ПРЕИМУЩЕСТВА И НЕДОСТАТКИ ООО — Интеллект СЛК
ОСНОВНЫЕ ОТЛИЧИЯ ООО ОТ ИП
Когда вы только задумываетесь о создании своего дела, в первую очередь надо разобраться в прибыльности бизнес-идеи и источниках её финансирования.
Большинство предпринимателей, отдают предпочтение обществу с ограниченной ответственностью (ООО). Перед открытием ООО следует детально изучить преимущества и недостатки регистрации предприятия данной организационно- правовой формы, что значительно поможет в осуществлении выбора.
Для открытия ООО понадобится не менее 10 000 рублей в качестве уставного капитала. Уставной капитал можно использовать в виде денег или имущества. Он может быть использован в целях погашения задолженности при банкротстве компании. В этой ситуации ее имущество может быть конфисковано и распродано.
При решении о расширении организации имеется возможность введение в состав дополнительных инвесторов, которые становятся учредителями (максимум 50 человек).
Также, общество легко продать или переоформить, что является положительной стороной. Удобно это и тем, что позволяет купить готовое ООО, которое ведет определенную деятельность уже несколько лет. Подобное требование может быть закреплено в условиях тендера и покупка готовой компании позволит принять участие в тендере даже новому участнику рынка.
При работе с убытками нет необходимости уплаты дополнительных налогов, так как общество с ограниченной ответственностью не является само по себе плательщиком страховых медицинских или пенсионных отчислений. Сама по себе отчетность (ее ведение) не составляет каких-либо заметных сложностей, однако требует соблюдения сроков ее предоставления и форм предоставления.
ПЛЮСЫ
- наличие возможности расширения предприятия путем привлечения новых учредителей, которые в состоянии произвести вложение средств;
- учредители имеют все необходимые полномочия для создания такого органа управления, который бы соответствовал конкретному предприятию;
- наличие возможности регулировать влияние учредителей на осуществление предпринимательской деятельности путем изменения, причем как уменьшения, так и увеличения, размера их долей;
- инвесторами могут выступать не только граждане РФ, но и иностранные резиденты;
- нет четко установленных ограниченийотносительно размера уставного капитала;
- уставный фонд предприятия может состоять как их денежных средств, так и из материальных и нематериальных активов;
- распределение прибыли осуществляется по согласованию сторон, при этом придерживаться разделения средств согласно размеру доли каждого учредителя не обязательно;
- каждый учредитель вправе в любой момент заявить о своем выходе из общества и осуществить задуманное, а в течение четырех месяцев с момента оглашения решения получить свою долю в полном объеме;
- главным менеджером предприятия можно назначить любого сотрудника, даже если он не входит в состав учредителей;
- наличие возможности внести в устав пункт, запрещающий продажу учредителем своей доли другому лицу, не входящему в учредительный состав;
- процедура продажи и переоформления предприятия, как правило, не вызывает сложностей;
- ООО более привлекательно для вкладчиков, поскольку путем вложения средств инвестор может стать учредителем;
- наличие возможности перекрывать убытки текущими средствами;
МИНУСЫ
- ограниченное количество учредителей, не более 50 человек;
- процедура регистрации общества является более сложной;
- в случае изменений в учредительском составе необходимо корректировать уставные документы предприятия;
- наличие необходимости придерживаться требования относительно ведения кассовой дисциплины;
- более сложная процедура закрытия, чем при индивидуальном предпринимательстве;
- необходимость в бухгалтере, поскольку требуется ведение как внутренней, так и налоговой отчетности, причем выбранная система налогообложения при этом не имеет значения;
- данные о порядке и результатах принятия хоз. решений обязательно вносятся в протокол;
- финансовые сложностипри выходе одного или нескольких учредителей
Таким образом чтобы выбрать подходящую форму организации для вашего будущего бизнеса, в первую очередь важно понимать размер вашего будущего бизнеса и его перспективы . Если вы планируете открыть скромную службу доставки или торговую точку, то, пожалуй, тратить время и усилия на регистрацию ООО вам нет смысла, но если планы серьезные, возможно расширение деятельности и необходимо привлечение инвестиций – то общество с ограниченной ответственностью подходит вам гораздо лучше, чем индивидуальное предпринимательство.
