Разница ооо и ип таблица: Ошибка 404: Страница не найдена

Содержание

В чем разница между ООО и ИП? сравнительная таблица

Параметры	Преимущества и недостатки ИП	Преимущества и недостатки ООО
Регистрационные действия	Требует меньше затрат как на этапе регистрации, так и на этапе закрытия. Поэтому новый бизнес предпочтительнее начинать в качестве ИП.	При регистрации необходимо иметь юридический адрес, госпошлина выше в 5 раз, ликвидировать ООО долго и трудоемко.
Затраты на содержание	Если ИП не имеет статус работодателя, расходы на подготовку и сдачу отчетности минимальны.	ООО по умолчанию имеет статус работодателя, поэтому независимо от факта осуществления предпринимательской деятельности, отчетность по сотрудникам (даже нулевая) должна представляться в Пенсионный фонд, Фонд социального страхования, ИФНС ежемесячно и ежеквартально. Это затратно.
Выплата прибыли собственнику	Предприниматель без каких-либо дополнительных налогов имеет право получить прибыль «в карман».	Учредитель ООО имеет право направить прибыль, полученную Обществом на собственные дивиденды. При выплате дивидендов участнику- физическому лицу, Общество обязано удержать налог (НДФЛ) в размере 13% от суммы выплачиваемых дивидендов.
Прозрачность для налоговых органов	Индивидуальный предприниматель, фактически, не обязан вести бухгалтерский учет и формировать бухгалтерскую отчетность. Это снижает и расходы на бухгалтера, и, самое главное, осложняет работу налогового инспектора. Ведение книги доходов и расходов не раскрывает целостную систему бизнеса, а дает лишь частичную информацию для внешних проверяющих.	Юридические лица обязаны вести бухгалтерский учет, даже применяя упрощенную систему налогообложения. «Упрощенка», по факту, не упрощает бухгалтерский учет. Ведение бухгалтерского учета- это систематическое отражение хозяйственных операций на счетах учета сплошным методом. При налоговом контроле ИФНС может запросить информацию в различных разрезах бухгалтерского учета, что дает полную картину состояния активов и обязательств, доходов и расходов.
Административная ответственность	При различных административных нарушениях, штрафы для ИП, как правило, в разы ниже, чем штрафы для юридических лиц.	При различных административных нарушениях, штрафы для ООО, как правило, в разы выше, чем штрафы для индивидуальных предпринимателей.
Имущественная ответственность	Индивидуальный предприниматель, занимаясь бизнесом, несет ответственность перед своими поставщиками, покупателями, ИФНС, Пенсионным фондом всем своим имуществом. Если цивилизованно вести бизнес, осознавать свои договорные и налоговые риски, то этой ответственностью можно и нужно управлять.	Учредители ООО, несут ответственность перед контрагентами Общества в пределах своего уставного капитала. В большинстве случаев, учредители не отвечают по долгам ООО.
Возможность применения патентной системы налогообложения (ПСН)	ИП, имеющий штат сотрудников до 15 человек, может применять ПСН. В некоторых сферах бизнеса применять ПСН выгоднее, чем какие либо другие спец. режимы.	Не имеет возможности применять ПСН.
Кредитование	На практике, предпринимателю сложнее получить кредит в банке на развитие бизнеса.	Проще кредитоваться в банках.
Партнерство	Когда бизнес осуществляют 2 и более партнеров, то бизнес, оформленный на одно лицо (ИП), не защищает интересы остальных партнеров.	В уставе и протоколе собрания учредителей ООО определяются полномочия учредителей, распределение долей в Обществе и прибыли.

Эксперты сообщили, что количество закрытых ИП за год в России выросло почти в два раза — Экономика и бизнес

МОСКВА, 19 июля. /ТАСС/. Количество закрытых индивидуальных предприятий (ИП) в первом полугодии 2021 года по отношению к аналогичному периоду 2020 года в России выросло почти в два раза. Об этом сообщается в исследовании аналитической службы международной аудиторско-консалтинговой сети FinExpertiza на основании данных ФНС, которое есть в распоряжении ТАСС.

По данным аналитики, за шесть месяцев 2021 года в России закрылось 545,8 тыс. индивидуальных предприятий, что почти в два раза больше по сравнению с первым полугодием коронавирусного 2020 года. «Смертность» российских ИП достигла восьмилетнего максимума: чаще бизнесы закрывались лишь в январе — июне 2013 года.

Количество закрытий индивидуальных предприятий за полугодие возросло год к году абсолютно во всех регионах. Наименьшую жизнеспособность показали предприниматели Чечни (там закрылось в 3,5 раза больше ИП, чем годом ранее), Дагестана («смертность» выросла в 3,3 раза) и Чукотки (2,5 раза).

Вместе с тем нашлись регионы, в которых предпринимательская инициатива показала бурный рост. Наилучшую динамику регистрации новых ИП показали Карачаево-Черкесия (рост в 2,3 раза), Тыва и Калмыкия (рост в 2,1 раза), Северная Осетия (число открытий новых ИП выросло год к году на 82,9%).

На пике ликвидаций

По данным ФНС, на 1 июля 2021 года в России действовало 3,14 млн индивидуальных предпринимателей. За первое полугодие покинули рынок 545,8 тыс. ИП, что в 1,8 раза больше (на 82,8%), чем за первую половину 2020 года. Предыдущий рекорд за аналогичный период был зафиксирован в 2013 году, тогда закрылось еще больше ИП — 594,2 тыс.

Закрытие индивидуальных предприятий в январе — июне 2021 года выросло во всех российских регионах. Наихудшая динамика была зафиксирована в Чечне (там закрылось в 3,5 раза больше ИП, чем годом ранее — 5,8 тыс.), Дагестане (рост в 3,3 раза; закрылось 13,1 тыс. ИП) и на Чукотке (рост в 2,5 раза; закрылось 170 ИП; в данном регионе число «ипэшников» минимально по России, поэтому резкая динамика закрытий объясняется эффектом низкой базы).

Также в десятку антирейтинга вошли, например, Приморский край (закрытие ИП там выросло в 2,4 раза, закрылось 9,2 тыс. ИП), Ингушетия (рост в 2,4 раза; закрылось 980 ИП), Москва (рост в 2,3 раза; закрылось 47,8 тыс. ИП) и Санкт-Петербург (рост в 2,3 раза; закрылось 27 тыс. ИП).

При этом на фоне волны закрытий ИП все российские регионы, кроме Чукотки, одновременно продемонстрировали бум открытия новых микробизнесов. Наилучшую динамику по открытиям новых предприятий показали Карачаево-Черкесия (рост в 2,3 раза), Тыва и Калмыкия (рост в 2,1 раза) и Северная Осетия (+82,9%).

Ковидный баланс

Количество закрытий ИП в стране превысило число открытий на 135,5 тыс., но семи регионам удалось показать чистый положительный прирост, в том числе Республика Алтай, где закрылось 619 ИП, открылось 923 ИП, разница составила 304 предприятия, Крым (закрылось 6851 ИП, открылось 7130 ИП, разница 279 ИП) и Тыва (закрылось 943 ИП, открылось 1058 ИП, разница 115 ИП).

В большинстве же регионов закрытия ИП превзошли открытия. Больше всех в абсолютном выражении потеряли столичные регионы: Москва (где закрылось 47,8 тыс. ИП, открылось 37,3 тыс. ИП, то есть чистое сокращение составило 10,5 тыс.), Санкт-Петербург (27 тыс. закрытых против 18,9 тыс. открытых ИП, сокращение на 8,1 тыс.) и Московская область (38,9 тыс. закрытых против 31,2 тыс. открытых ИП, сокращение на 7,7 тыс.).

Причины закрытий

Большая часть закрытых в первом полугодии 2021 года индивидуальных предприятий — 51,4%, или 281,8 тыс. — ликвидировались по собственной инициативе.

Вторая, не менее значительная часть — 47,1%, или 258,3 тыс. — была исключена из реестра индивидуальных предпринимателей по решению регистрирующего органа. Такое право налоговики получили с 1 сентября 2020 года в рамках закона 129-ФЗ, если предприниматель за 15 месяцев не прислал отчетность, просрочил действие патента или остался должен бюджету.

Третья причина ликвидации ИП — физическая смерть владельца бизнеса. За первое полугодие 2021 года ушли из жизни 6,7 тыс. индивидуальных предпринимателей, или 1,2% от общего числа ликвидированных микробизнесов, что на 25%, меньше прошлогоднего показателя. Именно в первом полугодии 2020 ковидного года «смертность» ИП достигла максимума за 10 лет — тогда умерли 8,9 тыс. владельцев бизнесов. Нынешний же показатель минимальный за последние шесть лет.

Другие причины ликвидации ИП составляют незначительные доли: по причине банкротства были закрыты 0,2%, или 842 бизнеса, 0,1%, или 310 закрытий ИП, приходится на покинувших Россию иностранцев, в принудительном порядке по решению суда было ликвидировано лишь восемь ИП.

Общие сведения о таблицах

Таблицы — это неотъемлемая часть любой базы данных, так как именно в них содержатся все сведения и данные. Например, база данных предприятия может содержать таблицу «Контакты», в которой хранятся имена всех поставщиков, их адреса электронной почты и номера телефонов. Так как другие объекты базы данных в значительной степени зависят от таблиц, всегда начинайте разработку базы данных с создания всех таблиц, а уже затем создавайте другие объекты. Перед созданием таблиц проанализируйте свои требования и определите, какие именно таблицы могут вам понадобиться. Начальные сведения о планировании и разработке баз базы данных см. в статье Основные сведения о создании баз данных.

В этой статье

Обзор

Обычно реляционная база данных, такая как Access, состоит из нескольких таблиц. В хорошо спроектированной базе данных в каждой таблице хранятся сведения о конкретном объекте, например о сотрудниках или товарах. Таблица состоит из записей (строк) и полей (столбцов). Поля, в свою очередь, содержат различные типы данных: текст, числа, даты и гиперссылки.

Запись. Содержит конкретные данные, например информацию об определенном работнике или продукте.
Поле. Содержит данные об одном аспекте элемента таблицы, например имя или адрес электронной почты.
Значение поля. Каждая запись содержит значение поля, например Contoso, Ltd. или [email protected].

К началу страницы

Свойства таблиц и полей

У таблиц и полей также есть свойства, которые позволяют управлять их характеристиками и работой.

1. Свойства таблицы

2. Свойства поля

В базе данных Access свойствами таблицы называются атрибуты, определяющие ее внешний вид и работу. Свойства таблицы задаются на странице свойств таблицы в Конструкторе. Например, вы можете задать для таблицы свойство

Режим по умолчанию, чтобы указать, как она должна отображаться по умолчанию.

Свойство поля применяется к определенному полю в таблице и определяет его характеристики или определенный аспект поведения. Некоторые свойства поля можно задать в Режим таблицы. Вы также можете настраивать любые свойства в Конструкторе с помощью области </c0>Свойства поля.

Типы данных

У каждого поля есть тип данных. Тип данных поля определяет данные, которые могут в нем храниться (например, большие объемы текста или вложенные файлы).

Тип данных является свойством поля, однако он отличается от других свойств:

Тип данных поля задается на бланке таблицы, а не в области Свойства поля.
Тип данных определяет, какие другие свойства есть у этого поля.
Тип данных необходимо указывать при создании поля.

Чтобы создать новое поле в Access, введите данные в новый столбец в режиме таблицы. В таком случае Access автоматически определяет тип данных для поля в зависимости от введенного значения. Если оно не относится к определенному типу, Access выбирает текстовый тип. При необходимости его можно изменить с помощью ленты.

Примеры автоматического определения типа данных

Ниже показано, как выполняется автоматическое определение типа данных в режиме таблицы.

Вводимые данные	Тип данных для поля, назначаемый Access
Иван	Текст
http://www.contoso.com Вы можете использовать любой допустимый префикс протокола IP. Например, являются допустимыми префиксы http://, https:// и mailto:.	Гиперссылка
1	Число, длинное целое
50 000	Число, длинное целое
50 000,99	Число, double
50000,389	Число, double
12.67 Распознаваемые форматы даты и времени зависят от языкового стандарта.	Дата и время
31 декабря 2016 г.	Дата и время
10:50:23	Дата и время
10:50	Дата и время
17:50	Дата и время
12,50 ₽ Распознаваемое обозначение денежной единицы зависит от языкового стандарта.	Денежный
21,75	Число, double
123,00%	Число, double
3,46E+03	Число, double

К началу страницы

Отношения между таблицами

Хотя в каждой из таблиц хранятся данные по отдельному объекту, в базе данных Access все они обычно связаны между собой. Ниже приведены примеры таблиц в базе данных.

Таблица клиентов, содержащая сведения о клиентах компании и их адреса.
Таблица продаваемых товаров, включающая цены и изображения каждого из них.
Таблица заказов, служащая для отслеживания заказов клиентов.

Так как данные по разным темам хранятся в отдельных таблицах, их необходимо как-то связать, чтобы можно было легко комбинировать данные из разных таблиц. Для этого используются связи. Связь — это логическое отношение между двумя таблицами, основанное на их общих полях. Дополнительные сведения см. в статье Руководство по связям между таблицами.

К началу страницы

Ключи

Поля, формирующие связь между таблицами, называются ключами. Ключ обычно состоит из одного поля, однако может включать и несколько. Есть два вида ключей.

Первичный ключ. В таблице может быть только один первичный ключ. Он состоит из одного или нескольких полей, однозначно определяющих каждую запись в этой таблице. Часто в качестве первичного ключа используется уникальный идентификатор, порядковый номер или код. Например, в таблице «Клиенты» каждому клиенту может быть назначен уникальный код клиента. Поле кода клиента является первичным ключом этой таблицы. Если первичный ключ состоит из нескольких полей, он обычно включает уже существующие поля, формирующие в сочетании друг с другом уникальные значения. Например, в таблице с данными о людях в качестве первичного ключа можно использовать сочетание фамилии, имени и даты рождения. Дополнительные сведения см. в статье Добавление и изменение первичного ключа таблицы.
Внешний ключ. В таблице также может быть один или несколько внешних ключей. Внешний ключ содержит значения, соответствующие значениям первичного ключа другой таблицы. Например, в таблице «Заказы» каждый заказ может включать код клиента, соответствующий определенной записи в таблице «Клиенты». Поле «Код клиента» является внешним ключом таблицы «Заказы».

Соответствие значений между полями ключей является основой связи между таблицами. С помощью связи между таблицами можно комбинировать данные из связанных таблиц. Предположим, есть таблицы «Заказчики» и «Заказы». В таблице «Заказчики» каждая запись идентифицируется полем первичного ключа — «Код».

Чтобы связать каждый заказ с клиентом, вы можете добавить в таблицу «Заказы» поле внешнего ключа, соответствующее полю «Код» в таблице «Заказчики», а затем создать связь между этими двумя ключами. При добавлении записи в таблицу «Заказы» можно было бы использовать значение кода клиента из таблицы «Заказчики». При просмотре каких-либо данных о клиенте, сделавшем заказ, связь позволяла бы определить, какие данные из таблицы «Заказчики» соответствуют тем или иным записям в таблице «Заказы».

1. Первичный ключ, который определяется по значку ключа рядом с именем поля.

2. Внешний ключ (определяется по отсутствию значка ключа)

Если ожидается, что для каждого представленного в таблице уникального объекта потребуется несколько значений поля, такое поле добавлять не следует. Обратимся к приведенному выше примеру: если нужно отслеживать размещенные клиентами заказы, не следует добавлять поле в таблицу, поскольку у каждого клиента будет несколько заказов. Вместо этого создается новая таблица для хранения заказов, а затем создаются связи между этими двумя таблицами.

К началу страницы

Преимущества использования связей

Раздельное хранение данных в связанных таблицах обеспечивает указанные ниже преимущества.

Согласованность . Поскольку каждый элемент данных заносится только один раз в одну таблицу, вероятность появления неоднозначных или несогласованных данных снижается. Например, имя клиента будет храниться только в таблице клиентов, а не в нескольких записях в таблице заказов, которые могут стать несогласованными.
Эффективность . Хранение данных в одном месте позволяет сэкономить место на диске. Кроме того, данные из небольших таблиц извлекаются быстрее, чем из больших. Наконец, если не хранить данные по различным темам в разных таблицах, возникают пустые значения, указывающие на отсутствие данных, или избыточные данные, что может привести к неэффективному использованию места и снижению производительности.
Простота . Структуру базы данных легче понять, если данные по различным темам находятся в разных таблицах.

