# Remote Access Solutions ## โซลูชันการเข้าถึงระยะไกล **ผู้จัดทำ:** อรรถพล คงหวาน --- ## Outline 1. บทนำ: ความสำคัญของ Remote Access 2. Remote Desktop Solutions 3. Bastion Hosts และ Jump Servers 4. Multi-factor Authentication (MFA) 5. Lab Exercise 6. สรุปโดยรวม --- # บทนำ ## ความสำคัญของ Remote Access --- ## Remote Access คืออะไร? - **Remote Access** = การเชื่อมต่อและควบคุมคอมพิวเตอร์จากสถานที่ห่างไกล - ผู้ดูแลระบบสามารถจัดการเซิร์ฟเวอร์ทุกตำแหน่งได้จากที่เดียว - รองรับการทำงานระยะไกล (Remote Work) ของพนักงาน - ลดต้นทุนการเดินทาง เพิ่มประสิทธิภาพตอบสนองเหตุฉุกเฉิน - ⚠️ มีความเสี่ยงสูงหากตั้งค่าไม่ถูกต้อง — เป็น **Attack Vector** หลัก --- ## ภาพรวมระบบ Remote Access ที่ปลอดภัย <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#fabd2f', 'lineColor': '#83a598', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#83a598', 'clusterBkg': '#3c3836', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#504945'}}}%% flowchart TD subgraph Internet["🌐 อินเทอร์เน็ต"] U[("👤 Remote User")] end subgraph DMZ["🟡 DMZ Zone"] BH["🛡️ Bastion Host\n203.0.113.10"] VPN["🔐 VPN Gateway\n203.0.113.20"] end subgraph Internal["🟢 Internal Network 10.0.0.0/24"] WEB["🖥️ Web Server\n10.0.0.10"] DB["🗄️ Database Server\n10.0.0.20"] COCKPIT["🌐 Cockpit\n10.0.0.40:9090"] end U -->|"SSH + MFA"| BH U -->|"WireGuard / IPSec"| VPN BH -->|"ProxyJump"| WEB BH -->|"ProxyJump"| DB VPN -->|"Encrypted Tunnel"| COCKPIT style Internet fill:#cc241d,color:#ebdbb2,stroke:#fb4934 style DMZ fill:#d79921,color:#1d2021,stroke:#fabd2f style Internal fill:#98971a,color:#1d2021,stroke:#b8bb26 </pre> --- ## เปรียบเทียบ Remote Access Solutions | เทคโนโลยี | โปรโตคอล | Port | การเข้ารหัส | Use Case | |-----------|---------|------|-----------|---------| | SSH | TCP | 22 | AES-256 | CLI Admin | | VNC | TCP | 5900 | ไม่มีโดยตรง* | GUI Remote | | RDP | TCP/UDP | 3389 | TLS 1.2+ | Windows | | Cockpit | TCP | 9090 | TLS 1.3 | Web Admin | | VPN+SSH | TCP | 22+Custom | Multi-layer | Enterprise | > \* VNC ต้องใช้ร่วมกับ SSH Tunnel หรือ VPN เพื่อการเข้ารหัส --- # Remote Desktop Solutions ## โซลูชันเดสก์ท็อประยะไกล --- ## Outline: Remote Desktop Solutions - 2.1 SSH Advanced Usage - SSH Agent Forwarding - SSH ProxyJump (Jump Host) - 2.2 VNC (Virtual Network Computing) - 2.3 RDP Security - 2.4 Cockpit Web-based Administration --- ## 2.1 SSH Agent Forwarding คืออะไร? - ช่วยให้ใช้ SSH Key จากเครื่องต้นทาง (Local) เพื่อยืนยันตัวตนบนเครื่องที่สาม - **ไม่ต้องเก็บ Private Key บนเครื่องกลาง (Bastion)** - ⚠️ ควรใช้เฉพาะกับเซิร์ฟเวอร์ที่เชื่อถือได้ - กำหนดค่าด้วย `ssh -A` หรือ `ForwardAgent yes` ใน config ```bash eval "$(ssh-agent -s)" # เริ่มต้น SSH Agent ssh-add ~/.ssh/id_rsa # เพิ่ม Private Key ssh-add -l # ตรวจสอบ Key ที่โหลด ssh -A user@bastion.example.com # เชื่อมต่อพร้อม Agent Forwarding ``` --- ## การทำงานของ SSH Agent Forwarding <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#fabd2f', 'lineColor': '#83a598', 'secondaryColor': '#3c3836', 'background': '#282828', 'mainBkg': '#282828'}}}%% sequenceDiagram participant L as 💻 Local Machine participant B as 🛡️ Bastion Host participant T as 🖥️ Target Server Note over L: ssh-agent ทำงานอยู่ (Private Key: id_rsa) L->>B: ssh -A user@bastion (Forward Agent) B-->>L: ขอยืนยันตัวตน (Challenge) L-->>B: Agent ลงนาม Challenge ด้วย Private Key B-->>L: เชื่อมต่อสำเร็จ ✓ Note over B: SSH_AUTH_SOCK=/tmp/ssh-xxx/agent.123 B->>T: ssh user@target-server (จาก Bastion) T-->>L: ขอยืนยันตัวตน (ผ่าน Agent) L-->>T: Agent ลงนาม (ผ่าน Bastion) T-->>B: เชื่อมต่อสำเร็จ ✓ </pre> --- ## SSH Config สำหรับ Remote Access ```ini # ~/.ssh/config Host bastion HostName 203.0.113.10 User admin IdentityFile ~/.ssh/id_ed25519 ForwardAgent yes ServerAliveInterval 60 Host webserver HostName 10.0.0.10 User deploy IdentityFile ~/.ssh/id_ed25519 ProxyJump bastion ForwardAgent no Host * AddKeysToAgent yes StrictHostKeyChecking ask HashKnownHosts yes ``` --- ## SSH ProxyJump (Jump Host) - วิธีที่ **ทันสมัยและปลอดภัยกว่า** Agent Forwarding - เชื่อมต่อผ่านเซิร์ฟเวอร์กลาง (Bastion/Jump Host) ```bash # วิธีที่ 1: command line ssh -J user@bastion.example.com user@internal-server.local # วิธีที่ 2: หลาย Jump Hosts ssh -J user@bastion1,user@bastion2 user@target # วิธีที่ 3: ~/.ssh/config (แนะนำ) ssh webserver ``` --- ## คำนวณ Connection Overhead (ProxyJump) - Latency Local → Bastion: **20ms** - Latency Bastion → Target: **5ms** - SSH Handshake: **~3 RTT** <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <msub><mi>T</mi><mi>total</mi></msub> <mo>=</mo> <mo>(</mo> <msub><mi>RTT</mi><mrow><mi>L</mi><mo>→</mo><mi>B</mi></mrow></msub> <mo>+</mo> <msub><mi>RTT</mi><mrow><mi>B</mi><mo>→</mo><mi>T</mi></mrow></msub> <mo>)</mo> <mo>×</mo> <msub><mi>N</mi><mi>handshake</mi></msub> </math> <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <msub><mi>T</mi><mi>total</mi></msub> <mo>=</mo> <mo>(</mo> <mn>20</mn><mtext>ms</mtext> <mo>+</mo> <mn>5</mn><mtext>ms</mtext> <mo>)</mo> <mo>×</mo> <mn>3</mn> <mo>=</mo> <mn>75</mn><mtext>ms</mtext> </math> > RTT = Round Trip Time, N_handshake = จำนวน Handshake Rounds (ปกติ 3 RTT) --- ## Python: ทดสอบ SSH Connectivity ```python def measure_ssh_latency(host: str, port: int = 22) -> dict: """วัด latency การเชื่อมต่อ SSH""" start_time = time.time() result = subprocess.run( ["ssh-keyscan", "-T", "10", "-p", str(port), host], capture_output=True, text=True, timeout=10 ) latency_ms = (time.time() - start_time) * 1000 return { "host": host, "status": "accessible" if result.returncode == 0 