บทความ MikroTik สำหรับผู้เริ่มต้นใช้งาน MikroTik

98/29 ถนนโพธิ์แก้ว
นวมินทร์ บึงกุ่ม กทม.

บทความ MikroTik

     หลังจากที่ผมเปิดคอร์สอบรม Hacking & Security ไปได้ไม่นาน ผลตอบรับกลับมาก็ถือว่าค่อนข้างดีครับ แต่ที่ดียิ่งกว่าก็คือ คำถามที่เข้ามาหลากหลาย ซึ่งส่วนใหญ่ก็จะหนีไม่พ้นว่า จะเรียนคอร์สนี้ต้องมีพื้นฐานอะไรมาบ้าง? เรียนไม่กี่วันจะเรียนทันหรือ? แล้วเรียนจบไปแล้วใช้ทำงานด้านไหนบ้าง? สรุปแล้วผมจะพบกับคำถามเหล่านี้บ่อยมาก วันนี้ไม่มีคอร์สสอนผมก็เลยว่างมานั่งเขียนบทความชิ้นนี้ เพื่อตอบข้อสงสัยสำหรับผู้สนใจสายงานด้านนี้ และผู้ที่ยังลังเลว่าจะเข้าอบรมดีหรือไม่ บทความนี้คงช่วยคลายปัญหาและข้อสงสัยต่างๆ ลงไปได้บ้างนะครับ

เรียนยากหรือเปล่า ต้องมีพื้นฐานอะไรบ้างถึงจะเรียนได้รู้เรื่อง

     คำถามนี้ถือเป็นคำถามยอดฮิตติดอันดับหนึ่งมาตลอดเลยครับ จะเรียนด้าน Hacking & Security ต้องมีพื้นฐานอะไรมาบ้าง กลัวเรียนแล้วไม่รู้เรื่อง ผมก็ขอบอกตรงนี้เลยนะครับว่า การเรียนรู้ด้านนี้มันไม่ได้ยากอย่างที่ใครๆ คิดเพียงแต่พื้นฐานที่เราต้องมีมาก่อนนั้นเป็นสิ่งสำคัญ เช่น พื้นฐานด้าน Network ที่ต้องมีคือสิ่งเหล่านี้ครับ

คลิกดาวน์โหลดบทความ

สอนหลักสูตรพื้นฐานป้องกันการโอนแฮก

          เมื่อวานนี้ (21 เมษา 61) เว็บไซต์ Mikrotik ได้แจ้งเตือนเกี่ยวกับช่องโหว่ที่รุนแรงล่าสุดให้ทราบ โดยช่องโหว่นี้เกิดจากพอร์ตของโปรแกรม Winbox ทำให้ Hacker สามารถเข้าถึงตัว Mikrotik ของเราได้ โดยไม่ต้องรู้รหัสพาสเวิร์ด admin และเข้ามาเอาฐานข้อมูลที่เก็บรายชื่อ User ของ Mikrotik ได้เลย นั่นหมายความว่า Hacker จะสามารถรู้ชื่อและรหัสพาสเวิร์ดของ admin ด้วย นี่อาจเป็นสาเหตุที่ว่าช่วงก่อนหน้านี้ Mikrotik โดย Hack กันเยอะ ทั้งที่ตั้งรหัสพาสเวิร์ดดีแล้ว หรือปิด Service ของ ssh, ftp หรือ telnet ไปแล้วก็ตาม เพราะส่วนใหญ่เรายังเปิด Service ของ Winbox อยู่

          ใครที่ควรระวังที่สุด ก็คือ คนที่ใช้ Mikrotik รับ WAN IP โดยตรง (ต่อตรงกับอินเทอร์เน็ต) จะมีโอกาสเสี่ยงที่สุดครับ แต่ถ้า Mikrotik ไม่ได้รับ WAN IP โดยตรง (มีแค่ LAN IP) ความเสี่ยงจากช่องโหว่นี้มีไม่มาก

          ทางแก้ปัญหาที่ดีที่สุดในตอนนี้คือ ให้อัปเกรดเป็น RouterOS เป็นเวอร์ชั่นล่าสุด คือ 6.42.1 หรือกำหนดให้ เข้ามาใช้งาน Winbox ได้เฉพาะ IP ภายในเท่านั้น ไปกำหนดที่ IP > Services > ดับเบิ้ลคลิกที่ Winbox แล้วกำหนดเฉพาะ IP ภายในที่จะอนุญาตให้เข้า Winbox ได้ในช่อง Available Frome