Связи между таблицами необходимо иметь в виду еще на этапе планирования таблиц. С помощью мастера подстановок можно создать поле внешнего ключа, если таблица с соответствующим первичным ключом уже существует. Мастер подстановок помогает создать связь. Дополнительные сведения см. в статье Создание и удаление поля подстановки.

К началу страницы

Создание таблицы и добавление полей

Таблица тарифов «ТНС энерго Воронеж»

Население, проживающее в городских населенных пунктах в домах, оборудованных в установленном порядке стационарными электроплитами и (или) электроотопительными установками и приравненные к ним (тарифы указываются с учетом НДС):

Исполнители коммунальных услуг (товарищества собственников жилья, жилищно-строительные, жилищные или иные специализированные потребительские кооперативы либо управляющие организации), приобретающие электрическую энергию (мощность) для предоставления коммунальных услуг собственникам и пользователям жилых помещений и содержания общего имущества многоквартирных домов;

Наймодатели (или уполномоченные ими лица), предоставляющие гражданам жилые помещения специализированного жилищного фонда, включая жилые помещения в общежитиях, жилые помещения маневренного фонда, жилые помещения в домах системы социального обслуживания населения, жилые помещения фонда для временного поселения вынужденных переселенцев, жилые помещения фонда для временного проживания лиц, признанных беженцами, а также жилые помещения для социальной защиты отдельных категорий граждан, приобретающие электрическую энергию (мощность) для предоставления коммунальных услуг пользователям таких жилых помещений в объемах потребления электрической энергии населением и содержания мест общего пользования в домах, в которых имеются жилые помещения специализированного жилого фонда;

Юридические и физические лица, приобретающие электрическую энергию (мощность) в целях потребления на коммунально-бытовые нужды в населенных пунктах и жилых зонах при воинских частях и рассчитывающиеся по договору энергоснабжения по показаниям общего прибора учета электрической энергии.

Гарантирующие поставщики, энергосбытовые, энергоснабжающие организации, приобретающие электрическую энергию (мощность) в целях дальнейшей продажи населению и приравненным к нему категориям потребителей, указанным в данном пункте.

Закрыть

Фирменное наименование и товарный знак

В деятельности любой организации важную роль играет его название: оно является главным характерным признаком компании и позволяет отличить ее от предприятий-конкурентов. При этом различают имя самой компании и название, которое размещается на производимых ею товарах или под которым предприятие оказывает услуги.

Эти два средства индивидуализации являются двумя разными объектами интеллектуальной собственности и несут разные функции: фирменное наименование обозначает саму организацию, а товарный знак – производимую ею продукцию или предоставляемые услуги.

Отличия фирменного наименования и товарного знака

С целью удобства основные различия названия фирмы и торговой марки приведены в формате таблицы.

Параметры сравнения	Фирменное наименование	Товарный знак
Определение согласно ГК РФ	Ст. 1473: Фирменное наименование – обозначение, под которым юридическое лицо, являющееся коммерческой организацией, выступает в гражданском обороте.	Ст. 1477: Товарный знак – обозначение, которое используется для индивидуализации товаров юридических лиц или индивидуальных предпринимателей.
Правообладатель	Юридическое лицо	Юридическое лицо и индивидуальные предприниматели
Вид обозначения	Указание на организационно-правовую форму организации и ее имя. Например: ООО «УК «Галерея Архитектор»	Слово, словосочетание, изображение, голограмма, объемный предмет, звук, запах, цвет, цветовое сочетание и т.д. Например:
Способы использования	В гражданском обороте, в ЕГРЮЛ, на вывесках, продукции, в договорах, счетах и иных официальных документах, на рекламных материалах, на сайтах в сети Интернет.	На товарах, этикетках, упаковках, вывесках на товарах, на вывесках, в рекламных объявлениях, сети Интернет, различных объявлениях.
Регистрация	Регистрация юр. лица и включение в ЕГРЮЛ.	Государственная регистрация в Роспатенте.
Возникновение исключительного права	В момент включения юр. лица в ЕГРЮЛ.	В момент получения свидетельства в Роспатенте.
Срок функционирования исключительного права	До момента ликвидации юр. лица или изменения имени.	10 лет, считая с даты подачи заявки на регистрацию в Роспатент с возможностью продления на 10 лет неограниченное количество раз.
Территория функционирования исключительного права	Российская Федерация	Российская Федерация
Распоряжение исключительным правом	Не допускается.	Отчуждение, передача права.

Использование товарного знака в фирменном наименовании

При этом, название фирмы и торговая марка тесно связаны. Зачастую имя компании или ее отдельные элементы регистрируются в качестве торговой марки.

ООО «СЕНКРУС»	ООО «СкайДНС»	ООО «АлеВи»
ООО «Арт-Класс»	ООО «Арт Паула»	АО «ИКМЗ»

Фирменное наименование против товарного знака

Стоит отметить, что согласно статье 1474 ГК РФ нельзя зарегистрировать обозначение в качестве названия фирмы, если уже существует организация, ведущая аналогичную деятельность, с точно таким же или крайне похожим именем. Аналогичное требование предъявляется в пункте 6 статьи 1483 того же Кодекса и к торговым маркам, которые используются для индивидуализации одинаковой продукции или услуг. Пункт 8 вышеупомянутой статьи также запрещает регистрацию обозначений, которые частью или полностью воспроизводят фирменное наименование компании, появившейся еще до подачи заявки на товарный знак. При этом, в статье 1484 сказано, что никто не вправе использовать зарегистрированную торговую марку без дозволения правообладателя, из этого следует, что и регистрация идентичного названия в качестве наименования фирмы также невозможна.

Регистрация товарного знака и фирменного наименования

Регистрация данных средств индивидуализации также происходит разными путями. Исключительное право на название фирмы возникает вместе с внесением организации в ЕГРЮЛ и дополнительного оформления не требует.

Торговая марка же регистрируется в Роспатенте, процесс состоит из нескольких этапов:

Убедиться в возможности оформления прав на название и/или логотип. Причины, по котором оформление прав может оказаться невозможным, перечислены в статье 1483 ГК РФ, среди них – указание на вид продукта или услуги, несоответствие нормам морали и гуманности, наличие идентичной или похожей зарегистрированной торговой марки и другие.
Заполнить заявление, указав данные о заявителе и приложив изображение торговой марки, а также список товаров или услуг, для которых она используется. Существует специальная классификация (МКТУ), в которой все возможными позиции распределены по группам, например, музыкальные инструменты сосредоточены в одном классе, продукты питания – в другом, услуги строительства – в третьем и т.д.
Подать заявление в Роспатент лично, почтой или через электронные сервисы.
Оплатить государственную пошлину.
Ожидать результатов экспертизы.
После вынесения решения о выдаче свидетельства оплатить еще одну пошлину и получить свидетельство.

Компания IP-GROUP занимается оформлением прав на торговые марки уже 6 лет, в штате имеются два патентных поверенных по товарным знакам, поэтому клиенты могут безбоязненно довериться в этом вопросе профессионалам своего дела.

Особенности рассмотрения дел в порядкеупрощенного производства

17. Дела в порядке упрощенного производства рассматриваются по правилам искового производства с особенностями, установленными главой 21.1 ГПК РФ, главой 29 АПК РФ, в частности, судебные заседания по указанным делам не назначаются, в связи с чем лица, участвующие в деле, не извещаются о времени и месте судебного заседания, протоколирование в письменной форме и с использованием средств аудиозаписи не осуществляется, правила об отложении разбирательства дела (судебного разбирательства), о перерыве в судебном заседании, об объявлении судебного решения не применяются (статья 232.1 ГПК РФ, статья 226 АПК РФ).Если по формальным признакам дело относится к категориям дел, названным в части первой статьи 232.2 ГПК РФ и частях 1 и 2 статьи 227 АПК РФ, то оно должно быть рассмотрено в порядке упрощенного производства, о чем указывается в определении о принятии искового заявления (заявления) к производству (часть вторая статьи 232.3 ГПК РФ, часть 2 статьи 228 АПК РФ). Согласие сторон на рассмотрение данного дела в таком порядке не требуется.19. Если дело не относится к категориям дел, подлежащих рассмотрению в порядке упрощенного производства, суд, приняв исковое заявление (заявление) к производству по общим правилам искового производства или по правилам производства по делам, возникающим из административных и иных публичных правоотношений, начинает подготовку дела к судебному разбирательству (статьи 133 и 147 ГПК РФ, статьи 127 и 134 АПК РФ).В определении о принятии искового заявления (заявления) к производству, о подготовке дела к судебному разбирательству суд может предложить сторонам рассмотреть данное дело в порядке упрощенного производства (часть вторая статьи 232.2 ГПК РФ, часть 3 статьи 227 АПК РФ).

20. При обращении с исковым заявлением (заявлением) по требованию, подлежащему рассмотрению или рассмотренному в порядке приказного производства, истец или заявитель должен указать в исковом заявлении (заявлении) об отказе в принятии заявления о вынесении (выдаче) судебного приказа или об отмене судебного приказа и приложить копии соответствующих определений.

Если копия соответствующего определения отсутствует, однако заявитель обращался с заявлением о выдаче судебного приказа, такое исковое заявление (заявление) подлежит оставлению без движения (статья 136 ГПК РФ, статья 128 АПК РФ).

КонсультантПлюс: примечание.

С 01.10.2019 ст. 232.1 ГПК РФ дополнена ч. 3 о сроке рассмотрения дела в порядке упрощенного производства.21. Дела в порядке упрощенного производства рассматриваются судом общей юрисдикции, арбитражным судом в срок, не превышающий двух месяцев со дня поступления искового заявления (заявления) в суд (часть первая статьи 154 ГПК РФ, часть 2 статьи 226 АПК РФ).22. В определении о принятии искового заявления (заявления) к производству суд указывает на рассмотрение дела в порядке упрощенного производства и устанавливает следующие сроки представления участвующими в деле лицами в суд и друг другу доказательств и документов (части вторая и третья статьи 232.3 ГПК РФ, части 2 и 3 статьи 228 АПК РФ):

1) пятнадцать дней или более — как для представления ответчиком отзыва (возражений) на исковое заявление (заявление), так и для представления любым участвующим в деле лицом доказательств, на которые оно ссылается как на основание своих требований и возражений;

2) тридцать дней или более — для представления только дополнительных документов, содержащих объяснения по существу заявленных требований и возражений в обоснование своей позиции, но не содержащих ссылки на доказательства, которые не были раскрыты в установленный судом срок.

Сроки для совершения названных действий могут быть определены судом общей юрисдикции, арбитражным судом посредством указания точной календарной даты либо периода, исчисляемого со дня вынесения определения о принятии искового заявления (заявления) к производству или определения о переходе к рассмотрению дела в порядке упрощенного производства.

При определении продолжительности этого срока следует учитывать время на доставку почтовой корреспонденции и общий срок рассмотрения дела в порядке упрощенного производства. Период между моментами окончания первого и второго сроков должен составлять не менее пятнадцати дней.

23. При применении положений части 1 статьи 228 АПК РФ арбитражным судам необходимо исходить из того, что в целях реализации права лиц, участвующих в деле, на ознакомление с материалами дела в электронном виде на официальном сайте арбитражного суда в информационно-телекоммуникационной сети «Интернет» (далее — официальный сайт арбитражного суда) в режиме ограниченного доступа (часть 2 статьи 228 АПК РФ) в срок, не превышающий пяти дней со дня вынесения определения о принятии искового заявления (заявления) к производству, размещается как само исковое заявление (заявление), так и все прилагаемые к такому заявлению документы.24. Лица, участвующие в деле, рассматриваемом в порядке упрощенного производства, считаются получившими копии определения о принятии искового заявления (заявления) к производству и рассмотрении дела в порядке упрощенного производства, если ко дню принятия решения суд располагает доказательствами вручения им соответствующих копий, направленных заказным письмом с уведомлением о вручении (часть первая статьи 113 ГПК РФ, часть 1 статьи 122 АПК РФ), а также в случаях, указанных в частях второй — четвертой статьи 116 ГПК РФ, в частях 2 — 5 статьи 123 АПК РФ, или иными доказательствами получения лицами, участвующими в деле, информации о начавшемся судебном процессе.

Гражданин, индивидуальный предприниматель и юридическое лицо несут риск последствий неполучения копии указанного определения по обстоятельствам, зависящим от них.

Если ко дню принятия решения по делу, рассматриваемому в порядке упрощенного производства, соответствующая информация в суд не поступила, либо поступила, но с очевидностью свидетельствует о том, что лицо не имело возможности ознакомиться с материалами дела и представить возражения и доказательства в обоснование своей позиции в порядке, предусмотренном частью четвертой статьи 232.3 ГПК РФ, частью 3 статьи 228 АПК РФ, суд выносит определение о рассмотрении дела по общим правилам искового производства или по правилам производства по делам, возникающим из административных и иных публичных правоотношений, в связи с необходимостью выяснения дополнительных обстоятельств или исследования дополнительных доказательств (часть четвертая статьи 232.2 ГПК РФ, часть 5 статьи 227 АПК РФ).25. При применении части четвертой статьи 232.3 ГПК РФ, части 4 статьи 228 АПК РФ необходимо исходить из того, что каждое участвующее в деле лицо, представляющее доказательства и документы, должно предпринять все зависящие от него меры к тому, чтобы до истечения срока, установленного в определении, в суд поступили представляемые им отзыв на исковое заявление, отзыв на заявление, доказательства и иные документы (в том числе в электронном виде) либо информация о направлении таких документов (например, телеграмма, телефонограмма и т.п.). Направление документов в суд и лицам, участвующим в деле, по почте без учета времени доставки корреспонденции не может быть признано обоснованием невозможности своевременного представления документа в суд, поскольку соответствующие действия относятся к обстоятельствам, зависящим от участвующего в деле лица.Исходя из особенностей рассмотрения дел в порядке упрощенного производства, принципов состязательности, равноправия и добросовестности сторон, при представлении в суд общей юрисдикции указанных доказательств, документов и возражений лица, участвующие в деле, обязаны направить их друг другу, а также представить в суд документы, подтверждающие направление таких доказательств, документов и возражений другим участвующим в деле лицам (часть четвертая статьи 1, статья 12, часть первая статьи 35, части вторая и третья статьи 232.2 ГПК РФ).

Если в суд общей юрисдикции наряду с доказательствами, документами и возражениями не представлены документы, подтверждающие их направление другим участвующим в деле лицам, то такие доказательства, документы и возражения судом общей юрисдикции не принимаются и подлежат возвращению, о чем выносится определение.

26. При рассмотрении дела в порядке упрощенного производства письменные доказательства представляются с учетом положений статей 71, 72 ГПК РФ, статьи 75 АПК РФ.Суд в пределах двухмесячного срока рассмотрения дела вправе при необходимости устанавливать дополнительные сроки для представления подлинных документов по требованию суда, истребования доказательств по правилам частей второй — четвертой статьи 57 ГПК РФ, частей 5 и 6 статьи 66 АПК РФ.27. Если доказательства и документы поступили в суд по истечении установленного судом срока, такие доказательства и документы не принимаются и не рассматриваются судом и возвращаются лицам, которыми они были поданы, за исключением случаев, когда сроки представления таких доказательств и иных документов пропущены по уважительным причинам (часть четвертая статьи 232.3 ГПК РФ), или если эти лица обосновали невозможность представления указанных документов в установленный судом срок по причинам, не зависящим от них (часть 4 статьи 228 АПК РФ).

28. Если невозможность представления в суд доказательств (документов), которые, по мнению суда, имеют значение для правильного разрешения спора, признана судом обоснованной по причинам, не зависящим от лица, участвующего в деле (например, необходимость в представлении доказательства возникла в результате ознакомления с доказательством, представленным другим участвующим в деле лицом на исходе срока представления доказательств), такое доказательство (документ) учитывается судом, когда оно поступило в суд не позднее даты принятия решения по делу и при наличии возможности лиц, участвующих в деле, ознакомиться с таким доказательством (документом), а также высказать позицию в отношении его.

При этом суд в пределах двухмесячного срока рассмотрения дела устанавливает разумный срок для ознакомления лиц, участвующих в деле, с представленными доказательствами (документами).

В случае отсутствия у суда возможности установить срок, необходимый для ознакомления лиц, участвующих в деле, с представленными доказательствами (документами), суд вправе вынести определение о рассмотрении дела по общим правилам искового производства или по правилам производства по делам, возникающим из административных и иных публичных правоотношений, в связи с необходимостью выяснения дополнительных обстоятельств или исследования дополнительных доказательств (часть четвертая статьи 232.3 ГПК РФ, часть 5 статьи 227 АПК РФ).29. Заявления и ходатайства рассматриваются судом общей юрисдикции, арбитражным судом в порядке, предусмотренном статьей 166 ГПК РФ, статьей 159 АПК РФ без проведения судебного заседания и с учетом других особенностей рассмотрения дела в порядке упрощенного производства.

