[บทวิเคราะห์] เมื่อ Google เลิกใช้ ActiveSync

เชื่อว่าหลายท่านต้องเป็น Gmail User แน่นอน
แต่ไม่แน่ใจว่าหลายท่านได้อ่าน GoogleBlog เรื่อง Winter Cleaning รึยังครับ

Googleblog – Winter cleaning

ส่วนใหญ่การทำ Cleaning ของ Google จะเน้นที่การปิดบริการพวก Service ที่มีการใช้งานไม่เยอะตามเป้าหมายของ Google เช่น Google Wave

แต่รอบนี้จะมี Cleaning นึงที่น่าสนใจมากคือ การยกเลิกบริการ Google Sync (ผ่าน Active Sync) สำหรับลูกค้า Consumer (เรียกง่ายๆ Free Gmail นั้นเอง) โดยเนื้อหามีดังนี้ครับ

Google Sync was designed to allow access to Google Mail, Calendar and Contacts via the Microsoft Exchange ActiveSync® protocol. With the recent launch of CardDAV, Google now offers similar access via IMAP, CalDAV and CardDAV, making it possible to build a seamless sync experience using open protocols.

Starting January 30, 2013, consumers won’t be able to set up new devices using Google Sync; however, existing Google Sync connections will continue to function. Google Sync will continue to be fully supported for Google Apps for Business, Government and Education. Users of those products are unaffected by this announcement.

ซึ่งแน่นอนว่า Microsoft ออกโรงมาบอกเลยว่าแปลกใจว่ายกเลิกได้อย่างไร

Outlook Blog – Really want to do some winter cleaning?

วันนี้ผมจะมาวิเคราะห์ว่า จริงๆ แล้ว Google ตั้งใจจะทำอะไรกันแน่

ทำไม Google ถึงเลิกใช้ ActiveSync (แบบ Official)

Google ได้เปิดให้บริการ Open Protocols ซึ่งสามารถ Replace ActiveSync ได้แล้ว คือ
IMAP สำหรับ Mail
CalDAV สำหรับ Calendar
CardDAV สำหรับ Contact

แค่นี่แหละ…จริงอะ? Google มีเหตุผลแค่นี่จริงเหรอ…Google บอกว่า ใช่
สำหรับผม คำตอบ คือ ไม่จริงหรอกครับ มันมีเยอะกว่านั้น

ทำไม Google ถึงเลิกใช้ ActiveSync (ในการวิเคราะห์ของผม)

1. Google ได้เปิดให้บริการ Open Protocols ซึ่งสามารถ Replace ActiveSync ได้แล้ว

2. Google ต้องการ ลดค่าใช้จ่ายที่ตัวเองต้องจ่ายให้ทาง Microsoft
เจ้า ActiveSync เป็น proprietary Protocol ของ Microsoft ซึ่งแน่นอนไม่มี Free ครับ แม้ว่าด้วยปริมาณของ Gmail User จะเยอะมากมายจนสามารถทำ Level Discount ระดับสูงสุดได้ไม่ยาก แต่ที่ Google อยากได้ คงจะเป็น Free มากกว่า เพราะ เค้าให้บริการฟรีกับ User นินา (นี่เป็นเหตุผลที่ทำไมงานนี้ Consumer โดยเต็มๆ)

หลายคนคงจะร้อง อ้าว ไหน “google หารายได้ด้วยวิธีขาย AD ไง” ผมก็ต้องตอบว่า จริงครับ google ขาย AD แต่รายได้วันนี้ คงไม่เท่ากับวันก่อนครับ ด้วยเหตุผลของการขยายตัวของตลาด Mobile Device ที่เพิ่มขึ้นเรื่อยๆ บางคนใช้ Device ในการรับ-ส่ง mail แทน Desktop/Notebook ไปแล้วซะด้วยซ้ำแล้ว google จะไปเอารายได้ AD ที่ไหนหล่ะครับ

เมื่อรายได้ลด ในขณะที่รายจ่ายยังเท่าเดิม (แถมยังเพิ่มขึ้นตามจำนวนผู้ใช้) ทาง Google ต้องหาวิธีลดรายจ่ายให้ได้มากที่สุดครับ ดังนั้นการเปลี่ยน Protocol ไปยัง Open Standard เป็นทางออกเดียวที่จะทำได้ แม้จะสร้างความลำบากให้กับ User อยู่บ้าง แต่เดี๋ยวก็ชินครับ 555+

3. ปริมาณของ Android Device เยอะมาก
ต่อเนื่องมาจากข้อ 2 เรามาดูข้อมูลของทาง IDC เกี่ยวกับตลาดมือถือกับครับ

image
Source: [IDC] – Android Marks 4th Anniversary Since Launch with 75.0% Market Share

แล้วมาดูผู้เดือนร้อนจาก Google Sync กัน
image

อ้าว Android ไม่โดนนิหว่า…แล้วไอ้พวกที่กระทบมารวมพลังกันยังไม่ถึง 20 % เลย แล้ว Don’t be Evil Guy อย่าง Google ควรจะทำยังไงดีน้า ติ๊กตอกๆๆๆๆ….ก็ตามนั้นแหละครับ จบป่ะ

4. รับน้อง Windows Phone 8 
Microsoft ผู้เป็นที่รักของชาว Opensource ออก Windows Phone 8 ซึ่งแน่นอน Windows Phone 8 ได้รับการออกแบบมาเพื่อให้ใช้งานร่วมกับ Microsoft Solution ได้ดีที่สุด ดังนั้นมันก็ต้องมีความพิการอยู่บ้าง ในส่วนที่ WindowsPhone ไม่ได้ใช้ นั้นก็คือ CalDAV และ CardDAV

อ้าวมันเป็น Open Standard ไม่ใช่เหรอ ทำไมถึงไม่มีหล่ะ คำตอบง่าย คือ Microsoft Exchange ไม่รองรับครับ จบป่ะ

ซึ่งถึง Microsoft ไม่รีบปรับปรุง WindowsPhone8 ให้รองรับ CalDAV และ CardDAV สามารถฟันธงได้เลยครับว่า อนาคตของ WindowsPhone8 นั้นไม่สวยหรูอย่างแน่นอน เพราะ Microsoft คงไม่สามารถจะบังคับให้ User เปลี่ยนมาใช้ outlook.com ได้ทุกคนหรอกครับ และ คงไม่มีใครจะยอมเสียเงินติดตั้ง Exchange แค่จะทำให้ ActiveSync ได้หรอกครับ

ซึ่งปัจจุบัน Microsoft ค่อนข้างจะปรับตัวให้เข้ากับ Opensource Community ให้มากขึ้น ผมเชื่อว่าในอนาคต WindowsPhone8 และ Outlook2013 น่าจะออก Service Pack เพื่อรองรับ Protocol เหล่านี้ครับ

ทิ้งท้าย

สำหรับผู้ที่ชอบ ActiveSync และคิดว่าวิธีของทาง google ไม่เหมาะกับชีวิตของคุณ ผมขอแนะนำให้ไปอ่าน Blog ของคุณ Ford ครับ

FordAntiTrust’s Blog – ย้ายจาก Google Apps มา Windows Live Admin Center (Custom addresses)

แต่ถ้ามีคำถามอะไรก็ถามผมได้นะ
ถามได้ตอบได้ครับผม

Posted in บทวิเคราะห์, News | Tagged , , , , | Leave a comment

[Review] แกะกล่อง TL-MR3020 3G Modem Wireless Router ราคาประหยัด

โจทย์เริ่มต้นของผม คือ ตอนนี้ในห้องนอนของผมเริ่มมี Network Device เยอะ ตั้งแต่ Smart TV, WD Live TV, Xbox 360, Buffalo Storage แล้วคิดว่าจะเอาเจ้าพวกนี้ออก Net ให้เรียบร้อย

ปัญหา คือ ADSL Wireless Modem Router ของผมอยู่อีกฝั่งนึงของบ้าน แล้วจะทำไงดีหล่ะ สัญญาณดันไม่ถึง…ถ้าผมปิดประตู (มีแค่ Notebook กับ มือถือที่พอจะจับสัญญาณได้บ้าง ไม่ได้บ้าง)


เจ้า ZyXEL ตัวเดิมตัวนี่แหละ

จริง ๆ ตอนนี้ก็ใช้แผน B ที่เอา Modem Router เก่ามาใช้ แต่มานห่วยขึ้นเทพจริงๆ ไม่รู้ เพราะ อายุของมันหรือว่า มันห่วยจริงๆ ก็ไม่รู้ ใช้งาน LAN ได้ แต่ใช้ Wireless ไม่ได้เลย จึงต้องหาแผน C เข้ามา โจทย์ผมง่ายมากเลย คือ

จะต้องเป็น Wireless ที่ราคาไม่แพงมาก ไว้ใช้งาน Wireless Device ภายในห้อง
(ถ้ามีคุณสมบัติพิเศษ ก็พิจารณาเป็นกรณีไป)