else "error", "latency_ms": round(latency_ms, 2), } ``` > สคริปต์ตรวจสอบ Latency และความพร้อมใช้งานของ SSH hosts ตลอด ProxyJump path --- ## 2.2 VNC (Virtual Network Computing) - ระบบ **Graphical Desktop Sharing** ผ่านเครือข่าย - ใช้โปรโตคอล **RFB (Remote Framebuffer Protocol)** - ส่งภาพหน้าจอและรับคำสั่ง Keyboard/Mouse - ⚠️ **ไม่มีการเข้ารหัสในตัว** — ต้องใช้ SSH Tunnel เสมอ - Port เริ่มต้น: **5900** (Display :0), **5901** (Display :1) --- ## หลักการทำงานของ VNC <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#fabd2f', 'lineColor': '#83a598', 'secondaryColor': '#3c3836', 'background': '#282828', 'mainBkg': '#282828'}}}%% flowchart LR subgraph Client["💻 VNC Client"] VI["🖥️ VNC Viewer"] KB["⌨️ Keyboard/Mouse"] end subgraph Network["🌐 เครือข่าย"] TUN["🔐 SSH Tunnel\nPort 22 → 5901"] end subgraph Server["🖥️ VNC Server (Remote)"] VS["📡 VNC Server\nPort 5901"] FB["🖼️ Framebuffer"] DE["🗂️ Desktop Environment\nXFCE/GNOME"] end KB -->|"Input Events (RFB)"| TUN TUN -->|"Forwarded to :5901"| VS VS --> DE DE --> FB FB -->|"Screen Updates"| TUN TUN -->|"Pixel Data"| VI style Client fill:#458588,color:#ebdbb2,stroke:#83a598 style Network fill:#d79921,color:#1d2021,stroke:#fabd2f style Server fill:#689d6a,color:#1d2021,stroke:#8ec07c </pre> --- ## ติดตั้ง TigerVNC Server ```bash sudo apt install -y tigervnc-standalone-server xfce4 vncpasswd # ตั้งรหัสผ่าน VNC cat > ~/.vnc/xstartup << 'EOF' #!/bin/bash unset SESSION_MANAGER exec startxfce4 EOF chmod +x ~/.vnc/xstartup # เริ่ม VNC Server (Display :1 = Port 5901) vncserver :1 -geometry 1920x1080 -depth 24 -localhost yes vncserver -list # ตรวจสอบสถานะ ``` > `-localhost yes` = รับเฉพาะจาก localhost (บังคับใช้ SSH Tunnel) --- ## SSH Tunnel สำหรับ VNC ```bash # สร้าง SSH Tunnel บนเครื่อง Client ssh -L 5901:localhost:5901 -N -f user@203.0.113.10 # -L 5901:localhost:5901 = Forward port local → server # -N = tunnel only (ไม่รัน command) # -f = รันใน background # เชื่อมต่อด้วย VNC Viewer ไปที่: localhost:5901 ``` --- ## คำนวณ Bandwidth ที่ต้องการสำหรับ VNC ความละเอียด 1920×1080, 24-bit color, 30 fps <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <msub><mi>BW</mi><mi>raw</mi></msub> <mo>=</mo> <mn>1920</mn><mo>×</mo><mn>1080</mn><mo>×</mo> <mn>3</mn><mtext> bytes</mtext><mo>×</mo> <mn>30</mn><mtext> fps</mtext> <mo>=</mo><mn>186.6</mn><mtext> MB/s</mtext> </math> หลังบีบอัด Tight Encoding (~90% reduction): <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <msub><mi>BW</mi><mi>compressed</mi></msub> <mo>=</mo> <mn>186.6</mn><mtext> MB/s</mtext> <mo>×</mo><mo>(</mo><mn>1</mn><mo>-</mo><mn>0.90</mn><mo>)</mo> <mo>=</mo><mn>18.66</mn><mtext> MB/s</mtext> <mo>≈</mo><mn>149.3</mn><mtext> Mbps</mtext> </math> --- ## Bandwidth Requirements