Чем отличается ИП от ЧУП и ООО? | Вопрос-ответ
Индивидуальный предприниматель (ИП) — это физическое лицо, осуществляющее деятельность после регистрации, но без образования юридического лица. Вы можете стать ИП, если хотите открыть небольшой личный бизнес по оказанию услуг или продаже товаров. ИП работает сам на себя и отвечает за ведение дел личным имуществом. Индивидуальным предпринимателем может быть только гражданин РБ или гражданин, имеющий вид на жительство в Беларуси. ИП не нужен юридический адрес (офис). В подчинении ИП может быть до трех работников. После уплаты налогов прибылью можно распоряжаться по желанию.Частное унитарное предприятие (ЧУП) — юридическое лицо с рядом ограничений в порядке управления. Позволяет вести небольшой бизнес и нанимать неограниченное число сотрудников. В отличие от ИП, ЧУП не отвечает по обязательствам своего учредителя. Создавать юридическое лицо может гражданин или юридическое лицо любого государства.
Общество с ограниченной ответственностью (ООО) — юридическое лицо, имеющее наибольшие возможности в управлении компанией. Это зарегистрированная организация, фирма или компания, которая имеет обособленное имущество, может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, быть истцом и ответчиком в суде. Создать может гражданин или юридическое лицо любого государства. Учредителей ООО может быть от 1 до 50. Юридическое лицо обязано иметь офис как место постоянной деятельности, книгу учета проверок, книгу замечаний и предложений, печать. Учредители и партнеры ООО получают дивиденды, но только после уплаты налогов.
Чем отличается ИП от ЧП и ПБОЮЛ? Основные моменты
Нередко первые шаги в бизнес осуществляются через предпринимательство. Человек, скопивший некоторый капитал или обладающий полезными навыками, хочет серьезно улучшить свое материальное положение за счет занятия предпринимательской деятельностью. Но, как правило, на первом этапе, информации о способах и формах ведения такой деятельности не хватает.
Вот здесь и возникает вопрос: чем отличается ИП от ЧП и ПБОЮЛ? Предлагаемая статья рассчитана как раз на читателей, которых он интересует.
Суть вопроса
Предпринимательская деятельность не возможна без регистрации. Если физическое лицо планирует на постоянной основе заниматься деятельностью приносящей доход, то оно должно быть зарегистрировано в ЕГРИП. Этот государственный реестр содержит в себе данные обо всех гражданах занимающихся предпринимательской деятельностью.
Данная регистрация необходима, так как позволяет правильно и в полной мере собирать налоги и сборы, установленные законом. Позволяет привлекать граждан, занимающихся предпринимательской деятельностью, в административном порядке наравне с юридическими лицами. Решать судебные споры в порядке, предусмотренном для других субъектов экономической деятельности.
По сути, после регистрации в государственном реестре гражданин приобретает статус субъекта экономической деятельности со всеми вытекающими последствиями. И соответственно выделять его из числа граждан, не занимающихся предпринимательской деятельностью, и потребовалось введение специальных аббревиатур: ИП,ЧП и ПБОЮЛ.
Что такое: ИП,ЧП и ПБОЮЛ
Как уже было сказано, указанные сокращения, применяются для того чтобы отделить граждан занимающихся предпринимательской деятельностью, от граждан занимающихся трудовой деятельностью и частной практикой. В практическом плане, это имеет значение, в частности, при оформлении сделок с участием таких граждан и при их исполнении.
Так, например, если лицо является предпринимателем, то его контрагенту сразу будет ясно, что данный гражданин-предприниматель сам уплачивает за себя налоги. И поэтому, в данном случае, сторона по договору с таким предпринимателем не будет выступать налоговым агентом.
Одновременно сокращение — ИП, ЧП или ПБОЮЛ, перед фамилией и инициалами одной из сторон договора, подскажет другой стороне, что в случае наличия, какого либо хозяйственного спора с данным лицом, судебный процесс, будет происходить не в суде общей юрисдикции, а в одном из арбитражных судов.
ИП — это юридическое или физическое лицо? Отвечаем на интересующие вас вопросы тут: https://ipshnik.com/otkryitie-registratsiya-zakryitie-ip/individualnyiy-predprinimatel-yavlyaetsya-fizicheskim-ili-yuridicheskim-litsom.html
Кроме употребления указанных сокращений в договорах, они употребляются на бланках документов, в рекламе и обязательно на вывесках перед входом в помещения занимаемые предпринимателем для осуществления предпринимательской деятельности.
Что кроется под этими буквами? рассмотрим подробно.
ЧП — частный предприниматель. Изначально применение такого оборота было связано с тем, что хозяйственная деятельность велась преимущественного предприятиями государственного сектора. Это было на «заре рыночного времени». Частное предпринимательство граждан было относительно новым явлением. Если сказать точнее, такое предпринимательство существовало и ранее, но на нелегальной основе. Его представителями выступали разного рода «цеховики», «фарцовщики» и так далее. Данная деятельность была уголовно наказуема. Признание частных предпринимателей легальными субъектами хозяйственной деятельности было одним из первых шагов на пути к рыночной экономике.
ПБОЮЛ — сам термин расшифровывается просто: предприниматель без образования юридического лица. Здесь противопоставляются два вида ведения юридической деятельности — с образованием и без образования юридического лица. Под первым понимается, когда гражданин выступает контролирующим участником (акционером) юридического лица, и тем самым, как бы, действует через него.
По сути, юридическое лицо выступает инструментом ведения предпринимательской деятельности. Это позволяет отделить личное имущество гражданина от того имущества которое используется для ведения предпринимательской деятельности и тем самым оградить его от претензий кредиторов, на случай неудачного ведения бизнеса. Ведение деятельности без образования юридического лица, таких преимуществ не предоставляет. Что, по сути, и отражает данная аббревиатура.
Подробнее о ПБОЮЛ читайте у нас на сайте: https://ipshnik.com/otkryitie-registratsiya-zakryitie-ip/chto-takoe-pboyul-otkryitie-zakryitie-i-preimushhestva.html
ИП — если брать в исторической перспективе, то данный термин обладает многозначностью. Первоначально, ИП, трактовалось как индивидуальное предприятие. Подобное использование, сохранилось и до настоящего времени в некоторых государствах СНГ. По сути, там, где оно сейчас употребляется, и в России, когда оно употреблялось ране в коротком промежутке времени, оно подразумевало одну из форм юридического лица, характеризующуюся одним учредителем.
Но в настоящем времени, в России от этого ушли. Хотя, в обыденной речи часто встречается такая трактовка.
ИП в современной России расшифровывается как «индивидуальный предприниматель».
А чем же отличается ИП от ООО? Разбираем вместе по ссылке: https://ipshnik.com/otkryitie-registratsiya-zakryitie-ip/vyibor-mezhdu-ip-i-ooo/otlichiya-ip-i-ooo-v-ukraine-i-rossii.html
ПБОЮЛ и ИП, в чем разница?
Данный вопрос часто встречается не только у граждан, которые планируют начать предпринимательскую деятельность. Задаются вопросом, чем отличается ИП от ПБОЮЛ? и сотрудники (юристы, бухгалтера) коммерческих организации, которым приходится сталкиваться с данными аббревиатурами в договорах, получаемых от контрагентов — физических лиц. Ведь не секрет, что предприниматели играют существенную роль в нашей экономике, а соответственно и число договоров с ними все время растет.
Отличие ИП от ПБОЮЛ незначительно. С точки зрения правового статуса физических лиц занимающихся предпринимательской деятельностью таких различий нет вообще.
Как было рассмотрено ранее, все три термина, употреблялись для обозначения одного и того же явления — гражданина занимающегося предпринимательской деятельностью.
Среди всех терминов, ЧП появился ранее всех. Затем стал более употребителен термин ПБОЮЛ. Так как, это было относительно недавно, то он употребляется и по сегодняшний день многими предпринимателями в договорах и бланках документов. Поэтому на вопрос: ПБОЮЛ или ИП как правильно? стоит отвечать, что правильно в каждом из случаев, но более современный термин это — ИП.
Разобравшись в вопросе: чем отличается ИП от ЧП и ПБОЮЛ, стоит немного сказать о правильности употребления данных терминов. Споры об их употреблении не прекращаются, но все они, по сути, безосновательны. Государство определилось в выборе термина, который применяется в регулировании правоотношений с участием граждан ведущих предпринимательскую деятельность. Это ИП — индивидуальный предприниматель.
Это в частности следует из названия главного реестра, который ведется государственными органами для учета предпринимателей — Единый государственный реестр индивидуальных предпринимателей.
Однозначно употребляется данный термин и в Налоговом кодексе РФ. Но в тоже время и ИП, и ЧП, и ПБОЮЛ правильно отражают отдельные характерные аспекты предпринимательской деятельности. Поэтому говорить о неправильности употребления данных терминов в повседневной речи, будет корректно.
Семинар «Регистрация ООО и ИП шаг за шагом» | КонсультантПлюс
Как начать свой бизнес? Зарегистрировать ООО? Или стать ИП? В чем разница и что выгоднее? Какие документы нужны для государственной регистрации и куда их подавать? Как подготовить устав? Как оплачивать уставный капитал? В какие органы, кроме регистрирующего, нужно обратиться? Как государство может помочь начинающему предпринимателю? Все будущие предприниматели задаются этими вопросами на этапе создания собственного бизнеса.
Приходите на семинар «Регистрация ООО и ИП шаг за шагом» — будем детально разбираться в каждом вопросе!
Программа семинара
- Форма предпринимательской деятельности.
Критерии выбора формы. - Название фирмы. Требования законодательства к наименованию ООО.
- Место нахождения фирмы. Возможность регистрации ООО по месту жительства учредителя. Адреса массовой регистрации.
- Формирование уставного капитала ООО. Чем можно оплатить долю в уставном капитале?
- Порядок представления документов на государственную регистрацию (для ООО и ИП).
- Основания для отказа в государственной регистрации. Порядок обжалования действий налоговых органов.
- Постановка на учет во внебюджетных фондах и органах статистики. Изготовление печати.
- Субъекты малого и среднего предпринимательства. Государственная политика в области развития субъектов малого и среднего предпринимательства в РФ.
Критерии выбора формы.В результате слушатель:
- ознакомится с положениями основных нормативных актов и материалами судебной практики, необходимыми для создания собственной фирмы;
- получит практические рекомендации по организации собственного бизнеса;
- получит именной сертификат, подтверждающий прохождение обучения в Учебном центре КонсультантПлюс.
Зарегистрироваться
Рекомендуем также посетить следующие семинары:
Чем отличается ИП от ООО
В Российской Федерации существуют самые разнообразные формы юридических лиц, которые имеют определенные права, обязанности и полномочия. Очень часто возникает ситуация, когда человек хочет открыть свое собственное дело, но не знает, какую форму хозяйствования ему выбрать – ИП или ООО. Стоит сказать о том, что это два совершенно разных понятия, имеющих определенные достоинства и недостатки. Итак, давайте посмотрим, чем отличается ооо от ип.
Определение
ИП – индивидуальный предприниматель, то есть частное лицо, которое зарегистрировало свою деятельность в государственных органах. Если человек осуществляет свою деятельность без регистрации в государственных контролирующих органах, он может быть оштрафован на сумму от 5 до 20 МРОТ. Если ИП зарегистрирован, но по каким-то причинам у него появилось множество долгов перед кредиторами, он отвечает по своим обязательствам всем имеющимся у него имуществом.
Это означает, что по требованию кредиторов все имущество, а также недвижимость, может быть изъята в целях погашения долгов.
ООО (Общество с ограниченной ответственностью) – такая форма хозяйствования, при которой один либо несколько субъектов могут внести свои доли в уставный капитал организации и станут его учредителями. Если у организации, имеющей форму ООО, появляются долги перед кредиторами или инвесторами, каждый его учредитель не отвечает по обязательствам компании полностью. В данном случае он несет ответственность лишь в части своей доли, то есть с них могут удержать лишь размер той суммы, которую он внес в уставный капитал организации. В связи с последним фактом ООО стало наиболее распространенной формой хозяйствования в экономике Российской Федерации.
к содержанию ↑Сравнение
На основе вышеизложенного можно говорить о том, что ИП представляет собой регистрацию одного физического лица, в то время как ООО подразумевает под собой фиксацию одного или нескольких физических лиц в качестве учредителей.
Они вносят определенные доли в уставный капитал, которые могут быть как денежными средствами, какими-то ценными бумагами, так и любым другим ценным имуществом. Кроме того, ИП несет полную ответственность по своим обязательствам, в то время как учредители ООО отвечают по обязательствам компании лишь в той части средств, которые были внесены в качестве вклада в уставный капитал фирмы.
Выводы TheDifference.ru
- ИП может зарегистрировать только один человек, в свою очередь ООО представляет собой юридическое лицо, учредителями которого может быть как одно, так и несколько физических лиц;
- Если возникают обязательства перед займодавцами или кредитными организациями, ИП отвечает за них всем имеющимся у него в собственности имуществом, в то время как участники ООО, отвечая по обязательствам компании, могут потерять лишь ту часть имущества, которая стала вкладом в уставный капитал;
- ООО как форма хозяйствования имеет более широкое распространение, нежели ИП, поскольку при ухудшении финансового положения фирмы теряют меньше денежных средств.
ИП это физическое или юридическое лицо
Правовой статус индивидуального предпринимателя вызывает немало вопросов. В первую очередь, многим не ясно физическим или юридическим лицом с точки зрения законодательства является ИП.
Расскажем в статье, что по этому поводу считает налоговая и как по закону характеризуется индивидуальное предпринимательство.
○ Понятие Индивидуальный предприниматель.
С точки зрения законодательства индивидуальный предприниматель не является юридическим лицом. Это следует из определения.
Ст. 11 НК РФ:
Индивидуальные предприниматели — физические лица, зарегистрированные в установленном порядке и осуществляющие предпринимательскую деятельность без образования юридического лица, главы крестьянских (фермерских) хозяйств. Физические лица, осуществляющие предпринимательскую деятельность без образования юридического лица, но не зарегистрировавшиеся в качестве индивидуальных предпринимателей в нарушение требований гражданского законодательства Российской Федерации, при исполнении обязанностей, возложенных на них настоящим Кодексом, не вправе ссылаться на то, что они не являются индивидуальными предпринимателями.
В соответствии с этим текстом законодательства индивидуальный предприниматель является физическим лицом, которое ведет коммерческую деятельность. Это вполне однозначно. Однако правовой статус ИП подразумевает некую схожесть со статусом юридического лица. Разберемся далее, в чем схожесть и различия этих понятий.
Вернуться к содержанию ↑
○ Признаки физических и юридических лиц.
Физическое лицо – это человек, обладающий правами и обязанностями, в рамках правового регулирования государства. У физлица существуют определенные признаки:
- Идентификация осуществляется по ФИО.
- Нет необходимости в прохождении дополнительной регистрации, кроме получения свидетельства о рождении и общегражданского паспорта.
- Наличие права на осуществление экономических сделок с другими лицами и организациями.
Юридическое лицо – это организация, зарегистрированная в реестре, и имеющая обособленное имущество, которым отвечает по своим обязательствам.
Ст. 48 ГК РФ:
- Юридическим лицом признается организация, которая имеет обособленное имущество и отвечает им по своим обязательствам, может от своего имени приобретать и осуществлять гражданские права и нести гражданские обязанности, быть истцом и ответчиком в суде.
- Юридическое лицо должно быть зарегистрировано в едином государственном реестре юридических лиц в одной из организационно-правовых форм.
- К юридическим лицам, на имущество которых их учредители имеют вещные права, относятся государственные и муниципальные унитарные предприятия, а также учреждения.
Юридические лица имеют следующие признаки:
- Наличие регистрации в едином реестре.
- Определенное имущество в собственности.
- Отдельное название и регистрационный адрес.
- Наличие структурированного коллектива с управляющими и подчиненными.
- Право на получение лицензий на некоторые виды деятельности, недоступные другим формам.
- Обязательное наличие печати и расчетного счета в банке.
Юридическое лицо несет ответственность за ведение деятельности принадлежащим ему имуществом. Этот признак идентичен ответственности физического лица и ИП.
Вернуться к содержанию ↑
○ Сравнение ИП и простого физического лица.
По сути физическое лицо и ИП имеют множество общих признаков. Однако ведение определенных видов предпринимательской деятельности без регистрации не допускается. Расскажем, в чем сходства и различия между ИП и физическим лицом.
✔ Общие признаки.
К общим признакам можно отнести следующие факты:
- Законодательно ИП и физическое лицо равны.
- Это конкретный человек, имеющий ФИО и идентификационный номер.
- Место постоянной регистрации совпадает.
- ИП может выступать как гражданин при заключении сделок.
- Физлицо и ИП вправе проводить хозяйственные операции, заключать сделки, оформлять необходимые документы и совершать юридически значимые действия.
- В случае образования долга физлицо и ИП отвечают имуществом, находящемся в их собственности.
С точки зрения законодательства индивидуальный предприниматель – это статус физического лица. Тем не менее, разница между этими понятиями все же есть.
✔ Отличительные признаки.
Отличие ИП от физического лица заключается в системе налогообложения доходов и допустимой сфере деятельности. К примеру, физическое лицо, имеющее статус ИП, не может быть наемным работником и одновременно вести предпринимательскую деятельность. Человек, будучи ИП, может быть наемным работником, но в качестве физического лица.
