูลให้ web server เท่านั้น คนเดียวที่มีกุญแจในการแกะข้อมูล (Decrypte) นั้นออกมาได้คือ web server

การเข้ารหัส เกิดขึ้นทั้งขาไปและขากลับ

การเข้ารหัส ไว้ใจได้มากพอที่คนเป็นจำนวนมากทั่วโลก สามารถจะส่ง Password ของ Facebook ผ่านทาง Browser เดินทางข้ามอินเตอร์เน็ต ไปถึง Facebook ได้อย่างปลอดภัย เช่นเดียวกับ website ของธนาคารทุกแห่ง

1 + 2 ทำให้คิดได้ว่า...

ยกตัวอย่างเช่น เราใช้ Browser เปิดหน้า Login ของธนาคาร เราป้อน Username และ Password เมื่อกดปุ่ม Login นั่นคือ Browser ของเราก็ผลิตคำสั่ง POST ขึ้นมาเพื่อส่ง Username และ Password ไปให้ธนาคาร

คำสั่ง POST ถูกเข้ารหัสก่อนออกจากเครื่อง ตามเงื่อนไขของ HTTPS

Firewall ไม่สามารถแกะ HTTPS ได้ ก็ไม่สามารถเก็บคำสั่ง POST นั้นได้ ก็เท่ากับผิดตาม พรบ.นั่นเอง

ยกตัวอย่างเช่น เราเปิดหน้า Facebook และเราก็ป้อนข้อความดูหมิ่นผู้อื่น ซึ่ง Facebook ก็ใช้ HTTPS แปลว่า Firewall ย่อมไม่สามารถมองเห็นคำสั่ง POST นั้นได้ จึงไม่สามารถเก็บ Log เอาไว้ได้

คำถาม-คำตอบ

ถาม: แล้วอย่างนี้ จะต้องเรียงหน้าเข้าคุกกันทั่วประเทศ ?
ตอบ: เพราะ HTTPS ออกแบบมาเพื่อต่อต้านการแกะรหัส ปกปิดข้อมูล แต่ พรบ.บังคับให้เราต้องเก็บข้อมูลในสิ่งที่ถูกเข้ารหัส สิ่งที่เจ้าของข้อมูลจงใจปกปิดไว้ด้วยการเข้ารหัส ย่อมทำได้ยากมาก กฎหมายขัดแย้งกับความจริงทางเทคโนโลยี ขัดแย้งกับคนทั้งโลก การไม่เก็บ Log จาก HTTPS ก็ถือเป็นการกระทำความผิด (ไม่ได้เก็บ Log ตาม พรบ.) ในลักษณะที่ศาลน่าจะให้ความเป็นธรรมได้

ถาม: ไม่เก็บ Log ของคำสั่ง POST หรือ GET งั้นเก็บ URI ก็ยังดี (URL บน Address bar ของ Browser)
ตอบ: เวลาที่เปิดเวบธนาคาร และเรากดที่ Link สิ่งที่เกิดเบื้องหลังคือ Browser ของเราก็จะส่ง Link นั้นไปยัง web server ผ่าน HTTPS เช่นกัน คือ แม้แต่ URI ที่เราจะเปิด Address ก็ถูกเข้ารหัสด้วยเช่นกัน

ถาม: แล้วปัจจุบัน มีอะไรที่ใช้ HTTPS ที่เราเก็บ Log ไม่ได้ และเป็นความผิดตาม พรบ.บ้าง
ตอบ: คำตอบคือ แทบจะทุกอย่าง เช่น
              – Dropbox (จัดเป็นบริการโอนแฟ้มข้อมูล)
              – E-mail ที่ติดต่อกันด้วย TLS (จัดเป็นบริการจดหมายอิเล็กทรอนิคส์)
              – Web server ทุกแห่งที่ใช้ HTTPS สำคัญ ๆ เช่น Facebook, Twitter, (จัดเป็นบริการ web)
              – Line ก็เข้ารหัสข้อมูลด้วยเช่นกัน (จัดเป็นบริการโต้ตอบกันบนเครือข่าย) และบริการเหล่านี้ ก็เริ่มหันมาเข้ารหัสกันมากขึ้น