ตามความละเอียด | ความละเอียด | ไม่บีบอัด | Tight Encoding | ZRLE Encoding | |------------|---------|--------------|--------------| | 1024×768 | 70.8 MB/s | ~7 MB/s | ~3 MB/s | | 1920×1080 | 186.6 MB/s | ~18.7 MB/s | ~8 MB/s | | 2560×1440 | 331.8 MB/s | ~33.2 MB/s | ~14 MB/s | | 3840×2160 | 746.5 MB/s | ~74.7 MB/s | ~32 MB/s | --- ## 2.3 RDP Security — ประวัติและช่องโหว่ <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#fabd2f', 'lineColor': '#83a598', 'secondaryColor': '#3c3836', 'background': '#282828', 'mainBkg': '#282828'}}}%% flowchart LR subgraph E1["📅 ยุคแรก (1996-2005)"] R1["RDP 4.0\nWindows NT 4.0\nเข้ารหัสอ่อนแอ"] R2["RDP 5.0\nWindows 2000\n128-bit RC4"] end subgraph E2["⚠️ ยุคช่องโหว่ (2006-2018)"] V1["MS12-020\nCVE-2012-0002\nRCE Critical"] V2["BlueKeep\nCVE-2019-0708\nWormable RCE"] end subgraph E3["🔐 ยุคทันสมัย (2019+)"] R4["RDP 10.0\nTLS 1.3, NLA บังคับ"] R5["RDP Hardening\nCredSSP, TLS 1.2+"] end R1 --> R2 --> V1 --> V2 --> R4 --> R5 style E1 fill:#504945,color:#ebdbb2,stroke:#7c6f64 style E2 fill:#cc241d,color:#ebdbb2,stroke:#fb4934 style E3 fill:#98971a,color:#1d2021,stroke:#b8bb26 </pre> --- ## RDP Hardening บน Windows ```powershell # 1. เปลี่ยน Port จาก 3389 $rdpPort = 49152 Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\...\RDP-Tcp' ` -name 'PortNumber' -Value $rdpPort New-NetFirewallRule -DisplayName "RDP Custom Port" ` -Direction Inbound -Protocol TCP -LocalPort $rdpPort -Action Allow Restart-Service TermService # 2. จำกัดผู้ใช้ที่เข้าถึงได้ Add-LocalGroupMember -Group "Remote Desktop Users" -Member "rdp_user" Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "Administrator" ``` > เปิดใช้ **Network Level Authentication (NLA)** ผ่าน Group Policy เสมอ --- ## เชื่อมต่อ RDP ผ่าน SSH Tunnel ```bash # สร้าง SSH Tunnel ssh -L 13389:windows-server.internal:3389 \ -N -f \ -o StrictHostKeyChecking=yes \ user@bastion.example.com # เชื่อมต่อด้วย xfreerdp (Linux RDP Client) xfreerdp \ /v:localhost:13389 \ /u:WindowsUser \ /d:DOMAIN \ /sec:tls \ /cert:tofu \ /f ``` --- ## 2.4 Cockpit — Web-based Administration <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#458588', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#83a598', 'lineColor': '#ebdbb2', 'secondaryColor': '#3c3836', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#83a598'}}}%% mindmap root((🌐 Cockpit\nPort 9090)) 📊 System Overview CPU/Memory/Disk Network Traffic System Logs 🔧 System Management Services Control Software Updates User Management 🐳 Containers Podman Image Management 💾 Storage Disk/RAID/LVM LUKS Encryption 🔐 Security SSH Keys TLS Certificates Audit Logs </pre> --- ## ติดตั้งและตั้งค่า Cockpit ```bash sudo apt install -y cockpit cockpit-packagekit \ cockpit-storaged