หลังจากสำรวจตลาดมาระยะเวลานึง ถ้าไม่เป็น ADSL Wireless Router ไปเลย (เช่น Buffalo AirStation™ N150 Wireless Router) ก็เจอพวก Wireless แบบมีเขาซึ่งราคาแพงอยู่ (แพงกว่าเจ้าBuffalo อีก สงสัยจะนับตามจำนวนเขาที่มีเหมือนกับ Gundam)

และ วันเดินเล่นๆ ก็ไปจ๊ะเอ๋กับเจ้า TL-MR3020 Portable 3G/3.75G Wireless N Router ของ TP-Link ครับ

IMG_7889 กล่อง (หน้า)

IMG_7890 กล่อง (หลัง)

IMG_7891 กล่อง (ข้าง)

[ทำไมผมถึงเลือกเจ้านี่]

1. เป็น Wireless N (รองรับทั้ง A, B, G และ N)
2. ราคาไม่แพง (แค่พันต้นๆ)
3. เล็ก พกพาสะดวก (เผื่อผมจะเอาไปใช้ประโยชน์อื่นๆ นอกบ้านได้)
4. Lifetime Warrantee (ซึ่งไม่รู้ถึงเมื่อไหร่ 555)
5. (Optional) รองรับ 3G USB Modem ผมคิดว่าอนาคตผมได้ใช้แน่ครับ คน IT นิ
6. (เพิ่งรู้) คุณสมบัติภายในของเกือบเท่าเจ้า Zyxel เลย ขาดแต่ ADSL = =”

[Openbox]

เปิดกล่อง มาปุ๊บก็เจอเจ้า TL-MR3020 เลยปิด Seal เรียบร้อย (ยังไม่แกะ จะได้ยังใหม่อยู่ 555)

IMG_7892

ด้านข้างมี 3G USB Port, Mini USB Port, LAN Ports และ Mode Switcher

IMG_7895

เมื่อแกะออกมาหมดก็มีของประมาณนี้ (ไม่รวมคู่มือ, GNU, Resource CD และ ใบชิงโชค??) ประกอบด้วย TL-MR3020, สาย LAN, สาย USB to mini USB เป็นแบบ 2 Port สำหรับ USB รุ่นเก่าด้วย และ USB Plug (5W)

IMG_7896

ส่วนด้านบนซ้ายสุดก็จะมีปุ่ม WPS/Reset (ต้องกดค้าง 5 วินาทีสำหรับ WPS และ 10 วินาทีสำหรับ Reset) ที่เหลือเป็น Status ต่างๆ (LAN, WLAN, 3G และ Power ตามลำดับครับ)

IMG_7894

[เริ่มการติดตั้ง]

ก่อนเราจะเริ่มติดตั้ง ต้องรู้ก่อนว่าเราจะใช้งานมันเพื่ออะไร ซึ่งเจ้านี่รองรับ 3 Mode คือ

1. 3G Modem Router (LAN และ Wireless เป็น LAN Mode)
2. WISP (Wireless ISP) สำหรับเชื่อมต่อ AIRNet นั้นเอง (LAN และ Wireless เป็น LAN Mode)
3. AP (Access Point) (ให้ LAN เชื่อมต่อกับ Router และ Wireless เป็น LAN Mode)

เราสามารถตั้ง Priority ระหว่าง 3G Modem Router กับ LAN ได้ เพื่อประหยัด 3G ได้

image

ตัวผมไม่มี 3G USB กับ AIRNet จึงเทสทั้ง 2 Mode แรกไม่ได้ แต่พอจะ Review Menu ให้ดูได้ครับ

* การเปลี่ยน Mode แต่ละครั้ง จะทำให้ Router Restart นะครับ เน็ทจะหลุดได้ *

ระบบมีการเปิด DHCP ไว้อยู่แล้ว ดังนั้นก็สามารถเสียบสายเข้ากับ LAN ได้เลยครับ
หรือจะเชื่อมต่อกับ Wireless ได้

Default Configuration ของเจ้า TL-MR3020 มีดังนี้ครับ

SSID TP-LINK_POCKET_3020_xxxxxx
(xxxxxx เป็น Mac Address 6 ตัวหลังครับ)
IP 192.168.0.254
User admin
Pass admin

การเข้าใช้งานจะต้องเปิดผ่าน Browser ครับ (IE/Firefox/Chrome/Safari)

image

พอเข้ามาจะพบ Menu ซึ่งเจ้า TL-MR3020 นี่จะปรับ Menu ตาม Mode ที่เราเลือกด้วยครับ

image 3G Mode และ WISP

image AP Mode

* จากตรงนี้จะเป็นการเปิดเฉพาะส่วนที่น่าสนใจเท่านั้นนะครับ และ ไม่เรียงด้วย ถ้าใครสนใจอะไรเพิ่มเติมก็สามารถถามเพิ่มได้ *

การเชื่อมต่อ 3G นั้น TP-Link ทำการบ้านมาดีมากครับ มี Configuration สำหรับ Thailand Mobile Operator ไว้พร้อมเลย (AIS, DTAC, TRUE, iMobile และ TOT)

การ Connection จะเป็น On demand (Auto Detect), Auto หรือ Manual ก็ได้ครับ

image

การเชื่อมต่อ WAN (ผ่าน Port LAN)

image

แน่นอนเราสามารถการตั้งค่า Internet Access Mode Priority ได้ เพื่อประหยัด 3G

image

ส่วน WISP ก็มีการตั้งค่าลักษณะดังนี้ (ขออภัยที่ไม่รู้ตรงนี้จริงๆ ครับ)

image

รองรับการทำ WPS

image

Networking

เจ้านี่สามารถทำตัวเป็น DHCP Server ได้เช่นเดียวกับพวก Network Router ทั้งไว้ ซึ่งแน่นอนรองรับการทำ IP Reservation ด้วย

image

สำหรับการตั้งค่า Wireless ก็ง่ายมาก แค่ตั้งชื่อ SSID และ Mode เท่านั้นก็พอ
ส่วน Optional ที่ปิด SSID ก็สามารถทำได้เช่นกัน

image

ใน AP Mode นั้นมี Mode ย่อยอีก 4 แบบคือ

1. Access Point (AP) – ต้องเชื่อมต่อ LAN/WAN เพื่อที่จะออก Internet
2. Client – ทำตัวเป็น Wireless Station (ไม่ใช่ WISP นะครับ)
3. Repeater – ตามนั้นครับ
4. Bridge with AP – ทำตัวเป็น Bridge ให้ AP ทั้งหลาย ได้ถึง 4 ตัว

Wireless Security

สำหรับ Wireless Security นั้นรองรับ Connection Security ทั้ง WEP, WPA และ WPA2
(เจ้านี่เชื่อมต่อ Radius ได้ด้วย ทำตัวเกินราคาจริงๆ)

image

Wireless MAC Address Filtering

image

Featuers อื่นที่ไม่ได้ลงรายละเอียดยังมีอีกเยอะครับ เช่น

Port Forwarding (Virtual Server, Port Triggering, DMZ, UPnP)
Security (Firewall, VPN Passthrough, ALG, Flood Protection, IP&Port Management)
Parental Control ซึ่งสามารถควบคุมเวลาใช้งาน และ จำกัดการเข้าถึง Website ได้
Routing and Bandwidth Control
Dynamic DNS
รองรับทั้ง DynDNS, Comexe และ No-IP

[ความเห็นเกี่ยวกับเจ้านี่]

เจ้า TL-MR3020 นี่เป็น Wireless Router ที่จิ๋วแต่แจ๋ว มี Featues เกินราคาครับ ถ้าถามว่ามันเหมาะกับใคร ผมไม่แนะนำให้ใช้งานแบบ Workgroup (บ้าน หรือ SME นะครับ) เพราะ Performance มีจำกัด จะเหมาะกับคนที่อยู่ Condo/หอพัก มากกว่า เพราะ จะมีการใช้งานที่น้อยกว่า รวมทั้งรัศมีของ Wireless ก็ครอบคลุมพื้นที่ได้เต็มที่ด้วย

ส่วนการทำงานแบบ Portable น่าจะเป็นการใช้งานที่เหมาะสมกันเจ้านี่ที่สุด เพราะ เบา และ พกพาสะดวก และ หายได้ง่าย สามารถเพิ่ม Features 3G ได้ด้วย แต่ผมไม่อยากให้เทียบกับพวก Mifi นะครับ เพราะ แม้จะคล้ายกันแต่ Feature ที่ได้รับ มันต่างกันเยอะเกินกว่าจะเทียบกันได้

แต่ถ้าคุณต้องการแค่ Wireless N เท่านั้น ไม่ได้ต้องการ 3G Features ผมขอแนะนำอีกตัว คือ
TL-WR702N – 150Mbps Wireless N Nano Router ซึ่งเป็น Candicate ตัวนึงของผมครับ

รูปภาพ 1

เจ้านี่ราคาถูกกว่า TL-MR3020 นิดนึง ก็เหมาะกับคนที่อยู่ Condo เหมือนกันครับ แต่เอามาใช้ข้างนอก ถ้าไม่มี Internet ผมไม่รู้จะพกออกมาทำไมนะซิ ก็เลยไม่ได้เลือกซื้อตัวนี้ครับ

