Access Point คัท ไม่ตาย
มาป้องกัน อุปกรณ์ ที่ปล่อยสัญญาณ เน็ตไร้สาย หรือ Access Point ให้รอดจากเน็ตคัท
ที่เคยกล่าวไปถึง ปัญหา ARP โดยเฉพาะเครื่องมือ ตัวแสบที่ชื่อว่า NetCut ที่นอกจาก สามารถ คัท หรือตัดเน็ต เครื่องผู้ใช้งานในระบบแล้ว ยังสามารถ ตัดเน็ต อุปกรณ์อื่นๆ ที่อาศัย Mac Address ในการสื่อสารระดับล่าง ที่ต่ำกว่า IP Layer ได้ด้วย จุดนี้เอง ที่ทำให้คำว่า ป้องกัน เน็ตคัตได้ 100 เปอร์เซ็นต์ เป็นเรื่องที่ไม่ง่าย เพราะถ้าบอกว่า ป้องกันได้ 100% แต่มองแค่ เรื่องผู้ใช้งาน กับ เซิร์ฟเวอร์ ที่ใช้ควบคุมเน็ต นั้นไม่ถูกต้อง
Access Point มีบาง ยี่ห้อ ที่ป้องกันเน็ตคัตได้ โดยไม่จำเป็นต้องมี เมนู ที่เกี่ยวกับการ เซ็ต Static Mac ของ Gateway ในเฟิร์มแวร์ ของ ตัว AP แต่บางครั้งยี่ห้อเดียวกัน ก็อาจจะ ไม่ป้องกัน ปัญหานี้ได้เช่นกัน ทั้งนี้ขึ้นอยู่กับเวอร์ชั่นของ เฟิร์มแวร์ ของตัว AP ด้วย แนะนำให้ กลับไปดู AP ที่ใช้งานอยุ่ ว่ามี เฟิร์มแวร์ เวอร์ชั่นใหม่หรือไม่ ถ้ามี ก็ปรับปรุงให้ล่าสุดไว้ น่าจะดีกว่า ส่วนเรื่อง กันได้ หรือ ไม่ได้ อยากทราบจริงๆ ก็ต้องทดสอบกันดูเอง
แต่วันนี้ เราจะมาดู พระเอก ตัวจริง ที่ไม่ใช่แค่เพียง Hardware ที่มีหน่วยความจำ และ บัฟเฟอร์ที่มาก ตัวเฟิร์มแวร์ ที่เจ้าอื่นๆ พัฒนา ใช้งานกับมัน ยังทำให้อุปกรณ์ตัวนี้ ไม่ธรรมดาในวงการ อุปกรณ์เน็ตไร้สายเลย ชื่อรุ่นของมันคือ WRT54GL ซึ่งราคา GL ถูกกว่า WRT54G ทั้งที่บัฟเฟอร์สูงกว่าเสียอีก อนานคต Linksys หรือ CISCO คง เอาวงจรของ WRT54GL เป็นตัวหลักอย่างไม่ต้องสงสัย จริงๆ มันริบหลายๆ อย่างออก ด้วยเงื่อนไข เรื่องการแข่งขัน ตัวอย่างเช่น การเชื่อต่อ SD card วงจร WRT54GL สามารถ เพิ่ม SD ไว้ใส่ Linux หรือ Devloper Tools แบบสมบูรณ์ได้เลยก็ว่าได้
เข้าเรื่องกันซะที ตัวที่ทำให้อุปกรณ์รุ่นนี้โดดเด่น คือ เฟิร์มแวร์ ที่ชื่อ dd-wrt ที่เป็นลีนุกซ์ สำหรับท่าน ที่มีโมเดล รุ่นนี้ ให้กลับไปดูว่า ตอนนี้เราใช้ dd-wrt เวอร์ชั่น 24 SP2 หรือเปล่า ไม่ว่า จะปรับปรุง หรือ อัพ จากตัว Mini หรือ Standard ก็มีคำสั่ง arp ไว้ให้ทำ Static Mac หรือ แมคแอดเดรต แบบถาวรได้แล้ว มาดูขั้นตอน การเซ็ต Static Mac ให้กับ WRT54GL ผ่านเว็บกันดู (สำหรับที่ใช้ผ่าน telnet น่าจะทำเองได้อยู่แล้ว)
1. สังเกตุ เวอร์ชั่นของ dd-wrt ต้องเป็น 24 sp2 (04/08/09) ขึ้นไป