ถาม: แล้ว Firewall ยี่ห้อที่เขาอ้างว่า เก็บข้อมูลได้ตาม พรบ. 100% หมายความว่าอย่างไร
ตอบ: เขาพูดไม่ครบ มันจะมีคำว่า “แต่….” แฝงอยู่ด้วยเสมอ ซึ่งลูกค้ามักไม่ถามต่อ แค่ได้ยินว่า 100% ก็ซื้อแล้ว บทความนี้คือการนำเบื้องหลังของคำว่า “แต่…” มาขยายให้ได้อ่านกัน

ถาม: อยากรู้ว่า Firewall ที่ใช้อยู่ หรือที่กำลังจะซื้อ เก็บตาม HTTPS ตามพรบ.ได้ หรือไม่ จะทดสอบได้อย่างไร
ตอบ: วิธีตรวจสอบว่า เก็บตาม พรบ.ได้ 100% หรือไม่ ก็แค่การทดสอบเดียวง่าย ๆ คือ เราเปิด Facebook และโพสข้อความ หรือเปิด web ของธนาคาร และ Login จากนั้น ให้ผู้ขายหรือ Admin แสดง Log ว่า Browser ของเราได้มีการส่งคำสั่ง POST ไปยังผู้ให้บริการ (Facebook หรือธนาคาร)

ถ้าไม่สามารถแสดงได้ แสดงว่า Firewall นั้นเก็บ Log ตาม พรบ.ไม่ 100%

ถ้าแสดงได้ และแสดง Password ที่คุณป้อนที่หน้า web ของธนาคารนั้นออกมาด้วย แนะนำให้ติดต่อกับ Vendor ของ Firewall นั้นโดยด่วน เพราะอันตรายมากที่ Password รั่วไหล

Log ที่ดี จะแสดงเพียงคำสั่ง POST, GET และคำสั่งอื่น ๆ เท่านั้น ไม่แสดงข้อมูล

สำหรับ WatchGuard เราสามารถแสดงคำสั่ง POST และ GET ของ HTTPS ได้ โดยจะแสดงเฉพาะคำสั่ง ส่วนข้อมูลของคำสั่ง (Password หรือ post Message) จะไม่มีการแสดงออกมา และ XTM ได้ถูกออกแบบมาให้

การถอดรหัสข้อมูลนั้น เกิดขึ้น “ภายใน Silicon chip ตัวเดียว” ไม่สามารถจะ Tab ข้อมูลที่ถูกถอดรหัสแล้ว ออกมาแงะดูข้อมูลภายในคำสั่ง POST หรือ GET ได้

ทั้งนี้ การแกะ HTTPS อาจจะทำให้การเปิดดู website บางแห่งทำไม่ได้ ตามมาตรการรักษาความปลอดภัยที่เข้มงวดของ website นั้น ๆ นอกจากนี้ การแกะ HTTPS ยังใช้ CPU เพื่อการ Encrypt/Decrypt ค่อนข้างมาก

ดังนั้น XTM ส่วนใหญ่เรามักจะไม่ได้เปิด DPI (Deep Packet Inspection) ให้กับ HTTPS ซึ่งทำให้การใช้อินเตอร์เน็ตลื่นไหลได้ดีกว่า แม้การเก็บ Log จะมีบกพร่องไปบ้างก็ตาม

หมายเหตุ
       ในหลาย ๆ คดีเกี่ยวกับอาชญากรรมทางเทคโนโลยี ทางกองปราบฯ (บก.ปอท.) ก็ได้ขอความร่วมมือจากแหล่งอื่น ๆ เช่น เจ้าของ website หรือเจ้าของ Hosting server หรือ ISP ในการรวบรวมข้อมูลผู้กระทำความผิดเพื่อมาเป็นหลักฐานประกอบการพิจารณาคดี (หลักฐานไม่ได้มาจาก Log ของ Firewall ฝั่งผู้ใช้เพียงฝ่ายเดียว) และยังไม่

      พบว่า มีการเอาผิดต่อผู้ให้บริการ ที่ไม่ได้เก็บข้อมูลจาก Encrypted protocol ในขณะที่การดำเนินคดีก็สามารถดำเนินได้ถึงที่สุด จนสามารถพิจารณาคดี และตัดสินลงโทษผู้กระทำความผิดได้หลายคดีแล้ว

