Enabling TLS 1.2 on IIS 7.5 and 256-bit Cipher Strength

Microsoft ရဲ့ IIS ကိုသုံးပြီး Host လုပ်ထားတဲ့ Website တွေမှာ Default အနေနဲ့ TLS 1.0/1.1 ကိုသုံးထားတတ်ပါတယ်။

Auditor က သင့် System တွေကို စစ်တဲ့အခါ TLS 1.0/1.1 နဲ့ Cipher Strength 128-bit  ကိုသုံးထားရင် သင့် Website အတွက် Audit Result မကောင်းတော့ဘူးပေါ့။

ဒီတော့ သင့်အနေနဲ့ Auditor စစ်လို့ တွေ့ပြီးမှ ပဲ ဖြစ်ဖြစ် ၊ မတွေ့ခင်ပဲဖြစ်ဖြစ် သင့် အနေနဲ့ လိုအပ်ချက်ကို ပြင်ဆင်မွမ်းမံထားဖို့လိုအပ်ပါတယ်။

အဲဒီအတွက် ပုံမှန်ဆိုရင် သင့်အနေနဲ့ Powershell ကိုသုံးပြီး ရှုပ်ထွေးလှတဲ့ Command Line တွေ အသုံးပြုရပါမယ်။

Default အနေနဲ့ အသုံးပြုချင်တဲ့ Cipher Strength အတွက် server ရဲ့ Group Policy Setting တွေ ပြောင်းပေးရပါမယ်။

SSL Setting, SSL Cipher Suite Order တွေ ပြောင်းပေးရပါမယ်။

ဒီလိုရှုပ်ထွေးပြီးများပြားလှတဲ့ အလုပ်တွေကို လုပ်ရမှာ ကျတော်ကတော့ ပျင်းတယ်ဗျ။

ဒီတော့ ကျတော့်လိုပျင်းတဲ့ System Administrator တွေအတွက် အသုံးဝင်တဲ့ GUI Tool လေးတခု မိတ်ဆက်ပေးချင်ပါတယ်။

နာမည်ကတော့ IIS Crypto ပါတဲ့ဗျာ။ Portable Tool လေးဖြစ်ပြီး သိပ်များများစားစား ခေါင်းစားနေစရာကိုမလိုတာဗျ။

Download လုပ်ပြီး Run လိုက်တာနဲ့ အောက်မှာ ပြထားသလို ကိုယ်လိုအပ်တာတွေ Check Box မှာ Check/Uncheck လုပ်ပြီး Server ကို Restart လုပ်တာနဲ့ သင့် Website ဟာ သင်လိုချင်တဲ့ Cipher Strength နဲ့ TLS ကို ရနေတာကို တွေ့ရပါမယ်။

သင့် Website ကို လဲ ဒီ Tool နဲ့ စစ်ဆေးနိုင်တာကို မမေ့ပါနဲ့။

Download လုပ်ဖို့နဲ့ အသေးစိတ်အချက်အလက်တွေကို သိဖို့အတွက် ဒီလင့် https://www.nartac.com/Products/IISCrypto/ ကနေ သွားကြည့်ပေတော့ဗျာ။



ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

Installing and activating SSL Certificate on Cisco ASA Firewall

SSL VPN သုံးရင်ပဲဖြစ်ဖြစ် Firewall Outside Interface က လိုအပ်လို့ Public IP သုံးထားရင်ပဲဖြစ်ဖြစ် Trusted CA က နေ SSL Certificate ဝယ်သုံးဖို့ လိုအပ်ပါတယ်။
ဒါမှလဲ Security ပိုင်းအရ ပိုမိုလုံခြုံမှုရှိမှာဖြစ်ပါတယ်။

ဒီတော့ Cisco ASA Firewall တစ်လုံးမှာ SSL Certificate ထည့်သွင်းပုံလေး ပြောပြချင်ပါတယ်။

လုပ်ဆောင်ရမယ့် အဆင့် သုံးဆင့်ပဲ ရှိပါတယ်။
1) Create TrustPoint and Generate a CSR
2) Enroll for Certificate
3) Install
တို့ပဲဖြစ်ပါတယ်။

Troubleshooting a black screen when logging into a Horizon View virtual desktop using web browser