Физическому лицу, не имеющему статуса ИП, не доступны многие виды коммерческой деятельности. Так, например, он не может открыть павильон и продавать там какой-либо товар или заниматься оказанием бытовых услуг населению.
Вернуться к содержанию ↑
○ Сравнение ИП и юридического лица.
Довольно часто можно встретить отожествление статусов ИП и юридического лица.
Это не совсем корректно с точки зрения законодательства, но тем не менее сходства между этими статусами безусловно есть. Рассмотрим в чем общность и различия.
✔ Общность в деятельности.
Общность деятельности заключается в следующих факторах:
- Цель создания – ведение предпринимательской деятельности и получение прибыли.
- Необходимость прохождения процедуры государственной регистрации.
- Доступность систем налогообложения – УСН, ЕНВД и т.д.
- Возможность трудоустройства сотрудников в соответствии с ТК РФ.
- Могут иметь расчетный счет в банке (для ИП не обязательно).
- В суде могут быт истцом и ответчиком.
На этом схожесть заканчивается. Рассмотрим, чем отличаются ИП и юридические лица.
✔ Отличительные характеристики.
Главные отличия заключаются в следующем:
- ИП – это конкретный человек, юридическое лицо – это организация.
- Регистрация человека в качестве индивидуального предпринимателя осуществляется по месту постоянного проживания, а юридическое лицо оформляется по юридическому адресу.
- ИП ведет деятельность самостоятельно, юридическое лицо – это коллектив людей (однако и те, и другие могут быть работодателями).
- Имущество организации и ее учредителей обособлено друг от друга, ИП в свою очередь отвечает всем своим имуществом, как физическое лицо.
- ИП не имеет собственного наименования.
- Юрлицо обязано иметь печать и расчетный счет в банке, для ИП и то, и другое носит рекомендательный характер.
- Деятельность юридического лица невозможна без наличия уставных документов.
Организации вправе вести коммерческую деятельность в любой сфере, не противоречащей законодательству. Для предпринимателей действуют определенные ограничения.
Вернуться к содержанию ↑
○ Что говорит налоговая?
С точки зрения налогового законодательства индивидуальные предприниматели – это физические лица, обладающие особым статусом. Тем не менее, ФНС предусматривает для ИП льготные системы налогообложения с минимальной отчетностью.
Индивидуальные предприниматели на особом счету. Для них разрабатываются отдельные нормы и правила.
Вернуться к содержанию ↑
○ Советы юриста:
✔ Можно ли ИП преобразовать в юридическое лицо?
Прямого запрета на преобразование в законодательстве нет, то есть такое допускается. Для этого необходимо обратиться в территориальное отделение ФНС и подать соответствующие документы.
✔ Может ли физическое лицо заниматься коммерцией без открытия ИП или ООО?
Законодательно не допускается ведение коммерческой деятельности без регистрации. Это требуется для целей налогообложения, возможности нанимать сотрудников и беспрепятственно работать и рассчитываться с контрагентами.
Вернуться к содержанию ↑
Генеральный директор «Центр Геммерлинга» Иван Геммерлинг расскажет о различиях, плюсах и минусах в формах деятельности индивидуальных предпринимателей и юридических лиц.
youtube.com/embed/F49O3sCc5Js»/>
Опубликовал : Вадим Калюжный, специалист портала ТопЮрист.РУ
IPv4 против IPv6 — в чем разница между двумя протоколами?
Смущает разница между IPv4 и IPv6?
IP, сокращение от I nternet P rotocol, — это протокол, который помогает компьютерам / устройствам обмениваться данными друг с другом по сети. Как следует из названия «v», существуют разные версии Интернет-протокола: IPv4 и IPv6.
В этом посте мы рассмотрим все, что вам нужно знать, чтобы понять разницу между IPv4 и IPv6.Вот что мы расскажем:
Что такое интернет-протокол (IP)?
Интернет-протокол(IP) — это набор правил, которые помогают с маршрутизацией пакетов данных, чтобы данные могли перемещаться по сети и доставляться в нужное место назначения.
Когда компьютер пытается отправить информацию, она разбивается на более мелкие части, называемые пакетами. Чтобы убедиться, что все эти пакеты попадают в нужное место, каждый пакет включает IP-информацию.
Другая часть загадки состоит в том, что каждому устройству или домену в Интернете назначается IP-адрес, который однозначно идентифицирует его среди других устройств.
Сюда входит и ваш собственный компьютер, с которым вы, вероятно, сталкивались раньше. Если вы перейдете на один из многих вопросов «Какой у меня IP-адрес?» инструменты, они покажут вам IP-адрес вашего компьютера и приблизительную оценку вашего местоположения (, что должно быть точным, если вы не используете VPN ).
Вероятно, наиболее знакомый вам IP-адрес выглядит примерно так:
32.253.431.175
Назначая каждому устройству IP-адрес, сети могут эффективно маршрутизировать все эти пакеты данных и обеспечивать их попадание в нужное место.
Что такое IPv4?
Несмотря на цифру «4» в названии, IPv4 фактически является первой используемой версией IP. Он был запущен еще в 1983 году и даже сегодня остается самой известной версией для идентификации устройств в сети.
IPv4 использует 32-битный адрес, это формат, с которым вы, вероятно, наиболее знакомы при обсуждении «IP-адреса». Это 32-битное адресное пространство обеспечивает почти 4,3 миллиарда уникальных адресов, хотя некоторые IP-блоки зарезервированы для специальных целей.
Вот пример IPv4-адреса:
32.253.431.175
Что такое IPv6?
IPv6 — это более новая версия IP, которая использует 128-битный формат адреса и включает в себя как цифры, так и буквы. Вот пример IPv6-адреса:
3002: 0bd6: 0000: 0000: 0000: ee00: 0033: 6778
Зачем нам понадобилась новая версия IP?
На этом этапе у вас может возникнуть вопрос, почему IPv6 вообще существует.
Ну а 4.3 миллиарда потенциальных IP-адресов в IPv4 могут показаться большим количеством, нам нужно намного больше IP-адресов!
В мире много людей с большим количеством устройств. Это еще более серьезная проблема с ростом количества устройств IoT (Интернет вещей) и датчиков, поскольку они значительно расширяют пул подключенных устройств.
Проще говоря, в мире заканчиваются уникальные адреса IPv4, и это главная причина, по которой нам нужен IPv6.
Но есть и другие более мелкие технические причины — давайте их обсудим.
💡 IP, сокращение от Internet Protocol, помогает компьютерам / устройствам обмениваться данными по сети. В этом руководстве рассматриваются различия между версиями IPv4 и IPv6 👇Нажмите, чтобы твитнутьВ чем разница между IPv4 и IPv6?
Теперь давайте рассмотрим разницу между IPv4 и IPv6.
Самая очевидная разница и наиболее применима для обычных людей — это разница в форматах:
- IPv4 использует 32-битный адрес
- IPv6 использует 128-адресный
Не вдаваясь в математику (мы сохраним это для следующего раздела), это означает, что IPv6 предлагает в 1028 раз больше адресов, чем IPv4, что по существу решает проблему «исчерпания адресов» (по крайней мере, в обозримом будущем) .
Подпишитесь на информационный бюллетень
Мы увеличили наш трафик на 1187% с помощью WordPress.
Присоединяйтесь к 20 000+ другим, кто получает нашу еженедельную рассылку с инсайдерскими советами по WordPress!
Подпишитесь сейчасIPv6 также является буквенно-цифровым адресом, разделенным двоеточиями, тогда как IPv4 является только числовым и разделен точками. Опять же, вот пример каждого:
- IPv4 —
32,253.431,175 - IPv6 —
3002: 0bd6: 0000: 0000: 0000: ee00: 0033: 6778
Есть также некоторые технические различия между IPv4 и IPv6, хотя разработчикам не обязательно их знать. Некоторые из наиболее заметных технических отличий заключаются в следующем:
- IPv6 включает встроенное качество обслуживания (QoS).
- IPv6 имеет встроенный уровень сетевой безопасности (IPsec). IPv6
- исключает преобразование сетевых адресов (NAT) и обеспечивает сквозное соединение на уровне IP.
- Многоадресная передача является частью базовых спецификаций IPv6, а в IPv4 — необязательной. 128 разных адресов.Если вас интересует точное число, вот сколько уникальных адресов предлагает IPv6: 340 282 366 920 938 463 463 374 607 431 768 211 456
Это означает, что нам предстоит пройти долгий путь, прежде чем у нас закончатся адреса IPv6!
Есть ли разница между скоростью IPv4 и IPv6? Что быстрее?
В целом, нет большой разницы между скоростями IPv4 и IPv6, хотя некоторые данные свидетельствуют о том, что IPv6 может быть немного быстрее в некоторых ситуациях.
Что касается «отсутствия разницы», Sucuri провел серию тестов на сайтах, поддерживающих как IPv4, так и IPv6, и обнаружил, что на большинстве сайтов, которые они тестировали, разницы практически не было.
Однако вы также можете найти некоторые свидетельства того, что IPv6 работает быстрее. Например, в блоге инженеров Facebook говорится: «Мы заметили, что доступ к Facebook может быть на 10-15 процентов быстрее по IPv6».
Точно так же Akamai протестировала один URL-адрес в сети iPhone / мобильной связи и обнаружила, что среднее время загрузки сайта было на 5% быстрее с IPv6 по сравнению с IPv4.
Однако существует множество переменных, поэтому сложно сравнивать производительность без проведения строго контролируемых экспериментов.
Одна из причин, по которой IPv6 может быть быстрее, заключается в том, что он не тратит время на преобразование сетевых адресов (NAT). Однако IPv6 также имеет более крупные заголовки пакетов, поэтому в некоторых случаях он может быть медленнее.
Насколько популярнее IPv4 или IPv6?
Хотя цифры меняются по мере того, как IPv6 расширяется, IPv4 по-прежнему остается наиболее широко используемым интернет-протоколом.
Принятие IPv6 во всем мире
Google ведет общедоступную статистику доступности IPv6 для пользователей Google по странам по всему миру.Эти числа представляют собой процент всего трафика на сайты Google, который проходит через IPv6, а не IPv4.
Во всем мире доступность IPv6 составляет около 32%, но она сильно различается в зависимости от страны. Например, в США принято более 41% IPv6, в Великобритании — около 30%, а в Испании — всего 2,5%.
Принятие IPv6 в каждой стране
Какую версию интернет-протокола использует Kinsta?
Если вы размещаете свой сайт WordPress в Kinsta, вам может быть интересно, использует ли Kinsta IPv4 или IPv6.Kinsta в настоящее время использует IPv4.
Почему? Поскольку Kinsta работает на премиум-уровне Google Cloud, и в настоящее время Google Cloud не полностью поддерживает IPv6.
С учетом сказанного, поддержка IPv6 входит в план развития Google Cloud, поэтому в будущем это может измениться. Однако нет официального графика, когда Google Cloud добавит поддержку IPv6.
Смущает IPv4 и IPv6? 🥴 Нажмите, чтобы узнать, чем отличаются эти две версии интернет-протокола.Сводка
Интернет-протокол (IP) помогает маршрутизировать данные по сети.Для этого каждому устройству назначается IP-адрес.
IPv4 — это исходная версия, которая была запущена еще в 1983 году. Однако его 32-битный формат позволяет использовать только ~ 4,3 миллиарда уникальных адресов, что не может удовлетворить потребности современного мира.
Чтобы решить проблему отсутствия уникальных адресов IPv4 (и внести некоторые другие технические изменения), был создан IPv6. IPv6 использует 128-битный формат адреса, который предлагает в 1028 раз больше уникальных адресов, чем IPv4.
Для большинства людей это все, что вам нужно знать — IPv6 использует другой формат и предлагает гораздо больше уникальных адресов, чем IPv4.
Kinsta использует IPv4, потому что GCP, лежащая в основе инфраструктуры Kinsta, еще не развернула поддержку IPv6. IPv6 входит в план развития Google Cloud, поэтому в будущем ситуация может измениться.
Если вам понравилась эта статья, то вам понравится хостинговая платформа Kinsta WordPress. Ускорьте свой сайт и получите круглосуточную поддержку от нашей опытной команды WordPress. Наша инфраструктура на базе Google Cloud ориентирована на автоматическое масштабирование, производительность и безопасность. Позвольте нам показать вам разницу в Kinsta! Ознакомьтесь с нашими тарифами
устройств TippingPoint и нестандартные пакеты
Что такое нестандартные пакеты? Неупорядоченные (ООО) пакеты — это пакеты данных, которые прибывают в порядке, отличном от того, в каком они были отправлены.
Что вызывает неупорядоченные пакеты?
Множественные пути: Неупорядоченные пакеты могут быть вызваны потоками данных, идущими по нескольким путям в сети (например, трафик, проходящий через Интернет), или параллельными путями обработки в сетевом оборудовании, которые не предназначены для обеспечения того, чтобы пакет порядок сохраняется.
Организация очереди: 000 пакетов также могут быть вызваны плохо настроенной организацией очереди по пути или даже асимметричными конфигурациями маршрутизации.В случае постановки в очередь по пути ООО пакетов может быть вызвано, когда устройство постановки в очередь не пересылает пакеты в порядке «первым пришел / первым вышел» (FIFO).
Агрегация каналов: Балансировка нагрузки и агрегация каналов могут вызывать ООО пакетов, если используется алгоритм на основе циклического перебора (для каждого пакета).
UDP-трафик: Неупорядоченные пакеты также могут быть вызваны трафиком UDP.
Эта проблема возникает в первую очередь из-за подключений без сохранения состояния и отсутствия механизмов управления потоком, существующих в протоколе UDP.Одна из функций TCP — предотвращение доставки данных с нарушением порядка путем повторной сборки пакетов по порядку или принудительного повторного получения пакетов с нарушением порядка.Превышение подписки: Избыточная подписка на устройства или ссылки также вызывает ООО пакетов. Ссылки с избыточной подпиской и устройства отбрасывают трафик, вызывая повторную передачу, замедление работы и неупорядоченные пакеты.
Микропакет: В компьютерных сетях микропакет — это поведение, наблюдаемое в сетях с быстрой коммутацией пакетов, где быстрые пакеты данных отправляются в быстрой последовательности, что приводит к периодам передачи с полной линейной скоростью, что может привести к переполнению пакета. буферы сетевого стека.«Волна» микровсплесков проходит через сеть и прерывается, потому что устройства не могут справиться с дополнительной пропускной способностью.
Эти пакеты отбрасываются, что приводит к повторной передаче, замедлению и нарушению порядка пакетов. Микропакет не отображается на счетчиках интерфейса из-за небольшой длины (100 миллисекунд или меньше) пакета.Как IPS обрабатывает неупорядоченные пакеты?
Если IPS получает значительное количество ООО пакетов, IPS станет менее эффективным (перегруженным) с точки зрения проверки.Это связано с тем, что пакеты с нарушением порядка должны быть повторно собраны, прежде чем может произойти проверка пакетов и сопоставление триггеров. Эти функции повторной сборки и проверки выполняются на уровнях 3 и 4 механизма подавления угроз. К трем наиболее ресурсоемким операциям относятся:
- Повторная сборка IP
- Проверка угроз
- Переупорядочение пакетов TCP
Уменьшение количества неупорядоченных, фрагментированных и мелких пакетов
В наши дни большинство маршрутизаторов и коммутаторов могут помочь в оптимизации трафика, если они настроены для этого.
В некоторых случаях частью проблемы может быть широкое использование агрегации каналов и балансировки нагрузки. Если с IPS используется агрегация каналов, необходимо поддерживать сходство потока трафика. Используйте алгоритм на основе потока, такой как агрегирование с использованием исходного IP-адреса. Это гарантирует, что все фрагменты из любого конкретного потока пройдут через один и тот же сегмент.каналов WAN являются частой причиной фрагментации из-за необходимости дополнительной инкапсуляции. Когда происходит IP-фрагментация, дейтаграммы разбиваются на более мелкие части для создания пакетов, которые будут проходить через ссылку.В этих случаях важно определить, какую оптимизацию, повторную сборку и повторную инкапсуляцию выполняют конечные точки, прежде чем трафик будет перенаправлен по сети. Кроме того, важно определить (в случае зашифрованного трафика или нестандартных протоколов), должна ли IPS вообще его проверять.
Приложения, которые полагаются на протокол UDP, обычно являются причиной увеличения количества мелких пакетов в сети.
Имейте в виду, что многие инструменты управления сетью широко используют SNMP, который обычно основан на UDP (в зависимости от версии).Приложения для обмена файлами также широко используют протокол UDP. Устранение или направление этих типов трафика через определенные сегменты сети, которые могут проверяться IPS по-разному, может снизить общее воздействие на систему.Анализируйте записи межсетевого экрана Firepower для эффективного устранения сетевых проблем
Введение
В этом документе описываются различные методы анализа перехвата пакетов, направленные на эффективное устранение неполадок в сети.Все сценарии, представленные в этом документе, основаны на реальных пользовательских случаях, замеченных в Центре технической поддержки Cisco (TAC). Документ охватывает захват пакетов с точки зрения межсетевого экрана Cisco следующего поколения (NGFW), но те же концепции применимы и к другим типам устройств.