แม้ว่าพวกเราจะเก็บ Log จาก HTTPS ได้หรือไม่ได้ก็ตาม…

Xclaim Offline (Build : 2.2.0.0.54)

ถาม: Access Point ไม่สามารถเข้าถึง Cloud Manager ได้ (Offline)

ตอบ: เพราะปัญหาเนื่องจากไม่ซิงค์ NTP และใบรับรองหมดอายุ โดยวิธีแก้ไขให้ ต้อง Reboot Access Point 2 ครั้ง เป็นเวลา 10 นาที เพื่อให้ Access Point สามารถอัพเกรดเป็นเฟิร์มแวร์ล่าสุด

Product: Xclaim Xi-1/2/3 and Xo-1
Build: 2.2.0.0.54 (LATEST RELEASE)
Release Date: 27/10/2020

This is a CRITICAL update which fixes Certificate , Time-sync issues. Please update now.

Mobile SSLVPN ติดตั้งอย่างไร?

SSLVPN คืออะไร?

SSLVPN ย่อมาจาก Secure Sockets Layer + Virtual Private Network คือ การให้บริการระบบเครือข่ายเฉพาะภายในองค์กรที่สามารถใช้งานโดยอาศัยเครือข่ายสาธารณะ (Public Network) หรือ Internet โดยที่บุคคลภายนอกองค์กรไม่สามารถเข้าถึงได้ เพราะระบบจะทำการตรวจสอบความมีตัวตนก่อนให้บริการ ระบบการเข้าถึงข้อมูลผ่าน SSL เป็นมาตรฐานการส่งเอกสารที่เป็นความลับบนระบบ Internet มีการทำงานโดยอาศัย Cryptographic system ที่จะต้องมีกุญแจที่สำคัญของการเข้ารหัส 2 อัน คือ Public Key และ Private Key การเข้ารหัสที่เป็น SSL ที่เราเห็นกันทั่วไปมักใช้ในรูปแบบของ https:

โดยการติดตั้ง Application “OpenVPN Connect” บนระบบปฏิบัติการ IOS มีขั้นตอนดังต่อไปนี้…

1. เข้า App store และโหลด Application “OpenVPN Connect”

2. เปิด browser ไปที่ ตัวอย่างเช่น https://optimus2000.ddns.net/sslvpn

3. หลังจากนั้น Login ด้วย Username / Password

4. เลือก Download เมนูที่ 3 ในส่วนของ Mobile VPN with SSL client profile

5. หลังจาก Download ให้กดที่มุมขวาและกดซ้ำตรงไฟล์ที่โหลดมาอีกครั้ง

6. เมื่อเสร็จสิ้นข้อ 5 ได้จะได้เมนูดังรูปด้านล่าง หลังจากนั้นกดมุมขวาบนและเลือกหาแอพ OpenVPN ได้เลยครับ

7. หลังจาก Add เข้าไปใน OpenVPN เรียบร้อยแล้วก็ให้กรอก Username / Password (ต้องติ๊กถูกหน้า Password ถึงจะสามารถใส่พาสเวิร์ดได้ครับ)

8. เมื่อใส่ข้อมูลเรียบร้อยก็เริ่ม Connect ได้ปกติเลยครับ หาก connect สำเร็จจะเห็นโลโก้ VPN ตรงมุมซ้ายบนอย่างในรูปครับ

การแปลง Ruckus Unleashed AP เป็น Standalone AP (ด้วย command line หรือ CLI)

สามารถเปลี่ยน firmware  AP จาก Unleashed เป็น firmware 100.x สำหรับโหมด Standalone (หรือใช้งานร่วมกับ Controller ZD / SZ ได้)

วิธีการทำ

1. สามารถดาวน์โหลด firmware AP แบบ Standalone ที่เป็น image 100.x จากเว็ปไซต์สนับสนุนเพื่อติดตั้งแทน Unleashed (เก็บไว้ใน PC / Notebook ที่คุณใช้เพื่อเปลี่ยน firmware AP)