Суд общей юрисдикции, арбитражный суд рассматривают заявление и ходатайство в разумный срок, обеспечивающий лицам, участвующим в деле, возможность заявить свои возражения, и по результатам их рассмотрения выносят определение.

Исходя из особенностей рассмотрения дел в порядке упрощенного производства, принципов состязательности, равноправия и добросовестности сторон, при направлении в суд общей юрисдикции заявлений и ходатайств лица, участвующие в деле, обязаны направить их друг другу, а также представить в суд документы, подтверждающие направление указанных заявлений и ходатайств другим участвующим в деле лицам (часть четвертая статьи 1, статья 12, часть первая статьи 35, части вторая и третья статьи 232.3 ГПК РФ).Заявления и ходатайства, поданные в арбитражный суд, размещаются на официальном сайте арбитражного суда в режиме ограниченного доступа в срок, не превышающий трех дней со дня их поступления в арбитражный суд, применительно к положениям абзаца второго части 4 статьи 228 АПК РФ. Лица, участвующие в деле, вправе высказать по ним свое мнение в письменной форме, направив соответствующий документ в арбитражный суд, в том числе в электронном виде посредством системы «Мой Арбитр».Определение арбитражного суда, вынесенное по результатам рассмотрения заявления или ходатайства, размещается на его официальном сайте не позднее следующего дня после дня вынесения этого определения применительно к части 2 статьи 228 АПК РФ. В силу части четвертой статьи 1 ГПК РФ определение суда общей юрисдикции также подлежит размещению на официальном сайте суда в информационно-телекоммуникационной сети «Интернет» в указанный срок.

30. При рассмотрении дела в порядке упрощенного производства стороны вправе заключить мировое соглашение.

Сторона или стороны могут направить в суд в том числе в электронном виде подписанный ими проект мирового соглашения до истечения срока рассмотрения дела в порядке упрощенного производства. В этом случае суд не переходит к рассмотрению дела по общим правилам искового производства или по правилам производства по делам, возникающим из административных и иных публичных правоотношений, а назначает судебное заседание для рассмотрения вопроса об утверждении мирового соглашения с вызовом участвующих в деле лиц, а также с осуществлением протоколирования в письменной форме и с использованием средств аудиозаписи (часть вторая статьи 39, статья 173 ГПК РФ, часть 2 статьи 141 АПК РФ).Если мировое соглашение не будет утверждено в этом судебном заседании, суд выносит определение о рассмотрении дела по общим правилам искового производства или по правилам производства по делам, возникающим из административных и иных публичных правоотношений, на основании пункта 2 части четвертой статьи 232.2 ГПК РФ, пункта 3 части 5 статьи 227 АПК РФ.

Что лучше открыть ИП или ООО таблица отличий плюсы и минусы

При создании бизнеса встает вопрос о его регистрации и здесь у нас есть два варианта. ИП или ООО, у каждой формы есть свои особенности, которые и определяют наш выбор. Здесь важно не ошибиться, так как от этого будет зависеть сумма уплаты налогов и сама процедура регистрации. Но не нужно придавать этому слишком большое значение и тратить много времени и усилий, это всего лишь договор с государством, на основе которого вы будите осуществлять управление делами. Теперь более подробно все рассмотрим.

Что такое «ИП»

ИП — форма ведения бизнеса при которой физическое лицо регистрирует свою предпринимательскую деятельность, но без образования юридического лица. Самым важным отличием является то, что предприниматель несет ответственность имуществом за свои действия. Но не все так страшно, никто не заберет у вас единственную квартиру.

Что такое «ООО»

ООО — создается физическим или юридическим лицом, но зачастую группой лиц. Это хозяйственное общество, имеющее свой уставной капитал, разделенный на части. Риски для участников здесь намного меньше. Они остаются на уровне их частей в уставном капитале. А по сути это компания с ограниченной ответственностью.

Разница между ИП и ООО таблица отличий

Если вы создаете ООО, то получаете следующие виды ответственности.

Юридического лица
Физических лиц. В них входят все участники

Всегда подразумевают первый вид ответственности если речь идет об обществе. И действительно по этому пункту обязательства только по принадлежащему имуществу этой группе людей. В случае невозможности погасить свои долги, происходит процедура банкротства и все ляжет на плечи его участников.

Имущество ИП получается не может разделено на личное и принадлежащее бизнесу. Это единое целое и при долгах, будет рассматриваться все имущество, даже то которое было приобретено до начала ведения бизнеса. Статья 446 как раз и определяет перечень того, что попадет под исковые требования.

Самые значимые отличия

ИП	ООО
Отсутствие налога и свобода действий. Личный доход предпринимателя может быть сразу выведен. И распоряжаться деньгами на счету он вправе по своему усмотрению. Не облагается дополнительным налогом	Удержание 13% и составление отчета При желании снять деньги с расчетного счета (он обязателен), это действие нужно отразить в бухгалтерии. А с любой прибыли каждого участника уплачивается 13%.
Ответственность физического лица. Даже если закрыть ИП, то на физическое лицо все равно можно будет подать в суд. И так же он будет отвечать своим имуществом.	Ответственность юридического лица. Здесь все ограничивается только уставным капиталом, который может быть всего 10 тыс. Но подать в суд можно и после закрытия общества.
Не нужен бухгалтерский учет	При наличии доходов и расходов, обязательно вести бухгалтерию
Без работников ежеквартальные отчеты не сдаются	В любом случае нужен 2-НДФЛ, ЕРСВ, 4-ФСС и т.д.
Возможность работы по территории всей страны. Но регистрация и отчетность сдается по месту прописки.	Если возникнет необходимость вести свои дела в другом городе, оформляйте филиал. А регистрация в месте расположения главного офиса.

Индивидуальный предприниматель ввиду специфики законодательства, не может осуществлять определенные виды работы. Существует список из 40 пунктов, но если вкратце, то это военная и химическая промышленность, финансирование, экономическая деятельность и финансирование. И все, угрожающее здоровью людей.

Некоторые из запрещённых отраслей

Алкоголь. Не только продажи, но и производство
Оружие и боеприпасы
Все касаемо военной техники
Взрывчатые вещества
Все что касается космоса
Электроэнергетика
Наркотические вещества
Банковские услуги
Азартные игры
Воздушный транспорт

Для указания той сферы деятельности которой вы будите заниматься, необходимо прописать специальный код (ОКВЭД) при подаче заявления регистрации. Посмотреть их значения можно на сайте, но если вдруг в процессе ведения бизнеса возникнет необходимость добавления нового вида, то это легко будет сделать снова, подав заявление в налоговую. Госпошлина за это не взимается. Но лучше конечно все предусмотреть, а лишние прописанные коды ни к чему не обязывают.

С 2018 года произошло обновление ОКВЭД, будьте внимательнее при выборе списка.

При осуществлении функционирования, ООО разрешено практически все. А запрещенные формы бизнеса по сути и не являются таковым. В большей степени это дела государства. Из основных запретов можно выделить:

Военная техника
Авиация
Взрывчатые вещества
Химические вещества
Оружие

Существует основной вид деятельности, по которому будут прописываться все отчисления. На практике это самая прибыльная часть бизнеса. Вся дополнительная деятельность не ограничена по количеству, открывайте все, что теоретически сможете использовать в будущем. На не использующиеся в данный момент дополнительные сферы никаких отчетов делать не нужно.

Вывод денег

У индивидуального предпринимателя все очень просто. Все деньги, находящиеся на расчетном счету, являются его собственностью и распоряжается он ими как захочет.

У компании в уставе прописано разделение на имущества юридическое и участников. Из-за этого владелец вынужден прибегать к иным законным методам вывода средств.

Способы вывода

Перечисление дивидендов. Не выгодно так как придется отдать государству в общем 44%.
Перевод денег через ИП. Очень выгодная схема. Заказываем услугу, например, тренинга, переводим деньги и предоставляем отчет.
Экономим на подоходном налоге.
Беспроцентный кредит
Издержки на развитие бизнеса
Отнести к расходам

Какую форму ведения деятельности выбрать

Вопрос серьезный и требует взвешенных решений, во избежание в будущем лишних проблем, денежных затрат и времени на подачу отчетов. Чем больше планируется видов деятельности или взаимоотношений между ними, тем больше должны вы склонятся в сторону образования юридического лица.

При создании бизнеса несколькими людьми и для четкой уверенности в честности будущего предприятия, также необходимо образовывать компанию «ООО». В большинстве своем на начальных этапах делают индивидуального предпринимателя, для уменьшения выплаты выплат и упрощения всей этой системы, для концентрации на главном. Но в этом случае будет невозможно привлечение инвесторов, не забывайте про это.

Учитывайте ответственность имуществом у предпринимателей, если боитесь или можно много чего потерять, то выбор должен быть соответствующий.

Некоторые недобросовестные ИП имея сотрудников с неофициальным трудоустройством и платят зарплату в конверте, тем самым уклоняются от налогов и обязательных выплат. Это нелегально! Но каждый в этой жизни сам делает свой выбор.

Для иностранных фирм или крупных корпораций зачастую только юридическое лицо может представлять интерес.

Не бойтесь массы проблем с бухгалтерией. Сейчас множество компаний предоставляют данные услуги по удаленной системе. Бухгалтер будет делать все дистанционно, появляясь у вас в офисе раз в месяц максимум. Это дешевле и по зарплате и не нужных трат на оборудование рабочего места.

Не забывайте про вид налогообложения как патент, доступный предпринимателям. Там вообще все просто, покупаете по сути разрешение на работу сроком от месяца до двенадцати.

Штрафы

Самая традиционная для налоговой методика – оплата по трудовому договору. Нужно устроить себя на работу в свою фирму. Звучит немного странно, но это наши законы, ничего не поделать. Придется платить НДФЛ 13% и обязательные взносы в сумме 30%. При этом подаются бухгалтерские отчетности.

Виды штрафов, налагаемых на компании и предпринимателей

Не вовремя сданная налоговая декларация. 5% от суммы на каждый месяц.
Не сдача декларации с целью уклонения от налогов (больше 2 млн).
Не сдача декларации, при уклонении от выплат в особо крупных размерах.
Занижение налоговой базы. 20% от неуплаченной суммы.
Занижение специально. 40%
Не та форма подачи декларации ООО. 200р.
Нарушение правил учета доходов. В зависимости от степени от 10 тыс. до 200. Тюрьма до 6 лет.
Нарушение кассовых операций от 40000 до 50000.
Если нарушили закон об охране труда 30000-50000 или остановка деятельности на 90 дней.
Если повлечет смерть человека, то лишение свободы на 4 года.

Естественно существует еще множество взысканий, применяемых к бизнесменам. Весь их перечень представлен в интернете и обновляется каждый квартал

Анализируйте снимки межсетевого экрана Firepower для эффективного устранения сетевых проблем

Введение

В этом документе описываются различные методы анализа перехвата пакетов, направленные на эффективное устранение неполадок в сети. Все сценарии, представленные в этом документе, основаны на реальных пользовательских случаях, замеченных в Центре технической поддержки Cisco (TAC). Документ охватывает захват пакетов с точки зрения межсетевого экрана Cisco следующего поколения (NGFW), но те же концепции применимы и к другим типам устройств.

Предварительные требования

Требования

Cisco рекомендует ознакомиться со следующими темами:

Архитектура платформы огневой мощи
Журналы NGFW
Трассировщик пакетов NGFW

Кроме того, перед началом анализа перехвата пакетов настоятельно рекомендуется выполнить следующие требования:

Знать работу протокола — Бесполезно начинать проверку захвата пакета, если вы не понимаете, как работает захваченный протокол
Знать топологию — Вы должны знать транзитные устройства.В идеале сквозной. Если это невозможно, вы должны, по крайней мере, знать восходящие и нисходящие устройства
Знать устройство — Вы должны знать, как ваше устройство обрабатывает пакеты, каковы задействованные интерфейсы (например, вход / выход), какова архитектура устройства и каковы различные точки захвата
Знать конфигурацию — Вы должны знать, как устройство должно обрабатывать поток пакетов с точки зрения:
- Интерфейс маршрутизации / выхода
- Применяемые политики
- Трансляция сетевых адресов (NAT)
Знайте доступные инструменты — Наряду с захватами рекомендуется также быть готовым применять другие инструменты и методы устранения неполадок, такие как ведение журнала и трассировщики, и при необходимости соотносить их с захваченными пакетами

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

Большинство сценариев основано на FP4140 с программным обеспечением FTD 6.5.x.
FMC с программным обеспечением 6.5.x.

Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Справочная информация

Захват пакетов — один из наиболее часто игнорируемых инструментов устранения неполадок, доступных сегодня. Центр технической поддержки Cisco TAC ежедневно решает множество проблем клиентов путем анализа собранных данных.Цель этого документа — помочь сетевым инженерам и специалистам по безопасности выявлять и устранять распространенные сетевые проблемы, в основном на основе анализа перехвата пакетов.

Как собирать и экспортировать снимки по семейству продуктов NGFW?

В случае устройства Firepower (1xxx, 21xx, 41xx, 93xx) и приложения Firepower Threat Defense (FTD) обработка пакетов может быть визуализирована, как показано на изображении.

Пакет поступает на входной интерфейс и обрабатывается внутренним коммутатором шасси.
Пакет поступает в механизм FTD Lina, который в основном выполняет проверки L3 / L4.
Если политика требует, пакет проверяется механизмом Snort (в основном проверка L7).
Механизм Snort возвращает вердикт для пакета.
Механизм LINA отбрасывает или пересылает пакет на основе вердикта Snort.
Пакет выходит на шасси через внутренний коммутатор шасси.

В зависимости от показанной архитектуры захваты FTD могут выполняться в 3 разных местах:

FXOS
Двигатель FTD Lina
Двигатель FTD Snort

Собирать захваты FXOS

Процесс описан в этом документе:

https: // www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos271/web-guide/b_GUI_FXOS_ConfigGuide_271/troubleshooting.html#concept_E8823CC63C934A909BBC0DF12F301DED 9000

захвата FXOS могут быть сделаны только во входном направлении с точки зрения внутреннего коммутатора, как показано на изображении здесь.

Как показано на изображении, это две точки захвата в каждом направлении (из-за внутренней архитектуры коммутатора).

Перехваченные пакеты в точках 2, 3 и 4 имеют виртуальный сетевой тег (VNTag).

Примечание : Захваты FXOS на уровне шасси доступны только на платформах FP41xx и FP93xx. FP1xxx и FP21xx не предоставляют такой возможности.

Включить и собрать FTD Lina Capture

Основные точки захвата:

Входной интерфейс
Выходной интерфейс
Ускоренный путь безопасности (ASP)

Вы можете использовать либо пользовательский интерфейс Центра управления огневой мощью (FMC UI), либо FTD CLI, чтобы включить и собрать захваты FTD Lina.

Включить захват из CLI на интерфейсе INSIDE:

 firepower #  захват интерфейса CAPI ВНУТРИ соответствие хосту icmp 192.168.103.1 хост 192.168.101.1

Этот захват соответствует трафику между IP-адресами 192.168.103.1 и 192.168.101.1 в обоих направлениях.

Включите захват ASP, чтобы увидеть все пакеты, отброшенные механизмом FTD Lina:

 огневая мощь #  захват ASP тип asp-drop all

Экспорт захвата FTD Lina на FTP-сервер:

 firepower #  copy / pcap capture: CAPI ftp: // ftp_username: ftp_password @ 192.168.78.73 / CAPI.pcap

Экспорт захвата FTD Lina на сервер TFTP:

 firepower #  copy / pcap capture: CAPI tftp: //192.168.78.73

Начиная с версии FMC 6.2.x, вы можете включать и собирать захваты FTD Lina из пользовательского интерфейса FMC.

Другой способ сбора перехватов FTD от межсетевого экрана, управляемого FMC, — это.

Шаг 1

В случае захвата LINA или ASP скопируйте захват на диск FTD, например.

 firepower #  copy / pcap capture: capin disk0: capin.pcap 

Имя захвата источника [capin]?

Целевое имя файла [capin.pcap]?
!!!!

Шаг 2

Перейдите в экспертный режим, найдите сохраненный снимок и скопируйте его в / ngfw / var / common location:

 огневая мощь #

Консольное соединение отключено.