cockpit-networkmanager cockpit-podman sudo systemctl enable --now cockpit.socket sudo ufw allow 9090/tcp comment "Cockpit Web Admin" echo "เข้าถึงได้ที่: https://$(hostname -I | awk '{print $1}'):9090" ``` --- ## Cockpit Hardening ```bash sudo tee /etc/cockpit/cockpit.conf << 'EOF' [WebService] Origins = https://admin.example.com:9090 AllowUnencrypted = false [Session] IdleTimeout = 15 EOF # ใช้ Custom TLS Certificate sudo cp /etc/letsencrypt/live/admin.example.com/fullchain.pem \ /etc/cockpit/ws-certs.d/admin.example.com.cert sudo cp /etc/letsencrypt/live/admin.example.com/privkey.pem \ /etc/cockpit/ws-certs.d/admin.example.com.key sudo systemctl restart cockpit ``` --- # Bastion Hosts และ Jump Servers ## เซิร์ฟเวอร์ป้อมปราการ --- ## Bastion Host คืออะไร? - เซิร์ฟเวอร์พิเศษที่ทำหน้าที่เป็น **จุดเข้าถึงเดียว (Single Entry Point)** - ได้รับการ **Hardening** อย่างเข้มข้น - **Monitor ทุกการกระทำ** บันทึก Session ทั้งหมด - แยก Internal Network ออกจาก Public Internet - ลด Attack Surface ได้ถึง **95%** --- ## สถาปัตยกรรม Bastion Host <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#fabd2f', 'lineColor': '#83a598', 'secondaryColor': '#3c3836', 'background': '#282828', 'mainBkg': '#282828'}}}%% flowchart TD subgraph Public["🌐 Public Internet"] U1["👤 Admin 1 (Thailand)"] U2["👤 Admin 2 (Remote)"] ATK["☠️ Attacker (Blocked)"] end subgraph DMZ["🟡 DMZ - Screened Subnet"] FW1{"🔴 External Firewall"} BH["🛡️ Bastion Host\n203.0.113.10\nPort 22 เท่านั้น\nMFA Required"] FW2{"🔴 Internal Firewall"} end subgraph Prod["🟢 Production Network 10.0.0.0/24"] APP["🖥️ App Server"] DB["🗄️ DB Server"] MON["📊 Monitoring"] end subgraph Log["📋 Audit & Logging"] AUDIT["📜 Session Recording"] SIEM["🔍 SIEM"] end U1 -->|"SSH + MFA"| FW1 U2 -->|"SSH + MFA"| FW1 ATK -.->|"❌ Blocked"| FW1 FW1 --> BH BH --> FW2 FW2 --> APP & DB & MON BH --> AUDIT & SIEM style Public fill:#cc241d,color:#ebdbb2,stroke:#fb4934 style DMZ fill:#d79921,color:#1d2021,stroke:#fabd2f style Prod fill:#98971a,color:#1d2021,stroke:#b8bb26 style Log fill:#458588,color:#ebdbb2,stroke:#83a598 </pre> --- ## Bastion Host Hardening ```bash # ตั้งค่า SSH อย่างเข้มงวด sudo tee /etc/ssh/sshd_config.d/99-bastion-hardening.conf << 'EOF' PermitRootLogin no MaxAuthTries 3 PasswordAuthentication no PubkeyAuthentication yes AuthenticationMethods publickey,keyboard-interactive X11Forwarding no AllowAgentForwarding no AllowGroups sshusers LogLevel VERBOSE EOF # ติดตั้ง Fail2Ban sudo apt install -y fail2ban # maxretry = 3, bantime = 3600, findtime = 600 ``` --- ## Session Recording บน Bastion Host ```bash # /etc/profile.d/session-recording.sh if [ "$SSH_TTY" != "" ]; then SESSION_FILE="/var/log/sessions/$(date +%Y%m%d_%H%M%S)_${USER}_$$.log" mkdir -p /var/log/sessions