2. เปิดใช้งาน Unleashed AP กดปุ่ม Hard Reset ค้างไว้เป็นเวลา 8 วินาที หรือนานกว่านั้น แล้วปล่อยมือ

3. เปิดการใช้งาน PC / Notebook Fix ip ให้อยู่ในวง Network เดียวกับ ip default ของตัว Access Point เช่น ip default คือ 192.168.0.1 เราก็ Fix ip PC / Notebook เป็น 192.168.0.2 เป็นต้น แล้วลอง ping ว่าเจอ ip default ของตัว Access Point ไหม

4. ถ้า Ping เจอ ให้เปิดโปรแกรม Putty เลือก SSH ใส่ ip 192.168.0.1 ที่เป็น ip default เพื่อทำการ SSH ไปที่ตัวของ AP

5. โดยเข้าสู่ระบบด้วย User & Password default

                 User name = super, Password = sp-admin

Would you like to start the Setup Wizard? [yes/no]: ลือก “no”

6. จากนั้นให้เปิดโปรแกรม TFTP64 เลือก Firmware Image ที่ต้องการจะ Upgrade แล้วกด Copy แล้วเปิดโปรแกรม TFTP64 ทิ้งไว้

7. กลับไปที่โปรแกรม Putty ใช้ command (ไม่ต้องใส่ “….”) ดังนี้

Welcome to Ruckus Unleashed Network Command Line Interface
ruckus> “enable”

ruckus# “ap-mode”
Yon have all rights in this mode.
ruckus (ap-mode) # “fw set control (ชื่อไฟล์ Image)”

OK
ruckus (ap-mode) # “fw set proto tftp”
OK
ruckus (ap-mode) # “fw set host (IP ของเครื่อง PC/notebook)”
OK

ruckus (ap-mode) # “fw update”

ตัวอย่าง

8. เมื่อ Upgrade Firmware เสร็จแล้ว ให้ทำการ reboot AP ก่อน จึงจะสามารถ Upgrade อีกรอบได้ ทั้งจาก Upgrade ทั้ง 2 รอบแล้ว ให้ใช้ command “fw show all” เพื่อเช็คว่า Firmware ที่อัพไปถูกต้องทั้ง 2 Image

9. ไปที่หน้า Bowser แล้วพิมพ์ ip default 192.168.0.1 จะเจอหน้าดังนี้ ให้กด Advanced แล้วกด Proceed to 192.168.0.1 (unsafe)

10. จะเห็นหน้า Login เพื่อเข้าใช้งาน โดยเข้าสู่ระบบด้วย User & Password default 

                 User name = super, Password = sp-admin

หมายเหตุ :

  • วิธีการ Upgrade Firmware  นี้ เป็นการ Upgrade Firmware  โดยวิธีการใด?

     ตอบ เป็นการ Upgrade แบบ AP ต่อตรงเข้ากับ PC หรือ Notebook

  • ทำไมต้องอัพ Upgrade Firmware 2 รอบ?

     ตอบ เนื่องจาก AP ของ Ruckus มีที่จัดเก็บ Image 2 อัน เวลา Image ใดเสีย จะไปถึง Image อีกอันมา เพื่อให้สามารถใช้งานต่อได้

การแปลง Ruckus Unleashed AP เป็น Standalone AP (ด้วยหน้าเว็บ UI)

สามารถเปลี่ยน firmware AP จาก Unleashed เป็น firmware 100.x สำหรับโหมด Standalone (หรือใช้งานร่วมกับ Controller ZD / SZ ได้)

วิธีการทำ

1. สามารถดาวน์โหลด firmware AP แบบ Standalone ที่เป็น image 100.x จากเว็ปไซต์สนับสนุนเพื่อติดตั้งแทน Unleashed (เก็บไว้ใน PC / Notebook ที่คุณใช้เพื่อเปลี่ยน firmware AP)

2. เปิดใช้งาน Unleashed AP กดปุ่ม Hard Reset ค้างไว้เป็นเวลา 8 วินาที หรือนานกว่านั้น แล้วปล่อยมือ

3. เปิดการใช้งาน PC / Noteboox Fix ip ให้อยู่ในวง Network เดียวกับ ip default ของตัว Access Point เช่น ip default คือ 192.168.0.1 เราก็ Fix ip PC / Notebook เป็น 192.168.0.2 เป็นต้น แล้วลอง ping ว่าเจอ ip default ของตัว Access Point ไหม