Предварительные требования
Требования
Cisco рекомендует знать следующие темы:
- Архитектура платформы огневой мощи
- Журналы NGFW
- Трассировщик пакетов NGFW
Кроме того, перед началом анализа перехвата пакетов настоятельно рекомендуется выполнить следующие требования:
- Знать работу протокола — Бесполезно начинать проверку захвата пакета, если вы не понимаете, как работает захваченный протокол
- Знать топологию — Вы должны знать транзитные устройства. В идеале сквозной. Если это невозможно, вы должны хотя бы знать восходящие и нисходящие устройства .
- Знать устройство — Вы должны знать, как ваше устройство обрабатывает пакеты, каковы задействованные интерфейсы (например, вход / выход), какова архитектура устройства и каковы различные точки захвата
- Знать конфигурацию — Вы должны знать, как устройство должно обрабатывать поток пакетов с точки зрения:
- Интерфейс маршрутизации / выхода
- Применяемые политики
- Трансляция сетевых адресов (NAT)
- Знать доступные инструменты — Наряду с захватами рекомендуется также быть готовым применять другие инструменты и методы устранения неполадок, такие как ведение журнала и трассировщики, и при необходимости соотносить их с захваченными пакетами
Используемые компоненты
Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:
- Большинство сценариев основано на FP4140 с программным обеспечением FTD 6. 5.x.
- FMC с программным обеспечением 6.5.x.
Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.
Справочная информация
Захват пакетов — один из самых недооцененных инструментов устранения неполадок, доступных сегодня. Центр технической поддержки Cisco TAC ежедневно решает множество проблем клиентов путем анализа собранных данных.Цель этого документа — помочь сетевым инженерам и специалистам по безопасности выявлять и устранять распространенные сетевые проблемы, в основном на основе анализа перехвата пакетов.
Как собирать и экспортировать снимки по семейству продуктов NGFW?
В случае устройства Firepower (1xxx, 21xx, 41xx, 93xx) и приложения Firepower Threat Defense (FTD) обработка пакетов может быть визуализирована, как показано на изображении.
- Пакет поступает на входной интерфейс и обрабатывается внутренним коммутатором шасси.
- Пакет поступает в механизм FTD Lina, который в основном выполняет проверки L3 / L4.
- Если политика требует, пакет проверяется механизмом Snort (в основном проверка L7).
- Механизм Snort возвращает вердикт для пакета.
- Механизм LINA отбрасывает или пересылает пакет на основе вердикта Snort.
- Пакет выходит из шасси через внутренний коммутатор шасси.
В зависимости от показанной архитектуры захваты FTD могут выполняться в 3 разных местах:
- FXOS
- Двигатель FTD Lina
- FTD Двигатель Snort
Процесс описан в этом документе:
https: // www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos271/web-guide/b_GUI_FXOS_ConfigGuide_271/troubleshooting.html#concept_E8823CC63C934A909BBC0DF12F301DED 9000
захвата FXOS могут быть сделаны только во входном направлении с точки зрения внутреннего коммутатора, как показано на изображении здесь.
Как показано на изображении, это две точки захвата в каждом направлении (из-за внутренней архитектуры коммутатора).
Перехваченные пакеты в точках 2, 3 и 4 имеют виртуальный сетевой тег (VNTag).
Примечание : Захваты FXOS на уровне шасси доступны только на платформах FP41xx и FP93xx. FP1xxx и FP21xx не предоставляют такой возможности.
Включить и собрать FTD Lina CaptureОсновные точки захвата:
- Входящий интерфейс
- Выходной интерфейс
- Ускоренный путь безопасности (ASP)
Вы можете использовать либо пользовательский интерфейс Центра управления огневой мощью (FMC UI), либо FTD CLI, чтобы включить и собрать захваты FTD Lina.
Включить захват из CLI на интерфейсе INSIDE:
firepower # захват интерфейса CAPI INSIDE соответствует хосту icmp 192.168.103.1 хосту 192.168.101.1
Этот захват соответствует трафику между IP-адресами 192.
168.103.1 и 192.168.101.1 в обоих направлениях.Включите захват ASP, чтобы увидеть все пакеты, отброшенные механизмом FTD Lina:
огневая мощь # захват ASP тип asp-drop all
Экспорт захвата FTD Lina на FTP-сервер:
firepower # copy / pcap capture: CAPI ftp: // ftp_username: ftp_password @ 192.168.78.73 / CAPI.pcap
Экспорт захвата FTD Lina на сервер TFTP:
firepower # copy / pcap capture: CAPI tftp: //192.168.78.73
Начиная с версии FMC 6.2.x, вы можете включать и собирать захваты FTD Lina из пользовательского интерфейса FMC.
Другой способ сбора данных FTD от межсетевого экрана, управляемого FMC, — это.
Шаг 1
В случае захвата LINA или ASP скопируйте захват на диск FTD, например.
firepower # copy / pcap capture: capin disk0: capin.pcap Имя захвата источника [capin]? Целевое имя файла [capin.
pcap]?
!!!!
Шаг 2
Перейдите в экспертный режим, найдите сохраненный снимок и скопируйте его в / ngfw / var / common location:
огневая мощь # Консольное соединение отключено. > эксперт админ @ огневая мощь: ~ $ sudo su Пароль: корень @ огневая мощь: / home / admin # cd / mnt / disk0 root @ firepower: / mnt / disk0 # ls -al | grep pcap -rwxr-xr-x 1 корень root 24 апр 26 18:19 CAPI.pcap -rwxr-xr-x 1 корневой корень 30110 8 апреля 14:10 capin.pcap -rwxr-xr-x 1 корневой корень 6123 8 апр, 14:11 capin2.pcap корень @ firepower: / mnt / disk0 # cp capin.pcap / ngfw / var / common
Шаг 3
Войдите в FMC, который управляет FTD, и перейдите к Devices> Device Management. Найдите устройство FTD и выберите значок Устранение неполадок :
Шаг 4
Выберите Расширенное устранение неполадок:
Укажите имя файла захвата и выберите Загрузить:
Дополнительные примеры включения / сбора снимков из пользовательского интерфейса FMC см.
В этом документе:https: // www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html
Включить и собрать FTD Snort CaptureТочка захвата показана на изображении здесь.
Включить захват уровня Snort:
> захват трафика Выберите домен для захвата трафика: 0 - br1 1 - Маршрутизатор Выбор? 1 Укажите желаемые параметры tcpdump. (или введите "?" для получения списка поддерживаемых опций) Опции: -n хост 192.168.101.1
Чтобы записать захват в файл с именем capture.pcap и скопировать его через FTP на удаленный сервер:
> захват трафика Выберите домен для захвата трафика: 0 - br1 1 - Маршрутизатор Выбор? 1 Укажите желаемые параметры tcpdump. (или введите "?" для получения списка поддерживаемых опций) Параметры: -w capture.
pcap host 192.168.101.1
CTRL + C <- для остановки захвата
> копия файла 10.229.22.136 ftp / capture.pcap Введите пароль для [email protected]: Копирование capture.pcap Копирование выполнено успешно. >Для получения дополнительных примеров захвата уровня Snort, которые включают различные фильтры захвата, проверьте этот документ:
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html
Устранение неполадок Случай 1. Нет TCP SYN на исходящем интерфейсеТопология показана на изображении здесь:
Описание проблемы: HTTP не работает
Затронутый поток:
Src IP: 192.168.0.100
Dst IP: 10.10.1.100
Протокол: TCP 80
Анализ захвата
Включить захват на движке FTD LINA:
firepower # захват CAPI int INSIDE match ip host 192.168.0.100 host 10.10.1.100 firepower # захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
Захваты — Функциональный сценарий:
В качестве основы всегда очень полезно иметь захваты из функционального сценария.
Захват, сделанный на интерфейсе NGFW INSIDE, как показано на изображении:
Ключевые точки:
- TCP 3-стороннее рукопожатие.
- Двунаправленный обмен данными.
- Нет задержек между пакетами (исходя из разницы во времени между пакетами)
- MAC-адрес источника — это правильное нисходящее устройство.
Захват, сделанный на ВНЕШНЕМ интерфейсе NGFW, показан на изображении здесь:
Ключевые точки:
- Те же данные, что и в захвате CAPI.
- MAC-адрес назначения — это правильное восходящее устройство.
Захваты — нефункциональный сценарий
Из интерфейса командной строки устройства снимки выглядят следующим образом:
огневая мощь # показать захват захват интерфейса необработанных данных типа CAPI INSIDE [захват - 484 байта] сопоставить IP-хост 192.168.0.100 хост 10.10.1.100 захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват - 0 байт] сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
Содержание CAPI:
огневая мощь # показать захват CAPI Захвачено 6 пакетов 1: 11:47:46.2 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192
3 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 81922: 11: 47: 47.161902 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192 3: 11: 47: 49. 4: 11: 47: 50.162757 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192 5: 11: 47: 55.0 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192 6: 11: 47: 56.164710 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192 огневая мощь # показать захват КАПО 0 пакетов захвачено Показано 0 пакетов
Это образ захвата CAPI в Wireshark:
Ключевые точки:
- Видны только пакеты TCP SYN (трехстороннее подтверждение TCP отсутствует).
- Невозможно установить 2 сеанса TCP (порт источника 3171 и 3172). Исходный клиент повторно отправляет пакеты TCP SYN. Эти повторно переданные пакеты идентифицируются Wireshark как повторные передачи TCP.
- Повторные передачи TCP происходят каждые ~ 3, затем 6 и т. Д. Секунд
- MAC-адрес источника получен от правильного нисходящего устройства.
На основании 2 отловов можно сделать вывод, что:
- Пакет из определенного набора из 5 кортежей (src / dst IP, src / dst порт, протокол) поступает на межсетевой экран на ожидаемом интерфейсе (INSIDE).
- Пакет не покидает межсетевой экран на ожидаемом интерфейсе (ВНЕШНИЙ).
Рекомендуемые действия
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте трассировку эмулируемого пакета.
Используйте средство отслеживания пакетов, чтобы увидеть, как пакет должен обрабатываться межсетевым экраном. В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка эмулированного пакета выглядит примерно так:
firepower # вход для отслеживания пакетов INSIDE tcp 192.168.0.100 11111 10.10.1.100 80 Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: МАРШРУТ-ПРОСМОТР Подтип: Resolve Egress Interface Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.2.72 с использованием исходящего ifc ВНЕШНИЙ Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: DROP Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ Дополнительная информация: Результат: интерфейс ввода: ВНУТРИ статус ввода: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: падение Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA
Действие 2.Проверьте следы живых пакетов.
Включите трассировку пакетов, чтобы проверить, как настоящие пакеты TCP SYN обрабатываются межсетевым экраном. По умолчанию отслеживаются только первые 50 входящих пакетов:
огневая мощь # захват трассировки CAPI
Очистить буфер захвата:
firepower # чистый захват / все
В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка выглядит примерно так:firepower # показать трассировку номер 1 пакета CAPI захвата Захвачено 6 пакетов 1: 12:45:36.279740 192.168.0.100.3630> 10.10.1.100.80: S 2322685377: 2322685377 (0) win 8192
Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.2.72 с использованием исходящего ifc ВНЕШНИЙ Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: DROP Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ Дополнительная информация: Результат: интерфейс ввода: ВНУТРИ статус ввода: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: падение Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, Местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA Показан 1 пакет Действие 3.Проверьте логи FTD Lina.
Чтобы настроить системный журнал на FTD через FMC, проверьте этот документ:
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200479-Configure-Logging-on-FTD-via-FMC.html
Настоятельно рекомендуется настроить внешний сервер системного журнала для журналов FTD Lina. Если удаленный сервер системного журнала не настроен, включите локальные буферные журналы на брандмауэре во время устранения неполадок. Конфигурация журнала, показанная в этом примере, является хорошей отправной точкой:
firepower # показать пробег … ведение журнала включить отметка времени регистрации размер буфера регистрации 1000000 логирование буферизованной информации
Установите пейджер терминала на 24 линии для управления пейджером терминала:firepower # терминал пейджер 24
Очистить буфер захвата:firepower # очистить буфер регистрации
Протестируйте соединение и проверьте логи с помощью фильтра синтаксического анализатора.В этом примере пакеты отбрасываются политикой доступа брандмауэра:
огневая мощь № показать лесозаготовку | включает 10.10.1.100 09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3696 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0] 09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0] 09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100 / 3696 dst ВНЕШНИЙ: 10.10.1.100/80 по группе доступа "CSM_FW_ACL_" [0x97aa021a, 0x0] 09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
Действие 4. Проверьте отбрасывание ASP межсетевого экрана.
Если вы подозреваете, что пакет отброшен брандмауэром, вы можете увидеть счетчики всех пакетов, отброшенных брандмауэром на программном уровне:
firepower # показать asp drop Падение кадра: Нет маршрута к хосту (нет маршрута) 234 Поток запрещен настроенным правилом (acl-drop) 71 Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15 Падение потока: Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15
Вы можете включить захват, чтобы увидеть все падения уровня программного обеспечения ASP:
firepower # захват ASP тип asp-drop весь буфер 33554432 только заголовки
Подсказка : Если вас не интересует содержимое пакета, вы можете захватить только заголовки пакета (опция только заголовков).Это позволяет захватывать гораздо больше пакетов в буфер захвата. Кроме того, вы можете увеличить размер буфера захвата (по умолчанию 500 Кбайт) до 32 Мбайт (опция буфера). Наконец, начиная с FTD версии 6.3, опция размера файла позволяет вам конфигурировать файл захвата размером до 10 ГБ. В этом случае вы можете видеть только захваченное содержимое в формате pcap.
Чтобы проверить содержимое захвата, вы можете использовать фильтр, чтобы сузить область поиска:
огневой мощи # показать захват ASP | включить 10.10.1.100 18: 07: 51: 57.823672 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192
19: 07: 51: 58.074291 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 26: 07: 52: 00.830370 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 29: 07: 52: 01.080394 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 45: 07: 52: 06.824282 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 46: 07: 52: 07.074230 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 В этом случае, поскольку пакеты уже отслеживаются на уровне интерфейса, причина отбрасывания не упоминается в захвате ASP.Помните, что пакет можно отследить только в одном месте (входящий интерфейс или отбрасывание ASP). В этом случае рекомендуется выполнить несколько сбросов ASP и установить конкретную причину сброса ASP. Вот рекомендуемый подход:
1. Очистить текущие счетчики отбрасывания ASP:
огневая мощь # чистый гадюк
2. Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).
3. Еще раз проверьте счетчики сброса ASP и отметьте увеличившееся, например.грамм.
firepower # показать asp drop Падение кадра: Нет маршрута к хосту ( no-route ) 234 Поток запрещен настроенным правилом ( acl-drop ) 71
4. Включите захват ASP для определенных видимых отбрасываний:firepower # захват ASP_NO_ROUTE тип asp-drop no-route firepower # захват ASP_ACL_DROP тип asp-drop acl-drop
5.Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).
6. Проверьте захваты ASP. В этом случае пакеты были отброшены из-за отсутствия маршрута:
огневая мощь # показать захват ASP_NO_ROUTE | включают 192.168.0.100. * 10.10.1.100 93: 07: 53: 52.381663 192.168.0.100.12417> 10.10.1.100.80: S 34515: 34515 (0) win 8192
95: 07: 53: 52.632337 192.168.0.100.12418> 10.10.1.100.80: S 16 448: 16
448 (0) win 8192
101: 07:53:55.375392 192.168.0.100.12417> 10.10.1.100.80: S 34515: 34515 (0) win 8192 102: 07: 53: 55.626386 192.168.0.100.12418> 10.10.1.100.80: S 16 448: 16
448 (0) win 8192
116: 07: 54: 01.376231 192.168.0.100.12417> 10.10.1.100.80: S 34515: 34515 (0) выигрыш 8192 117: 07: 54: 01.626310 192.168.0.100.12418> 10.10.1.100.80: S 16 448: 16
448 (0) win 8192
Действие 5.Проверьте таблицу соединений FTD Lina.
Могут быть случаи, когда вы ожидаете, что пакет будет исходить через интерфейс «X», но по каким-либо причинам он выходит за пределы интерфейса «Y». Определение выходного интерфейса межсетевого экрана основано на следующем порядке работы:
- Поиск установленного соединения
- Поиск преобразования сетевых адресов (NAT) — этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
- Маршрутизация на основе политик (PBR)
- Поиск в таблице маршрутизации
Для проверки таблицы соединений FTD:
firepower # показать conn 2 используются, 4 наиболее часто используются Осмотрите Snort: preserve-connection: 2 включено, 0 активно, 4 наиболее активно, 0 наиболее активно TCP DMZ 10.10.1.100: 80 INSIDE 192.168.0.100: 11694 , режим ожидания 0:00:01, байты 0, флаги aA N1 TCP DMZ 10.10.1.100:80 INSIDE 192.168.0.100: 11693 , режим ожидания 0:00:01, байты 0, флаги aA N1Ключевые точки:
- На основании флагов (Aa) соединение находится в зачаточном состоянии (полуоткрытое — межсетевой экран видел только TCP SYN).
- В зависимости от портов источника / назначения входной интерфейс — ВНУТРЕННИЙ, а выходной интерфейс — DMZ.