[Closing]

เป็นไงบ้างครับ Review แรกของผม ไม่แน่ใจว่ามันโอเคหรือเปล่า เพราะ เป็นการ Review แบบ Feeling แบบ User ล้วนๆ เลยครับ (เอาจริงๆ ไม่รู้จะ Test อะไร เพราะ มันเป็นอุปกรณ์ Network นะ 555+)

แต่ถ้ามีใครใช้เจ้านี่ แล้วมีข้อสงสัยก็สามารถสอบถามมาได้นะครับ (แต่ช่วยหาคำตอบบให้แบบ User to User นะครับ ไม่ใชj Professional แต่อย่างใด สำหรับ Official Support ผมแนะนำให้ Follow @TPLINK_Thailand หรือ Like ที่ TP-LINK Thailand Facebook Page ครับผม

Posted in Equipment, Review | Tagged , , | 5 Comments

[Event] Get Together with Trend Micro (ตอนที่ 2)

ต่อจากคราวที่แล้วครับ หลังจากพักเบรคอย่างสบายใจกับ True Coffee และ โรลเค้ก อร่อยๆ ที่ทาง Trueonline จัดมาให้เราก็จะเริ่มครึ่งหลังหล่ะครับ

ซึ่งครึ่งหลังไม่เกี่ยวข้องกับ Trend Micro แล้วนะครับ ดังนั้นจะไม่ได้พูดเรื่องของ Trend Micro เลย แต่ผมจะทำหัวข้อ Internet Security Software Trend แยก Session ออกมาจากเรื่องนี้แทนครับ (แต่จะมีทำ Review หัวข้อ Trend Micro Internet Security อีกอันด้วยครับ)

การสร้างความปลอดภัยในการใช้งาน Wi-Fi

Wifi Security นี้เป็นการแชร์ความรู้ในลักษณะ Best Practices และ ให้เลือกนำไปใช้นะครับ เราไม่จำเป็นจะต้องปฏิบัติตามพวก Best Practices ทั้งหมด แต่ขอให้อ่านไว้ ในลักษณะการแชร์ประสบการณ์จากผู้ชำนาญละกันนะครับ

ตั้งแต่ตลาด Hi-Speed Internet เริ่มต้นจากความเร็ว 512 KB จนตอนนี้เริ่มต้นที่ 10 MB แล้ว สิ่งนึงที่เป็นอุปกรณ์ที่ตามมากับพวก Hi-Speed Internet นั้นก็คือ Wireless นั้นเอง ซึ่งเมื่อก่อน ถ้าใครเคยใช้ ADSL ยุคแรก ๆ ตอนนั้นยังเป็นแค่ ADSL Modem อยู่เลย แต่เดี๋ยวนี้ ถ้า ISP รายไหนไม่ให้ ADSL Wifi Router มาด้วย นี่อาจจะถึงขั้นโดนประนามกันเลยทีเดียว (ฮา)

ซึ่งจากประสบการณ์ ISP หลายเจ้าเริ่มมีการปรับตัวเรื่องการ Security มากขึ้นแล้ว เช่น เมื่อก่อน ผมจำได้ว่าเวลาเจอ SSID ที่ชื่อ True_homewifi  นี่ต้องของลองแอบ Join เล่น ส่วนใหญ่เข้าได้ด้วย ก็ยังสงสัยว่า True เค้าใจดีเนอะ แบ่ง ๆ กันใช้ได้ด้วย แต่เดี๋ยวนี้หายากแล้วครับ ซึ่งก็ถือว่าพัฒนาขึ้นเยอะ สำหรับทีมติดตั้งของ Trueonline

แต่ที่ทาง ISP เค้าตั้งค่าให้เราเนี่ย คุณคิดว่ามันดีพอรึยัง มันจะทำได้ดีกว่าดีอีกรึเปล่า มีวิธีดูอย่างไร Blog ผมวันนี้จะมีชี้ให้ดูเป็นจุด ๆ ไปเลยครับ

ของที่ผมจะเอามาใช้เป็น Reference Model เป็น ADSL Wifi Router ที่บ้านผมเองครับ คือ เจ้านี่
2012-11-08T01-25-55_0 
Zyxel P-660HN-F1Z (802.11n Wireless ADSL2+ 4-port Gateway

ก็นิดนึงว่าผมไม่ใช่ Celeb IT ก็เลยอาจจะไม่ได้มี Brand อื่น เช่น TP-L<ตรู๊ด> มาเล่นให้ลองเทียบ Features นะครับ แต่ผมมั่นใจว่า Security Function พิ้นฐานก็ครบเครื่องเหมือนกันนะ

สำหรับการทำ Security ผมจะเริ่มจากง่ายไปยาก และ เริ่มกันตั้งแต่คุณได้รับ Wifi มาเลย เรามาดูกันว่า คุณควรจะต้องทำอะไรกันบ้างครับ

1. เปลี่ยน Password Admin/User Login ของ Wifi ซะ
ผมไม่แน่ใจนะว่า ปกติเจ้าหน้าที่ติดตั้งจะให้รึเปล่าในกรณีที่แถมมากับ Hi-Speed Internet แต่ไม่ว่าจะวิธีไหนก็ขอให้เค้าบอก User/Password ไว้ด้วยเผื่อกรณีจำเป็น ซึ่งแน่นอนได้่มาก็ขอให้เปลี่ยน Password เลยครับ อย่าใช้ Default ที่เค้าตั้งมา เพราะ อาจจะเป็น Pattern ของ ISP ซึ่งมันหาไม่ยากหรอกใน Google

image
เปลี่ยนซะจะได้ไม่เป็นภาระของลูกหลาน (ต้องมา Factory Reset ให้ ถ้าโดน Hack)

ส่วนเสริม: ถ้าสามารถทำได้ควรจะเปลี่ยนบ่อยๆ เช่น ทุก 3 เดือน แต่ถ้าเป็นการใช้งานตามบ้านก็จะครึ่งปี หรือ ปีละหนก็ได้นะครับ

2. เปลี่ยนชื่อ SSID (Service Set Identifier) ซะ
เปลี่ยนชื่อ Wifi ช่วยให้เราแยก Wifi ของเราออกจาก Wifi คนอื่น รับรองว่าไม่มีเข้าผิด ถ้าไม่ตั้งใจ

3. ซ่อน SSID มันซะ
พอเปลี่ยนเสร็จแล้วก็ซ่อนมันซะ ทีนี่ถ้าไม่ตั้งใจจะ Hack จริง ๆ ก็หาไม่เจอกันหล่ะ
(อาจจะเจอว่ามี Wifi แต่ก็จะไม่ทราบ SSID อยู่ดี)

image
ถึงจะหาเจอก็จะเป็น “Hidden network”

ส่วนเสริม: ถ้ารวมกับข้อที่ 2 และ ใช้ชื่อยาวๆ ก็จะทำให้การคาดเดาชื่อ SSID ยากขึ้น

4. มีการใช้ Security Mode เป็น WPA2 (Wi-Fi Protected Access version 2)
แม้จะมีข่าวว่าสามารถ Hack ได้แล้วแต่ก็ยังคงเป็น Security Mode ที่ดีที่สุดในตอนนี้ครับ
(ถ้าไม่สามารถใช้ได้ของใช้เลือกใช้ WPA และ WEP ตามลำดับครับ)

ตัว WPA นั้นมี 2 Mode คือ Pre-Shared Key (PSK) และ Enterprise สำหรับ Home Wireless ให้ใช้ PSK ครับผม (Enterprise จะต้องมี Server ที่เก็บ User/Password ด้วย ซึ่งไม่เหมาะ)

image

ส่วนเสริม: ขอให้ Pre-Shared Key (Password) ยาวหน่อยครับ
(อย่างน้อย 8 ตัวขึ้นไป และ 25 ตัวเป็นสิ่งที่แนะนำครับ…เยอะเนอะ 555+)

และแน่นอน เพื่อความปลอดภัยเช่นเดียวกับเรื่อง Admin Password ในข้อแรก ก็แนะนำให้มีการเปลี่ยน Password เป็นระยะๆ เช่นกันครับ

* จริง ๆ จะมีเรื่องการใช้ WPS ด้วย แต่เหมือนจะกลายเป็นปัญหาไปซะแล้ว เพราะ ถูก Brute-force Attack ได้ง่ายมาก จึงขอตัดออกครับ = =”

5. ทำการตรวจสอบ Client ที่ใช้งาน Wifi บ้าง (เผื่อจะจะแขกมาเยี่ยมเยือน)

image

6. จะต่อ Wifi ที่ไหน ก็อย่าลืมเปิด Firewall

7. จะ Shared File ขอให้ทำเฉพาะเวลาที่ต้องการเท่านั้น (ใช้เสร็จแล้วปิดด้วย)