exec script -q -f "$SESSION_FILE" fi # ติดตั้ง auditd sudo apt install -y auditd sudo auditctl -w /etc/ssh/sshd_config -p wa -k ssh_config sudo auditctl -a always,exit -F arch=b64 -S execve -k cmd_exec ``` --- ## คำนวณการลด Attack Surface สมมติมีเซิร์ฟเวอร์ 20 เครื่อง แต่ละเครื่องเปิด Port 22 ตรงสู่ Internet **ก่อนติดตั้ง Bastion:** <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <msub><mi>A</mi><mi>surface</mi></msub> <mo>=</mo> <msub><mi>N</mi><mi>servers</mi></msub> <mo>×</mo> <msub><mi>P</mi><mi>exposed</mi></msub> <mo>=</mo> <mn>20</mn><mo>×</mo><mn>1</mn> <mo>=</mo><mn>20</mn><mtext> exposed surfaces</mtext> </math> **อัตราการลดความเสี่ยง:** <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mtext>Risk Reduction</mtext> <mo>=</mo> <mfrac> <mrow><mn>20</mn><mo>-</mo><mn>1</mn></mrow> <mn>20</mn> </mfrac> <mo>×</mo><mn>100</mn><mo>%</mo> <mo>=</mo><mn>95</mn><mo>%</mo> </math> --- # Multi-factor Authentication ## สำหรับ Remote Access --- ## MFA — Authentication Factors <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#fabd2f', 'lineColor': '#83a598', 'secondaryColor': '#3c3836', 'background': '#282828', 'mainBkg': '#282828'}}}%% flowchart LR subgraph F1["🧠 Something You Know"] P1["🔑 Password"] P2["📌 PIN"] end subgraph F2["📱 Something You Have"] H1["📲 TOTP App"] H2["🔐 YubiKey"] H3["💳 Smart Card"] end subgraph F3["👁️ Something You Are"] B1["🖐️ Fingerprint"] B2["😊 Face Recognition"] end subgraph MFA["🛡️ MFA (ต้องใช้ >= 2 Factors)"] COMBO["✅ Password + TOTP\n✅ SSH Key + TOTP\n✅ Password + YubiKey"] end F1 --> MFA F2 --> MFA F3 --> MFA style F1 fill:#458588,color:#ebdbb2,stroke:#83a598 style F2 fill:#689d6a,color:#1d2021,stroke:#8ec07c style F3 fill:#d65d0e,color:#ebdbb2,stroke:#fe8019 style MFA fill:#98971a,color:#1d2021,stroke:#b8bb26 </pre> --- ## TOTP — Time-based One-Time Password สมการ TOTP: <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mtext>TOTP</mtext><mo>(</mo><mi>K</mi><mo>,</mo><mi>T</mi><mo>)</mo> <mo>=</mo> <mtext>HOTP</mtext><mo>(</mo><mi>K</mi><mo>,</mo><msub><mi>T</mi><mi>step</mi></msub><mo>)</mo> </math> <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <msub><mi>T</mi><mi>step</mi></msub> <mo>=</mo> <mo>⌊</mo> <mfrac> <mrow><msub><mi>T</mi><mi>current</mi></msub><mo>-</mo><msub><mi>T</mi><mn>0</mn></msub></mrow> <msub><mi>T</mi><mi>interval</mi></msub> </mfrac> <mo>⌋</mo> <mo>=</mo> <mo>⌊</mo> <mfrac> <mrow><mn>1,700,000,100</mn><mo>-</mo><mn>0</mn></mrow> <mn>30</mn> </mfrac> <mo>⌋</mo> <mo>=</mo><mn>56,666,670</mn> </math> > OTP เปลี่ยนทุก **30 วินาที**, Valid ±1 step (ชดเชย Clock Skew) > K = Secret Key, T₀ = Unix Epoch, T_interval = 30 วินาที --- ## ตั้งค่า Google Authenticator PAM สำหรับ SSH ```bash sudo apt install -y