ကျတော့် VM Horizon View Project ပြီးခါနီးမှာ Web Access ကို Setup လုပ်ပါတယ်။

လုပ်ပြီးပြီးချင်း Test လုပ်တဲ့အခါ မှာ View Login Screen ကို မြင်ရပါတယ်။ Login ဝင်ပြီး Windows Login ဝင်ရမယ့်နေရာမှာ Black Screen ပဲ ပေါ်နေပါတယ်။

View Administrator ကနေပဲ ဖြစ်ဖြစ် vSphere console ကနေပဲ ဖြစ်ဖြစ် ဝင်ကြည့်ရင် Windows က Active ဖြစ်နေတာကိုတွေ့ရပါတယ်။

VMware က ပြောထားတဲ့ Port တွေ အကုန်လုံး ဖွင့်ထားတယ်။ Firewall Rule တွေ အကုန်ဖွင့်ထားတယ်။ ဒါပေမယ့် အခုလို Black Screen က ပေါ်နေတုန်းပဲ။

နောက်ဆုံးကျတော့် Network ရဲ့ IPS ကို စစ်ကြည့်တော့မှ Traffic Normilazation Filter ထဲက TCP: Segment Overlap With Different Data နဲ့  TCP Keep-Alive Message With 1 Garbage Octet ဆိုတဲ့ Filter ၂ ခု ကို Allow လုပ်ပေးလိုက်ရပါတယ်။

ဒီတော့မှပဲ Virtual Desktop ကို Browser ကနေ ဝင်တဲ့ အခါ Black Screen ဖြစ်မနေတော့ပဲ Windows ကို မြင်ရပါတော့တယ်။

ပိုပြီး အသေးစိတ်ပြောရမယ်ဆိုရင်...

Connection Server ကနေ Security Server နဲ့ Outside Network ကို ထွက်တဲ့ Packet Filter ထဲက TCP: Segment Overlap With Different Data နဲ့  TCP Keep-Alive Message With 1 Garbage Octet ၂ ခုကို ပဲ Allow လုပ်ဖို့လိုပါတယ်။

တခြား Inbound, Outbound Connection တွေမှာ ဒီ Filter ၂ ခုကို Allow လုပ်စရာမလိုပါဘူး။ လုပ်ခဲ့မယ်ဆိုရင် သင့် Network မှာ မလိုလားအပ်တဲ့ Attack တွေကိုပါ ဖိတ်ခေါ်ရာရောက်ပါလိမ့်မယ်။

ဒီနေရာမှာ ကျတော်က IPS ပေါ်မှာ Allow လုပ်လိုက်တာနဲ့ အဆင်ပြေပါတယ်။ ကျတော့ Firewall တွေမှာ IPS Function ကို Enable လုပ်မထားလို့ပါ။

တကယ်လို့ သင့် Network မှာ IPS မရှိရင် Firewall မှာ ဒီ Filter ၂ ခုကို Outbound Connection အတွက် Allow လုပ်ထားဖို့လိုပါတယ်။ Allow လုပ်တဲ့ အခါမှာလဲ Specific Server အတွက်ပဲ Allow လုပ်ဖို့လိုပါတယ်။

TCP: Segment Overlap With Different Data Filter ကို Allow လုပ်ရင် Windows Login Screen ကို ခဏပဲ မြင်ရပြီး ရှေ့ဆက်ဘာမှ မမြင်ရတော့ပါဘူး။ ဒါကြောင့် TCP Keep-Alive Message With 1 Garbage Octet ကိုပါ Allow လုပ်ဖို့လိုပါတယ်။

ကဲ...ဒီလောက်ဆိုရင် VM Horizon View HTML Access မှာ Black Screen Error အတွက် ခေါင်းကိုက်နေတဲ့သူတွေ အဖို့ အဖြေရလောက်ပြီထင်ပါတယ်။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

How to delete RSA Key in Cisco ASA Firewall?

Network တခုကို ကိုင်တွယ်စီမံနေရတဲ့ Experience Network Administrator တယောက်အနေနဲ့ အမှုမဲ့ အမှတ်မဲ့ အပျင်းကြီးပြီး Cisco ASA Firewall ပေါ်မှာ RSA Key label မှားပေးမိတာမျိုး။

Fresher Network Administrator တယောက်အနေနဲ့ သေသေချာချာမသိသေးလို့ Cisco ASA Firewall ပေါ်မှာ RSA Key label လွဲပေးမိတာမျိုး မလွဲမသွေ ကြုံရ မှာပါ။ ကြံုဖူးမှာပါ။