8. ปิด Wireless ซะถ้าไม่ใช้งาน

อย่างที่บอกไปแล้วครับว่า WPA2 ที่ดีที่สุดในตอนนี้ก็ยังยับยั้ง Hacker ไม่อยู่ แต่ไม่ใช่ว่ามันจะ Hack แล้วได้เลย มันต้องใช้เวลาครับ ดังนั้นแล้วการเปิด Wireless ทิ้งไว้ ก็เป็นเหมือนทำตัวเป็นเป้านิ่ง ดังนั้นถ้าไม่จำเป็นก็เอาเป้าไปเก็บไว้บ้างก็ได้ครับ ซึ่ง Wireless AP บางตัวสามารถทำ Wireless Scheduling ได้ ก็อาจจะใช้วิธีนี้ก็ได้นะครับ

image

หลังจากนี้เป็น Recommendation จากหลาย ๆ ที่นะครับ จะทำหรือไม่ต้องทำก็ได้ครับ และ เหมาะกับบ้านที่มีคนที่เป็นเรื่อง IT อยู่บ้างเท่านั้นครับ

9. MAC Address Filtering

Wifi Module ที่เครื่อง Computer/Tablet/Mobile ทุกเครื่องจะต้องมี Mac Address ครับ สิ่งที่ต้องทำคือการเอา Mac Address เหล่านั้นมาทำ Allot List ไว้ที่ Wireless AP ครับ

สำหรับเครื่อง Windows ให้ใช้คำสั่งเช่น ipconfig/all แล้วหา Wireless LAN adapter Wi-Fi ดูครับ ส่วนอุปกรณ์อื่นอาจจะต้องเช็คตาม Document นะครับ

image
wireless Mac Address จะทีลักษณะดังนี้ xx-xx-xx-xx-xx-xx

image
MAC Filtering

ข้อควรระวัง คือ ก่อนที่จะ Apply ค่าของ MAC Filter ต้องไม่ลืมเอา MAC Address ของตัวคุณเองไปใส่ก่อนเลยนะครับ ไม่งั้นถ้าหลุดไป จะเข้าไม่ได้อีก จะหาว่าไม่เตือนไม่ได้นะครับผม

ข้อเสียของการทำ Mac Filtering คือ ถ้าอุปกรณ์ใหม่ ๆ มาเราจะต้องมาทำการลงทะเบียนอุปกรณ์ก่อนเสมอ ก็จะมีงานเพิ่มครับ

10. ปิด DHCP และใช้ Static IP ซะ

DHCP คือ ระบบแจก IP ซึ่งปกติมันจะเปิดไว้ ใครต่อ Wifi สำเร็จก็ได้ Wifi ไป…แต่ถ้า Wifi โดน Hack หล่ะครับ….ใครที่อยู่ใน Network นั้นก็ตกอยู่ในความเสี่ยงได้ครับ

ดังนั้นการปิด DHCP และ ไปใช้ Static IP ซะเป็นวิธีหนึ่งที่จะแก้ปัญหานี้ได้ เพราะ Hacker จะต้องมาหา Network ในนั้นอีกซึ่งปกติคงหาไม่ได้ง่าย ๆ ครับ แต่สิ่งที่ต้องไม่ลืมมี 2 อย่างครับ

a. ไม่ใช้ Default Network: ไม่ใช้ 192.168.1.x แต่เปลี่ยนไปใช้ Network อื่นแทน แต่ปกติผมแนะนำให้เปลี่ยนแค่หลักที่ 3 ก็พอแล้วครับ เช่น 192.168.132.x เป็นต้น แค่นี่ก็ยากแล้ว

b. เปลี่ยน Gateway: 1 และ 254 เป็น Gateway ที่ Hacker สามารถคาดเดาได้ง่าย ลองใช้เลขอื่นดูซิครับ

ข้อเสียการปิด DHCP คล้ายๆ กับการทำ MAC Address Filtering ครับ คือ งานจะงอกครับ แต่เปลี่ยนมุมจาก Wifi Router ไปเป็นเครื่อง Client เท่านั้นเอง เพราะ เครื่องทั้งหมดจะต้องมีการตั้งค่า IP แบบ Statics

11. ปิด uPNP (Universal Plug and Play)

เป็น Network Protocols ที่รองรับการทำ Auto Discovery ช่วยทำให้ทุกอย่างง่ายขึ้น ซึ่ง Hacker ก็หาเจอง่ายขึ้นด้วยครับ ถ้าไม่จำเป็นก็อย่าเปิด…แต่การปิด uPNP ไม่เหมาะกับสาวก Apple นะครับ เพราะ Apple Device ใช้ uPNP ทั้งย้วงเลยครับ

 

เป็นไงครับเยอะมั๊ยครับ ความปลอดภัยในการใช้งาน Wi-Fi ยิ่งปลอดภัยมากเท่าไหร่ ยิ่งยุุ่งยากขึ้นเท่านั้นครับ สำหรับคนใช้งานทั่วไป แนะนำให้ลองอ่านดูก่อน แล้วค่อยปรับให้เหมาะสมกับตัวเองนะครับ อย่าทำหมดเลย มันเหนื่อยครับ Smile

Posted in Knowledge, Security | Tagged | Leave a comment

[Event] Get Together with Trend Micro (ตอนที่ 1)

ผมได้รับเชิญไปในงาน Get Together with Trend Micro (อยู่ในกลุ่มสำรอง #ไม่ต้องบอกก็ได้มั้ง)
เป็น Exclusive Event สำหรับลูกค้า True Hi-speed Internet ครับ (แน่นอนผมก็เป็นลูกค้านั้นเอง)นี่เป็นงานกิจกรรมแรกที่ผมมาร่วมในฐานะลูกค้านะ เพราะ ผมสนใจในเนื้อหา ก็คิดอยู่แล้วว่า จะเอาเนื้อหามาสรุปให้ทุกคนได้อ่านครับ

แต่จะให้เอาเนื้อหาในสัมมนามาสรุปก็กระไรอยู่ (เพราะ ผมไม่ถนัดแนวนั้นอยู่แล้ว) เพื่อให้เป็นกลางก็จะเขียนในแบบของแนวของผมมากกว่านะครับ ซึ่งก็จะมีใส่ความรู้ของผมเข้าไปด้วย ใครที่อยู่ในงานแล้วมาเห็นงานของผมก็อย่าวิจารณ์ว่า มันไม่เหมือนในสัมมนานะครับ เพราะ ผมก็จะใส่เนื้อหาที่รวมความรู้ของผมเข้าไปด้วย (อาจจะพูดถึง Trend Micro น้อยหน่อย ก็ต้องขออภัยมา ณ.ที่นี่ด้วย อิอิ)

ในสัมมนามี 2 หัวข้อครับ คือ แนะนำภัยคุกคามบน Internet และ Social Network และ การสร้างความปลอดภัยในการใช้งาน Wi-Fi ผมคงขอแบ่งเป็น 2 ตอนนะครับ ไม่งั้นจะยาวเกินไป

2012-11-05T01-26-39_0

แนะนำภัยคุกคามบน Internet และ Social Network

ว่ากันด้วยเรื่องของ Internet ที่ตอนนี้เริ่มจะกลายเป็นส่วนหนึ่งของชีวิตคนเราแล้ว ทุกท่านรู้สึกตัวหรือไม่ว่า คุณมีความระมัดระวังตัวน้อยลง (Security) และ ชีวิตของคุณๆ เริ่มจะไม่เป็นชีวิตส่วนตัวเท่าไหร่แล้ว (Privacy)

ทำไมถึงเป็นเช่นนั้นหล่ะ ด้วยเหตุผลของเติมโตทางด้าน Internet นี่แหละ ตอนนี้จากเดิมอยู่บนสาย (Dialup (เก่าไปป่ะ)/ADSL) จากนั้นก็เริ่มมี Wireless Network (Wifi/WiMAX) ตอนนี้เป็น Cellular Data (3G/LTE) แต่ตัวปัญหาไม่ได้อยู่ที่ Internet แต่กลับอยู่ที่สิ่งที่ตาม Intertnet Technology มา ต่างหาก เช่น Web หรือ E-mail

ตอนนั้นก็มีการสร้างการตื่นตัวเรื่องความปลอดภัย (Security Awareness) ซึ่งมันทำไม่ได้ยาก ก็แค่ “อย่าเข้า” Website ที่ไม่รู้จัก หรือ “อย่าเปิด” Email ที่ไม่รู้คนส่ง ซึ่งจนถึงปัจจุบัน มันก็แค่นั้นแหละครับ แต่ชีวิตมันไม่ได้ง่ายขนาดนั้น…

image
ตัวอย่างของ Fakemail แบบกระจอก

เดี๋ยวนี้ถ้าคุณไม่ไปหาเค้า (พวก Malware) มันก็มาหาคุณเองครับ แถมแยบยลซะด้วย Web ที่คุณรู้จักอาจจะเป็นแหล่งแพร่ Malware ก็ได้ หรือ Website ที่คุณคิดว่ารู้จัก…แต่มันไม่ใช่อ่ะ ก็เริ่มหาได้ไม่ยากใน Internet เช่น คุณดูออกมั๊ยระหว่าง http://www.sanook.com กับ http://www.san00k.com ได้มั๊ยครับ
(นึกถึง Bank สีเขียวขึ้นต้นด้วย K ครับ)