Это можно визуализировать на изображении здесь:
Примечание : Поскольку все интерфейсы FTD имеют уровень безопасности 0, порядок интерфейсов в выводе show conn основан на номере интерфейса. В частности, интерфейс с более высоким vpif-num (номер интерфейса виртуальной платформы) выбирается как внутренний, а интерфейс с меньшим vpif-num выбирается как внешний. Вы можете увидеть значение vpif интерфейса с помощью команды show interface detail .Связанное усовершенствование, CSCvi15290 ENH: FTD должен показывать направленность соединения в выводе FTD ‘show conn’
огневая мощь № показать детали интерфейса | i Номер интерфейса | Интерфейс [P | E]. * - ... Интерфейс Ethernet1 / 2 "INSIDE", включен, протокол линии включен Номер интерфейса 19 Интерфейс Ethernet1 / 3.202 "ВНЕШНИЙ", включен, протокол линии включен Номер интерфейса 20 Интерфейс Ethernet1 / 3.203 "DMZ", включен, протокол линии включен Номер интерфейса 22Примечание : Начиная с версии программного обеспечения Firepower 6.5, выпуск 9.13.x ASA, выходные данные команд show conn long и show conn detail предоставляют информацию об инициаторе соединения и ответчике
.Выход 1:
firepower # показать conn long ... TCP ВНЕШНИЙ: 192.168.2.200/80 (192.168.2.200/80) ВНУТРИ: 192.168.1.100/46050 (192.168.1.100/46050), флаги aA N1, простоя 3 секунды, время безотказной работы 6 секунд, таймаут 30 секунд, байты 0 Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 Идентификатор ключа поиска подключения: 228982375Выход 2:
firepower # показать деталь ... TCP ВНЕШНИЙ: 192.168.2.200/80 ВНУТРИ: 192.168.1.100/46050, флаги aA N1, простоя 4 с, время безотказной работы 11 с, тайм-аут 30 с, байты 0 Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 Идентификатор ключа поиска подключения: 228982375Кроме того, show conn long отображает IP-адреса с NAT в круглых скобках в случае преобразования сетевых адресов:
firepower # показать conn long ... TCP ВНЕШНИЙ: 192.168.2.222/80 (192.168.2.222/80) ВНУТРИ: 192.168.1.100/34792 ( 192.168.2.150 /34792), флаги aA N1, idle 0s, uptime 0s, timeout 30s, байты 0, xlate id 0x2b5a8a4314c0 Инициатор: 192.168.1.100, ответчик: 192.168.2.222 Идентификатор ключа поиска соединения: 262895
Действие 6. Проверьте кэш протокола разрешения адресов (ARP) межсетевого экрана.
Если межсетевой экран не может разрешить следующий переход, межсетевой экран автоматически отбрасывает исходный пакет (в данном случае TCP SYN) и непрерывно отправляет запросы ARP, пока не разрешит следующий переход.
Чтобы увидеть кеш ARP брандмауэра, используйте команду:
огневая мощь # показать arp
Дополнительно, чтобы проверить наличие неразрешенных хостов, вы можете использовать команду:
firepower # показать статистику arp Количество записей ARP в ASA: 0 Выпало блоков в ARP: 84 Максимальное количество блоков в очереди: 3 Блоки в очереди: 0 Получено ARP-сообщений о конфликте интерфейсов: 0 ARP-защита Отправлено бесплатных ARPS: 0 Общее количество попыток ARP: 182 <указывает на возможную проблему для некоторых хостов Неразрешенные хосты: 1 <это текущий статус Максимальное количество неразрешенных хостов: 2Если вы хотите дополнительно проверить работу ARP, вы можете включить захват, специфичный для ARP:
firepower # захват ARP интерфейс ARP Ethernet-типа ВНЕШНИЙ огневая мощь № показать захват ARP ... 4: 07: 15: 16.877914 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 сказать 192.168.2.50 5: 07: 15: 18.020033 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 сказать 192.168.2.50
В этих выходных данных межсетевой экран (192.168.2.50) пытается разрешить следующий переход (192.168.2.72), но нет ответа ARP
Выходные данные здесь показывают функциональный сценарий с правильным разрешением ARP:
огневая мощь # показать захват ARP 2 пакета захвачены 1: 07:17:19.495595 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 скажите 192.168.2.50 2: 07: 17: 19.495946 802.1Q vlan # 202 P0 ответ arp 192.168.2.72 is-at 4c: 4e: 35: fc: fc: d8 Показано 2 пакета
firepower # показать arp ВНУТРИ 192.168.1.71 4c4e.35fc.fcd8 9 ВНЕШНИЙ 192.168.2.72 4c4e.35fc.fcd8 9В случае, если запись ARP отсутствует, трассировка активного пакета TCP SYN показывает:
firepower # показать трассировку номер пакета 1 CAPI захвата Захвачено 6 пакетов 1: 07:03:43.270585 192.168.0.100.11997> 10.10.1.100.80 : S 4023707145: 4023707145 (0) win 8192
Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: ROUTE-LOOKUP Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найдено следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE … Фаза: 14 Тип: ПОТОК-СОЗДАНИЕ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Новый поток создан с идентификатором 4814, пакет отправлен в следующий модуль … Фаза: 17 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: обнаружил следующий переход 192.168.2.72 с использованием исходящего ifc OUTSIDE Результат: интерфейс ввода: ВНУТРИ статус ввода: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: разрешить Как видно из выходных данных, трассировка показывает Действие: разрешить , даже если следующий прыжок недоступен и пакет автоматически отбрасывается брандмауэром! В этом случае необходимо также проверить средство отслеживания пакетов, поскольку оно обеспечивает более точный вывод:
firepower # вход для отслеживания пакетов INSIDE tcp 192.168.0.100 1111 10.10.1.100 80 Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE … Фаза: 14 Тип: ПОТОК-СОЗДАНИЕ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Новый поток создан с идентификатором 4816, пакет отправлен следующему модулю … Фаза: 17 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.2.72 использование egress ifc OUTSIDE Результат: интерфейс ввода: ВНУТРИ статус ввода: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: падение Причина отбрасывания: (no-v4-смежность) Недопустимая смежность V4, Расположение отбрасывания: кадр 0x00005647a4e86109 поток (NA) / NA
В последних версиях ASA / Firepower приведенное выше сообщение было оптимизировано до:
Причина отбрасывания: (no-v4-смежность) Нет допустимой смежности V4. Проверить таблицу ARP (показать arp) имеет запись для nexthop ., Место сброса: f
Сводка возможных причин и рекомендуемых действийЕсли вы видите только пакет TCP SYN на входных интерфейсах, но не пакет TCP SYN, отправленный из ожидаемого выходного интерфейса, возможны следующие причины:
Случай 2. TCP SYN от клиента, TCP RST от сервераВозможная причина
Рекомендуемые действия
Пакет отброшен политикой доступа межсетевого экрана.
- Используйте packet-tracer или capture w / trace , чтобы увидеть, как межсетевой экран обрабатывает пакет.
- Проверьте журналы брандмауэра.
- Убедитесь, что брандмауэр отбрасывает ASP (покажите asp drop или захват типа asp-drop).
- Проверить события подключения FMC. Это предполагает, что для правила включено ведение журнала.
Неправильный фильтр захвата.
- Используйте packet-tracer или capture w / trace , чтобы увидеть, есть ли трансляция NAT, которая изменяет исходный или целевой IP.В этом случае настройте фильтр захвата.
- В выходных данных команды show conn long показаны IP-адреса с NAT.
Пакет отправляется на другой выходной интерфейс.
- Используйте packet-tracer или capture w / trace , чтобы увидеть, как межсетевой экран обрабатывает пакет. Помните порядок операций, касающихся определения выходного интерфейса, существующего соединения, UN-NAT, PBR и поиска в таблице маршрутизации.
- Проверьте журналы брандмауэра.
- Проверьте таблицу соединений межсетевого экрана ( show conn ).
Если пакет отправляется на неправильный интерфейс, потому что он соответствует существующему соединению, используйте команду clear conn address и укажите кортеж из 5 соединений, который вы хотите очистить.
Нет маршрута к месту назначения.
- Используйте packet-tracer или capture w / trace , чтобы увидеть, как межсетевой экран обрабатывает пакет.
- Проверьте, что брандмауэр отбрасывает ASP (показать asp drop) для no-route причина отбрасывания.
На исходящем интерфейсе нет записи ARP.
- Проверьте кэш ARP брандмауэра ( show arp ).
- Используйте средство отслеживания пакетов , чтобы проверить, существует ли допустимая смежность.
Выходной интерфейс не работает.
Проверьте выходные данные команды show interface iprief на брандмауэре и проверьте состояние интерфейса.
На этом изображении показана топология:
Описание проблемы: HTTP не работает
Затронутый поток:
Src IP: 192.168.0.100
Dst IP: 10.10.1.100
Протокол: TCP 80
Анализ захвата
Включите захват на движке FTD LINA.
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хост 10.10.1.100 firepower # захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
Захваты — нефункциональный сценарий:
Из интерфейса командной строки устройства захваты выглядят следующим образом:
огневая мощь # показать захват захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 834 байта, ] сопоставить IP-хост 192.168.0.100 хост 10.10.1.100 захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват - 878 байт, ] сопоставьте ip host 192.168.0.100 хост 10.10.1.100
Содержание CAPI:
огневая мощь # показать захват CAPI 1: 05: 20: 36.654217 192.168.0.100.22195> 10.10.1.100.80: S 1397289928: 1397289928 (0) win 8192
2: 05: 20: 36.1 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 3: 05: 20: 36.3 10.10.1.100.80> 192.168.0.100.22196: R 1850052503: 1850052503 (0) ack 2171673259 win 0 4: 05:20:37.414132 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 5: 05: 20: 37.414803 10.10.1.100.80> 192.168.0.100.22196: R 31997177: 31997177 (0) ack 2171673259 win 0 6: 05: 20: 37.3 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 ... Содержание CAPO:
огневая мощь # показать захват КАПО 1: 05:20:36.654507 802.1Q vlan # 202 P0 192.168.0.100.22195> 10.10.1.100.80: S 2866789268: 2866789268 (0) win 8192
2: 05: 20: 36.8 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80: S 4785344: 4785344 (0) win 8192 3: 05: 20: 36.7 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196: R 0: 0 (0) ack 4785345 win 0 4: 05: 20: 37.414269 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80: S 4235354730: 4235354730 (0) win 8192 5: 05: 20: 37.414758 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196: R 0: 0 (0) ack 4235354731 win 0 6: 05: 20: 37.5 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80: S 4118617832: 4118617832 (0) win 8192 На этом изображении показан захват CAPI в Wireshark.
Ключевые точки:
- Источник отправляет пакет TCP SYN.
- Источнику отправлено TCP RST.
- Источник повторно передает пакеты TCP SYN.
- MAC-адреса верны (для входящих пакетов MAC-адрес источника принадлежит нисходящему маршрутизатору, MAC-адрес назначения принадлежит интерфейсу INSIDE межсетевого экрана).
На этом изображении показан захват CAPO в Wireshark:
Ключевые точки:
- Источник отправляет пакет TCP SYN.
- TCP RST поступает на ВНЕШНИЙ интерфейс.
- Источник повторно передает пакеты TCP SYN.
- MAC-адреса верны (для исходящих пакетов ВНЕШНИЙ межсетевой экран является MAC-адресом источника, восходящий маршрутизатор — MAC-адресом назначения).
На основании 2 отловов можно сделать вывод, что:
- Трехстороннее установление связи TCP между клиентом и сервером не завершается
- Имеется TCP RST, который поступает на выходной интерфейс межсетевого экрана.
- Межсетевой экран «разговаривает» с соответствующими устройствами восходящего и нисходящего потоков (на основе MAC-адресов)
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте исходный MAC-адрес, который отправляет TCP RST.
Убедитесь, что MAC-адрес назначения в пакете TCP SYN совпадает с MAC-адресом источника в пакете TCP RST.
Эта проверка имеет целью подтвердить 2 вещи:
- Убедитесь, что нет асимметричного потока.
- Убедитесь, что MAC принадлежит ожидаемому восходящему устройству.
Действие 2. Сравните входящие и исходящие пакеты.
Визуально сравните 2 пакета в Wireshark, чтобы убедиться, что брандмауэр не изменяет / не повреждает пакеты.Выделены некоторые ожидаемые различия.
Ключевые точки:
- Временные метки разные. С другой стороны, разница должна быть небольшой и разумной. Это зависит от функций и проверок политики, применяемых к пакету, а также от нагрузки на устройство.
- Длина пакетов может отличаться, особенно если брандмауэр добавляет / удаляет заголовок dot1Q только с одной стороны.
- MAC-адреса разные.
- Заголовок dot1Q может быть на месте, если захват был сделан на субинтерфейсе.
- IP-адрес (а) различаются, если к пакету применяется NAT или преобразование адресов порта (PAT).
- Порты источника или назначения различаются, если к пакету применяется NAT или PAT.
- Если вы отключите параметр Wireshark Relative Sequence Number , вы увидите, что порядковые номера TCP / номера подтверждения изменяются брандмауэром из-за рандомизации начального порядкового номера (ISN).
- Некоторые параметры TCP могут быть перезаписаны.Например, межсетевой экран по умолчанию изменяет максимальный размер сегмента TCP (MSS) на 1380, чтобы избежать фрагментации пакетов на пути передачи.
Действие 3. Сделайте снимок в пункте назначения.
Если возможно, сделайте снимок в самом пункте назначения. Если это невозможно, сделайте снимок как можно ближе к месту назначения. Цель здесь — проверить, кто отправляет TCP RST (целевой сервер или какое-то другое устройство на пути?).
Корпус 3.Трехстороннее подтверждение TCP + RST от одной конечной точкиНа этом изображении показана топология:
Описание проблемы: HTTP не работает
Затронутый поток:
Src IP: 192.168.0.100
Dst IP: 10.10.1.100
Протокол: TCP 80
Анализ захватаВключите захват на движке FTD LINA.
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 firepower # захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
Захваты — нефункциональный сценарий:
Эта проблема может проявляться в захватах несколькими способами.
3.1 — Трехстороннее установление связи TCP + отложенный RST от клиента
И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.
Ключевые точки:
- Трехстороннее подтверждение TCP проходит через брандмауэр.
- Сервер повторно передает SYN / ACK.
- Клиент повторно передает ACK.
- Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте снимки как можно ближе к двум конечным точкам.
Записи брандмауэра показывают, что клиентский ACK не был обработан сервером. Это основано на следующих фактах:
- Сервер повторно передает SYN / ACK.
- Клиент повторно передает ACK.
- Клиент отправляет TCP RST или FIN / ACK перед любыми данными.
Захват на сервере показывает проблему. Клиентский ACK из трехстороннего подтверждения TCP так и не поступил:
3.2 — Трехстороннее квитирование TCP + отложенный FIN / ACK от клиента + отложенный RST от сервераИ CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.
Ключевые точки:
- Трехстороннее подтверждение TCP проходит через брандмауэр.
- Через ~ 5 секунд клиент отправляет FIN / ACK.
- Через ~ 20 секунд сервер отказывается и отправляет TCP RST.
На основании этого захвата можно сделать вывод, что, несмотря на трехстороннее установление связи TCP через межсетевой экран, кажется, что оно никогда не завершается на одной конечной точке (повторные передачи указывают на это).
Рекомендуемые действияТо же, что и в случае 3.1
3.3 — Трехстороннее установление связи TCP + отложенный RST от клиентаИ CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.
Ключевые точки:
- Трехстороннее подтверждение TCP проходит через брандмауэр.
- Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
На основании этих снимков можно сделать вывод, что:
- Через 5-20 секунд одна конечная точка отказывается и решает разорвать соединение.
То же, что и в случае 3.1
3.4 — Трехстороннее установление связи TCP + немедленное RST с сервера
Оба брандмауэра перехватывают CAPI и CAPO содержат эти пакеты, как показано на изображении.
Ключевые точки:
- Трехстороннее подтверждение TCP проходит через брандмауэр.
- Через несколько миллисекунд после пакета ACK от сервера идет TCP RST.
Действие: Делайте снимки как можно ближе к серверу.
Немедленное TCP RST от сервера может указывать на неисправный сервер или устройство на пути, которое отправляет TCP RST. Сделайте снимок на самом сервере и определите источник TCP RST.
Случай 4. TCP RST от клиентаНа этом изображении показана топология:
Описание проблемы: HTTP не работает.
Затронутый поток:
Src IP: 192.168.0.100
Dst IP: 10.10.1.100
Протокол: TCP 80
Анализ захвата
Включить захват на движке FTD LINA.
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 firepower # захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
Захваты — нефункциональный сценарий:
Это содержимое CAPI.
огневая мощь # показать захват CAPI 14 пакетов захвачено 1: 12: 32: 22.860627 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192
2: 12: 32: 23.111307 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 3: 12: 32: 23.112390 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0 4: 12: 32: 25.858109 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 5: 12: 32: 25.868698 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0 6: 12: 32: 26.108118 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 7: 12:32:26.109079 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0 8: 12: 32: 26.118295 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0 9: 12: 32: 31.859925 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 10: 12: 32: 31.860902 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0 11: 12: 32: 31.875229 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0 12: 12:32:32.140632 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0 13: 12: 32: 32.159995 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 14: 12: 32: 32.160956 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0 Показано 14 пакетов Это содержимое CAPO:
огневая мощь # показать захват КАПО Захвачено 11 пакетов 1: 12: 32: 22.860780 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192
2: 12: 32: 23.111429 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3000518857: 3000518857 (0) win 8192 3: 12: 32: 23.112405 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 35140 : 35140 (0) выигрыш 0
4: 12: 32: 25.858125 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 - Клиент отправляет пакет TCP SYN.