Также не стоит забывать об организации бухгалтерского учета на вновь созданном предприятии. Эта часть функционирования компании является одной из самых важных. Правильная организация бухгалтерского учета позволит предпринимателю избежать штрафных санкций, оптимизировать применение финансовых ресурсов и правильно выполнять стратегического планирование развития организации.
Что открыть для розничной торговли: ИП или ООО
Собираетесь открыть розничный магазин, но так и не определились как зарегистрироваться? Это понятно: мнений много и они кардинально противоположные. Одни хвалят ИП, потому что это просто и удобно, другие настаивают на ООО, потому что это солидно и престижно.
Мы подготовили подробную статью, в которой объяснили разницу между ИП и ООО, наглядно показали отличия, преимущества и недостатки и привели таблицу. Давайте разберемся с некоторыми моментами прямо сейчас:
- Гражданин РФ имеет право зарегистрироваться как индивидуальный предприниматель и вести коммерческую деятельность с целью получения прибыли. Ведет деятельность сам, на свой страх и риск. Не является юридическим лицом.
- В отличие от ИП, ООО — хозяйствующий объект со статусом юридического лица. В его деятельности могут участвовать до 50 физических и/или юридических лиц. Для открытия нужен уставной капитал. Каждый участник получает дивиденды. Все учредители отвечают за негативные последствия деятельности компании в пределах суммы своего вклада в уставной капитал.
- ИП может работать на патентной системе и открыть магазин площадью до 50 м2. Но не получится продавать алкоголь — запрещено законом именно для этой формы предпринимательской деятельности. Зато можно не вести бухгалтерский учет и как угодно распоряжаться прибылью.
- Для ООО нет ограничений по направлениям деятельности. Зато сложный бухучет, налог на прибыль и размер штрафов выше, чем у ИП, да и чтобы вывести прибыль нужно выработать законную схему. На это уходят время, силы и зарплата толковому бухгалтеру.
ООО — солидно. ИП — выгодно и намного проще.
Обычно именно такие ярлыки бизнесмены навешивают этим двум формам предпринимательской деятельности. А потом начинаются проблемы:
- выбрали ООО — придётся тщательно вести бухучёт, иначе налоговая накажет. Да и платежей намного больше, чем у предпринимателя, можно запутаться и получить штраф, если работать без толкового бухгалтера;
- выбрали ИП — платим страховые взносы даже за тот период, когда уезжаем в отпуск. Недоступны некоторые виды деятельности, например, продажа алкоголя (кроме пива).
Какую форму собственности лучше выбрать для розничного магазина?
В статье отвечаем на этот вопрос, а также помогаем вам:
- разобраться в теории и узнать, что такое ООО и ИП с точки зрения законодательства;
- понять разницу между ИП и ООО;
- определиться с подходящей формой предпринимательской деятельности.
Плюсы и минусы форм собственности свели в таблицу, чтобы было проще увидеть отличия, сравнить варианты и сделать выводы.
Что лучше открыть: ИП или ООО? Разберемся с понятиями
В соответствии с ГК РФ, аббревиатура ООО расшифровывается как «общество с ограниченной ответственностью». Но учтите, что сегодня ответственность за долги может понести директор и даже бухгалтер (это показала судебная практика), поэтому нужно внимательно составлять уставные документы.
Согласно законодательству, ООО — хозяйствующий объект с такими характеристиками:
- есть статус юридического лица;
- участвуют от 1 до 50 физических и/или юридических лиц;
- есть уставной капитал, который разделен на доли между участниками;
- каждый участник оказывает влияние на управление объектом в зависимости от размера доли;
- участник получает дивиденды — прибыль от хозяйственной активности ООО;
- при наличии убытков учредители отвечают за негативные последствия активности ООО в пределах суммы своего вклада в уставной капитал. Исключение — банкротство компании, когда на участников возлагается дополнительная ответственность по долгам юридического лица.
Индивидуальный предприниматель — гражданин, который зарегистрировался как субъект предпринимательской деятельности.
ИП не является юридическим лицом, но имеет такие же права и обязанности, потому что ведет хозяйственные операции с целью получить прибыль. Действует самостоятельно на свой страх и риск.
На первый взгляд форма ИП кажется более простой и не вызывающей доверия у серьезных игроков рынка розничной торговли. Не спешите делать выводы.