ยิ่งตอนนี้สิ่งที่เรียกว่า Social Network กำลังเป็น Trend ปัจจุบัน ไม่ว่าใคร ๆ ก็ต้องมีอย่างน้อยซักช่องทางหนึ่งถือไว้แน่นอน ไม่ว่าจะเป็น Facebook, Twitter, Linkin หรือ MySpace เป็นต้น จาก Trend มันกำลังกลายเป็น Threats ซะแล้วครับ เพราะ ช่องทางนี้แหละที่เป็นช่องทางที่พวกเราชาว Social มีการระดับระวังตัวน้อยที่สุด ด้วยเหตุผลที่ว่าผู้คนใน Social เป็นคนที่คุณคุ้นเคยนั้นเอง

Threats ใน Social Network คุณจะเจออะไรบ้าง ผมแบ่งง่าย ๆ ดังนี้ครับ
1. Fake Interesting Information with Shared Link – Shared Link ที่คุณไม่รู้ว่าจะพาคุณไปที่ไหน แต่เพราะเป็นโพสจาก Friend/Page ที่อยู่บน Timeline ของคุณเองนั้นแหละ ทำให้คุณวางใจที่จะกด ยิ่งตอนนี้มีสิ่งที่เรียกว่า Link ย่อ (Shortened Link) การตรวจสอบว่า Link ที่โพสออกมานั้นไปที่ไหนยิ่งยากเข้าไปอีก

2. Data Leak – คุณเคยเล่น Facebook App หรือไม่ครับ ถ้าเพิ่งเล่นเป้นครั้งแรก มันจะขึ้น Request for Permission ทุกคนได้อ่านหรือเปล่าครับว่า มันอยากให้เราอนุญาติ (Permit) อะไรให้ ถ้าเป็น App คุณธรรมคุณคงไม่เจอปัญหาอะไร ส่วนใหญ่ก็จะเป็นพวกชื่อ หรือ อายุอะไรแบบนี้ แต่ถ้าเจอ Fake App หล่ะ (คุ้น ๆ มั๊ยครับ App แจก Starbuck Card/Point ที่มันโผล่มาช่วงนึง) มันจะเอาเยอะเลยแหละครับ ถ้าไม่อ่านมีสิทธิที่จะทำข้อมูลหลุดเยอะเลยครับผม

image
แค่ตัวอย่างคับ ผมไม่กล้าหา App มั่ว ๆ จริง ๆ

ตรงนี้ผมยังไม่นับเรื่องการตั้งค่า Security และ Privacy ที่อ่อนแอของตัวผู้ใช้เองนะครับ

image

3. Password Threat – ฟังดูแปลกใช่หรือไม่ครับ แต่จริงๆ แล้วคนเราประมาทกับเรื่อง Password มาตั้งแต่ไหนแต่ไรแล้ว เพราะ คิดว่าใครมันจะมาสน Nobody อย่างเรา แต่อยากให้มองใหม่นะครับว่า Hacker Care Anybody (Hacker รักทุกค~นน๊ะฮ๊าาาา) คุณอาจจะเป็น Nobody แต่เพื่อนคุณอาจจะไม่ใช่ Nobody ก็ได้ การ Hack คุณได้ ถึงจะไม่ได้อะไร แต่ก็เอาไปอะไรได้อยู่ดี ดังนั้นสนใจมันหน่อยครับ

และ เรื่องปกติของโลกคือ คนเราจะถือ User/Password แค่ไม่กี่ตัวเท่านั้น การได้ Password ของ Social Network คุณไปอาจจะนำพาไปถึง Email ของคุณได้ แล้ว Internet Banking ของคุณมันจะไปเหลืออะไรหล่ะครับ อย่าประมาทเด็ดขาดเลยทีเดียว

แล้วเราจะป้องกันตัวอย่างไง

ในโลกแห่งความเป็นจริง เราเลือกที่จะไม่เสี่ยงได้ ใน Social Network ก็เป็นแบบนั้นเช่นกันครับ แล้วเราจะต้องทำอย่างไรมาดูกัน

1. ระวังพวก Shortened Link จากคนที่คุณไว้ใจ และ ไม่ไว้ใจให้ดี ถ้าสงสัยใน Link ของเพื่อน ผมแนะนำให้ถามเพื่อนคุณก่อนว่า เพื่อนคุณโพสจริงหรือไม่ ผมให้ข้อสังเกตุนิดนึง ซึ่งเหมาะกับคนไทยมาก คือ ถ้าโพสหรือทักทายมาเป็นภาษาอังกฤษ พร้อม Link ควรจะระวังเป็นพิเศษครับ
(โชคดีมากที่ Botnet/Malware ไม่มีภาษาไทย เพราะ ยังไม่สากลพอ)

2. ระวังการ Add Friend ไว้ให้ดี รับ Add เพื่อนเฉพาะคนที่คุณรู้จัก หรือไม่ก็ เพื่อนที่ได้รับการตรวจสอบแล้วว่าคุณหรือเพื่อนคุณรู้จักจริงๆ ใน Social Network ไม่จำเป็นต้องมีมารยาทเท่ากับโลกแห่งความจริง ถ้าคุณไม่รู้จักเค้า คุณก็มีสิทธิที่จะไม่รับเค้าเป็นเพื่อนครับ เค้าไม่มีสิทธิโกรธคุณ (ถึงโกรธคุณก็ไม่รู้หรอก 555) อันนี้รวมถึงพวก Twitter ด้วยนะครับ เค้า Follow มา ก็ไม่จำเป้นต้อง Follow กลับ ขอให้ Profile เค้าให้ดีก่อนดีกว่าครับ

3. ตรวจสอบการตั้งค่า Security และ Privacy ของ Social Network ของคุณให้ดี ข้อมูลของคุณมีค่า ปรับระดับของมันให้เหมาะสมครับ จะไม่ขอลงในรายละเอียดนะครับ (แต่ถามกันมาได้นะครับ)

4. Password ควรจะมีความซับซ้อน อย่าทำให้ Password เดาง่ายจนเกินไปครับ ใน Password นั้น ควรจะประกอบด้วยตัวอักษรตัวเล็ก, ตัวใหญ่, ตัวเลข และ อักขระพิเศษครับ สำหรับคนไทยลองใช้ Password ภาษาไทยซิครับ (ไม่ต้องเปลี่ยนภาษานะครับ เช่น Password ว่า “ไม่รู้เรื่อง2012” ก็ให้พิมพ์ “w,ji^hginjv’2012” เป็นต้น)

ส่วนเสริมคือการแยก Password ของแต่ละ Social Network และ Personal (เช่น Email) ออกจากกัน ตรงนี้แนะนำการใช้ Pattern เข้ามาช่วยเช่น

Facebook – a[-w,ji^hginjv’2012 (ฟบ-ไม่รู้เรื่อง2012)
Linkin – ]v-w,ji^hginjv’2012 (ลอ-ไม่รู้เรื่อง2012)

Email – MXw,ji^hginjv’2012 (MXไม่รู้เรื่อง2012)

เป็นต้นครับผม

5. Social Group จัดกลุ่มของคนที่จะรับข้อมูลจากเราครับ เดี๋ยวนี้ Social Network สามารถสร้าง List/Group ได้แล้ว เวลาโพสก็ขอให้คิดตรึกตรองตรงนี้เพิ่มก็ดีด้วยนะครับ
image
Facebook ทำ List ได้นะครับผม

6. ก่อนจะ Sign up ใช้งาน Social Network อ่านเรื่อง Security ของเค้าก่อน เพื่อเป็นการเตรียมการที่จะเป็น Member ของ Social Network นั้น ๆ ครับ

 

เป็นไงครับแนวทางปฏิบัติการตัวเพื่อความปลอดภัยจาก Social Network อย่างไรก็ดีการป้องตัวด้วยการปฏิบัติอย่างเดียวอาจจะไม่พอ ผมแนะนำให้มีการใช้งานพวก Security Software เข้ามาเสริมทัพด้วยครับ ตอนหน้าจะเป็นเรื่องของ Wifi Security ซึ่งเป็น Session ที่ 2 ของงาน Get Together with Trend Micro ครับ
(จริง ๆ มีเรื่องของ Feature ของตัว Trend Micro แต่ผมขอทำเป็น Internet Security Software Trend แยก Session ออกมาจากเรื่องนี้แทนครับ)

[ช่วงโฆษณา]

สำหรับงานนี้ Trend Micro เป็น Sponsor ในงานก็เลยต้องแนะนำให้เค้านิดนึงครับ
Trend Micro มี Product ในตลาดประเทศไทยอยู่ 2 ตัวครับ คือ
Titanium Internet Security สำหรับผู้ใช้งานทั่วไป
Trend Microsoft Titanium Maximum Security สำหรับผู้ใช้งานที่ต้องการความปลอดภัยระดับสูง

สำหรับราคาผมขอส่งต่อไปที่ Website ของรุ่นน้องผมเอง Thaiware 
ผมคิดว่าน่าจะเป็น Authorized Trend Micro Store ที่เชื่อถือได้ครับ
(จริง ๆ Trend Micro (Thailand) ก็ Link ไปที่นั้นนะครับ Smile)

และสำหรับลูกค้า True Ultra Hi-Speed Internet จะมี Model แบบ Subscription รายเดือนดังนี้
Trend Micro Titanium Internet Security – 30 Baht ต่อเดือน ต่อเครื่อง
Trend Microsoft Titanium Maximum Security – 60 Baht ต่อเดือน ต่อเครื่อง
ดูรายละเอียดได้ที่ True Online

สำหรับความแตกต่างของแต่ละรุ่นผมขอแปะตารางเปรียบเทียบแทนนะครับ
(ถ้าแปลอาจจะผิดความหมายได้)

 

Which version of Titanium is right for you?