          หรือบล็อกพอร์ต 8291 หรือพอร์ตของ Winbox ที่เราใช้งานใน Firewall โดยกำหนดว่าถ้ามาจากอินเทอร์เน็ตหรือเครือข่ายภายนอกอื่นๆ ไม่อนุญาตให้ใช้พอร์ตของ Winbox ทั้งหมด ซึ่งก็อาจส่งผลกระทบกับเครื่องที่จะรีโมตเข้าโปรแกรม Winbox จากภายนอกได้น่ะครับ ก็ให้เลี่ยงไปใช้ VPN หรือโปรแกรม Remote อื่นๆ ไปก่อน

ดาวน์โหลดบทความไปอ่านฟรี

 

vulner mkt

 

          MikroTik Router เป็นอุปกรณ์อัจฉริยะที่มีความสามารถในการใช้งานที่หลากหลายรูปแบบและยังสามารถปรับเปลี่ยนหรือดัดแปลงการตั้งค่าต่างๆ ได้ค่อนข้างอิสระ จึงทำให้ในปัจจุบันเป็นที่นิยมอย่างแพร่หลายในการนำไปใช้งานในระบบเครือข่ายทั้งในระดับบุคคลหรือองค์กร ซึ่งอุปกรณ์ของ MikroTik ก็จะมีหลากหลายรุ่นที่เป็นไปตามวัตถุประสงค์ในการใช้งานหรือการรองรับการใช้งานที่แตกต่างกันไป

         วันนี้เราจะมาแนะนำและเปรียบเทียบรุ่นที่เหมาะกับการใช้งานในระบบเครือข่ายขนาดกลาง เพื่อที่จะช่วยในการตัดสินใจว่าระบบเครือข่ายของท่านนั้นต้องใช้อุปกรณ์รุ่นไหนถึงที่เหมาะสมและเพียงพอต่อความต้องการของท่าน โดยเราจะมาเปรียบเทียบ MikroTik รุ่น RB450G, RB850Gx2 และน้องใหม่ล่าสุด RB3011UiAS-RM เพื่อเป็นตัวช่วยในการตัดสินใจ

          ต่อเนื่องจากบทความที่แล้วว่าด้วยการเก็บ Log ผ่าน Flash Drive นั้น เราสามารถเก็บหมายเลข IP Address ของเว็บไซต์ต่างๆ ที่มีการติดต่อไป ซึ่งอาจจะไม่สะดวกสำหรับการตรวจว่าเครือข่ายของเราติดต่อไปยังเว็บไซต์ใดบ้าง ซึ่งบทความนี้จะกล่าวถึงวิธีการเก็บLog เป็นURLของเว็บไซต์ปลายทางที่เครือข่ายของเราติดต่อออกไป เพื่อให้ง่ายต่อการดูแลและตรวจสอบระบบเครือข่ายภายในนั้นเอง โดยมีวิธีการดังนี้

  1. เข้า MikroTik ผ่านโปรแกรม Winbox
  2. คลิกคำสั่ง IP แล้วคลิกเลือก Web Proxy จะปรากฏหน้าต่าง Web Proxy Settings ให้คลิกเลือก Enabled และที่ช่อง Port ตั้งเป็น 8080 จากนั้นคลิกปุ่ม OK

การเก็บ Log แบบ URL ด้วย Web Proxy

 

 

การเก็บ Log ของ MikroTik Router สามารถเก็บได้ด้วยความจำภายในตัวของ MikroTik แต่ไม่สามารถเก็บได้ครบตามจำนวนวัน ที่ทาง พ.ร.บ.คอมพิวเตอร์กำหนดไว้ เนื่องจากพื้นที่ในหน่วยความจำมีให้ค่อนข้างน้อย ดังนั้นการที่เราจะเก็บให้ครบตามวันที่ทางพ.ร.บ.คอมพิวเตอร์กำหนดไว้ จึงจำเป็นจะต้องจัดเก็บไปไว้ยังอุปกรณ์อื่น ซึ่งสามารถเก็บได้หลายช่องทาง วันนี้จะมาแนะนำวิธีการเก็บ Log ผ่าน Flash Drive โดยวิธีการมี ดังนี้