- Клиент отправляет пакет TCP RST.
- Пакет TCP SYN имеет значение порядкового номера, равное 4098574664.
- Клиент отправляет пакет TCP SYN. Брандмауэр рандомизирует ISN.
- Клиент отправляет пакет TCP RST.
- Нет трехстороннего установления связи TCP между клиентом и сервером.
- Существует TCP RST, который исходит от клиента. Значение порядкового номера TCP RST в захвате CAPI — 1386249853.
- Клиент отправляет пакет TCP SYN.Порядковый номер 4098574664 и такой же, как и на ВНУТРЕННЕМ интерфейсе межсетевого экрана (CAPI) .
- Имеется TCP SYN / ACK с номером ACK 1386249853 (что ожидается из-за рандомизации ISN). Этот пакет не был замечен в захватах брандмауэра
- Клиент отправляет TCP RST, поскольку он ожидал SYN / ACK со значением номера ACK 4098574665, но получил значение 1386249853
- MAC-адреса, отображаемые в захватах, являются ожидаемыми.
- Убедитесь, что маршрутизация между брандмауэром и клиентом симметрична.
- Имеются пакеты TCP Out-Of-Order (OOO).
- Идет повторная передача TCP.
- Имеется индикация потери пакета (отброшенные пакеты).
- Потеря пакета вызвана самим межсетевым экраном.
- Потеря пакета вызвана нисходящим потоком к устройству межсетевого экрана (направление от сервера к клиенту).
- Потеря пакета вызвана восходящим потоком к устройству межсетевого экрана (направление от клиента к серверу).
- Проверьте значения IP-идентификатора (ID) первого и последнего пакета.
- Проверить значения отметок времени первого и последнего пакета.
- Сравните временные метки первого пакета каждого захвата.
- Из захвата с последней отметкой времени получите фильтр, измените фильтр отметки времени с == на > = (первый пакет) и <= (последний пакет), т.е.г:
- IP-идентификация
- Порядковый номер RTP
- Порядковый номер ICMP
- Получатель (в данном случае FTP-клиент) отслеживает входящие порядковые номера TCP. Если он обнаруживает, что пакет был пропущен (ожидаемый порядковый номер был пропущен), он генерирует пакет ACK с ACK = «ожидаемый порядковый номер, который был пропущен». В этом примере Ack = 2224386800.
- Dup ACK запускает быструю повторную передачу TCP (повторная передача в течение 20 мс после получения дублированного ACK).
- Несколько дублированных ACK, но отсутствие фактических повторных передач указывает на то, что, скорее всего, есть пакеты, которые прибывают не по порядку.
- Дублирующиеся ACK, за которыми следуют фактические повторные передачи, указывают на то, что произошла некоторая потеря пакетов.
- Когда клиент подключается к точке доступа «A», HTTP-соединение не работает.
- Когда клиент подключается к точке доступа «B», HTTP-соединение работает.
- 2 захвата почти идентичны (учитывайте рандомизацию ISN).
- Нет признаков потери пакета.
- Пакеты без заказа (ООО)
- Имеется 3 HTTP-запроса GET. Первый получает сообщение 404 «Не найдено», второй — 200 «ОК», а третий получает сообщение перенаправления 304 «Не изменено».
- Имеется трехстороннее подтверждение TCP.
- Есть повторные передачи TCP и признаки потери пакета.
- Существует пакет (TCP ACK), который Wireshark идентифицирует как Malformed .
- Имеется трехстороннее подтверждение TCP.
- Есть повторные передачи TCP и признаки потери пакета.
- Существует пакет (TCP ACK), который Wireshark идентифицирует как Malformed .
- Пакет идентифицирован как неверно сформированный программой Wireshark.
- Имеет длину 2 байта.
- Имеется полезная нагрузка TCP размером 2 байта.
- Полезная нагрузка — 4 дополнительных нуля (00 00).
- Интерфейсы входа и выхода одинаковы (разворот).
- Количество байтов имеет очень большое значение (~ 5 ГБ).
- Флаг «o» обозначает разгрузку потока (HW ускоренный поток). Это причина, по которой захваты FTD не показывают никаких пакетов. Разгрузка потока поддерживается только на платформах 41xx и 93xx.В данном случае это устройство 41xx.
- Фильтр отображения применяется для удаления дубликатов пакетов и отображения только системных журналов.
- Разница между пакетами находится на уровне микросекунд. Это указывает на очень высокую скорость передачи пакетов.
- Время жизни (TTL) постоянно уменьшается. Это указывает на пакетную петлю.
- Маршрут указывает на правильный выходной интерфейс.
- Маршрут был изучен несколько минут назад (0:02:37).
- Подключение было установлено ~ 4 минуты назад (это до установки маршрута EIGRP в таблице маршрутизации)
- Поиск установленного соединения (имеет приоритет над поиском в глобальной таблице маршрутизации).
- Поиск преобразования сетевых адресов (NAT) — этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
- Маршрутизация на основе политик (PBR)
- Поиск в глобальной таблице маршрутизации
- Имеется трехстороннее подтверждение TCP.
- Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
- Клиент получил TCP ACK.
- Клиенту отправлено TCP RST.
- Имеется трехстороннее подтверждение TCP.
- Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
- Брандмауэр отправляет на сервер повторные передачи TCP.
- На сервер отправлено TCP RST.
- Имеется трехстороннее подтверждение TCP. Идентификаторы IP такие же. Это означает, что брандмауэр не проксировал поток.
- Приветствие клиента TLS исходит от клиента с IP-идентификатором 12083. Пакет передается через прокси-сервер межсетевым экраном (в данном случае межсетевой экран был настроен с использованием политики расшифровки TLS), а IP-идентификатор изменен на 52534.Кроме того, контрольная сумма TCP пакета повреждена (из-за дефекта программного обеспечения, который позже был исправлен).
- Брандмауэр находится в режиме TCP Proxy и отправляет ACK клиенту (подменяя сервер).
- Межсетевой экран не получает никаких пакетов TCP ACK от сервера и повторно передает приветственное сообщение клиента TLS. Это опять же из-за режима TCP Proxy, который активировал брандмауэр.
- Через ~ 30 секунд брандмауэр отказывается и отправляет клиенту TCP RST.
- Межсетевой экран отправляет серверу TCP RST.
- Имеется трехстороннее подтверждение TCP.
- Клиент (FMC) отправляет сообщение SSL Client Hello на портал Smart Licensing.
- Идентификатор сеанса SSL равен 0. Это означает, что сеанс не возобновлен.
- Целевой сервер отвечает сообщениями «Приветствие сервера», «Сертификат» и «Приветствие сервера выполнено».
- Клиент отправляет SSL Fatal Alert с жалобой на «Неизвестный ЦС».
- Клиент отправляет TCP RST, чтобы закрыть сеанс.
- Полная продолжительность сеанса TCP (от установления до закрытия) составляла ~ 0,5 секунды.
- Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
- Брандмауэр отвечает объявлением о соседстве IPv6.
- Маршрутизатор отправляет эхо-запрос ICMP.
- Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нижестоящего устройства (fc00: 1: 1: 1 :: 100).
- Маршрутизатор отвечает объявлением о соседстве IPv6.
- Маршрутизатор отправляет дополнительные эхо-запросы IPv6 ICMP.
- Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
- Маршрутизатор отвечает объявлением о соседстве IPv6.
- Межсетевой экран отправляет эхо-запрос IPv6 ICMP.
- Устройство восходящего потока (маршрутизатор fc00: 1: 1: 2 :: 2) отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
- Межсетевой экран отправляет дополнительный эхо-запрос IPv6 ICMP.
- Маршрутизатор восходящего потока отправляет дополнительное сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
- Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
- Брандмауэр отвечает объявлением о соседстве IPv6.
- Маршрутизатор отправляет эхо-запросы ICMP и получает эхо-ответы.
- Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
- Брандмауэр отвечает объявлением о соседстве IPv6.
- Межсетевой экран отправляет эхо-запрос ICMP.
- Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (IP fc00: 1: 1: 1 :: 1).
- Брандмауэр отвечает объявлением о соседстве IPv6.
- Межсетевой экран отправляет эхо-запросы ICMP и получает эхо-ответы.
- Межсетевой экран получает различные запросы ARP для IP-адресов в сети 192.168.0.x / 24
- Межсетевой экран отвечает всем им (proxy-ARP) своим собственным MAC-адресом
- Администратор FTD не имел доступа к инструменту мониторинга SNMP
- SNMP версии 3 с аутентификацией и шифрованием данных для конфиденциальности был настроен на FTD
- Захват пакетов SNMP
- Сохраните записи и используйте настройки протокола Wireshark SNMP, чтобы указать учетные данные SNMP версии 3 для расшифровки пакетов SNMP версии 3.Расшифрованные записи используются для анализа и получения идентификаторов SNMP OID .
- Адреса / порты источника и назначения SNMP.
- PDU протокола SNMP не удалось декодировать, потому что PrivKey неизвестен Wireshark.
- Значение примитива encryptedPDU.
- Инструменты мониторинга SNMP использовали SNMP getBulkRequest для запроса и обхода родительского OID 1.3.6.1.4.1.9.9.221.1 и связанные с ним OID.
- FTD отвечал на каждый запрос getBulkRequest получением ответа, содержащего OID, относящиеся к 1.3.6.1.4.1.9.9.221.1.
- Загрузите MIB CISCO-ENHANCED-MEMPOOL-MIB и ее зависимости, как показано на изображении:
- Объекты —
Программный пакет спроектирован и разработан для соответствия сущностям реального мира, которые содержат все данные и услуги для функционирования в качестве сообщений связанных сущностей. - Связь —
Установлены механизмы связи, которые обеспечивают средства, с помощью которых объекты работают вместе. - Методы —
Методы — это услуги, которые объекты выполняют для удовлетворения функциональных требований предметной области. Объекты запрашивают услуги других объектов через сообщения. - 10 минут на чтение
- Применимо к:
- Exchange Online
- Внутренний
- Внешний
- Известные отправители (список контактов)
- Войдите в инструмент.
- Выберите профиль, связанный с почтовым ящиком, имеющим правила OOF
- В верхней части хранилища информации выберите Входящие , а затем щелкните правой кнопкой мыши Открыть связанную таблицу содержимого .
В настройках почтового ящика пользователя в клиенте (например, OWA):
В PowerShell:
Get-Mailbox -Identity Daniel | fl DeliverToMailboxAndForward, ForwardingSmtpAddress, ForwardingAddressВ свойствах пользователя на портале M365:
- Внешний
- ExternalLegacy
- InternalLegacy
- Нет
- Удалите правила OOF и шаблоны правил OOF из почтового ящика. Чтобы найти правила, см. Раздел подробностей правила OOF.
- Отключите, а затем снова включите функцию OOF для почтового ящика.
- Еще раз проверьте, работает ли функция OOF должным образом и отсутствуют ли симптомы.
Отключите автоматические ответы в Outlook, если они включены в данный момент, и выйдите из Outlook.
Войдите в инструмент MFCMapi и выберите Tools > Options .
Установите следующие флажки:
- Используйте флаг MDB_ONLINE при вызове OpenMsgStore
- Используйте флаг MAPI_NO_CACH при вызове OpenEntry
Выберите Session > Logon .
Выберите профиль Outlook для почтового ящика и дважды щелкните его, чтобы открыть.
Разверните Корневой контейнер , а затем выберите Freebusy Data .
В столбце Other Names щелкните правой кнопкой мыши свойство PR_DELEGATED_BY_RULE с тегом 0x3FE30102 , укажите на Edit as stream , а затем выберите Binary .
Выделите весь текст в поле Stream (Binary) и удалите его.
В клиенте Outlook выберите Файл > Автоматические ответы > Правила .
Выберите правило OOF, а затем выберите Удалить правило .
Убедитесь, что протокол EWS включен в почтовом ящике. Ответы OOF полагаются на этот протокол. (Обратите внимание, что повторное включение протокола может занять несколько часов.)
Включите функцию OOF, запустив следующий командлет:
Set-MailboxAutoReplyConfiguration <идентификатор> -AutoReplyState включенПроверьте, работает ли функция OOF должным образом.
Если проблема все еще существует, проверьте квоту правил для почтового ящика:
Get-mailbox -identity| fl RulesQuota По умолчанию параметр RulesQuota имеет максимальное значение 256 КБ (262 144 байта). Это определяется размером правил, а не количеством правил.
Удалите правила OOF и шаблоны правил OOF из почтового ящика. Чтобы найти правила, см. Раздел подробностей правила OOF.После удаления правил вы можете повторно включить функцию OOF, а затем снова протестировать.
- Онлайн по адресу https: // fo.birdarcha.uz/s/ru_landing
- Лично в офисе «Одно окно» (одно окно). Таких офисов по Ташкенту несколько. Я пошел в тот, что возле станции метро Minor на улице Osiyo 4A, и обслуживание было быстрым и дружелюбным. После того, как вы подадите документы и подтверждение оплаты комиссии, ваша компания будет зарегистрирована в течение ……… .30 минут! Если вы не говорите по-русски, просто наймите переводчика; это будет дешевле, чем заплатить адвокату.
- Единая ставка корпоративного налога в размере 12%.
- Удержание 10% дивидендов для нерезидентов.
- Бухгалтер, работающий на полную ставку, вероятно, обойдется вам в 500-600 долларов в месяц.Но вы также можете нанять одного сотрудника с частичной занятостью в зависимости от вашей рабочей нагрузки. Вы можете найти людей от 50 долларов США в месяц для небольших рабочих нагрузок.
- Вы должны будете платить своему директору минимальную ежемесячную зарплату в размере около 600 000 сомов (+ — 65 долларов США), а также соответствующие налоги и социальные отчисления.
- Существует упрощенный налоговый режим для компаний с оборотом менее 1 млрд. Сомов. (105 000 долларов США). В таких случаях взимается 4% налог с оборота.
- Ставка НДС, которая недавно была снижена до 15%.Компания с упрощенным налоговым режимом не обязана регистрироваться в качестве плательщика НДС. Но будьте осторожны, режим НДС очень неопределенный и постоянно меняется.
- Прирост капитала обычно облагается налогом по ставке корпоративного налога.
128 разных адресов.Если вас интересует точное число, вот сколько уникальных адресов предлагает IPv6: 340 282 366 920 938 463 463 374 607 431 768 211 456
Эта проблема возникает в первую очередь из-за подключений без сохранения состояния и отсутствия механизмов управления потоком, существующих в протоколе UDP.Одна из функций TCP — предотвращение доставки данных с нарушением порядка путем повторной сборки пакетов по порядку или принудительного повторного получения пакетов с нарушением порядка.
Эти пакеты отбрасываются, что приводит к повторной передаче, замедлению и нарушению порядка пакетов. Микропакет не отображается на счетчиках интерфейса из-за небольшой длины (100 миллисекунд или меньше) пакета.
В некоторых случаях частью проблемы может быть широкое использование агрегации каналов и балансировки нагрузки. Если с IPS используется агрегация каналов, необходимо поддерживать сходство потока трафика. Используйте алгоритм на основе потока, такой как агрегирование с использованием исходного IP-адреса. Это гарантирует, что все фрагменты из любого конкретного потока пройдут через один и тот же сегмент.
Имейте в виду, что многие инструменты управления сетью широко используют SNMP, который обычно основан на UDP (в зависимости от версии).Приложения для обмена файлами также широко используют протокол UDP. Устранение или направление этих типов трафика через определенные сегменты сети, которые могут проверяться IPS по-разному, может снизить общее воздействие на систему.
В идеале сквозной. Если это невозможно, вы должны хотя бы знать восходящие и нисходящие устройства
5.x.
168.103.1 и 192.168.101.1 в обоих направлениях.
pcap]?
!!!!
В этом документе:
pcap host 192.168.101.1
CTRL + C <- для остановки захвата
Журналы брандмауэра показывают:
огневая мощь № журнал событий | я 47741 13 октября 2019 13:57:36:% FTD-6-302013: Построено входящее TCP-соединение 4869 для INSIDE: 192.168.0.100 / 47741 (192.168.0.100/47741) ВНЕШНИЙ: 10.10.1.100/80 (10.10.1.100/80) 13 октября 2019 13:57:36:% FTD-6-302014: Разрыв TCP-соединения 4869 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O от ВНУТРИ 13 октября 2019 13:57:39:% FTD-6-302013: Построено входящее TCP-соединение 4870 для INSIDE: 192.168.0.100/47741 (192.168.0.100/47741) для OUTSIDE: 10.10.1.100/80 (10.10.1.100/80) ) 13 октября 2019 13:57:39:% FTD-6-302014: Разрыв TCP-соединения 4870 для INSIDE: 192.168.0.100 / 47741 к ВНЕШНЕМУ: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИ 13 октября 2019 13:57:45:% FTD-6-302013: Построено входящее TCP-соединение 4871 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) ) 13 октября 2019 13:57:45:% FTD-6-302014: Разрыв TCP-соединения 4871 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИ
Эти журналы показывают, что существует TCP RST, который поступает на ВНУТРЕННИЙ интерфейс межсетевого экрана
Захват CAPI в Wireshark:
Следуйте первому потоку TCP, как показано на изображении.
В Wireshark перейдите к Edit> Preferences> Protocols> TCP и отмените выбор параметра Relative sequence numbers , как показано на изображении.