Internet Security

Maximum Security

EASY-TO-USE & ESSENTIAL THREAT PROTECTION

IMPROVED! Protects you from viruses, spyware, worms, Trojans, phishing, botnets, rootkits, fake AV, and more

clip_image001

clip_image002

Blocks unsafe websites, and warns about dangerous sites before you click on them

clip_image001[1]

clip_image002[1]

Finds and blocks malicious links in emails or IMs and spam from your email

clip_image001[2]

clip_image002[2]

Boosts the Windows Firewall and validates WiFi networks and hotspots

clip_image001[3]

clip_image002[3]

SOCIAL NETWORK SAFETY

EXPANDED! Indicates dangerous links on Facebook, Twitter, Google+, LinkedIn, Pinterest, MySpace, Sina Weibo and Mixi

clip_image001[4]

clip_image002[4]

NEW! Identifies settings that may leave your personal information vulnerable using the new Privacy Scanner For Facebook feature

clip_image001[5]

clip_image002[5]

MAXIMIZE PERFORMANCE

Improves PC performance by cleaning up temporary files, registries, browser history, cookies and the start-up manager using System Tuner

clip_image001[6]

clip_image002[6]

PROTECT CHILDREN ONLINE

NEW! Restricts web content and access to desktop applications. Sets an access schedule for your kids

clip_image001[7]

clip_image002[7]

EXCLUSIVE! Includes Trend Micro™ Online Guardian to monitor and protect kids on social network websites like Facebook, Twitter, and MySpace

clip_image002[8]

PROTECT DATA FROM LOSS AND THEFT

Safeguards personal information like credit card numbers and passwords Shreds sensitive data using Secure Erase

clip_image001[8]

clip_image002[9]

EXCLUSIVE! Includes Trend Micro™ SafeSync™ for online storage with mobile access

5 GB

EXCLUSIVE! Includes Trend Micro™ DirectPass™ to manage and protect your online passwords

clip_image002[10]

Stores sensitive documents in a password protected folder and allows you to remotely lock files in case of computer loss or theft

clip_image002[11]

PLATFORM PROTECTION

NEW! Lets you safely browse in Windows 8 Metro using Trend Micro™ SafeGuard

clip_image001[9]

clip_image002[12]

NEW! Lets you secure Windows 8 Tablets with Trend Micro™ Go Everywhere

clip_image002[13]

Protects Android devices with Trend Micro™ Mobile Security for Android

clip_image002[14]

Posted in Security | Tagged , , , , | 1 Comment

SSL อยากได้ต้องทำอย่างไร (ตอนที่ 3)

จากตอนที่แล้ว เราได้ทำการเลือก Product กันไปแล้วว่าจะใช้ SSL Certificate แบบไหน ต่อไปก็ได้เวลา Order แล้วนะครับ สิ่งที่ต้องทำความเข้าใจกันก่อน เพราะ เดี๋ยวอ่าน ๆ แล้วหลายคนก็จะสงสัยว่า ทำไมมันเรื่องเยอะแบบนี้ จะทำไปเพื่ออะไรมากมาย (ซึ่งผมก็ตอบคำถามแบบนี้กับลูกค้าเกือบทุกรายที่อยากได้ SSL Certificate แต่ไม่เข้าใจว่าทำไมต้องมาตอบคำถามมากมายกับทาง CA

ผมได้อธิบายไปแล้วตั้งแต่ตอนที่ 1 ว่า SSL เนี้ย จริง ๆ แล้ว คุณๆ เองสามารถสร้างได้เอง เค้าเรียกว่า Self-Signed SSL Certificate แล้วทำไมคุณต้องมาเสียเงินอีกให้กับใครก็ไม่รู้อีกหล่ะ ซึ่งในตอนที่ 1 ผมพูดแค่การยอมรับของ Client (Browser) ใช้แล้ว Browser ไม่งอแง ถ้ามันแค่นั้น บทความนี่คงไม่เกิดหรอกครับ (ฮา)

จริงๆ แล้ว สิ่งที่เหล่า Certificate Authority ขาย คือ การรับประกันตัวตนของผู้ใช้งาน Certicate ของเค้านั้นเอง ซึ่งถ้า CA รายนั้นมีชื่อเสียงมากเท่าไหร่ ราคาก็ยิ่งแพง ขอเชิญชมราคาของ Verisign (Symantec), Thawte และ Godaddy (ด้วยสินค้าระดับเดียวกันนะครับ)

Brand Product Price / Year
Verisign (Symantec) Secure Site $399.00
Thawte (Symantec) SSL Web Server Certificate $249.00
Godaddy Deluxe SSL $89.99

เชื่อว่าหลายคนดูแล้วต้องงงว่า เฮ้ย ราคาต่างกันเยอะเกิน นี่แหละครับความแตกต่างกันระหว่างชื่อเสียงของ CA ทั้งๆ ที่มันก็เป็น SSL Certificate เหมือนกันแท้ ๆ แต่ทำไม Verisign ถึงแพงจริง แล้วมันจะขายออกเหรอ งั้นมาดู Market Share กัน

image

refer: http://w3techs.com/technologies/overview/ssl_certificate/all

Symantec Group (Verisign/Thawte/Geotrust) กินตลาดไปประมาณ 43.2 % ทั้ง ๆ ที่มันแพงกว่า Godaddy เยอะ แล้วตัว Godaddy Group เองกลับมีส่วนแบ่งแค่ 14 % เท่านั้น นี่แหละครับ การรับประกันด้วย “ชื่อเสียง” ที่ Certificate Authority ขาย

เริ่มจดทะเบียนกับทาง CA

หลังจากส่งข้อมูล (รวมทั้ง CSR) ให้กับทาง CA แล้ว ก่อนที่จะออก Digital Certificate ให้ ทาง CA ก็จะมีตรวจสอบข้อมูลของผู้ที่มาขอจดทะเบียนก่อน ซึ่งทั้งนี้จะมีอยู่หลายระดับ ขึ้นกับตัว Product ของทาง CA เอง ซึ่งปัจจุบันจะมีสินค้าอยู่ 3 ระดับ ซึ่งมีผลต่อความน่าเชื่อถือเช่นกัน

domain-validated certificates (Level 1 Authentication)

Certificate นี่จะออกได้เมื่อทาง CA ได้ตรวจสอบข้อมูล CN ใน CSR กับ Domain ว่าเป็นบริษัทเดียวกันหรือไม่ ทั้งนี้อาจจะจำเป็นที่จะต้องได้รับการ Approve จากทางเจ้าของ Domain ด้วย (ขึ้นอยู่กับ Policy ของ CA รายนั้นๆ)

[ข้อดี]
– สามารถจดได้ง่าย และ เร็ว (ปกติไม่เกิน 1 วัน)
– ราคาถูกกว่า Certificate แบบอื่น

[ข้อเสีย]
– ความน่าเชื่อถือต่ำ (ใน Certificate รับรองเฉพาะ CN เท่านั้น)

[เหมาะกับใคร]
– Intranet Website
– Internal Communication (เช่น Facebook Page)

Organization-Validated Certificate (Level 2 Authentication)

Certificate นี่จะออกได้เมื่อทาง CA ได้ตรวจสอบข้อมูล CN และ องค์กรที่ขอจดทะเบียน แล้ว ซึ่งการจดทะเบียนขั้นที่ 2 จะใช้เวลามากกว่าขั้นที่ 1 โดยจะใช้เวลาประมาณ 1 – 2 สัปดาห์ ทั้งนี้ขึ้นกับตัวองค์กรด้วย โดยการตรวจสอบข้อมูลองค์กรนั้นส่วนใหญ่จะถูกตรวจสอบผ่านทาง 3rd Party ต่าง ๆ แต่จะต้องไม่ใช่ข้อมูลที่สร้างมาจากองค์กร (เช่น Website ของบริษัท เป็นต้น) ซึ่งปกติในระดับสากลจะใช้ Dun & Bradstreet เป็นต้น

สำหรับข้อมูลที่ใช้นั้นส่วนใหญ่จะต้องถูกกรอกเข้าไปในขั้นตอนการลงทะเบียนอยู่แล้ว ซึ่งถ้าข้อมูลที่ลงทะเบียนนั้นถูกต้องขั้นตอนนี้ก็จะเสร็จสิ้นได้ไม่ยาก ซึ่งในสถานการณ์ปกติ การใช้เอกสารการจดทะเบียน บ. ในการยืนยันเป็นวิธีที่ง่ายที่สุด แต่…!!