အဲလိုကြံုလာရင် ပြန်ဖျက်ဖို့ ဘယ်လိုပြန်ဖျက်ရမှန်းမသိတဲ့ သူ အတော်များများကို ကျတော်တွေ့ဖူးပါတယ်။ ဘာလို့လဲ ဆိုတော့ အတော်များများက ASDM ကိုသုံးပြီး GUI နဲ့ Key create လုပ်ကြတာလေ။

GUI မှာက Create ပဲလုပ်ရပြီး ပြန်ဖျက်ချင်ရင် Command Line Interface က ပဲ ရတာ တော်တော်များများ မသိကြလို့ပါ။

အဲလို အဖြစ်မျိုးကြံုတဲ့သူတွေ အတွက် မှားသွားတဲ့ RSA Key ကို ပြန်ဖျက်ပုံကို ပြန်လည်ဝေမျှချင်ပါတယ်။

ဒီလိုပါ...

ပထမဆုံး Global Configuration Mode ကို သွားပြီး အောက်ပါအတိုင်းလေး Command ရိုက်ပေါ့ဗျာ။

ciscoasa>enable
ciscoasa#configure terminal
ciscoasa(config)#crypto key zeroize rsa label key-name
ciscoasa(config)#exit
ciscoasa#write memory

key-name ဆိုတဲ့နေရာမှာ သင်မှားပြီး Create လုပ်ထားတဲ့ RSA Key Name ကို အစားထိုးပါ။

ကဲဒါဆိုရင် သင် မှားသွားတဲ့ Key ကို ပြန်အသစ် ပြန် Create လုပ်နိုင်ပါပြီဗျာ။

Label ဆိုတာ မေ့ကျန်ခဲ့ရင် အရင်က Create လုပ်ထားတဲ့ Default RSA Key ကို ဖျက်ပစ်မယ်ဆိုတာကိုတော့ မမေ့ဖို့ သတိပေးလိုပါတယ်ဗျာ။

ကျတော်လုပ်ပြထားတာကတော့ Cisco ASA 5520 ပေါ်မှာပါဗျ။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

How to solve Canon Multi-Functional Printer unable to print with PIN Management via Print Server?

Print Management Server အသစ်လုပ်ဖို့ အကြောင်းပေါ်လာတဲ့ အတွက် Windows Server 2008 Standard Edition R2 Service Pack 1 တင်ပြီး Print Server Role တင်ပါတယ်။

လိုအပ်တာတွေ အားလုံးပြီးတဲ့အခါ Workstation တွေကနေ Direct Print ရပေမယ့် Department အလိုက် PIN တွေနဲ့ Print လုပ်တော့မှ မရမှန်းသိပါတော့တယ်။

Driver အပါအဝင် တခြား အကြောင်းအရာတော်တော်များများကို လိုက်ရှာပါတယ်။ ဒါပေမယ့် အဖြေမတွေ့ခဲ့ပါဘူး။

နောက်ဆုံးမှ ဖြေရှင်းနည်းကို သိပါတယ်။ ကိုယ့်လို တခြားသူတွေ အချိန်မကုန်ပဲ အလွယ်တကူ ဒီပြဿနာကို ဖြေရှင်းနိုင်ဖို့ နည်းလမ်း ဝေမျှလိုက်ပါတယ်။

တခြားတော့ မဟုတ်ပါဘူး။

မိမိ အလုပ်မှာ အသုံးပြုနေတဲ့ Canon Multi-Functional Printer ရဲ့ Latest Driver ကို Download လုပ်ပါ (UFRII ဆိုတဲ့ Driver ဖြစ်ရပါမယ်)။ Download လုပ်ထားတဲ့ Folder မှာ misc ဆိုတဲ့ Folder ပါပါတယ်။

အဲဒီ Folder ထဲက DIASsetup.exe ဆိုတာကိုServer မှာ Install လုပ်ပါ။ ပြီးပြီဆိုရင် Workstation တွေဖက်မှာ Print ကို PIN Management နဲ့ စမ်းကြည့်ပါ။ သို့မဟုတ် Device Information တောင်းကြည့်ပါ။ အဆင်ပြေသွားတာတွေ့ရပါမယ်။

အဓိက အကြောင်းရင်းကတော့ Server ပေါ်မှာ Printer/Copier ရဲ့ Network Assistant Application install လုပ်ဖို့လိုတာပါပဲဗျာ။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)