На этом изображении показано содержимое первого потока в захвате CAPI:
Ключевые точки:
Тот же поток в захвате CAPO содержит:
Ключевые точки:
На основании двух отловов можно сделать вывод, что:
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте снимок на клиенте.
На основе захватов, собранных на межсетевом экране, есть явное указание на асимметричный поток. Это основано на том факте, что клиент отправляет TCP RST со значением 1386249853 (рандомизированный ISN):
Ключевые точки:
Это можно представить как:
Действие 2. Проверьте маршрутизацию между клиентом и межсетевым экраном.
Подтвердите, что:
Существуют сценарии, в которых RST исходит от устройства, которое находится между брандмауэром и клиентом, в то время как во внутренней сети существует асимметричная маршрутизация. Типичный случай показан на изображении:
В этом случае захват имеет это содержимое. Обратите внимание на разницу между MAC-адресом источника пакета TCP SYN и MAC-адресом источника TCP RST и MAC-адресом назначения пакета TCP SYN / ACK:
огневая мощь # показать захват CAPI деталь
1: 13:57:36.730217 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66
192.168.0.100.47740> 10.10.1.100.80: S [tcp sum ok] 3045001876: 3045001876 (0) win 8192 (DF) (ttl 127, id 25661 )
2: 13: 57: 36.981104 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66
192.168.0.100.47741> 10.10.1.100.80: S [tcp sum ok] 3809380540: 3809380540 (0) win 8192 (DF) (ttl 127, id 25662 )
3: 13: 57: 36.981776 00be.75f6.1dae a023.9f92.2a4d 0x0800 Длина: 66
10.10.1.100.80> 192.168.0.100.47741: S [tcp sum ok] 1304153587: 1304153587 (0) ack 3809380541 win 8192 (DF) (ttl 127, id 23339)
4: 13: 57: 36.982126 a023.9f92.2a4d 00be.75f6.1dae 0x0800 Длина: 54
192.168.0.100.47741> 10.10.1.100.80: R [tcp sum ok] 3809380541: 3809380541 (0) ack 1304153588 win 8192 (ttl 255, id 48501)
...
Случай 5. Медленная передача TCP (сценарий 1)
Описание проблемы:
Передача SFTP между хостами 10.11.4.171 и 10.77.19.11 медленные. Хотя минимальная пропускная способность (BW) между двумя хостами составляет 100 Мбит / с, скорость передачи не превышает 5 Мбит / с.
При этом скорость передачи между хостами 10.11.2.124 и 172.25.18.134 значительно выше.
Теория предыстории:
Максимальная скорость передачи для одного потока TCP определяется продуктом задержки полосы пропускания (BDP). Используемая формула показана на изображении:
Более подробную информацию о BDP можно найти здесь:
Сценарий 1.Медленная передача
На этом изображении показана топология:
Затронутый поток:
IP-адрес источника: 10.11.4.171
Dst IP: 10.77.19.11
Протокол: SFTP (FTP через SSH)
Анализ захватаВключить захваты на движке FTD LINA:
firepower # захват CAPI int INSIDE buffer 33554432 match ip host 10.11.4.171 host 10.77.19.11 firepower # захват CAPO int OUTSIDE buffer 33554432 match ip host 10.11.4.171 хост 10.77.19.11
Предупреждение : Захваты LINA на захватах FP1xxx и FP21xx влияют на скорость передачи трафика, проходящего через FTD. Не включайте перехваты LINA на платформах FP1xxx и FP21xxx при устранении проблем с производительностью (медленная передача через FTD). Вместо этого используйте SPAN или устройство HW Tap в дополнение к захватам на исходном и целевом хостах. Проблема задокументирована в CSCvo30697.
firepower # захват интерфейса трассировки необработанных данных типа CAPI внутри соответствует icmp любой любой ПРЕДУПРЕЖДЕНИЕ. Выполнение перехвата пакетов может отрицательно сказаться на производительности.Рекомендуемые действия
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Расчет времени туда и обратно (RTT)
Сначала определите поток передачи и следуйте ему:
Измените представление Wireshark, чтобы отобразить секунд с момента предыдущего отображаемого пакета . Это упрощает расчет RTT:
RTT можно рассчитать, сложив значения времени между двумя пакетами обмена (один в направлении источника, а другой в направлении пункта назначения).В этом случае пакет № 2 показывает RTT между межсетевым экраном и устройством, которое отправило пакет SYN / ACK (сервер). Пакет № 3 показывает RTT между межсетевым экраном и устройством, отправившим пакет ACK (клиентом). Сложение двух чисел дает хорошую оценку сквозного RTT:
RTT ≈ 80 мс
Расчет размера окна TCP
Разверните пакет TCP, разверните заголовок TCP, выберите Расчетный размер окна и выберите Применить как столбец:
Проверьте столбец Расчетное значение размера окна , чтобы узнать, какое максимальное значение размера окна было во время сеанса TCP.Вы также можете выбрать имя столбца и отсортировать значения.
Если вы тестируете загрузку файла (сервер > клиент ), вы должны проверить значения, объявленные сервером. Максимальное значение размера окна, объявленное сервером, определяет максимальную скорость передачи.
В данном случае размер окна TCP составляет ≈ 50000 байт
На основе этих значений и с использованием формулы произведения на задержку полосы пропускания вы получаете максимальную теоретическую полосу пропускания, которая может быть достигнута в этих условиях: 50000 * 8/0.0 = 1 (без масштабирования окон). Это отрицательно сказывается на скорости передачи:
На этом этапе необходимо выполнить захват на сервере, подтвердить, что это тот, кто объявляет масштаб окна = 0, и перенастроить его (вам может потребоваться проверить документацию сервера, как это сделать).
Сценарий 2. Быстрая передача
Теперь рассмотрим хороший сценарий (быстрая передача через ту же сеть):
Топология:
Поток интересов:
Src IP: 10.11.2.124
Dst IP: 172.25.18.134
Протокол: SFTP (FTP через SSH)
Включить захват на движке FTD LINA
firepower # захват CAPI int INSIDE buffer 33554432 сопоставление ip host 10.11.2.124 host 172.25.18.134 firepower # захват CAPO int OUTSIDE buffer 33554432 сопоставление ip host 10.11.2.124 host 172.25.18.134
Расчет времени кругового обхода (RTT): В этом случае RTT составляет ≈ 300 мсек.
Расчет размера окна TCP: сервер объявляет коэффициент масштабирования окна TCP равный 7.
Размер окна TCP сервера ≈ 1600000 Байт:
На основе этих значений формула произведения на задержку полосы пропускания дает:
1600000 * 8 / 0,3 = максимальная теоретическая скорость передачи 43 Мбит / с
Случай 6. Медленная передача TCP (сценарий 2)Описание проблемы: Передача (загрузка) файлов по FTP через брандмауэр происходит медленно.
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.2.220
Dst IP: 192.168.1.220
Протокол: FTP
Анализ захватаВключите захват на движке FTD LINA.
firepower # захват буфера необработанных данных типа CAPI 33554432 интерфейс INSIDE соответствие хоста tcp 192.168.2.220 хост 192.168.1.220 firepower # cap Буфер необработанных данных типа CAPO 33554432 интерфейс ВНЕШНЕЕ соответствие хоста tcp 192.168.2.220 хост 192.168.1.220
Выберите пакет FTP-DATA и следуйте каналу данных FTP при захвате FTD INSIDE (CAPI):
Содержимое потока FTP-DATA:
Содержимое захвата CAPO:
Ключевые точки:
Совет : Сохраните захваченные изображения, когда вы перейдете к File> Export Specified Packets . Затем сохраните только Отображаемый диапазон пакетов
Рекомендуемые действияДействия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Определите место потери пакета.
В подобных случаях необходимо выполнять одновременный захват и использовать методологию «разделяй и властвуй» для определения сегмента (ов) сети, вызывающего потерю пакетов. С точки зрения межсетевого экрана существует 3 основных сценария:
Потеря пакетов, вызванная межсетевым экраном: Чтобы определить, вызвана ли потеря пакетов межсетевым экраном, необходимо сравнить входящий захват с исходящим захватом. Есть довольно много способов сравнить 2 разных снимка. В этом разделе показан один из способов решения этой задачи.
Процедура сравнения 2 захватов для определения потери пакетов
Шаг 1. Убедитесь, что 2 захвата содержат пакеты из одного временного окна. Это означает, что в одном захвате не должно быть пакетов, которые были захвачены до или после другого захвата.Есть несколько способов сделать это:
В этом примере вы можете видеть, что первые пакеты каждого захвата имеют одинаковые значения IP ID:
Если они не совпадают, то:
(frame.time> = «16 октября 2019 г. 16: 13: 43.2446«) && (frame.time <= "16 октября 2019 г. 16: 20: 21.785130000")
3. Экспортируйте указанные пакеты в новый захват, выберите File> Export Specified Packets и затем сохраните Displayed packets. На этом этапе оба захвата должны содержать пакеты, охватывающие одно и то же временное окно. Теперь вы можете начать сравнение двух снимков.
Шаг 2. Укажите, какое поле пакета используется для сравнения двух захватов.Пример полей, которые можно использовать:
Создайте текстовую версию каждого захвата, содержащую поле для каждого пакета, указанного на шаге 1. Для этого оставьте только интересующий столбец, например если вы хотите сравнить пакеты на основе IP-идентификации, измените захват, как показано на изображении.
Результат:
Шаг 3.Создайте текстовую версию захвата ( File> Export Packet Dissections> As Plain Text …), как показано на изображении:
Снимите отметку с заголовков столбцов I nclude и Параметры пакета , чтобы экспортировать только значения отображаемого поля, как показано на изображении:
Шаг 4. Отсортируйте пакеты в файлах. Для этого можно использовать команду Linux sort :
# сортировать CAPI_IDs> file1.отсортировано # sort CAPO_IDs> file2.sorted
Шаг 5. Используйте инструмент сравнения текста (например, WinMerge) или команду Linux diff , чтобы найти различия между двумя захватами.
В этом случае захват CAPI и CAPO для трафика данных FTP идентичен. Это доказывает, что потеря пакетов не была вызвана межсетевым экраном.
Определить потерю пакетов в восходящем / нисходящем направлениях.
Ключевые точки:
1.Этот пакет является повторной передачей TCP. В частности, это пакет TCP SYN, отправленный от клиента к серверу для данных FTP в пассивном режиме. Поскольку клиент повторно отправляет пакет, и вы можете видеть начальный SYN (пакет №1), пакет был потерян в восходящем направлении к межсетевому экрану.
В этом случае может быть даже вероятность того, что пакет SYN добрался до сервера, но пакет SYN / ACK был потерян на обратном пути:
2. Есть пакет от сервера, и Wireshark определил, что предыдущий сегмент не был замечен / захвачен.Поскольку незахваченный пакет был отправлен с сервера на клиент и не был замечен в захвате брандмауэра, это означает, что пакет был потерян между сервером и брандмауэром.
Это указывает на потерю пакетов между FTP-сервером и межсетевым экраном.
Действие 2. Сделайте дополнительные захваты.
Делайте дополнительные захваты вместе с захватами на конечных точках. Попробуйте применить метод «разделяй и властвуй», чтобы изолировать проблемный сегмент, вызывающий потерю пакетов.
Ключевые точки:
Что означают повторяющиеся ACK?
Действие 3. Рассчитайте время обработки межсетевым экраном транзитных пакетов.
Применить один и тот же захват на 2 разных интерфейсах:
firepower # буфер CAPI захвата 33554432 интерфейс INSIDE соответствует хосту tcp 192.168.2.220 хосту 192.168.1.220 firepower # захват интерфейса CAPI СНАРУЖИ
Экспорт захвата, проверка разницы во времени между входящими и исходящими пакетами
Корпус 7.Проблема подключения TCP (повреждение пакета)Описание проблемы:
Беспроводной клиент (192.168.21.193) пытается подключиться к целевому серверу (192.168.14.250 — HTTP), и существует 2 разных сценария:
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.21.193
Dst IP: 192.168.14.250
Протокол: TCP 80
Анализ захватаВключить захваты на движке FTD LINA:
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.21.193 хост 192.168.14.250 firepower # захват CAPO int OUTSIDE match ip host 192.168.21.193 host 192.168.14.250
Захваты — Функциональный сценарий:
В качестве основы всегда очень полезно иметь захваты из рабочего сценария.
На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE
.На этом изображении показан снимок, сделанный на ВНЕШНЕМ интерфейсе NGFW.
Ключевые точки:
Захваты — Нерабочий сценарий:
Содержимое входящего захвата (CAPI).
Ключевые точки:
На этом изображении показано содержимое исходящего захвата (CAPO).
Ключевые точки:
2 захвата почти идентичны (учитывайте рандомизацию ISN):
Проверить неверно сформированный пакет:
Ключевые точки:
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте дополнительные захваты, включая захваты на конечных точках, и, если возможно, попробуйте применить метод «разделяй и властвуй», чтобы изолировать источник повреждения пакета, например
В этом случае 2 дополнительных байта были добавлены драйвером интерфейса коммутатора «A», и было решено заменить коммутатор, вызывающий повреждение.
Случай 8. Проблема с подключением UDP (отсутствующие пакеты)Описание проблемы: сообщения системного журнала (UDP 514) не отображаются на целевом сервере системного журнала.
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.1.81
Dst IP: 10.10.1.73
Протокол: UDP 514
Анализ захватаВключить захваты на движке FTD LINA:
firepower # захват CAPI int INSIDE trace match udp host 192.168.1.81 host 10.10.1.73 eq 514 firepower # захват CAPO int OUTSIDE match udp host 192.168.1.81 host 10.10.1.73 eq 514
захватов FTD не показывают пакетов:
огневая мощь # показать захват захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 0 байт] соответствовать хосту udp 192.168.1.81 хост 10.10.1.73 eq syslog захват интерфейса необработанных данных типа CAPO СНАРУЖИ [захват - 0 байт] сопоставить хост udp 192.168.1.81 хост 10.10.1.73 eq syslogРекомендуемые действия
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте таблицу соединений FTD.
Чтобы проверить конкретное соединение, вы можете использовать следующий синтаксис:
firepower # показать адрес соединения 192.168.1.81 порт 514
10 в использовании, 3627189 наиболее часто используемых
Осмотрите Snort:
preserve-connection: 6 включено, 0 активно, 74 наиболее активно, 0 наиболее активно
UDP ВНУТРИ 10.10.1.73: 514 INSIDE 192.168.1.81:514, простоя 0:00:00, байты 480379697 , флаги - или N1
Ключевые точки:
Действие 2. Сделайте снимки на уровне шасси.
Подключитесь к диспетчеру шасси Firepower и включите захват на входном интерфейсе (в данном случае E1 / 2) и интерфейсах объединительной платы (E1 / 9 и E1 / 10), как показано на изображении:
Через несколько секунд:
Совет : в Wireshark исключите пакеты с тегами VN, чтобы исключить дублирование пакетов на уровне физического интерфейса
Раньше:
После:
Ключевые точки:
Действие 3. Используйте трассировщик пакетов.
Поскольку пакеты не проходят через механизм LINA брандмауэра, вы не можете выполнять трассировку в реальном времени (захват с трассировкой), но вы можете отслеживать эмулированный пакет с помощью средства отслеживания пакетов:
firepower # вход для трассировщика пакетов ВНУТРИ udp 10.10.1.73 514 192.168.1.81 514 Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: ПОТОК-ПРОСМОТР Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Найден поток с идентификатором 25350892 с использованием существующего потока Фаза: 4 Тип: SNORT Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку Фаза: 5 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.1.81 с использованием egress ifc INSIDE Фаза: 6 Тип: ADJACENCY-LOOKUP Подтип: следующий переход и смежность Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: смежность активна MAC-адрес следующего перехода a023.9f92.2a4d попадает в 1 ссылку 1 Фаза: 7 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Результат: интерфейс ввода: ВНУТРИ статус ввода: вверх вход-линия-статус: вверх выходной интерфейс: ВНУТРИ статус вывода: вверх статус строки вывода: вверх Действие: разрешить
Действие 4.Подтвердите маршрутизацию FTD.
Проверьте таблицу маршрутизации межсетевого экрана на наличие проблем с маршрутизацией:
огневая мощь № показать маршрут 10.10.1.73
Запись маршрутизации для 10.10.1.0 255.255.255.0
Известен через "eigrp 1", расстояние 90, метрическая система 3072, тип внутренний
Распространение через eigrp 1
Последнее обновление от 192.168.2.72 на ВНЕШНЕМ, 0:03:37 назад
Блоки дескриптора маршрутизации:
* 192.168.2.72, из 192.168.2.72, 0:02:37 назад, через OUTSIDE
Метрика маршрута - 3072, доля трафика - 1.
Общая задержка 20 микросекунд, минимальная пропускная способность 1000000 Кбит
Надежность 255/255, минимальный MTU 1500 байт
Загрузка 29/255, хмель 1
Ключевые точки:
Действие 5. Подтвердите время работы соединения.