ปัญหาของ บริษัทไทย คือ การที่ไม่ได้มีงานเอกสารภาษาอังกฤษ ในขณะที่ CA ส่วนมากจะอยูู่ที่ต่างประเทศ และ ไม่เข้าใจภาษาไทย ซึ่งทางออกที่ผมจะแนะนำได้มีอยู่ 2 – 3 แบบครับ

1. แปลเอกสาร แล้วนำไปรับรองที่ กรมการกงศุล อันนี้ถือเป็นวิธีที่ดีที่สุด แต่ก็งานช้างที่สุด เพราะ ไหนจะต้องแปล ไหนจะต้องไปยื่นคำร้องอีก…เยอะครับ !!
2. ใช้พวกเอกสารค่าใช้จ่ายที่ออกจาก 3rd Party ที่น่าเชื่อถือ เช่น ใบแจ้งหนี้ค่าโทรศัพย์ ซึ่งแน่นอน ชื่อของ บ. ก็ต้องเป็นภาษาอังกฤษด้วย…อาจจะลำบากครับ
3. การได้รับการรับรองลายมือชื่อจากสำนักงานกฏหมาย ที่ได้รับอนุญาตในการทำเรื่อง Notarial services Attorney ซึ่งอันนี้ง่ายสุด และ อาจจะแพงสุดด้วย

แต่ปกติผมจะแนะนำให้ลองคุยกับทาง CA ก่อนน่ะ เพราะ เค้าจะสามารถแนะนำ Checkpoint ให้เราได้ เวลาผมเจรจา บางกรณีก็ใช้พวก Directory Website อย่างสมุดหน้าเหลืองก็ใช้ได้เหมือนกัน

หลังจากการตรวจสอบข้อมูลองค์กรเสร็จสิ้นก็จะปิดท้ายด้วยการตรวจสอบตัวตนของผู้จดทะเบียน (Administrative Contact) เอง ซึ่งมีเงื่อนไข คือ จะต้องเป็นพนักงาน Full-Time ที่มีตัวตนอยู่จริงในบริษัท (ไม่ใช่ Part-time และ Contract)

[ข้อดี]
– มีความน่าเชื่อถือระดับกลาง
– ใน Certificate รับรองข้อมูลใน CSR ทั้งหมด
– หลายแห่งรองรับการใช้งานแบบ SAN option (หลายชื่อ)

[ข้อเสีย]
– ไม่สามารถทำเสร็จได้ใน 1 วัน
– ขั้นตอนตรวจสอบเป็นสากล…เกินไป (โดยเฉพาะ บริษัทคนไทย)

[เหมาะกับใคร]
– Internet Website ทั่วไป

Extended-Validated Certificate (Level 3 Authentication)

เป็น Certificate ระดับสูงสุด (และแพงที่สุด) และมีความน่าเชื่อถือที่สุด เป็นมาตรฐานใหม่ของ Certificate ซึ่งจัดตั้งโดยกลุ่ม CA/Browser (CAB) Forum ผู้ที่ใช้ SSL Certificate with Extended Validation (EV) จะได้รับ Greenbar เพื่อรับรองว่า Website นั้นน่าเชื่อถือที่สุด และ ผมรับรองว่ามันหล่อสุดๆ จริง ๆ ครับ

อันนี้เป็นของลูกค้าของผมรายนึงที่เค้าผ่าน EV มาได้ สุดยอดครับ

image_thumb17_thumb

แน่นอนว่า การทำ EV ก็ต้องผ่าน 2 Step เช่นกัน แต่ถ้าเป็นเกมก็จะเรียกว่า Hard Mode คือ หินโคตร ๆ เพราะ มันจะเพิ่มขั้นตอนการทำ Validation ขึ้นไปอีก (ตอนนี้ผมก็กำลังช่วยมีลูกค้าอยู่รายนึงอยู่ แต่กำลังใจเค้าเริ่มจะหมดแล้ว เพราะ มันเหนือยจริง ๆ ครับ)

สิ่งที่เพิ่มเติมมานั้น คือ ขั้นตอนทางด้านเอกสาร และ กฏหมาย ผู้จดทะเบียนจะต้องได้รับการรับรองจากตัวองค์กรว่าเป็นผู้ที่ได้รับการมอบหมายให้ดูแลการจดทะเบียน EV อย่างถูกต้อง โดยการเช็นชื่อรับรองใน Acknowledgemant of Agreement ซึ่งจะต้องมีการวางคู่กับการรับรองทางกฏหมายของทีมกฏหมายของบริษัท (หรือ บริษัททนายความที่ดูแลผลประโยชน์ของบริษัท) เรียกว่า Legal Option Letter (หรือ Professional Opinion Letter) ซึ่งทั้ง 2 ส่วนจะต้องได้รับการตรวจสอบเช่นกันว่ามีตัวตนอย่างถูกต้อง

ผู้ที่เป็น Organization Contact จะถูกตรวจสอบไปที่ HR ของบริษัท

ส่วนผู้รับรอง Legal Opinion Letter จะถูกตรวจสอบไปที่ LAWYERS COUNCIL (สภาทนายความ)

ถ้ารอดตรงนี้มาได้การจะได้ Green Bar มาครอบครองก็ไม่ยากแล้วครับ

[ข้อดี]
– มีความน่าเชื่อถือระดับสูงสุด
– ใน Certificate รับรองข้อมูลใน CSR ทั้งหมด
– ได้รับ Greenbar ซึ่งแสดงชื่อของบริษัทออกมาบน Address Bar ซึ่งเพิ่มความน่าเชื่อถืออย่างมาก

[ข้อเสีย]
– ไม่สามารถทำเสร็จได้ใน 1 สัปดาห์
– ขั้นตอนตรวจสอบเป็นสากล…เกินไป (โดยเฉพาะ บริษัทคนไทย)
– ค่อนข้างจะตรวจสอบลึกถึงเรื่องราวภายในบริษัท ซึ่งส่วนใหญ่จะเสียเวลาตรงนี้
– มีอายุการใช้งานค่อนข้างต่ำกว่า Certificate มาตรฐาน (ไม่เกิน 2 ปี)

[เหมาะกับใคร]
– Internet Website ที่มีการทำการเกี่ยวข้องกับข้อมูลที่เป็นความลับ
– Internet Website ที่มีการทำการเกี่ยวข้องกับการเงิน
– Internet Website ที่เกี่ยวข้องกับบัตรเครดิส

ซึ่งในความเป็นจริง ไม่ใช่ทุก Product ที่จะรองรับ Authentication Level ทุกระดับ เมื่อเอามาจับคู่กับ Product แล้วจะมีลักษณะดังนี้ครับ

Level 1 Level 2 Level 3
SSL Certificate Available Available Available
SSL SAN Certificate * Available Available Available
SSL Wildcard Certificate Available Available None

* SAN Certificate จะขึ้นกับ Certificate แต่ละราย อาจจะแตกต่างกันครับ

ซึ่งมาถึงตรงนี้ ขอสรุปนิดนึงว่าก่อนจะซื้อ SSL Certificate อาจจะดูที่วัตถุประสงค์การใช้งานก่อน ว่าคุณจะเอาไปใช้กับงานอะไร, ใครเป็นผู้ได้รับประโยชน์กับ SSL Certificate ตัวนี้ เพราะ จริง ๆ มันเป็นแค่การขายการรับประกันความปลอดภัยให้กับลูกค้า ดังนั้นไม่ใช่ว่า “ถูกก็พอ” หรือ “แพงไว้ก่อน” แน่นอนครับ

บทความแรก – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 1)
บทความสอง – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 2)

Posted in SSL Certificate | Tagged , , | Leave a comment

SSL อยากได้ต้องทำอย่างไร (ตอนที่ 2)

CA ทำหน้าที่อะไร?