>  эксперт
  админ @ огневая мощь: ~ $  sudo su 
Пароль:
корень @ огневая мощь: / home / admin #  cd / mnt / disk0 
root @ firepower: / mnt / disk0 #  ls -al | grep pcap 
-rwxr-xr-x 1 корень root 24 апр 26 18:19 CAPI.pcap
-rwxr-xr-x 1 корневой корень 30110 8 апреля 14:10  capin.pcap 
-rwxr-xr-x 1 корневой корень 6123 8 апр, 14:11 capin2.pcap
корень @ firepower: / mnt / disk0 #  cp capin.pcap / ngfw / var / common

Шаг 3

Войдите в FMC, который управляет FTD, и перейдите к Devices> Device Management. Найдите устройство FTD и выберите значок Устранение неполадок :

Шаг 4

Выберите Расширенный поиск неисправностей:

Укажите имя файла захвата и выберите Загрузить:

Дополнительные примеры включения / сбора снимков из пользовательского интерфейса FMC см. В этом документе:

https: // www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Включение и сбор данных FTD Snort Capture

Точка захвата показана на изображении здесь.

Включить захват уровня Snort:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Опции:  -n хост 192.168.101.1

Чтобы записать захват в файл с именем capture.pcap и скопировать его через FTP на удаленный сервер:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Параметры:  -w capture.pcap host 192.168.101.1 
   CTRL + C <- для остановки захвата  
 
>  копия файла 10.229.22.136 ftp / capture.pcap 
Введите пароль для [email protected]:
Копирование capture.pcap
Копирование выполнено успешно.

>

Для получения дополнительных примеров захвата уровня Snort, которые включают различные фильтры захвата, проверьте этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Устранение неполадок

Случай 1. Нет TCP SYN на исходящем интерфейсе

Топология показана на изображении здесь:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA:

 firepower #  захват CAPI int INSIDE match ip host 192.168.0.100 host 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100

Захваты — Функциональный сценарий:

В качестве основы всегда очень полезно иметь захваты из функционального сценария.

Захват, сделанный на интерфейсе NGFW INSIDE, как показано на изображении:

Ключевые точки:

TCP 3-стороннее рукопожатие.
Двунаправленный обмен данными.
Нет задержек между пакетами (исходя из разницы во времени между пакетами)
MAC-адрес источника — это правильное нисходящее устройство.

Захват, сделанный на ВНЕШНЕМ интерфейсе NGFW, показан на изображении здесь:

Ключевые точки:

Те же данные, что и в захвате CAPI.
MAC-адрес назначения — это правильное восходящее устройство.

Захваты — нефункциональный сценарий

Из интерфейса командной строки устройства снимки выглядят следующим образом:

 огневая мощь #  показать захват 
захват интерфейса необработанных данных типа CAPI INSIDE  [захват - 484 байта] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ  [захват - 0 байт] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100

Содержимое CAPI:

 огневая мощь #  показать захват CAPI 

Захвачено 6 пакетов

   1: 11:47:46.
2 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
2: 11: 47: 47.161902 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
3: 11: 47: 49.3 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
4: 11: 47: 50.162757 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
5: 11: 47: 55.0 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
6: 11: 47: 56.164710 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192

 огневая мощь #  показать захват CAPO 

  0 пакет захвачен 

Показано 0 пакетов

Это образ захвата CAPI в Wireshark:

Ключевые точки:

Видны только пакеты TCP SYN (трехстороннее подтверждение TCP отсутствует).
Невозможно установить 2 сеанса TCP (порт источника 3171 и 3172). Исходный клиент повторно отправляет пакеты TCP SYN. Эти повторно переданные пакеты идентифицируются Wireshark как повторные передачи TCP.
Повторные передачи TCP происходят каждые ~ 3, затем 6 и т. Д. Секунд
MAC-адрес источника получен от правильного нисходящего устройства.

На основании 2 снимков можно сделать вывод, что:

Пакет из определенного набора из 5 кортежей (src / dst IP, src / dst порт, протокол) поступает на межсетевой экран на ожидаемом интерфейсе (INSIDE).
Пакет не покидает межсетевой экран на ожидаемом интерфейсе (ВНЕШНИЙ).

Анализ захвата

Включите захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE match ip host 192.168.0.100 хост 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100

Захваты — нефункциональный сценарий:

Из интерфейса командной строки устройства захваты выглядят следующим образом:

 огневая мощь #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват -  834 байта ]
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват -  878 байт ]
  сопоставьте ip host 192.168.0.100 хост 10.10.1.100

Содержимое CAPI:

 огневая мощь #  показать захват CAPI 
   1: 05: 20: 36.654217 192.168.0.100.22195> 10.10.1.100.80:  S  1397289928: 1397289928 (0) win 8192 
   2: 05: 20: 36.
1 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
   3: 05: 20: 36.3 10.10.1.100.80> 192.168.0.100.22196:  R  1850052503: 1850052503 (0) ack 2171673259 win 0
   4: 05:20:37.414132 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
   5: 05: 20: 37.414803 10.10.1.100.80> 192.168.0.100.22196:  R  31997177: 31997177 (0) ack 2171673259 win 0
   6: 05: 20: 37.3 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
...

Состав CAPO:

 огневая мощь #  показать захват CAPO 
   1: 05:20:36.654507 802.1Q vlan # 202 P0 192.168.0.100.22195> 10.10.1.100.80:  S  2866789268: 2866789268 (0) win 8192 
   2: 05: 20: 36.8 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4785344: 4785344 (0) win 8192 
   3: 05: 20: 36.7 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4785345 win 0
   4: 05: 20: 37.414269 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4235354730: 4235354730 (0) win 8192 
   5: 05: 20: 37.414758 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4235354731 win 0
   6: 05: 20: 37.5 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4118617832: 4118617832 (0) win 8192 
 
 На этом изображении показан захват CAPI в Wireshark.
 Ключевые точки:
 Источник отправляет пакет TCP SYN.
 Источнику отправлено TCP RST.
 Источник повторно передает пакеты TCP SYN.
 MAC-адреса верны (для входящих пакетов MAC-адрес источника принадлежит нисходящему маршрутизатору, MAC-адрес назначения принадлежит интерфейсу INSIDE межсетевого экрана).
 На этом изображении показан захват CAPO в Wireshark:
  
 Ключевые точки:
 Источник отправляет пакет TCP SYN.
 TCP RST поступает на ВНЕШНИЙ интерфейс.
 Источник повторно передает пакеты TCP SYN.
 MAC-адреса верны (для исходящих пакетов ВНЕШНИЙ межсетевой экран является MAC-адресом источника, восходящий маршрутизатор - MAC-адресом назначения).
 На основании 2 снимков можно сделать вывод, что:
 Трехстороннее установление связи TCP между клиентом и сервером не завершается
 Имеется TCP RST, который поступает на выходной интерфейс межсетевого экрана.
 Межсетевой экран «общается» с соответствующими устройствами восходящего и нисходящего потоков (на основе MAC-адресов)
 Рекомендуемые действия  Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Проверьте исходный MAC-адрес, который отправляет TCP RST.
 Убедитесь, что MAC-адрес назначения в пакете TCP SYN совпадает с MAC-адресом источника в пакете TCP RST.
 Эта проверка имеет целью подтвердить 2 вещи:
 Убедитесь, что нет асимметричного потока.
 Убедитесь, что MAC принадлежит ожидаемому восходящему устройству.
 Действие 2. Сравните входящие и исходящие пакеты.
 Визуально сравните 2 пакета в Wireshark, чтобы убедиться, что брандмауэр не изменяет / не повреждает пакеты.Выделены некоторые ожидаемые различия.
 Ключевые точки:
 Временные метки разные. С другой стороны, разница должна быть небольшой и разумной. Это зависит от функций и проверок политики, применяемых к пакету, а также от нагрузки на устройство.
 Длина пакетов может отличаться, особенно если брандмауэр добавляет / удаляет заголовок dot1Q только с одной стороны.
 MAC-адреса разные.
 Заголовок dot1Q может быть на месте, если захват был сделан на субинтерфейсе.
 IP-адрес (а) различаются, если к пакету применяется NAT или преобразование адресов порта (PAT).
 Порты источника или назначения различаются, если к пакету применяется NAT или PAT.
 Если вы отключите параметр Wireshark  Relative Sequence Number , вы увидите, что порядковые номера TCP / номера подтверждения изменяются брандмауэром из-за рандомизации начального порядкового номера (ISN).
 Некоторые параметры TCP могут быть перезаписаны.Например, межсетевой экран по умолчанию изменяет максимальный размер сегмента TCP (MSS) на 1380, чтобы избежать фрагментации пакетов на пути передачи.
 Действие 3. Сделайте снимок в пункте назначения.
 Если возможно, сделайте снимок в самом пункте назначения. Если это невозможно, сделайте снимок как можно ближе к месту назначения. Цель здесь - проверить, кто отправляет TCP RST (целевой сервер или какое-то другое устройство на пути?).
 Корпус 3.Трехстороннее установление связи TCP + RST от одной конечной точки  На этом изображении показана топология:
  
 Описание проблемы: HTTP не работает
 Затронутый поток:
 Src IP: 192.168.0.100
 Dst IP: 10.10.1.100
 Протокол: TCP 80
 Анализ захвата  Включите захват на движке FTD LINA.
 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100
  firepower #  capture CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  
 Захваты - нефункциональный сценарий:
 Эта проблема может проявляться в захватах несколькими способами.
 3.1 - Трехстороннее установление связи TCP + отложенный RST от клиента 
 Оба перехвата межсетевого экрана CAPI и CAPO содержат одинаковые пакеты, как показано на изображении.
 Ключевые точки:
 Трехстороннее подтверждение TCP проходит через брандмауэр.
 Сервер повторно передает SYN / ACK.
 Клиент повторно передает ACK.
 Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
 Рекомендуемые действия  Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Сделайте снимки как можно ближе к двум конечным точкам.
 Записи брандмауэра показывают, что клиентский ACK не был обработан сервером. Это основано на следующих фактах:
 Сервер повторно передает SYN / ACK.
 Клиент повторно передает ACK.
 Клиент отправляет TCP RST или FIN / ACK перед любыми данными.
 Захват на сервере показывает проблему. Клиентский ACK из трехстороннего подтверждения TCP так и не поступил:
 3.2 - Трехстороннее подтверждение связи TCP + отложенный FIN / ACK от клиента + отложенный RST от сервера  Оба перехвата межсетевого экрана CAPI и CAPO содержат одинаковые пакеты, как показано на изображении.
 Ключевые точки:
 Трехстороннее подтверждение TCP проходит через брандмауэр.
 Через ~ 5 секунд клиент отправляет FIN / ACK.
 Через ~ 20 секунд сервер отказывается и отправляет TCP RST.
 На основании этого захвата можно сделать вывод, что, несмотря на трехстороннее квитирование TCP через брандмауэр, кажется, что оно никогда не завершается на одной конечной точке (повторные передачи указывают на это).
 Рекомендуемые действия  То же, что и в случае 3.1
 3.3 - Трехстороннее подтверждение связи TCP + отложенный RST от клиента  Оба перехвата межсетевого экрана CAPI и CAPO содержат одинаковые пакеты, как показано на изображении.
 Ключевые точки:
 Трехстороннее подтверждение TCP проходит через брандмауэр.
 Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
 На основании этих снимков можно сделать вывод, что:
 Через 5-20 секунд одна конечная точка отказывается и решает разорвать соединение.
 Рекомендуемые действия  То же, что и в случае 3.1
 3.4 - Трехстороннее установление связи TCP + немедленное RST с сервера 
 Оба брандмауэра перехватывают эти пакеты, CAPI и CAPO содержат эти пакеты, как показано на изображении.
 Ключевые точки:
 Трехстороннее подтверждение TCP проходит через брандмауэр.
 Через несколько миллисекунд после пакета ACK от сервера идет TCP RST.
 Рекомендуемые действия  Действие: Делайте снимки как можно ближе к серверу.
 Немедленное TCP RST от сервера может указывать на неисправный сервер или устройство на пути, которое отправляет TCP RST. Сделайте снимок на самом сервере и определите источник TCP RST.
 Случай 4. TCP RST от клиента  На этом изображении показана топология:
 Описание проблемы: HTTP не работает.
 Затронутый поток:
 Src IP: 192.168.0.100
 Dst IP: 10.10.1.100
 Протокол: TCP 80
  Анализ захвата  
 Включить захват на движке FTD LINA.
 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  
 Захваты - нефункциональный сценарий:
 Это содержимое CAPI.
 огневая мощь #  показать захват CAPI 

14 пакетов захвачено

   1: 12: 32: 22.860627 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   2: 12: 32: 23.111307 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   3: 12: 32: 23.112390 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   4: 12: 32: 25.858109 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   5: 12: 32: 25.868698 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
   6: 12: 32: 26.108118 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   7: 12:32:26.109079 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэндов: 3000518858 (0) выигрыш 0
   8: 12: 32: 26.118295 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   9: 12: 32: 31.859925 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
  10: 12: 32: 31.860902 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  11: 12: 32: 31.875229 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  12: 12:32:32.140632 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
  13: 12: 32: 32.159995 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
  14: 12: 32: 32.160956 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
Показано 14 пакетов
 
 Это содержимое CAPO:
 огневая мощь #  показать захват CAPO 

Захвачено 11 пакетов

   1: 12: 32: 22.860780 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
   2: 12: 32: 23.111429 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3000518857: 3000518857 (0) win 8192 
   3: 12: 32: 23.112405 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 35140: 35140
 (0) выигрыш 0
   4: 12: 32: 25.858125 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
   5: 12:32:25.868729 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 29688: 29688 (0) выигрыш 0
   6: 12: 32: 26.108240 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3822259745: 3822259745 (0) win 8192 
   7: 12: 32: 26.109094 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 40865466: 40865466 (0) выигрыш 0
   8: 12: 32: 31.860062 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 4294058752: 4294058752 (0) win 8192 
   9: 12:32:31.860917 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 1581733941: 1581733941 (0) выигрыш 0
  10: 12: 32: 32.160102 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 4284301197: 4284301197 (0) win 8192 
  11: 12: 32: 32.160971 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 5028: 5028 (0) выигрыш 0
Показано 11 пакетов
 
 Журналы брандмауэра показывают:
 огневая мощь №  счётчик | я 47741 
13 октября 2019 13:57:36:% FTD-6-302013: Построено входящее TCP-соединение 4869 для INSIDE: 192.168.0.100 / 47741 (192.168.0.100/47741) ВНЕШНИЙ: 10.10.1.100/80 (10.10.1.100/80)
13 октября 2019 13:57:36:% FTD-6-302014: Разрыв TCP-соединения 4869 для ВНУТРИ: 192.168.0.100/47741 на ВНЕШНИЙ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O от ВНУТРИ 
13 октября 2019 13:57:39:% FTD-6-302013: Построено входящее TCP-соединение 4870 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:39:% FTD-6-302014: Разрыв TCP-соединения 4870 для INSIDE: 192.168.0.100 / 47741 к ВНЕШНЕМУ: 10.10.1.100/80 длительность 0:00:00 байт 0  TCP Reset-O из ВНУТРИ 
13 октября 2019 13:57:45:% FTD-6-302013: Построено входящее TCP-соединение 4871 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:45:% FTD-6-302014: Разрыв TCP-соединения 4871 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИ
 
 Эти журналы показывают, что существует TCP RST, который поступает на ВНУТРЕННИЙ интерфейс межсетевого экрана
 Захват CAPI в Wireshark:
 Следуйте первому потоку TCP, как показано на изображении.
 В  Wireshark  перейдите к  Edit> Preferences> Protocols> TCP  и отмените выбор параметра  Relative sequence numbers , как показано на изображении.
 На этом изображении показано содержимое первого потока в захвате CAPI:
 Ключевые точки:
 Клиент отправляет пакет TCP SYN.
 Клиент отправляет пакет TCP RST.
 Пакет TCP SYN имеет значение порядкового номера, равное 4098574664.
 Тот же поток в захвате CAPO содержит:
 Ключевые точки:
 Клиент отправляет пакет TCP SYN. Брандмауэр рандомизирует ISN.
 Клиент отправляет пакет TCP RST.
 На основании двух отловов можно сделать вывод, что:
 Нет трехстороннего установления связи TCP между клиентом и сервером.
 Существует TCP RST, который исходит от клиента. Значение порядкового номера TCP RST в захвате CAPI - 1386249853.
 Рекомендуемые действия  Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Сделайте снимок на клиенте.
 На основе захватов, собранных на межсетевом экране, есть явное указание на асимметричный поток. Это основано на том факте, что клиент отправляет TCP RST со значением 1386249853 (рандомизированный ISN):
 Ключевые точки:
 Клиент отправляет пакет TCP SYN.Порядковый номер 4098574664 и такой же, как на ВНУТРЕННЕМ интерфейсе межсетевого экрана (CAPI)
. Имеется TCP SYN / ACK с номером ACK 1386249853 (что ожидается из-за рандомизации ISN). Этот пакет не был замечен в захватах брандмауэра
 Клиент отправляет TCP RST, поскольку он ожидал SYN / ACK со значением номера ACK 4098574665, но получил значение 1386249853
 Это можно представить как:
 Действие 2. Проверьте маршрутизацию между клиентом и межсетевым экраном.
 Подтвердите, что:
 MAC-адреса, отображаемые в захватах, являются ожидаемыми.
 Убедитесь, что маршрутизация между брандмауэром и клиентом симметрична.
 Существуют сценарии, в которых RST исходит от устройства, которое находится между брандмауэром и клиентом, в то время как во внутренней сети существует асимметричная маршрутизация. Типичный случай показан на изображении:
 В этом случае захват имеет это содержимое. Обратите внимание на разницу между MAC-адресом источника пакета TCP SYN и MAC-адресом источника TCP RST и MAC-адресом назначения пакета TCP SYN / ACK:
 огневая мощь #  показать захват CAPI деталь 
   1: 13:57:36.730217  4c4e.35fc.fcd8  00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47740> 10.10.1.100.80: S [tcp sum ok] 3045001876: 3045001876 (0) win 8192  (DF) (ttl 127, id 25661 )
   2: 13: 57: 36.981104 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47741> 10.10.1.100.80: S [tcp sum ok] 3809380540: 3809380540 (0) win 8192  (DF) (ttl 127, id 25662 )
   3: 13: 57: 36.981776 00be.75f6.1dae  a023.9f92.2a4d  0x0800 Длина: 66
      10.10.1.100.80> 192.168.0.100.47741: S [tcp sum ok] 1304153587: 1304153587 (0) ack 3809380541 win 8192  (DF) (ttl 127, id 23339)
   4: 13: 57: 36.982126  a023.9f92.2a4d  00be.75f6.1dae 0x0800 Длина: 54
      192.168.0.100.47741> 10.10.1.100.80:  R  [tcp sum ok] 3809380541: 3809380541 (0) ack 1304153588 win 8192 (ttl 255, id 48501)
...
 