libpam-google-authenticator google-authenticator # ตั้งค่าสำหรับผู้ใช้ # ตั้งค่า PAM echo "auth required pam_google_authenticator.so nullok" \ | sudo tee -a /etc/pam.d/sshd # ตั้งค่า SSH daemon sudo tee -a /etc/ssh/sshd_config << 'EOF' ChallengeResponseAuthentication yes AuthenticationMethods publickey,keyboard-interactive EOF sudo systemctl restart sshd # ทดสอบ: ssh user@bastion → Enter verification code: [6 หลัก] ``` --- ## YubiKey สำหรับ SSH (FIDO2) ```bash # ติดตั้ง YubiKey software sudo apt install -y yubikey-manager # ตรวจสอบ YubiKey ykman info # Device type: YubiKey 5 NFC # Firmware version: 5.4.3 # Generate SSH Key บน YubiKey (FIDO2) ssh-keygen -t ed25519-sk -C "yubikey@bastion" \ -f ~/.ssh/id_ed25519_sk ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub user@bastion.example.com # เชื่อมต่อ (จะขอให้แตะ YubiKey) # "Please touch your authenticator device now." ``` --- ## เปรียบเทียบ MFA Methods | วิธีการ | ความปลอดภัย | Phishing Resistant | ต้นทุน | |--------|-----------|-------------------|------| | SMS OTP | ต่ำ | ❌ | ฟรี | | Email OTP | ต่ำ | ❌ | ฟรี | | TOTP App | ปานกลาง | ❌ | ฟรี | | Push Notification | ปานกลาง | บางส่วน | มี | | FIDO2/WebAuthn | สูงมาก | ✅ | สูง | | Hardware Token (YubiKey) | สูงมาก | ✅ | สูง | | Smart Card + PIN | สูงมาก | ✅ | สูงมาก | --- # Lab Exercise ## ตั้งค่า Secure Remote Access Infrastructure --- ## Lab 8.1 — สภาพแวดล้อม ``` ┌─────────────────────────────────────────┐ │ Local Machine (ผู้เรียน) │ │ IP: 192.168.56.1 │ ├─────────────────────────────────────────┤ │ Bastion Host (VM1) │ │ IP: 192.168.56.10 (External) │ │ IP: 10.0.0.1 (Internal) │ ├─────────────────────────────────────────┤ │ Target Server (VM2) │ │ IP: 10.0.0.10 (Internal เท่านั้น) │ └─────────────────────────────────────────┘ ``` **วัตถุประสงค์:** ตั้งค่าระบบ Remote Access ที่ปลอดภัยด้วย Bastion Host + TOTP --- ## Lab 8.1 — ขั้นตอนที่ 1: ตั้งค่า Bastion Host ```bash sudo apt install -y openssh-server libpam-google-authenticator \ fail2ban ufw sudo tee /etc/ssh/sshd_config.d/10-mfa.conf << 'EOF' PermitRootLogin no PasswordAuthentication no ChallengeResponseAuthentication yes AuthenticationMethods publickey,keyboard-interactive EOF echo "auth required pam_google_authenticator.so" \ | sudo tee -a /etc/pam.d/sshd google-authenticator -t -d -f -r 3 -R 30 -w 3 sudo ufw allow 22/tcp && sudo ufw enable sudo systemctl restart sshd ``` --- ## Lab 8.1 — ขั้นตอนที่ 2 & 3 ```bash # บน Target Server (VM2) sudo ufw default deny incoming sudo ufw allow from 10.0.0.1 to any port 22 sudo ufw enable # บน Local Machine — ทดสอบการเชื่อมต่อ ssh-keygen -t ed25519 -C "student@lab" ssh-copy-id -i ~/.ssh/id_ed25519.pub student@192.168.56.10 cat >> ~/.ssh/config << 'EOF' Host bastion-lab HostName 