1. คอนฟิก MikroTik ด้วยโปรแกรม Winbox เมื่อเข้าโปรแกรมมาแล้วให้ทำการเชื่อมต่อ Flash Drive เข้ากับตัวเครื่อง MikroTik (รุ่นที่นำมาเป็นตัวอย่างคือ RB751U-2HnD เพราะรุ่นนี้จะมีพอร์ตสำหรับเชื่อมต่อ USB มาให้ในตัว) จากนั้นไปที่คำสั่ง System > Disks จะปรากฏหน้าต่าง Disk List ขึ้นมา โดยจะมีข้อมูลของ Flash Drive ที่เราได้เชื่อมต่ออยู่ขึ้นมา ให้ทำการคลิกเพื่อเลือก จากนั้นคลิกคำสั่ง Eject Drive แล้วคลิกคำสั่ง Format Drive จะปรากฏหน้าต่าง Format Drive ขึ้นมา ให้คลิกปุ่ม Start แล้วรอจนกว่าจะทำการ Format เสร็จเรียบร้อย เพียงเท่านี้ Flash Drive ก็จะพร้อมใช้งานแล้ว

โดยปกติแล้วหากเราใช้งาน Hotspot โดยใช้ User จาก MikroTik จะสามารถกำหนด Share User ใน User Profiles ได้เลย แต่หากเข้าใช้งานผ่าน User Manager ถึงแม้ว่าเราจะกำหนดการ Share User ใน Profile ไว้แล้วก็ตาม แต่ก็จะยังไม่สามารถกำหนดให้หนึ่ง User เข้าใช้งานหลายเครื่องพร้อมกันได้ เพราะเราจำเป็นจะต้องทำการกำหนดเงื่อนไขเพิ่มเติมใน Hotspot ของเครื่อง MikroTik เสียก่อน โดยมีวิธีการ ดังนี้

1. เข้าไปที่ MikroTik ไปที่คำสั่ง IP > Hotspot คลิกที่แท็บ User Profiles คลิกที่ปุ่ม + เพื่อสร้าง Profile ที่ต้องการจะกำหนดค่าการใช้งาน ที่ช่อง Name ตั้งชื่อตามที่ต้องการ (ตัวอย่างนี้จะตั้งชื่อเป็น Share Userman 2 ) ที่ช่อง Shared Users ให้เรากำหนดจำนวนที่ต้องการจะ Share User ว่าให้ใช้งานได้พร้อมกันกี่เครื่อง (ตัวอย่างนี้เป็น Share User : 2) จากนั้นคลิกปุ่ม OK (ส่วนของช่องอื่นๆ เราจะกำหนดการใช้งานผ่าน User Manager)

 

     การตรวจสอบเครื่องที่เข้ามาใช้งานภายในระบบเครือข่าย โดยการที่เครื่องนั้น Fix IP เข้ามาแทนการรับ DHCP จาก MikroTik และวิธีการดูการใช้งาน Bandwidth ของเครืองภายในระบบเครือข่าย โดยปกติเครื่องที่ตั้งรับ IP แบบอัตโนมัติ หรือขอรับ IP จาก DHCP Server เราสามารถตรวจสอบเครื่องที่เข้ามารับ IP จาก DHCP ของ MikroTik ได้ที่เมนูคำสั่ง IP จากนั้นก็คลิกเลือก DCHP Server ที่แท็บ Leases แต่สำหรับบางเครื่องที่ทำการ Fix IP เพื่อเข้ามายังเครือข่าย ในหน้าต่างของ DHCP Server จะไม่สามารถแสดงได้ว่ามีเครื่องไหนหรือ IP อะไรเข้ามาใช้ในระบบเครือข่ายของเรา 

     ดังนั้นหากต้องการตรวจสอบข้อมูลก็สามารถดูได้ที่

1. เมนูคำสั่ง IP คลิกที่คำสั่ง Firewall ที่แท็บ Connections ก็จะแสดงหมายเลข IP ของครื่องต่างๆ ที่เข้ามาใช้งานและยังสามารถบอกได้ด้วยว่ากำลังทำการติดต่อกับ IP หมายเลขอะไรและติดต่อด้วย Port อะไรบ้างอีกด้วย

การคอนฟิก MikroTik, การดูการใช้งาน Bandwidth MikroTik

 

 