 Случай 5. Медленная передача TCP (сценарий 1) 
 Описание проблемы:
 Передача SFTP между хостами 10.11.4.171 и 10.77.19.11 медленные. Хотя минимальная пропускная способность (BW) между двумя хостами составляет 100 Мбит / с, скорость передачи не превышает 5 Мбит / с.
 При этом скорость передачи между хостами 10.11.2.124 и 172.25.18.134 значительно выше.
 Теория предыстории:
 Максимальная скорость передачи для одного потока TCP определяется продуктом задержки полосы пропускания (BDP). Используемая формула показана на изображении:
 Более подробную информацию о BDP можно найти здесь:
 Сценарий 1.Медленная передача 
 На этом изображении показана топология:
 Затронутый поток:
 IP-адрес источника: 10.11.4.171
 Dst IP: 10.77.19.11
 Протокол: SFTP (FTP через SSH)
 Анализ захвата  Включить захваты на ядре FTD LINA:
 firepower #  Capture CAPI int INSIDE buffer 33554432 match ip host 10.11.4.171 host 10.77.19.11 
firepower #  захват CAPO int OUTSIDE buffer 33554432 сопоставление ip host 10.11.4.171 хост 10.77.19.11
  
  Предупреждение : Захваты LINA на захватах FP1xxx и FP21xx влияют на скорость передачи трафика, проходящего через FTD. Не включайте перехваты LINA на платформах FP1xxx и FP21xxx при устранении проблем с производительностью (медленная передача через FTD). Вместо этого используйте SPAN или устройство HW Tap в дополнение к захватам на исходном и целевом хостах. Проблема задокументирована в CSCvo30697.
 firepower #  захват интерфейса трассировки необработанных данных типа CAPI внутри соответствует icmp любой любой 
ПРЕДУПРЕЖДЕНИЕ. Выполнение перехвата пакетов может отрицательно сказаться на производительности.
 Рекомендуемые действия  Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
  Расчет времени туда и обратно (RTT) 
 Сначала определите поток передачи и следуйте ему:
 Измените представление Wireshark, чтобы отобразить  секунды с момента предыдущего отображаемого пакета . Это упрощает расчет RTT:
 RTT можно рассчитать путем сложения значений времени между двумя пакетами обмена (один в направлении источника, а другой в направлении пункта назначения).В этом случае пакет № 2 показывает RTT между межсетевым экраном и устройством, которое отправило пакет SYN / ACK (сервер). Пакет № 3 показывает RTT между межсетевым экраном и устройством, отправившим пакет ACK (клиентом). Сложение двух чисел дает хорошую оценку сквозного RTT:
 RTT ≈ 80 мс
  Расчет размера окна TCP 
 Разверните пакет TCP, разверните заголовок TCP, выберите  Расчетный размер окна  и выберите  Применить как столбец: 
 Проверьте столбец  Расчетное значение размера окна , чтобы узнать, какое максимальное значение размера окна было во время сеанса TCP.Вы также можете выбрать имя столбца и отсортировать значения.
 Если вы тестируете загрузку файла (сервер > клиент ), вы должны проверить значения, объявленные сервером. Максимальное значение размера окна, объявленное сервером, определяет максимальную скорость передачи.
 В данном случае размер окна TCP составляет ≈ 50000 байт
 На основе этих значений и с использованием формулы произведения на задержку полосы пропускания вы получаете максимальную теоретическую полосу пропускания, которая может быть достигнута в этих условиях: 50000 * 8/0.0 = 1 (без масштабирования окон). Это отрицательно сказывается на скорости передачи:
 На этом этапе необходимо выполнить захват на сервере, подтвердить, что это тот, кто объявляет масштаб окна = 0, и перенастроить его (вам может потребоваться проверить документацию сервера, как это сделать).
 Сценарий 2. Быстрая передача 
 Теперь рассмотрим хороший сценарий (быстрая передача через ту же сеть):
 Топология:
 Поток интересов:
 Src IP: 10.11.2.124
 Dst IP: 172.25.18.134
 Протокол: SFTP (FTP через SSH)
 Включить захват на движке FTD LINA
 firepower #  Capture CAPI int INSIDE buffer 33554432 match ip host 10.11.2.124 host 172.25.18.134 
firepower #  захват CAPO int ВНЕШНИЙ буфер 33554432 сопоставление IP-хоста 10.11.2.124 хост 172.25.18.134
  
 Расчет времени кругового обхода (RTT): В этом случае RTT составляет ≈ 300 мсек.
 Расчет размера окна TCP: сервер объявляет коэффициент масштабирования окна TCP равный 7.
 Размер окна TCP сервера ≈ 1600000 Байт:
 На основе этих значений формула произведения на задержку полосы пропускания дает:
 1600000 * 8 / 0,3 = максимальная теоретическая скорость передачи 43 Мбит / с
 Случай 6. Медленная передача TCP (сценарий 2)  Описание проблемы: Передача (загрузка) файлов по FTP через брандмауэр происходит медленно.
 На этом изображении показана топология:
 Затронутый поток:
 Src IP: 192.168.2.220
 Dst IP: 192.168.1.220
 Протокол: FTP
 Анализ захвата  Включите захват на движке FTD LINA.
 firepower #  захват буфера необработанных данных типа CAPI 33554432 интерфейс INSIDE соответствие хоста tcp 192.168.2.220 хост 192.168.1.220 
firepower #  cap Буфер необработанных данных типа CAPO 33554432 интерфейс ВНЕШНЕЕ соответствие хоста tcp 192.168.2.220 хост 192.168.1.220
  
 Выберите пакет FTP-DATA и следуйте каналу данных FTP при захвате FTD INSIDE (CAPI):
 Содержимое потока FTP-DATA:
 Содержимое захвата CAPO:
 Ключевые точки:
 Есть пакеты TCP Out-Of-Order (OOO).
 Произошла повторная передача TCP.
 Имеется индикация потери пакета (отброшенные пакеты).
  Совет : Сохраните захваченные данные при переходе к  Файл> Экспортировать указанные пакеты . Затем сохраните только диапазон пакетов  Displayed 
 Рекомендуемые действия  Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Определите место потери пакета.
 В подобных случаях необходимо выполнять одновременные захваты и использовать методологию «разделяй и властвуй» для определения сегмента (ов) сети, вызывающего потерю пакетов. С точки зрения межсетевого экрана существует 3 основных сценария:
 Потеря пакетов вызвана самим межсетевым экраном.
 Потеря пакета вызвана нисходящим потоком к устройству межсетевого экрана (направление от сервера к клиенту).
 Потеря пакета вызвана восходящим потоком к устройству межсетевого экрана (направление от клиента к серверу).
 Потеря пакетов, вызванная межсетевым экраном: Чтобы определить, вызвана ли потеря пакетов межсетевым экраном, необходимо сравнить входящий захват с исходящим захватом. Есть довольно много способов сравнить 2 разных снимка. В этом разделе показан один из способов решения этой задачи.
  Процедура сравнения 2 захватов для определения потери пакетов 
 Шаг 1. Убедитесь, что 2 захвата содержат пакеты из одного и того же временного окна. Это означает, что в одном захвате не должно быть пакетов, которые были захвачены до или после другого захвата.Есть несколько способов сделать это:
 Проверьте значения IP-идентификатора (ID) первого и последнего пакета.
 Проверить значения отметок времени первого и последнего пакета.
 В этом примере вы можете видеть, что первые пакеты каждого захвата имеют одинаковые значения IP ID:
 Если они не совпадают, то:
 Сравните временные метки первого пакета каждого захвата.
 Из захвата с последней отметкой времени получите фильтр, измените фильтр отметки времени с  ==  на > =  (первый пакет) и  <=  (последний пакет), например.г:
 (frame.time> = "16 октября 2019 г. 16: 13: 43.2446
") && (frame.time <= "16 октября 2019 г. 16: 20: 21.785130000")
 3. Экспортируйте указанные пакеты в новый захват, выберите  Файл> Экспортировать указанные пакеты  и затем сохраните  Отображаемые пакеты . На этом этапе оба захвата должны содержать пакеты, охватывающие одно и то же временное окно. Теперь вы можете начать сравнение двух снимков.
 Шаг 2. Укажите, какое поле пакета используется для сравнения двух захватов.Пример полей, которые можно использовать:
 Идентификация IP
 Порядковый номер RTP
 Порядковый номер ICMP
 Создайте текстовую версию каждого захвата, содержащую поле для каждого пакета, который вы указали на шаге 1. Для этого оставьте только интересующий столбец, например если вы хотите сравнить пакеты на основе IP-идентификации, измените захват, как показано на изображении.
 Результат:
 Шаг 3.Создайте текстовую версию захвата ( File> Export Packet Dissections> As Plain Text  ...), как показано на изображении:
 Снимите отметку с заголовков столбцов  I   nclude  и  Сведения о пакете Параметры , чтобы экспортировать только значения отображаемого поля, как показано на изображении:
 Шаг 4. Отсортируйте пакеты в файлах. Для этого можно использовать команду Linux  sort :
 #  сортировать CAPI_IDs> file1.отсортировано 
#  sort CAPO_IDs> file2.sorted
  
  
  Шаг 5. Используйте инструмент сравнения текста (например, WinMerge) или команду Linux  diff , чтобы найти различия между двумя захватами.
 В этом случае захват CAPI и CAPO для трафика данных FTP идентичен. Это доказывает, что потеря пакетов не была вызвана межсетевым экраном.
 Определение потери пакетов в восходящем / нисходящем направлениях.
  
 Ключевые точки:
 1.Этот пакет является повторной передачей TCP. В частности, это пакет TCP SYN, отправляемый клиентом на сервер для данных FTP в пассивном режиме. Поскольку клиент повторно отправляет пакет, и вы можете увидеть начальный SYN (пакет №1), пакет был потерян в восходящем направлении к межсетевому экрану.
 В этом случае может быть даже вероятность того, что пакет SYN добрался до сервера, но пакет SYN / ACK был потерян на обратном пути:
 2. Есть пакет от сервера, и Wireshark определил, что предыдущий сегмент не был замечен / захвачен.Поскольку незахваченный пакет был отправлен с сервера на клиент и не был замечен в захвате брандмауэра, это означает, что пакет был потерян между сервером и брандмауэром.
 Это указывает на потерю пакетов между FTP-сервером и межсетевым экраном.
 Действие 2. Сделайте дополнительные захваты.
 Делайте дополнительные захваты вместе с захватами на конечных точках. Попробуйте применить метод «разделяй и властвуй», чтобы изолировать проблемный сегмент, вызывающий потерю пакетов.
 Ключевые точки:
 Получатель (в данном случае FTP-клиент) отслеживает входящие порядковые номера TCP. Если он обнаруживает, что пакет был пропущен (ожидаемый порядковый номер был пропущен), он генерирует пакет ACK с ACK = «ожидаемый порядковый номер, который был пропущен». В этом примере Ack = 2224386800.
 Dup ACK запускает быструю повторную передачу TCP (повторная передача в течение 20 мсек после получения дублированного ACK).
 Что означают повторяющиеся ACK? 
 Несколько дублированных ACK, но нет фактических повторных передач, указывают на то, что, скорее всего, есть пакеты, которые прибывают не по порядку.
 Дублирующиеся ACK, за которыми следуют фактические повторные передачи, указывают на некоторую потерю пакетов.
 Действие 3. Рассчитайте время обработки межсетевым экраном транзитных пакетов.  
 
 Применить один и тот же захват на 2 разных интерфейсах:
 firepower #  захват буфера CAPI 33554432 интерфейс INSIDE соответствует хосту tcp 192.168.2.220 хосту 192.168.1.220 
firepower #  захват интерфейса CAPI СНАРУЖИ  
 Экспорт захвата, проверка разницы во времени между входящими и исходящими пакетами
 Корпус 7.Проблема подключения TCP (повреждение пакета)  Описание проблемы:
 Беспроводной клиент (192.168.21.193) пытается подключиться к целевому серверу (192.168.14.250 - HTTP), и существует 2 разных сценария:
 Когда клиент подключается к точке доступа «A», HTTP-соединение не работает.
 Когда клиент подключается к точке доступа «B», HTTP-соединение работает.
 На этом изображении показана топология:
  
 Затронутый поток:
 Src IP: 192.168.21.193
 Dst IP: 192.168.14.250
 Протокол: TCP 80
 Анализ захвата  Включить захваты на ядре FTD LINA:
 firepower #  захват CAPI int INSIDE match ip host 192.168.21.193 host 192.168.14.250 
firepower #  захват CAPO int OUTSIDE сопоставить ip host 192.168.21.193 host 192.168.14.250
  
 Захваты - Функциональный сценарий:
 В качестве основы всегда очень полезно иметь захваты из рабочего сценария.
 На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE
.
 На этом изображении показан снимок, сделанный на ВНЕШНЕМ интерфейсе NGFW.
 Ключевые точки:
 2 захвата почти идентичны (учитывайте рандомизацию ISN).
 Нет признаков потери пакета.
 Пакеты без заказа (ООО)
 Имеется 3 HTTP-запроса GET. Первый получает сообщение 404 «Не найдено», второй - 200 «ОК», а третий получает сообщение перенаправления 304 «Не изменено».
 Захваты - Нерабочий сценарий:
 Содержимое входящего захвата (CAPI).
 Ключевые точки:
 Имеется трехстороннее подтверждение TCP.
 Есть повторные передачи TCP и признаки потери пакета.
 Имеется пакет (TCP ACK), который Wireshark идентифицирует как  Malformed .
 На этом изображении показано содержимое исходящего захвата (CAPO).
 Ключевые точки:
 2 захвата почти идентичны (учитывайте рандомизацию ISN):
 Имеется трехстороннее подтверждение TCP.
 Есть повторные передачи TCP и признаки потери пакета.
 Имеется пакет (TCP ACK), который Wireshark идентифицирует как  Malformed .
 Проверить неверно сформированный пакет:
 Ключевые точки:
 Пакет идентифицирован как неверно сформированный программой Wireshark.
 Имеет длину 2 байта.
 Имеется полезная нагрузка TCP размером 2 байта.
 Полезная нагрузка - 4 дополнительных нуля (00 00).
 Рекомендуемые действия  Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Сделайте дополнительные захваты, включая захваты на конечных точках, и, если возможно, попробуйте применить метод «разделяй и властвуй», чтобы изолировать источник повреждения пакета, например
 В этом случае 2 дополнительных байта были добавлены драйвером интерфейса коммутатора «A», и было решено заменить коммутатор, вызывающий повреждение.
 Случай 8. Проблема с подключением UDP (отсутствующие пакеты)  Описание проблемы: Сообщения системного журнала (UDP 514) не отображаются на целевом сервере системного журнала.
 На этом изображении показана топология:
 Затронутый поток:
 Src IP: 192.168.1.81
 Dst IP: 10.10.1.73
 Протокол: UDP 514
 Анализ захвата  Включить захваты на ядре FTD LINA:
 firepower #  захват CAPI int INSIDE trace match udp host 192.168.1.81 host 10.10.1.73 eq 514 
firepower #  захват CAPO int OUTSIDE match udp host 192.168.1.81 host 10.10.1.73 eq 514
  