Certificate authority, หรือ Certification authority เรียกสั้น ๆ ว่า CA (ซีเอ) เป็นกลุ่มองค์กรกลางที่ไม่เกี่ยวข้องกับเครื่องสำอางเกาหลี (ห๊ะ!! นั้นมัน ZA Cosmetics) ทำหน้าที่ออกเอกสารรับรอง (Certificate) แบบ Digital ให้กับผู้ที่ต้องการใช้งาน SSL ซึ่งในการจะออกเอกสารรับรองนั้นจะต้องมีการพิสูจน์ตัวตน (Authentication) และ การยืนยันตัวตน (Verification) ก่อน

สำหรับผู้ที่ต้องการขอ Digital Certificate จะต้องทำการ Register กับทาง CA ซึ่งสามารถทำได้ผ่านหน้า Website ของทาง CA เอง หรือ ผ่าน Reseller ของทาง CA ก็ได้ (ผมแนะนำให้ทำผ่าน Reseller นะ เพราะ จะได้ถูกกว่าราคาหน้า Web เล็กน้อย) ซึ่งสิ่งที่จำเป็นที่จะใช้ในการ Register นอกจาก Profile ก็คือ CSR (Certificate Signed Request)

CSR คือ ข้อมูลพื้นฐานของ Digital Certificate ซึ่งนำมา encrypt ด้วย Private Key ของ Server ที่จะเป็นผู้ถือ Certificate นั้นเอง ซึ่งจะประกอบด้วย

Common Name (CN) หรือ ชื่อสามัญ (ในการจดทะเบียน Website มันก็คือ URL น้ันเอง)
Organization (O) หรือ ชื่อองค์กร
Organization Unit (OU) หรือ ชื่อสังกัด
Locality (L) หรือ ชื่อท้องถิ่ม สำหรับประเทศไทย ก็คือ ตำบล นั้นเอง
Stage (S) หรือ ชือจังหวัด
County (C) หรือ ชื่อประเทศ * ต้องใช้ตัวย่อที่ถูกต้อง เช่น ประเทศไทยใช้ TH (Case Sencitive)

ข้อควรระวัง คือ สำหรับ Website CN จะเป็นตัวที่สื่อถึง URL ที่จะได้รับการรับรองเท่านั้น และ ไม่รองรับถึงการทำ Alias ใดๆ เช่น

Website หลัก Alias
URL yuttana.th.com http://www.yuttana.th.com
จดทะเบียน SSL Yes No
เมื่อเปิด HTTPS
Website
เปิดได้ปกติ
image_thumb9
ออกอาการงอแงimage_thumb10

* ในการจดทะเบียนจริง ๆ มี Certificate Model หลายแบบ ซึ่งที่กำลังกล่าวถึงจะเป็นแบบมาตรฐานทั่วไป แต่ก็ยังมี Model แบบ SAN Certificate และ Wildcard ด้วย

ซึ่ง SSL Certificate ตอนนี้มี Product Line อยู่ประมาณ 3 แบบ

1. SSL Certificate แบบ Standard Common Name
เป็น Certificate ทั่วไป จะผูกกับ 1 ชื่อสามัญ (Common Name) เท่านั้น การใช้งาน SSL Certificate ลักษณะนี้มันจะใช้งานกับพวก Server ทั่วไป

ข้อควรระวัง การใช้งานของ Certificate จะผูกกับชื่อเพียงชื่อเดียว และ เปลี่ยนแปลงไม่ได้ ควรจะตกลงชื่อที่จะจดทะเบียนให้เรียบร้อยก่อน

2. Subject Alternative Name (SAN) Certificate

เป็น Certificate แบบหลายชื่อ ซึ่งไม่บังคับว่าจะต้องเป็น Domain เดียวกัน การใช้งาน SSL Certificate ลักษณะนี้ ปกติจะใช้กับพวก Server ที่ใช้ Secure Protocal หลายแบบเช่น Mail Server อย่าง Microsoft Exchange (จะมี POPS/IMAPS/SMTPS/HTTPS) เป็นต้น

3. Wildcard Certificate

เป็น Certificate แบบครอบคลุมระดับ Domain โดยไม่จำกัดปริมาณของ Sub Domain ที่อยู่ภายใน Domain นั้น โดยจะใช้ CN ว่า *.Domain.com เป็นต้น

Tip เล็กน้อยเกี่ยวกับ SSL Certificate

– ในการใช้งาน SSL Certificate จะคิดเป็นลักษณะ License ต่อเครื่อง
– มีหลายเครื่องก็ต้องซื้อหลาย Licenses เพราะ ต้องส่ง CSR ที่สร้างจาก Private Key คนละตัวกัน
– [ในทางปฏิบัติ] จะใช้ Shared Private Key เดียวกันก็ได้
– [ในทางปฏิบัติ] Certificate ก็สามารถ Export จาก Server เดิมกระจายตาม Server ใหม่ได้เช่นกัน
– [ในทางปฏิบัติ] ถ้าใช้ Shared Private Key หรือ Certificate ถ้า Private Key หลุดไป ก็ซวยยกฝูง

หลังจากเลือก Product Line กับแล้วต่อไปก็เลือกระดับของ Product ตามความน่าเชื่อถือกันแล้ว ไปเจอกันในคราวต่อไปครับ

บทความก่อนหน้านี้ – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 1)
บทความตอนจบ – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 3)

Posted in SSL Certificate | Tagged , , | 1 Comment

SSL อยากได้ต้องทำอย่างไร (ตอนที่ 1)

ณ. เวลานี้พวกเรากำลังเข้าสู่ยุค Post-PC ยุคสมัยที่ Internet เฟื่องฟูที่สุด พวกเราหลาย ๆ คนเริ่มทำ Activity ต่าง ๆ ได้ผ่านทาง Internet แต่เคยมีใครสงสัยหรือไม่ว่า สิ่งที่คุณทำนั้นปลอดภัยรึเปล่า…

เพื่อความปลอดภัยในการส่งผ่านข้อมูลทาง Internet บริษัท Netscape (มีใครทันพี่ชายคนโตคนนี้บ้างครับ) ได้เป็นผู้คิดค้นพัฒนาโปรโตคอล (Protocol) พิเศษขึ้นมา คือ Secure Socket Layer (SSL) ซึ่งมันจะช่วยป้องกันการส่งข้อมูลบนอินเทอร์เน็ต ซึ่งปัจจุบันได้รับการพัฒนาโดยกลุ่ม IETF (Internet Engineering Task Force) หรือ กลุ่มผู้พัฒนาโครงสร้างของอินเทอร์เน็ตนานาชาติ และ ได้กลายเป็นมาตรฐานความปลอดภัยของการติดต่อสื่อสารบนเครือข่าย Internet ไปแล้ว

การทำงานของ SSL นั้นใช้วิธีการเข้ารหัสแบบ Public Key Encryption ซึ่งประกอบด้วย Public Key และ Private Key ซึ่งจะขออธิบายให้เข้าใจง่ายๆ ไม่เข้าเทคนิคมากจนเกินไปนะครับ

Step 1. Client (เช่น Browser อย่าง IE, Chrome หรือ Firefox) ร้องขอ Secure Session จาก Web Server

Step 2. Server ส่ง Digital Certificate (เดี๋ยวจะมีอธิบาย) และ Public Key มาให้

Step 3. Client ตรวจสอบข้อมูลของ Server Certificate ถ้าข้อมูลถูกต้อง Client จะเริ่มทำการสร้าง Session Key แบบเข้ารหัส (Encrypt) ด้วยด้วย Public Key ที่ได้มา
(ขั้นตอนนี้่ถ้าข้อมูลไม่ถูกต้อง หรือ ไม่น่าเชื่อถืก พวก Client แบบมาตรฐานอาจจะร้องงอแงได้)

image อาการร่าเริงแบบ Google Chrome
image อาการร่าเริงแบบ Internet Explorer
(ดูที่สีเหลี่ยมสีน้ำเงิน)
image อาการงอแงแบบ Google Chrome
image อาการงอแงแบบ Internet Explorer

Step 4. Server ถอดรหัส (Decrypt) Session Key ด้วย Private Key

Step 5. Server และ Client เริ่มการจูจี๋กันด้วยภาษาคู่รัก ที่ไม่มีใครเข้าใจได้

ขั้นตอนเหล่านี้ เราเรียกว่า SSL Handshake นั้นเอง

image

จากที่เกรินมาแล้ว เราจะเห็นแล้วว่า SSL จะใช้งานได้ประกอบได้สิ่งสำคัญ 2 อย่าง คือ
1. Public Key Encryption
2. Digital Certificate

เจ้าตัว Public Key นั้นเป็นสิ่งที่สร้างจาก Server เอง ซึ่งขอให้มี Public Key และ Private Key ก็สามารถทำงานได้แล้ว แต่ Digital Certificate ต่างหากที่เป็นตัวที่ทำให้ Client ยอมรับ

ตัว Digital Certificate ที่ได้รับการยอมรับจาก Client ไม่ใช่สิ่งที่สร้างได้จาก Server แต่จะต้องออกมาจากองค์กรกลาง (3rd Parth แต่แน่นอนว่า ไม่ใช่ NPO แน่ๆ) ที่ได้รับการยอมรับจากกลุ่มผู้ใช้งาน Digital Certificate นั้นๆ เช่น กลุ่ม Web Browser เป็นต้น องค์กรกลางเหล่านี้ เราจะเรียกว่า Certificate Authority (CA) นั้นเอง

ตอนหน้าผมจะมาพูดถึงหน้าที่ของ Certificate Authority กันว่าเค้าทำอะไรบ้าง

บทความตอนต่อไป – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 2)
บทความตอนจบ – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 3)

Posted in SSL Certificate | Tagged , , | 1 Comment