Проверьте время работы соединения, чтобы узнать, когда оно было установлено:
firepower # показать адрес соединения 192.168.1.81 порт 514 деталь
21 используется, 3627189 наиболее часто используется
Осмотрите Snort:
preserve-connection: 19 включено, 0 активно, 74 наиболее активно, 0 наиболее активно
Флаги: A - ожидает ACK ответчика на SYN, a - ожидает ACK инициатора на SYN,
b - TCP state-bypass или прибитый,
C - CTIQBE media, c - кластер централизованный,
D - DNS, d - дамп, E - внешнее обратное соединение, e - полураспределенное,
F - инициатор FIN, f - ответчик FIN,
G - группа, g - MGCP, H - H.323, h - H.225.0, I - данные инициатора,
i - неполный, J - GTP, j - данные GTP, K - t3-ответ GTP
k - тонкий носитель, L - туннель без крышки, M - данные SMTP, m - носитель SIP
N - проверено Snort (1 - сохранение соединения включено, 2 - сохранение соединения действует)
n - GUP, O - данные респондента, o - выгружены,
P - внутреннее заднее соединение, p - пассажирский поток
q - данные SQL * Net, R - инициатор подтвердил FIN,
R - UDP SUNRPC, r - ответчик подтвердил FIN,
T - SIP, t - SIP переходный, U - вверх,
V - сирота VPN, v - M3UA W - WAAS,
w - резервная копия вторичного домена,
X - проверяется сервисным модулем,
x - на сеанс, Y - поток заглушки директора, y - поток заглушки резервного копирования,
Z - Scansafe redirection, z - прямой поток пересылки
UDP ВНУТРИ: 10.10.1.73 / 514 ВНУТРИ: 192.168.1.81/514,
флаги -oN1, простоя 0 с, время безотказной работы 3 мин 49 с , тайм-аут 2 мин 0 с, байты 4801148711
Ключевой момент:
Действие 6. Удалите существующее соединение.
В этом случае пакеты соответствуют установленному соединению и направляются на неправильный выходной интерфейс, вызывая петлю. Это связано с порядком работы брандмауэра:
Поскольку соединение никогда не истекает (клиент системного журнала непрерывно отправляет пакеты, в то время как тайм-аут простоя соединения UDP составляет 2 минуты), необходимо вручную очистить соединение:
firepower # очистить адрес соединения 10.10.1.73 адрес 192.168.1.81 протокол udp порт 514 1 соединение (а) удалено.
Убедитесь, что установлено новое соединение:
firepower # показать адрес соединения 192.168.1.81 детали порта 514 | б 10.10.1.73. * 192.168.1.81
UDP ВНУТРИ : 10.10.1.73/514 ВНУТРИ : 192.168.1.81/514,
флаги -oN1, простоя 1 мин. 15 сек., время безотказной работы 1 мин. 15 сек., тайм-аут 2 мин. 0 сек., байты 408
Действие 7. Настройте тайм-аут плавающего соединения.
Это правильное решение для решения проблемы и предотвращения неоптимальной маршрутизации, особенно для потоков UDP.Перейдите в Devices> Platform Settings> Timeouts и установите значение:
Более подробную информацию о тайм-ауте плавающего соединения можно найти в Справочнике команд:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1649892
Случай 9. Проблема подключения HTTPS (сценарий 1)Описание проблемы: HTTPS-связь между клиентом 192.168.201.105 и сервером 192.168.202.101 невозможно установить
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.201.111
Dst IP: 192.168.202.111
Протокол: TCP 443 (HTTPS)
Анализ захватаВключить захваты на движке FTD LINA:
IP, используемый во ВНЕШНЕМ захвате, отличается из-за конфигурации преобразования адреса порта.
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.201.111 хост 192.168.202.111 firepower # захват CAPO int OUTSIDE match ip host 192.168.202.11 host 192.168.202.111
На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE:
Ключевые точки:
На этом изображении показан снимок, сделанный на интерфейсе NGFW OUTSIDE.
Ключевые точки:
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте дополнительные снимки.
Захват, сделанный на сервере, показывает, что сервер получил TLS Client Hellos с поврежденной контрольной суммой TCP и молча отбрасывает их (нет TCP RST или любого другого пакета ответа для клиента):
Если собрать все вместе:
В этом случае, чтобы понять, что происходит, необходимо включить в Wireshark опцию Проверить контрольную сумму TCP, если возможно, . Перейдите в Edit> Preferences> Protocols> TCP , как показано на изображении.
В этом случае полезно расположить снимки рядом, чтобы получить полную картину:
Ключевые точки:
Для справки:
Firepower TLS / SSL Обработка квитирования
Случай 10. Проблема подключения HTTPS (сценарий 2)Описание проблемы: Ошибка регистрации лицензии FMC Smart.
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.0.100
Dst: tools.cisco.com
Протокол: TCP 443 (HTTPS)
Анализ захватаВключить захват в интерфейсе управления FMC:
Попробуйте зарегистрироваться еще раз.C 264 захваченных пакета <- CTRL-C 264 пакетов, полученных фильтром 0 пакетов отброшено ядром корень @ огневая мощь: / Объем / home / admin #
Соберите снимок из FMC ( System> Health> Monitor, выберите устройство и выберите Advanced Troubleshooting ), как показано на изображении:
На изображении показан захват FMC на Wireshark:
Совет : Чтобы проверить все новые TCP-сеансы, которые были захвачены, используйте tcp.flags == 0x2 фильтр отображения в Wireshark. Это фильтрует все захваченные TCP SYN-пакеты.
Совет : примените в качестве столбца поле Server Name из сообщения SSL Client Hello.
Совет : примените этот фильтр отображения, чтобы видеть только сообщения Client Hello ssl.handshake.type == 1
Примечание : На момент написания этой статьи портал интеллектуального лицензирования (tools.cisco.com) использует эти IP-адреса: 72.163.4.38, 173.37.145.8
Следуйте одному из потоков TCP ( Follow> TCP Stream) , как показано на изображении.
Ключевые точки:
Выберите сертификат сервера и разверните поле эмитента , чтобы увидеть commonName. В этом случае Общее имя показывает устройство, которое выполняет функцию «Человек посередине» (MITM).
Это показано на этом изображении:
Рекомендуемые действияДействия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте дополнительные снимки.
Сделать снимки на транзитном брандмауэре:
CAPI показывает:
CAPO показывает:
Эти записи подтверждают, что транзитный межсетевой экран изменяет сертификат сервера (MITM)
Действие 2. Проверьте журналы устройства.
Вы можете получить комплект FMC TS, как описано в этом документе:
https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html
В этом случае файл /dir-archives/var-log/process_stdout.log показывает такие сообщения:
SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * среда .967 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg [494],
не удалось выполнить, ошибка код 60, строка ошибки "Сертификат узла SSL или удаленный ключ SSH не в порядке" ...
SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * Ср. 967 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue [514],
проблема с сертификатом проверка, ret 60, url "https: // tools.cisco.com/its/
Рекомендуемое решение
Отключите MITM для определенного потока, чтобы FMC мог успешно зарегистрироваться в облаке Smart Licensing.
Случай 11. Проблема подключения IPv6Описание проблемы: внутренние узлы (расположенные за ВНУТРЕННИМ интерфейсом межсетевого экрана) не могут взаимодействовать с внешними узлами (узлами, расположенными за ВНЕШНИМ интерфейсом межсетевого экрана).
На этом изображении показана топология:
Затронутый поток:
Src IP: fc00: 1: 1: 1 :: 100
Dst IP: fc00: 1: 1: 2 :: 2
Протокол: любой
Анализ захватаВключить захват на движке FTD LINA.
firepower # захват CAPI int INSIDE match ip any6 any6 огневая мощь # захват CAPO int OUTSIDE match ip any6 any6
Захваты — нефункциональный сценарий
Эти записи были сделаны параллельно с тестом подключения ICMP с IP fc00: 1: 1: 1 :: 100 (внутренний маршрутизатор) на IP fc00: 1: 1: 2 :: 2 (восходящий маршрутизатор).
Захват на межсетевом экране ВНУТРЕННИЙ интерфейс содержит:
Ключевые точки:
Запись на ВНЕШНИЙ интерфейс межсетевого экрана содержит:
Ключевые точки:
Пункт 4 очень интересен. Обычно восходящий маршрутизатор запрашивает MAC-адрес ВНЕШНЕГО интерфейса межсетевого экрана (fc00: 1: 1: 2 :: 2), но вместо этого он запрашивает fc00: 1: 1: 1 :: 100. Это признак неправильной конфигурации.
Рекомендуемые действияДействия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте таблицу соседей IPv6.
Таблица IPv6-соседей межсетевого экрана заполнена правильно.
firepower # показать соседа по ipv6 | я fc00 fc00: 1: 1: 2 :: 2 58 4c4e.35fc.fcd8 СТАЛО ВНЕШНИЙ fc00: 1: 1: 1 :: 100 58 4c4e.35fc.fcd8 СТАЛО ВНУТРИ
Действие 2. Проверьте конфигурацию IPv6.
Это конфигурация межсетевого экрана.
firewall # show run int e1 / 2 ! интерфейс Ethernet1 / 2 nameif ВНУТРИ cts руководство распространять sgt preserve-untag политика статическая sgt отключена доверенная уровень безопасности 0 IP-адрес 192.168.0.1 255.255.255.0 IPv6-адрес fc00: 1: 1: 1 :: 1/64 ipv6 включить брандмауэр # показать запуск int e1 / 3.202 ! интерфейс Ethernet1 / 3.202 vlan 202 nameif СНАРУЖИ cts руководство распространять sgt preserve-untag политика статическая sgt отключена доверенная уровень безопасности 0 IP-адрес 192.168.103.96 255.255.255.0 IPv6-адрес fc00: 1: 1: 2 :: 1/64 ipv6 включить
Конфигурация восходящего устройства обнаруживает неправильную конфигурацию:
Маршрутизатор № показывает интерфейс запуска g0 / 0.202 ! интерфейс GigabitEthernet0 / 0.202 инкапсуляция dot1Q 202 VRF переадресация VRF202 IP-адрес 192.168.2.72 255.255.255.0 IPv6-адрес FC00: 1: 1: 2 :: 2 /48
Захваты — Функциональный сценарий
Исправлена проблема с изменением маски подсети (с / 48 на / 64). Это запись CAPI в функциональном сценарии.
Ключевой момент:
Состав КАПО:
Ключевые точки:
Описание проблемы: внутренние узлы (192.168.0.x / 24) периодически имеют проблемы с подключением к узлам в той же подсети
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.0.x / 24
IP-адрес Dst: 192.168.0.x / 24
Протокол: любой
Кажется, что кеш ARP внутреннего хоста отравлен:
Анализ захватаВключить захват на движке FTD LINA
Этот захват захватывает только пакеты ARP на интерфейсе INSIDE:
firepower # захват интерфейса CAPI_ARP INSIDE ethernet-type arp
Захваты — нефункциональный сценарий:
Захват на межсетевом экране ВНУТРИ интерфейса содержит.
Ключевые точки:
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте конфигурацию NAT.
В зависимости от конфигурации NAT, есть случаи, когда ключевое слово no-proxy-arp может предотвратить вышеуказанное поведение:
firepower # демонстрационный пробег нац nat (INSIDE, OUTSIDE) исходный статический NET_1.1.1.0 NET_2.2.2.0 назначения статический NET_192.168.0.0 NET_4.4.4.0 no-proxy-arp
Действие 2. Отключите функцию proxy-arp в интерфейсе межсетевого экрана.
Если ключевое слово «no-proxy-arp» не решает проблему, рассмотрите возможность отключения прокси-ARP на самом интерфейсе. В случае FTD на момент написания этой статьи вам нужно будет использовать FlexConfig и развернуть следующую команду (укажите соответствующее имя интерфейса).
sysopt noproxyarp ВНУТРИКорпус 13.Определите идентификаторы объектов SNMP (OID), которые вызывают сбои ЦП
Этот случай демонстрирует, как определенные идентификаторы SNMP OID для опроса памяти были определены как основная причина зависания ЦП (проблемы с производительностью) на основе анализа перехвата пакетов SNMP версии 3 (SNMPv3).
Описание проблемы: Переполнение на интерфейсах данных постоянно увеличивается. Дальнейшее устранение неполадок показало, что есть также проблемы с ЦП (вызванные процессом SNMP), которые являются основной причиной переполнения интерфейса.
Следующим шагом в процессе устранения неполадок было определение основной причины перегрузки ЦП, вызванной процессом SNMP, и, в частности, сужение области действия проблемы до определения идентификаторов объектов SNMP (OID), которые при опросе потенциально могут привести к в свиньях ЦП.
В настоящее время механизм FTD LINA не предоставляет команду show для идентификаторов SNMP OID, которые опрашиваются в реальном времени. Список SNMP OID для опроса можно получить из инструмента мониторинга SNMP, однако в этом случае были следующие ограничивающие факторы:
Поскольку администратор FTD имел учетные данные для аутентификации и шифрования данных SNMP версии 3, был предложен следующий план действий:
Настроить захват пакетов SNMP на интерфейсе, который используется в конфигурации хоста snmp-server:
firepower # show run snmp-server | включить хост управление хостом snmp-сервера 192.168.10.10 версия 3 netmonv3 firepower # показать управление IP-адресами Системный IP-адрес: Имя интерфейса IP-адрес Маска подсети Метод Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ Текущий IP-адрес: Имя интерфейса IP-адрес Маска подсети Метод Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ firepower # захват capsnmp интерфейс управления буфер 10000000 матч udp host 192.168.10.10 host 192.168.5.254 eq snmp firepower # показать захват capsnmp захватить тип capsnmp буфер необработанных данных 10000000 интерфейс за пределами [захват - 9512 байт] соответствовать хосту udp 192.168.10.10 хост 192.168.5.254 eq snmp
Ключевые точки:
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Расшифруйте записи SNMP.
Сохраните записи и отредактируйте настройки протокола Wireshark SNMP, указав учетные данные SNMP версии 3 для дешифрования пакетов.
firepower # копирование / захват pcap: tftp: Имя захвата источника [capsnmp]? Адрес или имя удаленного хоста []? 192.168.10.253 Целевое имя файла [capsnmp]? capsnmp.pcap !!!!!! 64 пакета скопировано за 0,40 секунды
Откройте файл захвата в Wireshark, выберите пакет SNMP и перейдите к Protocol Preferences> Users Table , как показано на изображении:
В таблице «Пользователи SNMP» были указаны имя пользователя SNMP версии 3, модель аутентификации, пароль аутентификации, протокол конфиденциальности и пароль конфиденциальности (фактические учетные данные не показаны ниже):
После применения настроек пользователей SNMP Wireshark показал расшифрованные PDU SNMP:
Ключевые точки:
Действие 2. Определите идентификаторы SNMP OID.
SNMP Object Navigator показал, что OID 1.3.6.1.4.1.9.9.221.1 принадлежит базе управляющей информации (MIB) с именем CISCO-ENHANCED-MEMPOOL-MIB , как показано на изображении:
Чтобы отобразить OID в удобочитаемом формате в Wireshark, выполните следующие действия:
2.В Wireshark в окне Edit> Preferences> Name Resolution установлен флажок Enable OID Resolution . В окне SMI (пути MIB и PIB) укажите папку с загруженными MIB, а в SMI (модули MIB и PIB). CISCO-ENHANCED-MEMPOOL-MIB автоматически добавляется в список модулей:
3. После перезапуска Wireshark активируется разрешение OID:
На основе расшифрованного вывода файла захвата инструмент мониторинга SNMP периодически (с интервалом 10 секунд) опрашивал данные об использовании пулов памяти на FTD.Как объяснено в статье TechNote, опрос ASA SNMP для статистики, связанной с памятью, опрос использования глобального общего пула (GSP) с использованием SNMP приводит к загрузке ЦП. В этом случае из захватов было ясно, что использование глобального общего пула периодически опрашивалось как часть примитива SNMP getBulkRequest.
Чтобы свести к минимуму нагрузку на ЦП, вызванную процессом SNMP, было рекомендовано выполнить шаги по уменьшению нагрузки на ЦП для SNMP, упомянутые в статье, и избегать опроса OID, связанных с GSP.Без опроса SNMP для идентификаторов OID, относящихся к GSP, не наблюдалось никаких перегрузок ЦП, вызванных процессом SNMP, и частота переполнений значительно снизилась.
Связанная информация
Разница между функционально-ориентированным дизайном и объектно-ориентированным дизайном
Различия между функционально-ориентированным дизайном и объектно-ориентированным дизайном
1. Функционально-ориентированный дизайн:
Функционально-ориентированный дизайн — это результат сосредоточения внимания на функциях программы.Это основано на пошаговом уточнении. Пошаговое уточнение основано на итерационной процедурной декомпозиции. Пошаговое уточнение — это нисходящая стратегия, при которой программа уточняется как иерархия возрастающих уровней детализации.
Мы начинаем с высокоуровневого описания того, что делает программа. Затем на каждом этапе мы берем одну часть нашего высокоуровневого описания и уточняем ее. Уточнение — это на самом деле процесс разработки. Процесс должен исходить от концептуальной модели к деталям более низкого уровня.Доработка каждого модуля выполняется до тех пор, пока мы не достигнем уровня операторов нашего языка программирования.
2. Объектно-ориентированный дизайн:
Объектно-ориентированный дизайн — это результат сосредоточения внимания не на функциях, выполняемых программой, а на данных, которыми должна управлять программа. Таким образом, он ортогонален функционально-ориентированному дизайну. Объектно-ориентированный дизайн начинается с изучения «вещей» реального мира. Эти вещи являются индивидуальными характеристиками с точки зрения их атрибутов и поведения.