4. ถ้า Ping เจอ ให้ไปที่หน้า Bowser แล้วพิมพ์ ip default 192.168.0.1 จะเจอหน้าดังนี้ ให้กด Advanced แล้วกด Proceed to 192.168.0.1 (unsafe)

5. จะเห็นหน้าเริ่มต้นของ Unleashed จะเห็น คลิกที่ “Local Upgrade” และเราจะเห็นตัวเลือกอัปเกรดเพื่ออัปโหลดเฟิร์มแวร์ กด Next

6. เลือก firmware 100.x ZoneFlex สำหรับรุ่นของ Access Point นั้นและทำการ Upgrade ต่อไป

7. เมื่อ AP Upgrade Firmware Image ของ ZoneFlex 100.x เสร็จแล้ว จะสามารถเข้าถึงได้ ผ่านทางที่ 192.168.0.1 ที่อยู่ IP พร้อมข้อมูลการเข้าสู่ระบบ

                 User name = super, Password = sp-admin

หมายเหตุ :

  • วิธีการ Upgrade Firmware  นี้ เป็นการ Upgrade Firmware  โดยวิธีการใด?

     ตอบ เป็นการ Upgrade แบบ AP ต่อตรงเข้ากับ PC หรือ Notebook

การแปลง Ruckus Standalone AP เป็น Unleashed AP (ด้วย command line หรือ CLI)

สามารถเปลี่ยน  firmware  AP จาก firmware 100.x เป็น Unleashed 200.x

วิธีการทำ

1. สามารถดาวน์โหลด firmware AP แบบ Standalone ที่เป็น image 200.x จากเว็ปไซต์สนับสนุนเพื่อติดตั้งแทน Standalone(เก็บไว้ใน PC / Notebook ที่คุณใช้เพื่อเปลี่ยน firmware AP)

2. เปิดใช้งาน Standalone AP กดปุ่ม Hard Reset ค้างไว้เป็นเวลา 8 วินาที หรือนานกว่านั้น แล้วปล่อยมือ

3. เปิดการใช้งาน PC / Notebook Fix ip ให้อยู่ในวง Network เดียวกับ ip default ของตัว Access Point เช่น ip default คือ 192.168.0.1 เราก็ Fix ip PC / แล็ปท็อป เป็น 192.168.0.2 เป็นต้น แล้วลอง ping ว่าเจอ ip default ของตัว Access Point ไหม

4. ถ้า Ping เจอ ให้เปิด โปรแกรม Putty เลือก SSH ใส่ ip 192.168.0.1 ที่เป็น IP default เพื่อทำการ SSH ไปที่ตัวของ AP

5. เข้าสู่ระบบด้วย User name และ Password default

                 User name = super, Password = sp-admin

6. จากนั้นให้เปิด โปรแกรม TFTP64 ลือก Firmware Image ที่ต้องการจะ Upgrade แล้วกด Copy แล้วเปิดโปรแกรม TFTP64 ทิ้งไว้

7. กลับไปที่ โปรแกรม Putty ใช้ command ดังนี้

            fw set control (ชื่อไฟล์ Image )
            fw set proto tftp
            fw set host (IP ของเครื่อง PC/ notebook )
            fw update

ตัวอย่าง

8. เมื่อ Upgrade Firmware เสร็จแล้ว ให้ทำการ reboot AP ก่อน จึงจะสามารถ Upgrade อีกรอบได้ ทั้งจาก Upgrade ทั้ง 2 รอบแล้ว ให้ใช้ command “fw show all” เพื่อเช็คว่า Firmware ที่อัพไปถูกต้องทั้ง 2 Image

9. ไปที่หน้า Bowser แล้วพิมพ์ IP default 192.168.0.1 จะเจอหน้าดังนี้ ให้กด Advanced แล้วกด Proceed to 192.168.0.1 (unsafe)

10. จะเห็นหน้าเริ่มต้นของ Unleashed

หมายเหตุ :

  • วิธีการ Upgrade Firmware  นี้ เป็นการ Upgrade Firmware  โดยวิธีการใด?