Не можете разобраться в деталях? Доверьте это Фингуру
Давайте посмотрим, чем ИП и ООО отличаются друг от друга. Мы выбрали 12 ключевых критериев, чтобы вы могли принять взвешенное решение.
ИП и ООО: сводная таблица отличий форм деятельности в 2019 году
Специально для предпринимателей, которые планируют открытие розничного магазина, мы разработали бесплатный email-курс «Как открыть розничный магазин: пошаговое руководство».
Как видите, есть достаточно много различий. Поэтому при открытии розничного магазина обдумайте, какой вариант вам подходит. В этом вам помогут 2 таблицы — читайте дальше.
ИП и ООО: наглядно о плюсах и минусах
Вы ознакомились с особенностями двух форм ведения бизнеса. Какая из них лучше подойдет для розничного магазина? Давайте посмотрим на плюсы и минусы ИП и ООО в таблице, чтобы вы могли принять взвешенное решение.
Больше 4 лет избавляем предпринимателей от бумажной рутины и последствий неправильно заполненных документов, а также экономим 2 дня на поездках в налоговую — каждый день регистрируем новую компанию. Хотите, чтобы следующей была ваша?
Еще 4 важных нюанса деятельности ИП и ООО:
- Фиксированные взносы — главный минус ИП? Это одно из самых распространенных мнений. Но подумайте о другой стороне: страховые взносы — это не налоги, а отчисления на медицинскую страховку и будущую пенсию. Даже если в ООО только один участник — ему все равно необходимо начислять заработную плату и делать из нее все отчисления. При минимальной зарплате они будут почти такими же, как фиксированные взносы ИП.
- Еще одна приятная новость: индивидуальный предприниматель без сотрудников может уменьшать исчисленный налог на всю сумму внесенных им фиксированных взносов. В случае ООО и ИП с сотрудниками это возможно только на 50%, но в большинстве случаев в денежном эквиваленте эти 50% больше, чем 100% у ИП, работающего в одиночку.
- Относительно отчетности и найма сотрудников: все зависит исключительно от системы налогообложения, а не от организационно-правовой формы. Например, если применяется ОСНО, ООО будет платить налог на прибыль, а ИП — НДФЛ. Отчетность по этим налогам будет разной. При этом отчетность за работников у них всегда одинаковая.
- В остальном деятельность ИП и ООО ничем не отличается. Оформлять наемных работников, а также соблюдать их права должны все организационно-правовые формы, в соответствии с ТК РФ. Контрагенты в равной степени охотно работают как с ИП, так и с ООО, главное — выполнение договоренностей.
Что выбрали для своего розничного магазина?
Как видите, у обоих вариантов есть плюсы и недостатки. Неправильный выбор чреват такими последствиями:
- не сможете вести выбранную деятельность, как в случае ИП и продажи алкоголя;
- придётся вести бухучет, которого можно было избежать, зарегистрировав ИП;
- если в вашем бизнесе есть сезонность и вы зарегистрировались как ИП, будете платить взносы даже во время неоплачиваемого отпуска, хотя этого можно было избежать;
- если планируете регулярно выводить прибыль, в случае с ООО будет много заморочек.
Поэтому важно с самого начала сделать правильный выбор.
Мы проводим бесплатные консультации, на которых помогаем выбрать оптимальную форму собственности с учетом нюансов вашего розничного бизнеса. Запишитесь на консультацию — специалисты «Фингуру» помогут определиться и зарегистрировать компанию!
ИП и ООО (плюсы и минусы)
Обзор преимуществ и недостатков организационно-правовых форм предпринимательства
Индивидуальный предприниматель (ИП)
7 преимуществ индивидуального предпринимателя
- Нет требований к размеру уставного капитала.
- Не нужно вести полномасштабный бухгалтерский учет – достаточно простой книги учета доходов и расходов.
- Объем отчетности, которую нужно представлять разным контролирующим органам, значительно меньше, чем у юридического лица.
- Суммы штрафов за одни и те же нарушения законодательства в большинстве случаев значительно ниже, чем для юридических лиц.
- Возможно применение патентной системы – одного из самых удобных и лояльных налоговых режимов.
- Наличие льгот по страховым взносам – фиксированные суммы за индивидуального предпринимателя вместо «привязки» размера взноса к уровню доходов, как у юридических лиц, и пониженные тарифы для наемных работников.