2. เข้าที่เมนู Administration -> Commands จากนั้น พิมพ์ arp -n เพื่อแสดงค่า Arp Cache ของตัวอุปกรณ์ ถ้าพบค่า Gateway เช่น 10.10.10.10 หรือ 10.9.9.9 ทั้งนี้แล้วแต่ การเซ็ตค่าไอพีของ AP ด้วย เพราะจริงๆ แล้ว AP ไมจำเป็น ต้องมีไอพีที่สอดคล้องกับ ค่าที่ Gateway กำหนดก็ได้ เพราะมันทำงาน ลักษณะ Passive เพียงแต่ว่า หากต้องการให้ SmallOne หรือ ต้องการวิ่งเข้ามาเซ็ตผ่าน อีกด้าน ของเครือข่ายในวง AP จะไม่สามารถเข้าถึงมันได้ โดยตรง จากนั้น ดูผลลัพธ์ (Result) จากภาพตัวอย่าง ไม่พบ ค่า ไอพี ของเจ้าตัวเล็ก อาจเป็นเพราะ ยังไม่มีการส่งข้อมูลไปยังเกตเวย์ ถ้าเป็นเช่นนี้ ให้ดูขั้นตอนต่อไป
3. หากไม่พบค่าแมคแอดเดรต (Mac Address) ของตัวเกตเวย์ จาก Arp cache ของ AP ให้ทำการเชื่อต่อ อย่างใดอย่างหนึ่งไปยัง เกตเวย์ เพื่อ ให้เกิดค่า Arp cache ของ AP จากตัวอย่าง ทำโดยการสั่ง telnet ไปยัง เกตเวย์ จากนั้นกด ปุ่ม Run Commands
จากนั้นกลับ มารัน คำสั่ง arp -n ใหม่ ผลลัพธ์ ครั้งนี้ จะพบค่า IP และ Mac Address ของขาเกตเวย์
4. หลังจากที่ได้ค่า แมคแอดเดรต ของ ฝั่งเกตเวย์ ที่ AP ต้องสื่อสารด้วย ก็ให้ทำการ copy ค่า Mac Address ดังกล่าว เพื่อทำการ กำหนด ค่า Static Mac Address ให้กับ ตัว AP จะได้ไม่หลงทาง ในการติดต่อสื่อ กับเกตเวย์ ตลอดไป ไม่ว่า จะโดนเล่นงาน ด้วย NetCut หรือ ARP Spoofing ก็ตาม
5. พิมพ์คำสั่ง arp -s ตามด้วยไอพีขาเกตเวย์ ที่ AP เซ็ตไว้ ในที่นี้ใช้ขา 10.10.10.10 จากนั้น คลิกขวา ทำการ Paste หรือว่าง ค่าแมค ที่ก๊อปปี้ มาลงต่อท้ายให้ครบรูปแบบ คำสั่งคือ arp -s IP MacAddress
จากนั้น กดปุ่ม Save Startup เพื่อให้ AP ทำ Static Mac Address จากคำสั่ง arp -s ทุกครั้งที่เปิด ตัวอุปกรณ์ AP
6. ทดสอบสุดท้าย เพื่อให้มั่นใจว่า AP จะทำ Static Mac ทุกครั้งที่ เปิดทำงาน เริ่มจาก สั่ง Reboot ตัว AP เข้าที่ Administration -> Management แล้วกดปุ่ม Reboot Router ที่ด้านล่างสุด เพื่อทำการรีบูตตัวเราเตอร์ ที่เรานำมาใช้งานเป็น AP
รอจนขั้นตอนการรีบูตเสร็จสิ้น ย้อนกลับไปตรวจค่า Arp Cache ด้วยคำสั่ง arp -n ใหม่ โดยพิมพ์ arp -n จากนั้น กดปุ่ม Run Commands ถ้าทุกอย่างถูกต้อง จะได้ค่า Mac Address แบบ ถาวร หรือ Static Mac ของขา 10.10.10.10 ดังรูป โดยค่าที่เปลี่ยนไปคือ จะมีค่า PERM เพิ่มขึ้นมา ซึ่งย่อมาจากคำว่า Permanent ที่แปลว่า ถาวร