 перехвата FTD не показывают пакетов:
 огневая мощь #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 0 байт]
  соответствовать хосту udp 192.168.1.81 хост 10.10.1.73 eq syslog
захват интерфейса необработанных данных типа CAPO СНАРУЖИ [захват - 0 байт]
  сопоставить хост udp 192.168.1.81 хост 10.10.1.73 eq syslog
 
 Рекомендуемые действия  Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Проверьте таблицу соединений FTD.
 Чтобы проверить конкретное соединение, вы можете использовать этот синтаксис:
 firepower #  показать адрес соединения 192.168.1.81 порт 514 
10 в использовании, 3627189 наиболее часто используемых
Осмотрите Snort:
        preserve-connection: 6 включено, 0 активно, 74 наиболее активно, 0 наиболее активно

UDP  ВНУТРИ  10.10.1.73: 514  INSIDE  192.168.1.81:514, idle 0:00:00, байты  480379697 , флаги -  o  N1
 
 Ключевые точки:
 Входной и выходной интерфейсы одинаковы (разворот).
 Количество байтов имеет очень большое значение (~ 5 ГБ).
 Флаг «o» обозначает разгрузку потока (HW ускоренный поток). Это причина того, что захваты FTD не показывают никаких пакетов. Выгрузка потока поддерживается только на платформах 41xx и 93xx.В данном случае это устройство 41xx.
 Действие 2. Сделайте снимки на уровне шасси.
 Подключитесь к диспетчеру шасси Firepower и включите захват на входном интерфейсе (в данном случае E1 / 2) и интерфейсах объединительной платы (E1 / 9 и E1 / 10), как показано на изображении:
 Через несколько секунд:
  Совет : в Wireshark исключите пакеты с тегами VN, чтобы исключить дублирование пакетов на уровне физического интерфейса
 Раньше:
 После:
 Ключевые точки:
 Фильтр отображения применяется для удаления дубликатов пакетов и отображения только системных журналов.
 Разница между пакетами находится на уровне микросекунд. Это указывает на очень высокую скорость передачи пакетов.
 Время жизни (TTL) постоянно уменьшается. Это указывает на пакетную петлю.
  
 Действие 3. Используйте трассировщик пакетов.
 Поскольку пакеты не проходят через механизм LINA брандмауэра, вы не можете выполнять трассировку в реальном времени (захват с трассировкой), но вы можете отслеживать эмулированный пакет с помощью средства отслеживания пакетов:
 firepower #  вход для трассировщика пакетов ВНУТРИ udp 10.10.1.73 514 192.168.1.81 514
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: ПОТОК-ПРОСМОТР
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  Найден поток с идентификатором 25350892 с использованием существующего потока 

Фаза: 4
Тип: SNORT
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку

Фаза: 5
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.1.81 с использованием egress ifc INSIDE

Фаза: 6
Тип: ADJACENCY-LOOKUP
Подтип: следующий переход и смежность
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
смежность активна
MAC-адрес следующего перехода a023.9f92.2a4d попадает в 1 ссылку 1

Фаза: 7
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Результат:
  интерфейс ввода: INSIDE 
вход-статус: вверх
вход-линия-статус: вверх
 Выходной интерфейс : ВНУТРИ 
статус вывода: вверх
статус строки вывода: вверх
Действие: разрешить
 
 Действие 4.Подтвердите маршрутизацию FTD.
 Проверьте таблицу маршрутизации межсетевого экрана на наличие проблем с маршрутизацией:
 огневая мощь №  показать маршрут 10.10.1.73 

Запись маршрутизации для 10.10.1.0 255.255.255.0
  Известен через "eigrp 1", расстояние 90, метрическая система 3072, тип внутренний
  Распространение через eigrp 1
  Последнее обновление от 192.168.2.72 на  СНАРУЖИ, 0:03:37 назад 
  Блоки дескриптора маршрутизации:
  * 192.168.2.72, из 192.168.2.72,  0:02:37 назад, через OUTSIDE 
      Метрика маршрута - 3072, доля трафика - 1.
      Общая задержка 20 микросекунд, минимальная пропускная способность 1000000 Кбит
      Надежность 255/255, минимальный MTU 1500 байт
      Загрузка 29/255, хмель 1
 
 Ключевые точки:
 Маршрут указывает на правильный выходной интерфейс.
 Маршрут был изучен несколько минут назад (0:02:37).
 Действие 5. Подтвердите время работы соединения.
 Проверьте время работы соединения, чтобы узнать, когда оно было установлено:
 firepower #  показать адрес соединения 192.168.1.81 порт 514 деталь 
21 используется, 3627189 наиболее часто используется
Осмотрите Snort:
        preserve-connection: 19 включено, 0 активно, 74 наиболее активно, 0 наиболее активно
Флаги: A - ожидает ACK ответчика на SYN, a - ожидает ACK инициатора на SYN,
       b - TCP state-bypass или прибитый,
       C - CTIQBE media, c - кластер централизованный,
       D - DNS, d - дамп, E - внешнее обратное соединение, e - полураспределенное,
       F - инициатор FIN, f - ответчик FIN,
       G - группа, g - MGCP, H - H.323, h - H.225.0, I - данные инициатора,
       i - неполный, J - GTP, j - данные GTP, K - t3-ответ GTP
       k - тонкий носитель, L - туннель без крышки, M - данные SMTP, m - носитель SIP
       N - проверено Snort (1 - сохранение соединения включено, 2 - сохранение соединения действует)
       n - GUP, O - данные респондента, o - выгружены,
       P - внутреннее заднее соединение, p - пассажирский поток
       q - данные SQL * Net, R - инициатор подтвердил FIN,
       R - UDP SUNRPC, r - ответчик подтвердил FIN,
       T - SIP, t - SIP переходный, U - вверх,
       V - сирота VPN, v - M3UA W - WAAS,
       w - резервная копия вторичного домена,
       X - проверяется сервисным модулем,
       x - на сеанс, Y - поток заглушки директора, y - поток заглушки резервного копирования,
       Z - Scansafe redirection, z - прямой поток пересылки

UDP ВНУТРИ: 10.10.1.73 / 514 ВНУТРИ: 192.168.1.81/514,
    флаги -oN1, простоя 0 с,  время безотказной работы 3 мин 49 с , тайм-аут 2 мин 0 с, байты 4801148711
 
 Ключевой момент:
 Соединение было установлено ~ 4 минуты назад (это до установки маршрута EIGRP в таблице маршрутизации)
 Действие 6. Удалите существующее соединение.
 В этом случае пакеты соответствуют установленному соединению и направляются на неправильный выходной интерфейс, вызывая петлю. Это связано с порядком работы брандмауэра:
 Поиск установленного соединения (имеет приоритет над поиском в глобальной таблице маршрутизации).
 Поиск преобразования сетевых адресов (NAT) - этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
 Маршрутизация на основе политик (PBR)
 Поиск в глобальной таблице маршрутизации
 Поскольку соединение никогда не прерывается (клиент системного журнала непрерывно отправляет пакеты, в то время как тайм-аут простоя соединения UDP составляет 2 минуты), необходимо вручную очистить соединение:
 firepower #  очистить адрес соединения 10.10.1.73 адрес 192.168.1.81 протокол UDP порт 514 
1 соединение (а) удалено.
 
 Убедитесь, что установлено новое соединение:
 firepower #  показать адрес соединения 192.168.1.81 детали порта 514 | б 10.10.1.73. * 192.168.1.81 
UDP  СНАРУЖИ : 10.10.1.73/514  ВНУТРИ : 192.168.1.81/514,
    флаги -oN1, простоя 1 мин. 15 сек., время безотказной работы 1 мин. 15 сек., тайм-аут 2 мин. 0 сек., байты 408
 
 Действие 7. Настройте тайм-аут плавающего соединения.
 Это правильное решение для решения проблемы и предотвращения неоптимальной маршрутизации, особенно для потоков UDP.Перейдите к устройствам > Настройки платформы> Тайм-ауты  и установите значение:
 Более подробную информацию о тайм-ауте плавающего соединения можно найти в Справочнике по командам:
 https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1649892
 Случай 9. Проблема подключения HTTPS (сценарий 1)  Описание проблемы: HTTPS-связь между клиентом 192.168.201.105 и сервером 192.168.202.101 невозможно установить
 На этом изображении показана топология:
 Затронутый поток:
 Src IP: 192.168.201.111
 Dst IP: 192.168.202.111
 Протокол: TCP 443 (HTTPS)
 Анализ захвата  Включить захваты на ядре FTD LINA:
 IP, используемый во ВНЕШНЕМ захвате, отличается из-за конфигурации преобразования адреса порта.
 firepower #  захват CAPI int INSIDE match ip host 192.168.201.111 хост 192.168.202.111 
firepower #  захват CAPO int OUTSIDE соответствие IP-хост 192.168.202.11 хост 192.168.202.111
  
 
 На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE:
 Ключевые точки:
 Имеется трехстороннее подтверждение TCP.
 Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
 Клиенту отправлено TCP ACK.
 Клиенту отправлено TCP RST.
 На этом изображении показан снимок, сделанный на интерфейсе NGFW OUTSIDE.
 Ключевые точки:
 Имеется трехстороннее подтверждение TCP.
 Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
 Брандмауэр отправляет на сервер повторные передачи TCP.
 На сервер отправлено TCP RST.
 Рекомендуемые действия  Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Сделайте дополнительные снимки.
 Захват, сделанный на сервере, показывает, что сервер получил TLS Client Hellos с поврежденной контрольной суммой TCP и молча их отбрасывает (нет TCP RST или любого другого пакета ответа для клиента):
 Если собрать все вместе:
 В этом случае, чтобы понять, что происходит, необходимо включить в Wireshark опцию  Проверить контрольную сумму TCP, если возможно, . Перейдите к  Edit> Preferences> Protocols> TCP , как показано на изображении.
  
 В этом случае полезно расположить снимки рядом, чтобы получить полную картину:
  
 Ключевые точки:
 Имеется трехстороннее подтверждение TCP. Идентификаторы IP такие же. Это означает, что брандмауэр не проксировал поток.
 Приветствие клиента TLS приходит от клиента с IP-идентификатором 12083. Пакет передается через прокси-сервер межсетевым экраном (в данном случае межсетевой экран был настроен с использованием политики расшифровки TLS), а IP-идентификатор изменен на 52534.Кроме того, контрольная сумма TCP пакета повреждена (из-за дефекта программного обеспечения, который позже был исправлен).
 Брандмауэр находится в режиме TCP Proxy и отправляет ACK клиенту (подменяя сервер).
 Межсетевой экран не получает никаких пакетов TCP ACK от сервера и повторно передает приветственное сообщение клиента TLS. Это снова связано с режимом TCP Proxy, который активировал брандмауэр.
 Через ~ 30 секунд брандмауэр отказывается и отправляет клиенту TCP RST.
 Межсетевой экран отправляет серверу TCP RST.
 Для справки:
 Firepower TLS / SSL Обработка квитирования
 Случай 10. Проблема подключения HTTPS (сценарий 2)  Описание проблемы: Ошибка регистрации лицензии FMC Smart.
 На этом изображении показана топология:
  
 Затронутый поток:
 Src IP: 192.168.0.100
 Dst: tools.cisco.com
 Протокол: TCP 443 (HTTPS)
 Анализ захвата  Включить захват в интерфейсе управления FMC:
 Попробуйте зарегистрироваться еще раз.C  Перехвачено 264 пакета  <- CTRL-C   264 пакета, полученных фильтром
0 пакетов отброшено ядром  корень @ огневая мощь: / Том / главная / админ #

Соберите снимок из FMC ( System> Health> Monitor, выберите устройство и выберите Advanced Troubleshooting ), как показано на изображении:

На изображении показан захват FMC на Wireshark:

Совет : Чтобы проверить все новые захваченные сеансы TCP, используйте tcp.flags == 0x2 фильтр отображения в Wireshark. Это фильтрует все захваченные TCP SYN-пакеты.

Совет : примените в качестве столбца поле Server Name из сообщения SSL Client Hello.

Совет : примените этот фильтр отображения, чтобы видеть только сообщения Client Hello ssl.handshake.type == 1

Примечание : На момент написания этой статьи портал интеллектуального лицензирования (tools.cisco.com) использует эти IP-адреса: 72.163.4.38, 173.37.145.8

Следуйте одному из потоков TCP ( Follow> TCP Stream) , как показано на изображении.

Ключевые точки:

Имеется трехстороннее подтверждение TCP.
Клиент (FMC) отправляет сообщение SSL Client Hello на портал Smart Licensing.
Идентификатор сеанса SSL — 0. Это означает, что сеанс не возобновлен.
Целевой сервер отвечает сообщениями «Приветствие сервера», «Сертификат» и «Приветствие сервера выполнено».
Клиент отправляет SSL Fatal Alert с жалобой на «Неизвестный ЦС».
Клиент отправляет TCP RST, чтобы закрыть сеанс.
Полная продолжительность сеанса TCP (от установления до закрытия) составляла ~ 0,5 секунды.

Выберите Сертификат сервера и разверните поле эмитента , чтобы увидеть commonName. В этом случае Общее имя показывает устройство, которое выполняет функцию «Человек посередине» (MITM).

Это показано на этом изображении:

Рекомендуемые действия
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте дополнительные снимки.
Сделать снимки на транзитном брандмауэре:
CAPI показывает:
CAPO показывает:
Эти записи подтверждают, что транзитный межсетевой экран изменяет сертификат сервера (MITM)
Действие 2. Проверьте журналы устройства.
Вы можете получить комплект FMC TS, как описано в этом документе:
https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html
В этом случае файл /dir-archives/var-log/process_stdout.log показывает такие сообщения:
SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * среда .967 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg [494],
не удалось выполнить, ошибка код 60, строка ошибки "Сертификат узла SSL или удаленный ключ SSH не в порядке" ...
SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * Ср. 967 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue [514],
Проблема с сертификатом проверка, ret 60, url "https: // tools.cisco.com/its/
Рекомендуемое решение
Отключите MITM для определенного потока, чтобы FMC мог успешно зарегистрироваться в облаке Smart Licensing.
Случай 11. Проблема подключения IPv6
Описание проблемы: Внутренние узлы (расположенные за ВНУТРЕННИМ интерфейсом межсетевого экрана) не могут взаимодействовать с внешними узлами (узлами, расположенными за ВНЕШНИМ интерфейсом межсетевого экрана).
На этом изображении показана топология:
Затронутый поток:
Src IP: fc00: 1: 1: 1 :: 100
Dst IP: fc00: 1: 1: 2 :: 2
Протокол: любой
Анализ захвата
Включить захват на движке FTD LINA.
огневая мощь # захват CAPI int INSIDE match ip any6 any6 огневая мощь # захват CAPO int OUTSIDE match ip any6 any6
Захваты — нефункциональный сценарий
Эти записи были получены параллельно с тестом подключения ICMP с IP fc00: 1: 1: 1 :: 100 (внутренний маршрутизатор) на IP fc00: 1: 1: 2 :: 2 (восходящий маршрутизатор).
Захват на межсетевом экране ВНУТРИ интерфейс содержит:
Ключевые точки:
Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
Брандмауэр отвечает объявлением о соседстве IPv6.
Маршрутизатор отправляет эхо-запрос ICMP.
Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (fc00: 1: 1: 1 :: 100).
Маршрутизатор отвечает объявлением о соседстве IPv6.
Маршрутизатор отправляет дополнительные эхо-запросы IPv6 ICMP.
Запись на ВНЕШНИЙ интерфейс межсетевого экрана содержит:
Ключевые точки:
Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
Маршрутизатор отвечает объявлением о соседстве IPv6.
Межсетевой экран отправляет эхо-запрос IPv6 ICMP.
Устройство восходящего потока (маршрутизатор fc00: 1: 1: 2 :: 2) отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
Межсетевой экран отправляет дополнительный эхо-запрос IPv6 ICMP.
Маршрутизатор восходящего потока отправляет дополнительное сообщение запроса соседа IPv6 с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
Пункт 4 очень интересен. Обычно восходящий маршрутизатор запрашивает MAC-адрес ВНЕШНЕГО интерфейса межсетевого экрана (fc00: 1: 1: 2 :: 2), но вместо этого он запрашивает fc00: 1: 1: 1 :: 100. Это признак неправильной конфигурации.
Рекомендуемые действия
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте таблицу соседей IPv6.
Таблица IPv6-соседей межсетевого экрана заполнена правильно.
firepower # показать соседа по ipv6 | я fc00 fc00: 1: 1: 2 :: 2 58 4c4e.35fc.fcd8 СТАЛО ВНЕШНИЙ fc00: 1: 1: 1 :: 100 58 4c4e.35fc.fcd8 СТАЛО ВНУТРИ
Действие 2. Проверьте конфигурацию IPv6.
Это конфигурация брандмауэра.
firewall # show run int e1 / 2 ! интерфейс Ethernet1 / 2 nameif ВНУТРИ cts руководство распространять sgt preserve-untag политика статическая sgt отключена доверенная уровень безопасности 0 IP-адрес 192.168.0.1 255.255.255.0 IPv6-адрес fc00: 1: 1: 1 :: 1/64 ipv6 включить firewall # show run int e1 / 3.202 ! интерфейс Ethernet1 / 3.202 vlan 202 nameif СНАРУЖИ cts руководство распространять sgt preserve-untag политика статическая sgt отключена доверенная уровень безопасности 0 IP-адрес 192.168.103.96 255.255.255.0 IPv6-адрес fc00: 1: 1: 2 :: 1/64 ipv6 включить