- Проще процедура регистрации: и документов требуется меньше, и госпошлина ниже.
4 недостатка индивидуального предпринимателя
- Ответственность по обязательствам всем имуществом, даже если оно не участвует в предпринимательской деятельности.
- Ограничение на ведение некоторых видов деятельности, например банковской или торговлю алкоголем в розницу.
- Недостаточная проработка законодательной базы. Ряд правил законодатель распространил только на юридические лица, лишив предпринимателей возможности реализовать свои права без обращения в суд (например, применение некоторых льгот по НДС или учет определенных расходов при расчете налога на доходы).
- Сложнее расширять бизнес: возможны проблемы с контрагентами, кредитованием, привлечением сторонних инвестиций.
Юридическое лицо (ООО)
4 преимущества юридического лица
- Проще кредитоваться в банках на крупные суммы, открывать кредитные линии или использовать такие формы финансирования, которые просто по требованиям банковской безопасности недоступны для индивидуального предпринимателя (например, зонтичные овердрафты, когда каждая из дочек в группе – а ведь у вас могут появиться и дочки – может допустить перерасход по банку).
- Проще работать с контрагентами: получать отсрочки, рассрочки платежей или наоборот, настаивать на своих условиях погашения задолженности.
- Высоки шансы стать узнаваемым на рынке: бренд — великое дело.
- В дело могут войти частные инвесторы. А со временем бизнес разрастется так, что ваша компания станет акционерным обществом. Выйдет на биржу, а может даже на мировой рынок.
4 недостатка юридического лица
- Сложнее процедура регистрации: и документов требуется больше, и госпошлина выше.
- Необходимость ведения полноценного бухгалтерского, налогового учета.
- Объем отчетности, которую нужно представлять разным контролирующим органам, значительно больше, чем у индивидуального предпринимателя.
- Ответственность по обязательствам – хотя и не личным имуществом, как в случае с индивидуальным предпринимателем.
Плюсы и Минусы ИП
Плюсы и Минусы ИП
Уважаемый клиент! Предлагаем Вам ознакомиться со статьей «Плюсы и Минусы ИП».
Индивидуальный предприниматель — это физическое лицо, зарегистрированное в установленном порядке и осуществляющие предпринимательскую деятельность без образования юридического лица.
К важной особенности осуществления предпринимательской деятельности в качестве индивидуального предпринимателя является тот факт, что гражданин отвечает по своим обязательствам всем принадлежащим ему имуществом, за исключением имущества, на которое в соответствии с законом не может быть обращено взыскание. В отличие например от участника общества с ограниченной ответственностью, где участник отвечает по обязательствам учреждённого им общества в основных случаях только в пределах своей доли в уставном капитале этого общества и ни в коем случае не своим личным имуществом. Этот существенный факт относится к основному недостатку этой формы ведения предпринимательской деятельности.
Основные преимущества и недостатки Индивидуального Предпринимателя
Статус Индивидуального Предпринимателя или ИП имеет следующие преимущества по сравнению с регистрацией собственного предприятия:
— упрощенность процессов создания и ликвидации бизнеса;
— свободное использование собственной выручки;
— не платится налог на имущество, используемое в предпринимательской деятельности;
— упрощенный порядок ведения учета результатов хозяйственной деятельности и предоставления внешней отчетности;
— возможность не платить налог ЕНВД и УСН, при условии, что на ИП не оформленно работников и сумма данных налогов не превышает оплату Индивидуальным Предпринимателем отчислений в Пенсионный фонд;
— упрощенный порядок принятия решений (не требуется собраний, протоколов и т. п.).
Основные недостатки Индивидуального Предпринимателя:
— ИП отвечает по обязательствам своим имуществом;
— не может получать некоторые лицензии на лицензируемые виды деятельности;
— ИП не подходит для совместного ведения бизнеса;
— с 2013 г. увеличились отчисления в Пенсионный фонд в 2 раза.
Количество участников ИП
В качестве предпринимателя без образования юридического лица каждый может быть зарегистрирован в индивидуальном порядке и никак иначе.
Уставной капитал Индивидуального Предпринимателя
Уставного капитала, как такового нет. Предприниматель отвечает по своим обязательствам всем своим имуществом.