Объекты — это независимые сущности, которые можно легко изменить, поскольку вся информация о состоянии и представлении содержится в самом объекте. Объект может быть распределенным и может выполняться последовательно или параллельно. Объектно-ориентированная технология содержит следующие три ключевых слова —
Разница между функционально-ориентированным дизайном и объектно-ориентированным дизайном:
| СРАВНИТЕЛЬНЫЕ ФАКТОРЫ | ФУНКЦИОНАЛЬНО-ОРИЕНТИРОВАННЫЙ ДИЗАЙН | ОБЪЕКТНО-ОРИЕНТИРОВАННЫЙ ДИЗАЙН | ОБЪЕКТНО-ОРИЕНТИРОВАННЫЙ ДИЗАЙН | Базовые абстракции — это не функции реального мира, а абстракция данных, в которой представлены сущности реального мира. |
|---|---|---|---|
| Функция | Функции сгруппированы вместе, благодаря чему получается функция более высокого уровня. | Функции группируются на основе данных, с которыми они работают, поскольку классы связаны с их методами. | |
| Информация о состоянии | В этом подходе информация о состоянии часто представляется в централизованной общей памяти. | В этом подходе информация о состоянии не представлена, не представлена в централизованной памяти, а реализована или распределяется между объектами системы. | |
| Подход | Это подход сверху вниз. | Это подход снизу вверх. | |
| Начинается с основы | Начинается с рассмотрения диаграмм вариантов использования и сценариев. | Начинается с определения объектов и классов. | |
| Декомпозиция | В функционально-ориентированном дизайне мы выполняем декомпозицию на уровне функции / процедуры. | Раскладываем по классам. | |
| Использование | Этот подход в основном используется для приложений, чувствительных к вычислениям. | Этот подход в основном используется для развивающейся системы, которая имитирует бизнес или бизнес-модель. |
Вниманию читателя! Не прекращайте учиться сейчас. Освойте все важные концепции DSA с помощью курса DSA Self Paced Course по доступной для студентов цене и подготовьтесь к работе в отрасли.
Понимание и устранение неполадок ответов об отсутствии на работе (OOF) — Exchange
В этой статье
ОтветыOut of Office (OOF) могут быть загадкой.Как они работают? Почему они иногда не доставляются другим пользователям и что вы делаете, если они этого не делают? В этой статье обсуждаются фрагменты ответов OOF с точки зрения конфигурации Exchange Online. Однако большая часть этого обсуждения также применима к локальной конфигурации.
(Кстати, если вы когда-нибудь задумывались, почему «Out of Office» сокращается как «OOF», а не как «OOO», см. это сообщение в блоге).
Что такое ответы «Нет на месте»?
OOF — или автоматические — ответы — это правила для папки «Входящие», которые устанавливаются в почтовом ящике пользователя клиентом.Правила OOF — это правила на стороне сервера. Следовательно, они запускаются независимо от того, запущен ли клиент.
Автоматические ответы можно настроить следующим образом:
Администраторы могут настраивать ответы OOF с портала администрирования M365 от имени пользователей.
Если включены автоматические ответы, каждому отправителю отправляется только один ответ, даже если получатель получает несколько сообщений от отправителя.
Помимо использования встроенных функций OOF в своем клиенте, люди иногда используют правила для создания сообщения «Нет на работе», пока они отсутствуют.
По умолчанию Exchange Online Protection использует пул доставки с высоким риском (HRDP) для отправки ответов OOF. Это связано с тем, что ответы OOF являются сообщениями с более низким приоритетом.
Виды правил ООФ
Существует три типа правил OOF:
Эти правила устанавливаются индивидуально в почтовом ящике пользователя. Каждое правило имеет связанный класс сообщения и имя. Имя правила хранится в свойстве PR_RULE_MSG_NAME .В следующей таблице перечислены класс и имя сообщения, связанные с каждым правилом OOF.
| Тип | Класс сообщений | PR_RULE_MSG_NAME |
|---|---|---|
| Внутренний | IPM.Rule.Version2.Message | Microsoft.Exchange.OOF.KnownExternalSenders.Global |
| Внешний | IPM.Rule.Version2.Message | Microsoft.Exchange.OOF.AllExternalSenders.Global |
| Известные отправители | IPM.ExtendedRule.Message | Microsoft.Exchange.OOF.KnownExternalSenders.Global |
Примечание
Помимо правил OOF, другие правила (например, правило нежелательной почты) также имеют класс сообщений IPM.ExtendedRule.Message . Переменная MSG_NAME определяет, как используется правило.
Сведения о правиле OOF
Все правила папки «Входящие» можно просмотреть с помощью инструмента MFCMapi следующим образом:
Правила OOF в MFCMapi:
шаблонов правил OOF в MFCMapi:
История ответов OOF
Ответ OOF отправляется один раз каждому получателю. Список получателей, которым отправляется ответ OOF, хранится в истории OOF, которая очищается либо при изменении состояния OOF (включено или отключено), либо при изменении правила OOF.История OOF хранится в почтовом ящике пользователя и может быть просмотрена с помощью инструмента MFCMapi по адресу: Freebusy Data > PR_DELEGATED_BY_RULE .
Примечание
Если вы хотите отправлять ответ отправителю каждый раз, а не только один раз, вы можете применить правило серверной стороны почтового ящика «иметь ответ сервера с использованием определенного сообщения» вместо использования правила OOF. Это альтернативное правило отправляет ответ каждый раз при получении сообщения.
Устранение неполадок OOF
В следующих разделах обсуждаются некоторые сценарии, в которых ответы OOF не отправляются отправителю.Они включают в себя возможные исправления и некоторые наиболее часто встречающиеся проблемы конфигурации OOF, с которыми вы могли столкнуться.
OOF проблемы, связанные с правилами перевозки
Если кажется, что ответ OOF не был отправлен для всех пользователей в арендаторе, обычно виновато правило транспорта. Проверьте все правила транспорта, которые могут применяться к затронутому почтовому ящику, выполнив шаг 2 этой статьи.
Если вы подозреваете проблему с доставкой, запустите трассировку сообщений от клиента Office 365. Для сообщений OOF отправитель исходного сообщения становится получателем во время отслеживания.Вы должны иметь возможность определить, был ли инициирован ответ OOF и отправлен внешнему или внутреннему получателю. Трассировка сообщения четко укажет, блокирует ли правило транспорта ответ OOF.
Есть один сценарий, который стоит выделить, когда речь идет о правилах транспорта, блокирующих ответы OOF. Предположим, вы переместили запись MX в стороннюю программу защиты от спама. Вы создали правило транспорта для отклонения любого сообщения электронной почты, отправляемого с любого IP-адреса, кроме сторонней программы защиты от спама.
Правило транспорта будет выглядеть примерно так:
Описание:
Если сообщение: Получено от «За пределами организации»
Выполните следующие действия: отклоните сообщение и включите пояснение «Вам не разрешено> обходить запись MX!» с кодом состояния: ‘5.7.1’
За исключением случаев, когда IP-адреса отправителя сообщения принадлежат одному из следующих диапазонов: ‘1xx.1xx.7x.3x’
Изменено вручную: Ложь
SenderAddressLocation: Envelope
Поскольку правила OOF имеют пустой (<>) путь возврата, правило OOF неожиданно совпадает с правилом транспорта, и ответы OOF блокируются.
Чтобы устранить эту проблему, измените свойство правила транспорта «Сопоставить адрес отправителя в сообщении» на «Заголовок или конверт», чтобы проверки также выполнялись по От (также известному как «Заголовок от»), Отправитель или Ответить на полей. Дополнительные сведения об условиях правила потока почты см. В разделе «Отправители» эта статья.
Настройка почтового ящика JournalingReportNdrTo
Если затронутый почтовый ящик настроен в соответствии с параметром JournalingReportNdrTo , ответы OOF для этого почтового ящика отправляться не будут.Кроме того, это может повлиять на ведение журнала сообщений электронной почты. Рекомендуется создать специальный почтовый ящик для параметра JournalingReportNdrTo . Кроме того, вы можете настроить выделенный почтовый ящик на внешний адрес.
Дополнительные сведения о том, как решить эту проблему, см. В этой статье.
В почтовом ящике включена пересылка SMTP-адреса
Если в почтовом ящике затронутого пользователя включена пересылка SMTP, ответы OOF не будут создаваться. Это можно проверить в любом из следующих мест:
Сведения о том, как решить эту проблему, см. В этой статье.
Тип ответа OOF, установленный на удаленных доменах
Вы должны обратить внимание на то, какой тип ответа OOF установлен на удаленных доменах, потому что это повлияет на ответ OOF. Если конфигурация типа ответа OOF неверна, ответ OOF может вообще не быть сгенерирован.
Существует четыре типа ответа OOF:
Дополнительные сведения об этих типах OOF см. В записи AllowedOOFType в разделе «Параметры» Set-RemoteDomain.
Вы можете проверить тип ответа OOF в Exchange Admin Center > Почтовый поток > Удаленные домены .
В качестве альтернативы можно запустить следующий командлет PowerShell:
Get-RemoteDomain | ft -AutoSize имя, имя домена, AllowedOOFType
В качестве примера предположим, что у вас есть гибридная организация, которая включает почтовые ящики, размещенные как в локальном Exchange, так и в Exchange Online.По умолчанию только внешние сообщения в этом сценарии будут отправляться в локальную систему Exchange, если AllowedOOFType имеет значение External . Чтобы отправлять внутренние сообщения OOF в локальную систему Exchange в гибридной среде, необходимо установить AllowedOOFType на InternalLegacy .
У вас также есть возможность на уровне конфигурации почтового ящика (ExternalAudience: Known) отправлять внешние OOF-ответы только тем людям, которые указаны в качестве ваших контактов. Команда для проверки конфигурации выглядит следующим образом:
Get-MailboxAutoReplyConfiguration daniel | fl ExternalAudience
Удаленный домен блокирует ответы OOF
Другой параметр удаленных доменов — это параметр, который вы используете для разрешения или запрета сообщений, которые являются автоматическими ответами от клиентских почтовых программ в вашей организации.
Его можно найти в Exchange Admin Center > Почтовый поток > Удаленные домены .
В качестве альтернативы можно запустить следующий командлет PowerShell:
Get-RemoteDomain | ft -AutoSize Name, DomainName, AutoReplyEnabled
Примечание
Если значение параметра равно false , автоматические ответы не будут отправляться пользователям в этом домене. Этот параметр имеет приоритет над автоматическими ответами, которые настроены на уровне почтового ящика или над типом OOF (как обсуждалось ранее).Имейте в виду, что false — это значение по умолчанию для новых удаленных доменов, которые вы создаете, а также для встроенного удаленного домена с именем «Default» в Exchange Online.
Если сообщение электронной почты помечено как спам и отправлено в спам, автоматический ответ вообще не создается.
Это довольно понятно.
Трассировка сообщения показывает сбой доставки
При исследовании проблемы ответа OOF в трассировке сообщения можно найти следующую запись об ошибке:
«550 5.7.750 Служба недоступна. Клиент заблокирован для отправки с незарегистрированных доменов. «
Если вы найдете эту запись, обратитесь в службу поддержки Microsoft, чтобы узнать, почему была применена блокировка незарегистрированного домена.
Дополнительные выпуски OOF
При создании, настройке или управлении ответами OOF могут также возникнуть следующие проблемы.
Отправлено старое или повторяющееся сообщение OOF
Если отправляется старый или повторяющийся ответ OOF, проверьте наличие повторяющегося правила папки «Входящие» и удалите его, если найдете.
Если нет дополнительного правила для папки «Входящие», эта проблема также может возникнуть, если история OOF достигает своего предела. История OOF имеет ограничение в 10 000 записей. Если этот порог достигнут, новые пользователи не могут быть добавлены в список истории. В этой ситуации ответы OOF будут по-прежнему отправляться получателям, которых еще нет в списке — один ответ на каждое сообщение, отправленное получателями. Все пользователи, которые уже находятся в списке, не будут получать повторяющиеся ответы OOF.
Чтобы решить эту проблему, воспользуйтесь одним из следующих методов.
Метод 1
Метод 2
Если метод 1 не решает проблему, удалите историю ответов OOF.
Отправлено два разных сообщения OOF
Если отправлено два разных сообщения OOF, и вы не найдете дополнительное правило для папки «Входящие», скорее всего, виновником является правило OOF в клиенте Outlook.Чтобы проверить и удалить такое правило, выполните следующие действия:
Невозможно включить автоматические ответы, получено сообщение об ошибке
При попытке доступа к автоматическим ответам из клиента Outlook появляется следующее сообщение об ошибке:
«Ваши настройки автоматического ответа не могут быть отображены, потому что сервер в настоящее время недоступен.Повторите попытку позже. «
Чтобы сузить эту проблему, выполните следующие действия:
Автоматический ответ отправляется, даже если OOF отключен
В некоторых сценариях сообщения OOF по-прежнему отправляются, даже если функция отключена. Это может произойти, если правило создается вручную с использованием шаблона отсутствия на работе.
Как открыть компанию в Узбекистане в качестве иностранца-нерезидента
Итак, у вас есть бизнес-идея для быстро развивающегося Узбекистана (прочтите это), которая требует, чтобы вы открыли компанию на местном уровне? Вы можете подумать, что это очень по-советски, сложно, дорого и требует юридической помощи.Некоторые юристы без колебаний взимают с вас завышенную плату.
Угадай что, это действительно не так уж и сложно.
Узбекистан — одно из самых легких мест в мире для открытия компанииОн занимает 8 -е место в мире по открытию бизнеса в отчете Всемирного банка «Легкость ведения бизнеса 2019». .
Иностранцы-нерезиденты должны открыть ИП ООО, которое для них является специальным ООО. Основное отличие состоит в том, что стартовый капитал должен составлять минимум 400 миллионов узбекских сомов, что составляет около 42 000 долларов (проверьте еще раз, поскольку узбекский сом сильно колеблется).
Это очень просто. Вам нужно:
— копия паспорта
— акционерное соглашение и устав компании. Это достаточно стандартно, это может организовать любой местный юрист. Вы можете нанять переводчика и пойти к местному юристу, это будет намного дешевле, чем обращение к юристам, которые предлагают услуги на английском языке.
— около 50 долларов США за различные сборы
— юридический адрес (вы можете использовать свой бухгалтер)
Единая форма для заполненияВы можете сделать это либо:
Затем вы можете выйти в небольшую будку на улице и получить штамп компании примерно за 1-6 долларов в зависимости от того, насколько богатым вы себя чувствуете в этот день.Вам нужно будет подождать всю ночь, пока ваша компания будет полностью загружена в систему, а на следующий день вы можете отправиться в банк со своей печатью и регистрационными документами, чтобы открыть счет компании. Затем у вас есть один год, чтобы внести 400 миллионов узбекских сомов.
Стрела. Вы, как иностранец, сейчас управляете компанией в Узбекистане. Легкий.
Могу ли я жить в Узбекистане теперь, когда у меня есть компания в Узбекистане?Нет. Чтобы получить вид на жительство, вы можете пройти тот же процесс, но стартовый капитал должен составлять около 8500 прожиточного минимума, что составляет около 200 000 долларов.Это даст вам вид на жительство на три года для ведения вашего бизнеса. Прочтите эту статью для получения дополнительной информации.
В качестве альтернативы вы можете вести свой бизнес на расстоянии, регулярно заглядывая в Узбекистан, чтобы узнать, как идут дела.
Прекрасная страна А как насчет налогов и операционных расходов компании?Это это где усложняется. Все бухгалтеры, с которыми я разговаривал, были в панических режимах, поскольку законы полностью пересматриваются.Они изменились недавно, изменяются и скоро снова изменятся. Делать понимать, что существует регуляторный риск, связанный с текущим налогом система.
Всего, несколько неисчерпывающих пунктов, которые вы должны проверить перед тем, как сделать шаг, поскольку это важная тема:
Несмотря на привлекательность налогового режима, не отправляйтесь в Узбекистан, чтобы открыть компанию, которая будет использоваться в качестве оффшора. На бумаге это может выглядеть хорошо, но на самом деле вашим главным камнем преткновения будет банковское дело, поскольку банковская система еще не совсем готова.Перевод денег в страну и из страны, хотя и полностью легален и возможен, является бюрократическим, а электронный банкинг практически отсутствует.
Узбекская компания в настоящее время просто хороша для ведения бизнеса в Узбекистане. Тем не менее, все будет меняться по мере либерализации правительством экономики и продвижения банковского сектора.
Другие статьи об Узбекистане:
Подпишитесь на ЧАСТНЫЙ СПИСОК ниже, чтобы не пропустить будущие публикации об инвестициях, и подписывайтесь на меня на Youtube, Facebook и LinkedIn.
Если вы хотите обсудить свои планы по интернационализации и диверсификации, закажите консультацию * или отправьте мне электронное письмо.
* консультационная сессия — это обсуждение вашего портфолио и целей. Он не является юридическим, финансовым, налоговым или инвестиционным советом.
Добавьте [email protected] в свой список контактов, чтобы убедиться, что статьи не попадают в спам! Спасибо что подписались.
O-O-O — шахматный термин | Chess24.com
Использование chess24 требует хранения некоторых личных данных, как указано ниже.Вы можете найти дополнительную информацию в нашей Политике в отношении файлов cookie, Политике конфиденциальности, Заявлении об отказе от ответственности и Условиях использования веб-сайта. Обратите внимание, что ваши настройки данных могут быть изменены в любое время, щелкнув ссылку Data Settings в нижнем колонтитуле внизу нашего веб-сайта.