192.168.56.10 User student Host target-lab HostName 10.0.0.10 User student ProxyJump bastion-lab EOF ssh bastion-lab # จะถาม OTP: [6 หลักจาก App] ssh target-lab # เชื่อมต่อผ่าน Bastion ``` --- ## Lab 8.2 — ติดตั้งและทดสอบ Cockpit ```bash # บน Target Server (VM2) sudo apt install -y cockpit sudo systemctl enable --now cockpit.socket sudo ufw allow from 10.0.0.0/24 to any port 9090 # สร้าง SSH Tunnel จาก Local Machine ssh -L 9090:10.0.0.10:9090 -N -f bastion-lab # เปิด Browser: echo "https://localhost:9090" ``` --- # สรุปโดยรวม ## Remote Access Security --- ## Security Mindmap <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#458588', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#83a598', 'lineColor': '#ebdbb2', 'secondaryColor': '#3c3836', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#83a598'}}}%% mindmap root((🔐 Remote Access Security)) 🖥️ Remote Access Tools SSH Advanced ProxyJump Agent Forwarding VNC + SSH Tunnel RDP + NLA + TLS Cockpit Web Admin 🛡️ Infrastructure Bastion Host Single Entry Point 95% Attack Surface Reduction Session Recording Network Segmentation 🔑 Authentication MFA TOTP App FIDO2/YubiKey SSH Keys Ed25519 PAM Integration </pre> --- ## หลักการสำคัญที่ต้องจำ 1. **Least Privilege** — ให้สิทธิ์เฉพาะที่จำเป็น ไม่เปิด Port โดยไม่จำเป็น 2. **Defense in Depth** — ใช้หลายชั้นการป้องกัน (Firewall + Bastion + MFA) 3. **MFA บังคับใช้เสมอ** — SSH Key เพียงอย่างเดียวไม่เพียงพอสำหรับระบบสำคัญ 4. **Audit และ Logging** — บันทึกทุก Session และตรวจสอบสม่ำเสมอ 5. **การเข้ารหัสทุกการเชื่อมต่อ** — VNC ต้องผ่าน SSH Tunnel, RDP ต้องใช้ TLS --- ## เปรียบเทียบ Security Posture | สถานการณ์ | Attack Surface | ความปลอดภัย | คะแนน | |----------|--------------|-----------|------| | ไม่มีการป้องกัน | สูงมาก | ต่ำมาก | 1/10 | | SSH + Password | สูง | ต่ำ | 3/10 | | SSH + Key Authentication | ปานกลาง | ปานกลาง | 6/10 | | Bastion + SSH Key | ต่ำ | สูง | 8/10 | | Bastion + SSH Key + MFA + Logging | ต่ำมาก | สูงมาก | 10/10 | --- ## เอกสารอ้างอิง 1. OpenSSH Manual Pages — https://www.openssh.com/manual.html 2. TigerVNC Documentation — https://tigervnc.org/doc/ 3. NIST SP 800-63B — Digital Identity Guidelines 4. Red Hat Cockpit Documentation — https://cockpit-project.org/documentation.html 5. CIS Benchmarks — SSH — https://www.cisecurity.org/benchmark/ssh 6. RFC 6238 — TOTP Algorithm — https://www.rfc-editor.org/rfc/rfc6238 7. FIDO Alliance Specifications — https://fidoalliance.org/specifications/ 8. AWS Security Blog — Bastion Host Best Practices 9. Microsoft RDP Security — https://learn.microsoft.com/en-us/windows-server/remote/ 10. Linux PAM Documentation — http://www.linux-pam.org/Linux-PAM-html/ --- # คำถาม - ข้อสงสัย <img src="/revealjs/pics/Designer.png" width="55%" />