Queue ใน  MikroTik คือการกำหนดระบบจราจรในการส่งละรับข้อมูล (Traffic Shaping) หรือการกำหนดแบนด์วิดท์ให้เหมาะสมกับความเร็วในช่วงเวลาของการใช้งานของอินเตอร์เน็ตที่เรามีอยู่ เพื่อช่วยเพิ่มประสิทธิภาพการทำงานของระบบอินเตอร์เน็ตและเป็นการบริหารการใช้งานแบนด์วิดท์ให้ทำงานได้อย่างเหมาะสม

โดยสามารถกำหนดรูปแบบการตั้งค่าต่างๆ ได้ตามการใช้งานอินเตอร์เน็ตของเรานั้นเอง

  • Packet mark (เลือกแพ็คเกตที่ต้องการจะกำหนดแบนด์วิดท์ เช่น file.exe, .mp4 หรือ websiteต่างๆ  youtube, pantip เป็นต้น โดยจะมาจากการสร้าง Firewall>Mangle ที่เราได้สร้างไว้)
  • Priority ลำดับความสำคัญในการใช้งานแบนด์วิดท์ ในกรณีมี Queue หลายอันและคล้ายกัน จะให้เลข 8 มีค่าความสำคัญมากที่สุดและเลข 1 มีค่าความสำคัญต่ำที่สุดนั้นเอง

การคอนฟิก MikroTik อบรมการคอนฟิก MikroTik Queue

 

โดยปกติแล้ว Interface ของ Port Ether ใน MikroTik จะไม่ได้ทำงานร่วมกัน โดยจะแยกการทำงานออกจากกัน ดังนั้นถ้าเราต้องการที่จะทำให้แต่ละ Port สามารถทำงานร่วมกันได้ เราต้องทำการร่วมให้เป็น Interface เดียวกัน ด้วยคำสั่ง Bridge ดังนี้
 
1. Connect เข้า MikroTik ( ในตัวอย่างนี้จะใช้รุ่น RB750 GL ) ผ่านโปรแกรม Winbox แล้วเลือกที่เมนูคำสั่ง Bridge จะปรากฏหน้าต่าง Bridge
ที่แท็บ Bridge คลิกปุ่ม + จะได้หน้าต่าง New Interface ที่แท็บ General ช่อง Name ตั้งชื่อ Bridge ที่ต้องการ ในตัวอย่างนี้จะใช้ค่าเดิม bridge 1 จากนั้นคลิกปุ่ม OK
 
การคอนฟิก Bridge เพื่อรวมการทำงานของ Port ให้อยู่ใน Interface เดียวกัน
 

2. เมื่อสร้าง bridge 1 เสร็จแล้ว ถัดไปจะทำการเชื่อมต่อ Port ต่างๆ ที่ต้องการให้มาทำงานบน Interface เดียวกัน ดังนั้นที่หน้าต่าง Bridge ให้คลิกเลือกที่แท็บ Ports คลิกปุ่ม + จะปรากฏหน้าต่าง New Bridge Port ที่แท็บ General ที่ช่อง Interface ให้เลือก Port ที่ต้องการ ในที่นี้คือ ether 2 ที่ช่อง Bridge เลือก bridge 1 ที่เราได้สร้างไว้เพื่อร่วม Port เข้าด้วยกัน จากนั้นคลิกปุ่ม OK

2. เมื่อสร้าง bridge1 เสร็จแล้ว เราจะมาทำการเชื่อมต่อ Port ต่างๆ ที่ต้องการให้มาทำงานบน Interface เดียวกัน ที่หน้าต่าง Bridge เลือกไปที่แท็บ Ports คลิกปุ่ม + จะปรากฏหน้าต่าง New Bridge Port ที่แท็บ General ช่อง Interface เลือก Port ที่เราต้องการ ในตัวอย่างนี้คือ ether2 ที่ช่อง Bridge เลือก Bridge ที่เราสร้างไว้เพื่อร่วม Port เข้าด้วยกัน จากนั้นคลิกปุ่ม OK



 

MikroTik คือ ผู้ผลิตอุปกรณ์ด้าน Computer Network ต่างๆ เช่น Router, Switch หรือ Access Point เป็นต้น โดยอุปกรณ์ที่มีชื่อเสียงโดดเด่นที่สุดของ MikroTik ก็คือ Router นั่นเอง เนื่องจากเป็น Router ที่รวมเอาความสามารถต่างๆ ไว้มากมาย เช่น