Конфигурация восходящего устройства обнаруживает неправильную конфигурацию:
Маршрутизатор № показывает интерфейс запуска g0 / 0.202 ! интерфейс GigabitEthernet0 / 0.202 инкапсуляция dot1Q 202 VRF переадресация VRF202 IP-адрес 192.168.2.72 255.255.255.0 IPv6-адрес FC00: 1: 1: 2 :: 2 /48
Захваты — Функциональный сценарий
Изменение маски подсети (с / 48 на / 64) устранило проблему. Это запись CAPI в функциональном сценарии.
Ключевой момент:
Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
Брандмауэр отвечает объявлением о соседстве IPv6.
Маршрутизатор отправляет эхо-запросы ICMP и получает эхо-ответы.
Состав CAPO:
Ключевые точки:
Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
Брандмауэр отвечает объявлением о соседстве IPv6.
Межсетевой экран отправляет эхо-запрос ICMP.
Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (IP fc00: 1: 1: 1 :: 1).
Брандмауэр отвечает объявлением о соседстве IPv6.
Межсетевой экран отправляет эхо-запросы ICMP и получает эхо-ответы.
Случай 12. Непостоянная проблема подключения (отравление ARP)
Описание проблемы: внутренние узлы (192.168.0.x / 24) периодически имеют проблемы с подключением к узлам в той же подсети
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.0.x / 24
Dst IP: 192.168.0.x / 24
Протокол: любой
Кажется, что кеш ARP внутреннего хоста отравлен:
Анализ захвата
Включить захват на движке FTD LINA
Этот захват захватывает только пакеты ARP на интерфейсе INSIDE:
firepower # захват интерфейса CAPI_ARP INSIDE ethernet-type arp
захвата — нефункциональный сценарий:
Захват на межсетевом экране ВНУТРИ интерфейса содержит.
Ключевые точки:
Межсетевой экран принимает различные запросы ARP для IP-адресов в сети 192.168.0.x / 24
Межсетевой экран отвечает всем им (proxy-ARP) своим собственным MAC-адресом
Рекомендуемые действия
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте конфигурацию NAT.
В зависимости от конфигурации NAT бывают случаи, когда ключевое слово no-proxy-arp может предотвратить вышеуказанное поведение:
огневая мощь # демонстрационный пробег нац nat (INSIDE, OUTSIDE) исходный статический NET_1.1.1.0 NET_2.2.2.0 назначения статический NET_192.168.0.0 NET_4.4.4.0 no-proxy-arp
Действие 2. Отключите функцию proxy-arp в интерфейсе межсетевого экрана.
Если ключевое слово «no-proxy-arp» не решает проблему, рассмотрите возможность отключения прокси-ARP на самом интерфейсе. В случае FTD на момент написания этой статьи вам нужно будет использовать FlexConfig и развернуть следующую команду (укажите соответствующее имя интерфейса).
sysopt noproxyarp ВНУТРИ
Корпус 13.Определите идентификаторы объектов SNMP (OID), которые вызывают сбои ЦП
Этот случай демонстрирует, как определенные идентификаторы SNMP OID для опроса памяти были определены как основная причина перегрузки ЦП (проблемы с производительностью) на основе анализа перехвата пакетов SNMP версии 3 (SNMPv3).
Описание проблемы: Переполнение на интерфейсах данных постоянно увеличивается. Дальнейшее устранение неполадок показало, что есть также проблемы с ЦП (вызванные процессом SNMP), которые являются основной причиной переполнения интерфейса.
Следующим шагом в процессе устранения неполадок было определение основной причины перегрузки ЦП, вызванной процессом SNMP, и, в частности, сужение области действия проблемы до определения идентификаторов объектов SNMP (OID), которые при опросе потенциально могут привести к в свиньях ЦП.
В настоящее время механизм FTD LINA не предоставляет команду show для идентификаторов SNMP OID, которые опрашиваются в реальном времени. Список SNMP OID для опроса можно получить из инструмента мониторинга SNMP, однако в этом случае были следующие ограничивающие факторы:
Администратор FTD не имел доступа к инструменту мониторинга SNMP
SNMP версии 3 с аутентификацией и шифрованием данных для конфиденциальности был настроен на FTD
Анализ захвата
Поскольку администратор FTD имел учетные данные для аутентификации и шифрования данных SNMP версии 3, был предложен следующий план действий:
Захват пакетов SNMP
Сохраните записи и используйте настройки протокола Wireshark SNMP, чтобы указать учетные данные SNMP версии 3 для расшифровки пакетов SNMP версии 3.Расшифрованные записи используются для анализа и получения идентификаторов SNMP OID
.
Настроить захват пакетов SNMP на интерфейсе, который используется в конфигурации хоста snmp-сервера:
огневая мощь # show run snmp-server | включить хост управление хостом snmp-сервера 192.168.10.10 версия 3 netmonv3 firepower # показать управление IP-адресами Системный IP-адрес: Имя интерфейса IP-адрес Маска подсети Метод Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ Текущий IP-адрес: Имя интерфейса IP-адрес Маска подсети Метод Управление 0/0 Управление 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ firepower # захват capsnmp интерфейс управления буфер 10000000 соответствие хоста udp 192.168.10.10 хост 192.168.5.254 eq snmp firepower # показать захват capsnmp захватить тип capsnmp буфер необработанных данных 10000000 интерфейс за пределами [захват - 9512 байт] соответствовать хосту udp 192.168.10.10 хост 192.168.5.254 eq snmp
Ключевые точки:
Адреса / порты источника и назначения SNMP.
PDU протокола SNMP не может быть декодирован, потому что PrivKey неизвестен Wireshark.
Значение примитива encryptedPDU.
Рекомендуемые действия
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Расшифруйте записи SNMP.
Сохраните записи и отредактируйте настройки протокола Wireshark SNMP, указав учетные данные SNMP версии 3 для расшифровки пакетов.
огневая мощь # копирование / захват pcap: tftp: Имя захвата источника [capsnmp]? Адрес или имя удаленного хоста []? 192.168.10.253 Целевое имя файла [capsnmp]? capsnmp.pcap !!!!!! 64 пакета скопировано за 0,40 секунды
Откройте файл захвата в Wireshark, выберите пакет SNMP и перейдите к Protocol Preferences> Users Table , как показано на изображении:
В таблице пользователей SNMP были указаны имя пользователя SNMP версии 3, модель аутентификации, пароль аутентификации, протокол конфиденциальности и пароль конфиденциальности (фактические учетные данные не показаны ниже):
После применения настроек пользователей SNMP Wireshark показал расшифрованные PDU SNMP:
Ключевые точки:
Инструменты мониторинга SNMP использовали SNMP getBulkRequest для запроса и обхода родительского OID 1.3.6.1.4.1.9.9.221.1 и связанные с ним OID.
FTD отвечал на каждый запрос getBulkRequest получением ответа, содержащего OID, относящиеся к 1.3.6.1.4.1.9.9.221.1.
Действие 2. Определите идентификаторы SNMP OID.
SNMP Object Navigator показал, что OID 1.3.6.1.4.1.9.9.221.1 принадлежит базе управляющей информации (MIB) с именем CISCO-ENHANCED-MEMPOOL-MIB , как показано на изображении:
Чтобы отобразить OID в удобочитаемом формате в Wireshark, выполните следующие действия:
Загрузите MIB CISCO-ENHANCED-MEMPOOL-MIB и его зависимости, как показано на изображении:
2.В Wireshark в окне Edit> Preferences> Name Resolution установлен флажок Enable OID Resolution . В окне SMI (пути MIB и PIB) укажите папку с загруженными MIB, а в SMI (модули MIB и PIB). CISCO-ENHANCED-MEMPOOL-MIB автоматически добавляется в список модулей:
3. После перезапуска Wireshark активируется разрешение OID:
На основе расшифрованных выходных данных файла захвата инструмент мониторинга SNMP периодически (с интервалом 10 секунд) опрашивал данные об использовании пулов памяти на FTD.Как объяснено в статье TechNote, опрос ASA SNMP для статистики, связанной с памятью, при опросе использования глобального общего пула (GSP) с использованием SNMP приводит к загрузке ЦП. В этом случае из захватов было ясно, что использование глобального общего пула периодически опрашивалось как часть примитива SNMP getBulkRequest.
Чтобы свести к минимуму нагрузку на ЦП, вызванную процессом SNMP, было рекомендовано выполнить шаги по снижению нагрузки на ЦП для SNMP, упомянутые в статье, и избегать опроса идентификаторов OID, связанных с GSP.Без опроса SNMP для идентификаторов OID, которые относятся к GSP, не наблюдалось никаких перегрузок ЦП, вызванных процессом SNMP, и частота переполнений значительно снизилась.
Дополнительная информация
Руководство по настройке безопасности
: межсетевой экран политики на основе зоны, Cisco IOS версии 15M & T — межсетевые экраны на основе политики на основе зоны [Cisco IOS 15.3M & T]
Приложение Проверка и контроль HTTP — этап 2
12,4 (9) т
Проверка и контроль приложений для HTTP — функция этапа 2 расширяет поддержку Политики брандмауэра приложений HTTP.
Следующие команды были введены или изменены этой функцией: регулярное выражение тело регулярное выражение соответствие заголовок считать, соответствие заголовок длина, соответствие заголовок регулярное выражение соответствие запрос длина, соответствие запрос, соответствие отклик строка состояния регулярное выражение.
Электронная почта Инспекционный двигатель
15.1 (1) S
Электронная почта Функция Inspection Engine позволяет пользователям проверять электронную почту POP3, IMAP и E / SMTP. трафик, содержащийся в туннелированных соединениях SSL VPN, которые проходят через Cisco устройство.
P2P Проверка и контроль приложений — этап 1
12,4 (9) т
12,4 (20) т
15.3 (1) т
P2P Проверка и контроль приложений. На этапе 1 реализована поддержка определение и применение настроенной политики для следующего однорангового узла приложения: eDonkey, FastTrack, Gnutella Version 2 и Kazaa Version 2.
Поддержка определение и применение настроенной политики для следующего мгновенного Также представлены приложения для обмена сообщениями (IM): AOL, MSN Messenger и Yahoo. Посланник.
в выпуске 12.4 (20) T, добавлена поддержка следующих приложений: H.323, VoIP и ГЛОТОК.
в выпуске 12.4 (20) T, также добавлена поддержка следующих IM-приложений: ICQ и Посланник Windows.
Следующие команды были введены или изменены этой функцией: карта классов тип осмотреть, класс тип осмотреть, Чисто карта параметров тип протокол-информация, отлаживать политика-брандмауэр, соответствие передача файлов, соответствие протокол (зона), соответствие имя-поискового-файла, соответствие услуга, соответствие текстовый чат, карта параметров тип, карта политики тип осмотреть, сервер (карта параметров), Показать карта параметров тип протокол-информация.
В 15.3 (1) T и более поздних версий следующие одноранговые протоколы устарело:
BitTorrent
Прямое соединение
eDonkey
Быстрый трек
Гнутелла Версия 2
Казаа Версия 2
WinMX
Ограничение скорости проверяемого трафика
12.4 (9) т
Функция ограничения скорости проверяемого трафика позволяет пользователям ограничивать скорость трафика в рамках политики межсетевого экрана Cisco (проверка). Также пользователи могут ограничить абсолютное количество сеансов, которые могут существовать в паре зон.
Следующие команды были введены этой функцией: полиция (политика зоны) и сессии максимум.
Межсетевые экраны с зональной политикой
12.4 (6) т
Функция межсетевого экрана политики на основе зон обеспечивает однонаправленный межсетевой экран Cisco. политика между группами интерфейсов, известными как зоны.
Следующие команды были введены или изменены этой функцией:
карта классов тип осмотреть, класс тип осмотреть, Чисто карта параметров тип протокол-информация, отлаживать политика-брандмауэр, соответствие тело регулярное выражение соответствие передача файлов, соответствие заголовок считать, соответствие заголовок длина, соответствие заголовок регулярное выражение соответствие протокол (зона), соответствие запрос длина, соответствие запрос регулярное выражение соответствие отклик строка состояния регулярное выражение соответствие имя-поискового-файла, соответствие услуга, соответствие текстовый чат, карта параметров тип, карта политики тип осмотреть, сервер (карта параметров), сервисная политика (карта-политика), сервисная политика тип осмотреть, Показать карта параметров тип протокол-информация.
Зональный межсетевой экран
— зона по умолчанию
15,6 (1) т
Зональный межсетевой экран — функция зоны по умолчанию представляет зона по умолчанию, которая позволяет настроить политику брандмауэра для пары зон которые состоят из зоны и зоны по умолчанию. Любой интерфейс без явной зоны членство принадлежит зоне по умолчанию.
Следующие команды были введены этой функцией: зона парная безопасность, зона безопасность по умолчанию.
Поддержка межсетевого экрана на основе зон для удаленного вызова процедур Microsoft (MSRPC)
15,1 (4) млн
Поддержка межсетевого экрана на основе зон для функции MSRPC представляет политику на основе зон поддержка межсетевого экрана для MSRPC.
Зональный Межсетевой экран Поддержка многоточечного TCP
15.4 (3) м
Многоточечный TCP без проблем работает с зональной проверкой межсетевого экрана уровня 4. Многоточечный TCP не работает со шлюзами прикладного уровня (ALG) и приложениями. инспекция и контроль (АПК).
Зональное использование межсетевого экрана и управляемость
15.0 (1) млн
15,1 (1) т
Зонально-ориентированные функции межсетевого экрана и возможности управления, описанные в этом документ вне очереди (OoO) поддержка обработки пакетов в зональном брандмауэры, внутризоновая поддержка в брандмауэрах на основе зон и улучшенная отладка возможности.
Следующие команды были введены или изменены этой функцией: Чисто ip ips статистика, отлаживать cce дп named-db осмотреть, отлаживать политика-брандмауэр, отлаживать ip виртуальная сборка список, карта параметров тип ооо Глобальный, Показать карта параметров тип ооо Глобальный, пара зон безопасность.
В зависимости в вашем выпуске были введены или изменены следующие команды: карта классов тип осмотреть, Чисто политика-брандмауэр, бревно (тип карты параметров), соответствие запрос регулярное выражение карта параметров тип осмотреть, Показать карта параметров тип осмотреть, Показать политика-брандмауэр config, Показать политика-брандмауэр миб Показать политика-брандмауэр сеансы, Показать политика-брандмауэр статистика, Показать политика-брандмауэр сводка-журнал.
firewall — iptables: разница между NEW, ESTABLISHED и RELATED пакетами
Суммируя для сервера и клиента ограничительный INPUT и откройте OUTPUT , то есть:
iptables -P ПАДЕНИЕ ВВОДА iptables -P ПРИНЯТЬ ВЫВОД
И из iptables-extensions (8) на примере FTP в активном режиме:
1. НОВЫЙ
NEW Пакет инициировал новое соединение или иначе связанный с подключением, которое не получило пакетов в обоих направлениях.
Клиент на порту 50000 (любой случайный непривилегированный порт) подключается к FTP-серверу на порту 21 , серверу потребуется как минимум это, чтобы принять это входящее соединение:
iptables -A INPUT --dport 21 -m state --state NEW -j ACCEPT
2. СОЗДАНО
СОЗДАНО Пакет связан с подключением, которое обнаружило пакеты в обоих направлениях.
Теперь на стороне клиента он открыл исходящее соединение с сервером на порту 21 , используя локальный порт 50000 , и ему нужны следующие iptables, чтобы разрешить получение ответа с сервера (21) на клиент (50000 ) :
sudo iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
3. СВЯЗАННЫЙ
СВЯЗАННЫЙ Пакет начинает новое соединение, но связан с существующее соединение, такое как передача данных FTP или ICMP ошибка.
Теперь после того, как FTP-соединение было установлено и соединение для передачи данных должно быть выполнено, клиент откроет сокет сервера (да, с активным FTP-клиентом становится сервером для соединения для передачи данных) на порту 60000 (насколько я понимаю клиент пометит этот порт 60000 как , СВЯЗАННЫЙ с другим подключением из 50000-> 21 ) и отправит этот номер порта на сервер с помощью команды FTP PORT . Затем FTP-сервер откроет новое соединение со своего порта 20 на порт 60000 на клиенте, и теперь клиенту требуется следующее, чтобы это новое соединение было успешным:
sudo iptables -A INPUT -m state --state RELATED -j ACCEPT
Наконец, чтобы это работало, вам необходимо включить модуль ядра ip_conntrack_ftp , чтобы система могла помечать соединения / пакеты как , СВЯЗАННЫЕ с (насколько я понимаю, я не слишком много копался в этом):
modprobe ip_conntrack_ftp
linux — REJECT vs DROP при использовании iptables
Да, использовать DROP бессмысленно.Используйте REJECT.
Даже когда правило говорит «DROP», система все равно отвечает на входящий SYN с помощью TCP RST / ACK — это поведение по умолчанию для портов, на которых не работают службы. (tcpdump и др. не регистрируют это.)
Если служба запущена, SYN встречается с TCP SYN / ACK.
Поскольку DROP не отвечает обычным образом TCP SYN / ACK, а вместо этого использует RST / ACK, ваше правило DROP будет анонсировать ваш брандмауэр, а сканеры портов будут знать, что вы что-то брандмауэром, и могут продолжать молотить вас в надежды поймать ваш брандмауэр.
Теперь Nmap может сообщать «отфильтровано» вместо «закрыто», например:
$ локальный хост nmap Запуск Nmap 6.40 (http://nmap.org) в 2018-03-14 00:21 SAST Отчет о сканировании Nmap для localhost (127.0.0.1) Хост работает (задержка 0,0000060 с). Не показано: 986 закрытых портов ПОРТОВАЯ ГОСУДАРСТВЕННАЯ СЛУЖБА 21 / tcp открыть ftp 53 / tcp открытый домен 80 / tcp открыть http Выполнено Nmap: 1 IP-адрес (1 хост активен) просканирован за 1,60 секунды $ iptables -I INPUT -p tcp --dport 1111 -j DROP $ nmap localhost Запуск Nmap 6.40 (http://nmap.org) в 2018-03-14 00:21 SAST Отчет о сканировании Nmap для localhost (127.0.0.1) Хост работает (задержка 0,0000060 с). Не показано: 986 закрытых портов ПОРТОВАЯ ГОСУДАРСТВЕННАЯ СЛУЖБА 21 / tcp открыть ftp 53 / tcp открытый домен 80 / tcp открыть http Lmsocialserver с фильтром 1111 / tcp Выполнено Nmap: 1 IP-адрес (1 хост активен) просканирован за 1,60 секунды $ iptables -D ВХОД 1
Таким образом, единственная «невидимая» установка брандмауэра — это та, где выделенное устройство находится между вашими устройствами и только выборочно перенаправляет порты.
Если вы действительно хотите возиться с базовыми сканерами, вы можете TARPIT tcp-соединения, который устанавливает для окна TCP значение 0, чтобы никакие данные не могли передаваться после открытия соединения, игнорируя запросы на закрытие соединения, что означает, что сканер должен дождитесь истечения тайм-аута соединения, если он хочет быть уверенным. Но злоумышленнику легко обнаружить это и сократить время ожидания.
Учитывая все обстоятельства, вам, вероятно, лучше всего просто использовать REJECT — или установить выделенное устройство переадресации портов между вашим сервером и Интернетом.
Или просто запущенные службы на компьютерах с выходом в Интернет, не требующие брандмауэра.
Как правило, REJECT лучше всего подходит для веб-серверов, поскольку какая бы служба ни пыталась получить к ней доступ (скорее всего, вы), быстро получите ответ, и пользователи или другие службы не будут заставлять себя ждать, гадая, есть ли сбой в сети.
ubuntu — Iptables: разница между состоянием RELATED и ESTABLISHED?
Я пробовал читать много статей в Интернете, но ни одна из них не совсем понятна.Я также знаю, что аналогичный вопрос был размещен здесь раньше, но ни один из них не объясняет мою ситуацию. Раньше я тратил на это 2-3 часа.
Руководство говорит:
NEW — означает, что пакет начал новое соединение или иным образом связан с соединением, которое не видел пакетов в обоих направлениях, и
ESTABLISHED — означает, что пакет связан с соединением, которое принимает пакеты в обоих направлениях,
RELATED — означает, что пакет начинает новое соединение, но связан с существующим соединением, например с передачей данных FTP или ошибкой ICMP.
Мои iptables на сервере выглядят так:
iptables -P ПРИНЯТЬ ВПЕРЕД iptables -P ВВОД ПРИНЯТЬ iptables -P ПРИНЯТЬ ВЫВОД # Удалите старые правила iptables -F # Loopback iptables -I ВВОД 1 -i lo -j ПРИНЯТЬ # Разрешить ответы от OUTPUT соединения iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT # Apache iptables -A INPUT -p tcp --dport 80 -m state --state NEW, ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --dport 443 -m state --state NEW, ESTABLISHED -j ACCEPT iptables -P FORWARD DROP iptables -P ПАДЕНИЕ ВВОДА iptables -P ПРИНЯТЬ ВЫВОД
Когда я пробую curl --verbose https: // server_ip / со своего ПК, он работает отлично.Но когда я пробовал это изнутри сервера после подключения к нему SSH, он всегда останавливался на CLIENT HELLO . Почему это происходит? Примечание. curl --verbose http: // server_ip / (без SSL) отлично работал как с локального ПК, так и с сервера.
После того, как я выполнил iptables -A INPUT -m state --state RELATED -j ACCEPT , он тоже начал работать изнутри сервера. Опять же, почему он начал работать?
В руководстве
указано RELATED - это означает, что пакет запускает новое соединение .Это угроза безопасности? Может ли клиент открыть соединение с другим портом, используя это? Когда это пригодится?
веб-сервисов Amazon — AWS: что означают 0.0.0.0/0 и :: / 0?
Маршрут по умолчанию в Интернет-протоколе версии 4 (IPv4) обозначен как нулевой адрес 0.0.0.0/0 в нотации CIDR, часто называемый квадро-нулевой маршрут. Маска подсети задается как / 0, что эффективно определяет все сети и является кратчайшим возможным совпадением.
Другой будет для IPv6
Исходный маршрут по умолчанию
Документация AWS
Группы безопасности для вашего VPC
Группа безопасности действует как виртуальный брандмауэр для вашего экземпляра. контролировать входящий и исходящий трафик.Когда вы запускаете экземпляр в VPC, вы можете назначить экземпляр до пяти групп безопасности. Группы безопасности действуют на уровне экземпляра, а не на уровне подсети. Таким образом, каждый экземпляр в подсети в вашем VPC может быть назначен другой набор групп безопасности. Если вы не укажете конкретный группе во время запуска, экземпляр автоматически назначается группа безопасности по умолчанию для VPC.
Для каждой группы безопасности вы добавляете правила, управляющие входящим трафик к экземплярам, а также отдельный набор правил, которые контролируют исходящий трафик.
Группа безопасности по умолчанию для вашего VPC
Ваш VPC автоматически поставляется с группой безопасности по умолчанию. Каждый EC2 экземпляр, который вы запускаете в своем VPC, автоматически связывается с группа безопасности по умолчанию, если вы не укажете другую безопасность group при запуске экземпляра.
В следующей таблице описаны правила по умолчанию для безопасности по умолчанию. группа.
Входящий
Источник Идентификатор группы безопасности (sg-xxxxxxxx) Протокол Все Диапазон портов Все Комментарии Разрешить входящий трафик от экземпляров, назначенных одной группе безопасности.
Исходящий
Назначение 0.0.0.0/0 Протокол Все Диапазон портов Все Комментарии Разрешить весь исходящий трафик IPv4. Пункт назначения :: / 0 Протокол Все Диапазон портов Все Комментарии Разрешить весь исходящий трафик IPv6. Это правило добавляется по умолчанию, если вы создаете VPC с блоком IPv6 CIDR или если вы связываете блок IPv6 CIDR с существующим VPC.
Рекомендуемые сетевые правила ACL для вашего VPC
Разница между функционально-ориентированным и объектно-ориентированным дизайном
1.Функционально-ориентированный дизайн:
Функционально-ориентированный дизайн — это результат сосредоточения внимания на функциях программы. Это основано на пошаговом уточнении. Пошаговое уточнение основано на итерационной процедурной декомпозиции. Пошаговое уточнение — это нисходящая стратегия, при которой программа уточняется как иерархия возрастающих уровней детализации.
Мы начинаем с высокоуровневого описания того, что делает программа. Затем на каждом этапе мы берем одну часть нашего высокоуровневого описания и уточняем ее.Уточнение — это на самом деле процесс разработки. Процесс должен исходить от концептуальной модели к деталям более низкого уровня. Доработка каждого модуля выполняется до тех пор, пока мы не достигнем уровня операторов нашего языка программирования.
2. Объектно-ориентированный дизайн:
Объектно-ориентированный дизайн — это результат сосредоточения внимания не на функции, выполняемой программой, а на данных, которыми программа должна управлять. Таким образом, он ортогонален функционально-ориентированному дизайну.Объектно-ориентированный дизайн начинается с изучения «вещей» реального мира. Эти вещи являются индивидуальными характеристиками с точки зрения их атрибутов и поведения.
Объекты — это независимые сущности, которые можно легко изменить, поскольку вся информация о состоянии и представлении содержится в самом объекте. Объект может быть распределенным и может выполняться последовательно или параллельно. Объектно-ориентированная технология содержит следующие три ключевых слова —
Объекты —
Программный пакет спроектирован и разработан для соответствия сущностям реального мира, которые содержат все данные и услуги для функционирования в качестве сообщений связанных сущностей.
Связь —
Установлены механизмы связи, которые обеспечивают средства, с помощью которых объекты работают вместе.
Методы —
Методы — это услуги, которые объекты выполняют для удовлетворения функциональных требований предметной области. Объекты запрашивают услуги других объектов через сообщения.
Различие между функционально-ориентированным дизайном и объектно-ориентированным дизайном:
, базовые абстракции для пользователя — это функции реального мира.
СРАВНИТЕЛЬНЫЕ ФАКТОРЫ ФУНКЦИОНАЛЬНО-ОРИЕНТИРОВАННЫЙ ДИЗАЙН ОБЪЕКТНО-ОРИЕНТИРОВАННЫЙ ДИЗАЙН
Базовые абстракции — это не функции реального мира, а абстракция данных, в которой представлены сущности реального мира.
Функция Функции сгруппированы вместе, благодаря чему получается функция более высокого уровня. Функции группируются на основе данных, с которыми они работают, поскольку классы связаны с их методами.
Информация о состоянии В этом подходе информация о состоянии часто представляется в централизованной общей памяти. В этом подходе информация о состоянии не представлена, не представлена в централизованной памяти, а реализована или распределяется между объектами системы.
Подход Это подход сверху вниз. Это подход снизу вверх.
Начинается с основы Начинается с рассмотрения диаграмм вариантов использования и сценариев. Начинается с определения объектов и классов.
Декомпозиция В функционально-ориентированном дизайне мы выполняем декомпозицию на уровне функций / процедур. Раскладываем по классам.
Использование Этот подход в основном используется для приложений, чувствительных к вычислениям. Этот подход в основном используется для развивающейся системы, которая имитирует бизнес или бизнес-модель.
Вниманию читателя! Не прекращайте учиться сейчас. Ознакомьтесь со всеми важными концепциями теории CS для собеседований SDE с помощью курса CS Theory Course по доступной для студентов цене и будьте готовы к работе в отрасли.