     ตอบ เป็นการ Upgrade แบบ AP ต่อตรงเข้ากับ PC หรือ Notebook

  • ทำไมต้องอัพ Upgrade Firmware 2 รอบ?

     ตอบ เนื่องจาก AP ของ Ruckus มีที่จัดเก็บ Image 2 อัน เวลา Image ใดเสีย จะไปถึง Image อีกอันมา เพื่อให้สามารถใช้งานต่อได้

การแปลง Ruckus Standalone AP เป็น Unleashed AP (ด้วยหน้าเว็บ UI)

สามารถเปลี่ยน  firmware  AP จาก firmware 100.x เป็น Unleashed 200.x

วิธีการทำ

1. สามารถดาวน์โหลด firmware AP แบบ Unleashed ที่เป็น image 200.x จากเว็ปไซต์สนับสนุนเพื่อติดตั้งแทน ZF Standalone (เก็บไว้ใน PC / Notebook ที่คุณใช้เพื่อเปลี่ยน firmware AP)

2. เปิดใช้งาน AP กดปุ่ม Hard Reset ค้างไว้เป็นเวลา 8 วินาที หรือนานกว่านั้น แล้วปล่อยมือ

3. เปิดการใช้งาน PC / Notebook Fix ip ให้อยู่ในวง Network เดียวกับ ip default ของตัว Access Point เช่น ip default คือ 192.168.0.1 เราก็ Fix ip PC / notebook เป็น 192.168.0.2 เป็นต้น แล้วลอง ping ว่าเจอ ip default ของตัว Access Point ไหม

4. ถ้า Ping เจอ ให้ไปที่หน้า Bowser แล้วพิมพ์ IP default 192.168.0.1 จะเจอหน้าดังนี้ ให้กด Advanced แล้วกด Proceed to 192.168.0.1 (unsafe)

5. จะเห็นหน้า Login เพื่อเข้าใช้งาน โดยเข้าสู่ระบบด้วย User name และ Password default

              User name = super, Password = sp-admin

6. ไปที่แถบเมนู Upgrade ด้านข้าง ให้เลือกเป็น Upgrade Local” และเลือก Firmware Unleashed สำหรับรุ่นของ Access Point จากนั้นทำการ Upgrade ต่อไป

7. เมื่อ AP Upgrade Firmware Image ของ Unleashed เสร็จแล้ว จะสามารถเข้าถึงได้ ผ่านทาง Bowser ด้วย ip 192.168.0.1 5. จะเห็นหน้าเริ่มต้นของ Unleashed

หมายเหตุ :

  • วิธีการ Upgrade Firmware  นี้ เป็นการ Upgrade Firmware  โดยวิธีการใด?

     ตอบ เป็นการ Upgrade แบบ AP ต่อตรงเข้ากับ PC หรือ Notebook

อะไรคือ 802.3at

         อธิบายให้เข้าใจง่ายๆ คือ 802.3at นั้นเป็นมาตราฐานที่ใช้สำหรับจ่ายไฟให้อุปกรณ์ เช่น เช่น Access Point, VoIP Phone, CCTV IP-Camera เป็นต้น ซึ่ง 802.3at จะมีรองรับการส่งไฟฟ้า DC ที่มีกำลังสูงถึง 25.5Watt หรือมากได้ถึง 50Watt เมื่อใช้สายในการส่งกระแสไฟฟ้า ทำไมถึงต้องใช้อุปกรณ์ที่สามารถจ่ายไฟ มาตราฐาน 802.3at หรือ PoE+

         เนื่องจากแต่ก่อนอุปกรณ์เครือข่ายอย่าง Access Point หรือ VoIP Phone นั้น มีความต้องการกระแสฟ้าในระดับ 8-12 Watt ซึ่งเป็นมาตรฐาน 802.3af และปัจจุบันนั้น อุปกรณ์ต่างๆก็ต้องการใช้ไฟที่สูงขึ้น เพื่อให้อุปกรณ์สามารถใช้งานได้ดียิ่งขึั้นหรือใช้งานได้ Feature ได้ครบมากยิ่งขึ้น จึงจำเป็นต้องใชั้ไฟตามมาตราฐาน 802.3at หรือ PoE+