Возможная причина	Рекомендуемые действия
Пакет отброшен политикой доступа межсетевого экрана.	Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет. Проверьте журналы брандмауэра. Проверьте, что брандмауэр отбрасывает ASP (покажите asp drop или для захвата asp-drop). Проверить события подключения FMC. Это предполагает, что в правиле включено ведение журнала.
Неправильный фильтр захвата.	Используйте отслеживание пакетов или захват с трассировкой , чтобы увидеть, есть ли трансляция NAT, которая изменяет исходный или целевой IP.В этом случае настройте фильтр захвата. В выходных данных команды show conn long показаны IP-адреса с NAT.
Пакет отправляется на другой выходной интерфейс.	Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет. Помните порядок операций, касающихся определения выходного интерфейса, существующего соединения, UN-NAT, PBR и поиска в таблице маршрутизации. Проверьте журналы брандмауэра. Проверьте таблицу соединений межсетевого экрана ( покажите соединение ). Если пакет отправлен на неправильный интерфейс, потому что он соответствует существующему соединению, используйте команду clear conn address и укажите 5-кортеж соединения, которое вы хотите очистить.
Нет маршрута к пункту назначения.	Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет. Проверьте, что брандмауэр отбрасывает ASP (показать asp drop) на предмет no-route drop cause.
На исходящем интерфейсе нет записи ARP.	Проверьте кэш ARP брандмауэра ( покажите arp ). Используйте трассировщик пакетов , чтобы проверить, есть ли допустимая смежность.
Выходной интерфейс не работает.	Проверьте выходные данные команды show interface iprief на брандмауэре и проверьте состояние интерфейса.

В чем разница между ООО и ИП? сравнительная таблица

Эксперты сообщили, что количество закрытых ИП за год в России выросло почти в два раза — Экономика и бизнес

На пике ликвидаций

Ковидный баланс

Причины закрытий

Общие сведения о таблицах

В этой статье

Обзор

Свойства таблиц и полей

Типы данных

Отношения между таблицами

Ключи

Преимущества использования связей

Таблица тарифов  «ТНС энерго Воронеж»

Фирменное наименование и товарный знак

Отличия фирменного наименования и товарного знака

Использование товарного знака в фирменном наименовании

Фирменное наименование против товарного знака

Регистрация товарного знака и фирменного наименования

Особенности рассмотрения дел в порядкеупрощенного производства

Что лучше открыть ИП или ООО таблица отличий плюсы и минусы

Что такое «ИП»

Что такое «ООО»

Разница между ИП и ООО таблица отличий

Вывод денег

Какую форму ведения деятельности выбрать

Штрафы

Анализируйте снимки межсетевого экрана Firepower для эффективного устранения сетевых проблем

Введение

Предварительные требования

Требования

Используемые компоненты

Справочная информация

Как собирать и экспортировать снимки по семейству продуктов NGFW?

Анализ захвата

Рекомендуемые действия

Анализ захвата

3.1 - Трехстороннее установление связи TCP + отложенный RST от клиента

3.4 - Трехстороннее установление связи TCP + немедленное RST с сервера

Анализ захвата

Случай 5. Медленная передача TCP (сценарий 1)

Сценарий 1.Медленная передача

Сценарий 2. Быстрая передача

Дополнительная информация

: межсетевой экран политики на основе зоны, Cisco IOS версии 15M & T — межсетевые экраны на основе политики на основе зоны [Cisco IOS 15.3M & T]

firewall — iptables: разница между NEW, ESTABLISHED и RELATED пакетами

linux — REJECT vs DROP при использовании iptables

ubuntu — Iptables: разница между состоянием RELATED и ESTABLISHED?

веб-сервисов Amazon — AWS: что означают 0.0.0.0/0 и :: / 0?

Разница между функционально-ориентированным и объектно-ориентированным дизайном

Добавить комментарий Отменить ответ

Таблица тарифов «ТНС энерго Воронеж»