Цели создания Индивидуального Предпринимателя
Индивидуальный Предприниматель может заниматься практически любой деятельностью, за некоторым исключением, таким как банковская деятельность, например. Для занятия определенными видами деятельности требуется получение специального разрешения (лицензии).
Органы управления ИП
Предприниматель самостоятельно управляет своей деятельностью, на свой страх и риск. Никто не вправе давать для предпринимателя без образования юридического лица обязательные для исполнения указания (разумеется исключение иногда составляют государственные органы).
Ответственность Индивидуального Предпринимателя
Индивидуальный Предприниматель без образования юридического лица несет ответственность всем принадлежащим им имуществом, за исключением имущества, на которое в соответствии с законом не может быть наложено взыскание.
Учредительные документы Индивидуального Предпринимателя
У индивидуального предпринимателя нет каких-либо учредительных документов. Обусловлено это тем, что свою деятельность предприниматель осуществляет самостоятельно (разумеется, он может иметь наемных работников), на свой страх и риск, без каких-либо партнеров, дольщиков и т.п. Соответственно нет необходимости регулировать отношения между партнерами какими-либо учредительными документами, т.к. партнерам могут быть лишь два разных индивидуальных предпринимателя, каждый из которых действует самостоятельно.
Преобразование ИП
Индивидуальный предприниматель не может преобразоваться ни в какое юридическое лицо. Однако, это не мешает ему быть участником в любом юридическом лице.
Порядок распределения прибыли ИП
Вся полученная прибыль является собственностью индивидуального предпринимателя. С полученной прибыли предприниматель платит налог на доходы физических лиц.
Особенности ИП
Индивидуальный предприниматель без образования юридического лица одна из самых распространенных форм ведения малого бизнеса. Самый простой порядок создания и регистрации, относительно простой учет. По другой шкале нежели у юридических лиц взимаются штрафы. Но, индивидуальный предприниматель отвечает по своим обязательствам всем своим имуществом.
Надеемся, что Вам пригодилась статья Плюсы и Минусы ИП
Более подробную ифнормацию по вопросам:
можете прочитать в соответсвующих разделах
Плюсы и минусы создания ИП
В одном из материалов мы сравнивали что лучше: ООО или ИП? В этой статье Вы узнаете о каждом плюсе и минусе открытия ИП подробно.
Плюсы
-
Не нужен юридический адрес и уставный капитал
Предприниматели регистрируются в ИФНС по домашнему адресу, что значительно облегчает процесс подготовки к регистрации. Уставный капитал предпринимателю тоже не нужен, потому что все денежные средства физического лица считаются денежными средствами индивидуального предпринимателя. -
Возможность участия нескольких лиц
Индивидуальный предприниматель работает самостоятельно и постороннего участия в его бизнесе законом не предполагается. Но законом все-таки предусмотрена возможность объединения усилий нескольких предпринимателей. Например, если у одного участника не хватает собственных денежных средств, можно найти компаньона и организовать простое товарищество (глава 55 ГК РФ). -
Большой объем отчетности
Как правило, предприниматели сдают минимальное количество отчетности. Конкретный перечень зависит от выбранной системы налогообложения.
Минусы
-
Ответственность всем своим имуществом
Организовывая бизнес в качестве ИП нужно быть предельно осторожным — предприниматель по своим долгам отвечает всем имуществом, которое у него есть, даже если оно прямого отношения к бизнесу не имеет. -
В случае банкротства предпринимателя для физического лица вводится ряд ограничений
Такое негативное событие в бизнесе, как банкротство, неразрывно связано с личностью предпринимателя. Поэтому после завершения процедуры банкротства для него вводятся ряд ограничений (ст. 213.30 ГК РФ). Например, чтобы взять кредит в течение 5 лет после завершения процедуры банкротства, физическое лицо обязано указывать на то, что было признано банкротом. Как следствие, шансы получить кредит резко снижаются. -
Возможность продажи бизнеса
Один из распространенных видов бизнеса — раскрутка бизнеса «с нуля» для его дальнейшей продажи. В случае с предпринимателем продать бизнес «одним пакетом» не получится, т. к. вся разрешительная документация связана непосредственно с личностью бывшего владельца бизнеса: свидетельство о регистрации, лицензии, разрешения, регистрация кассовых аппаратов и т. п. -
Ограничения по видам деятельности
Для индивидуальных предпринимателей предусмотрен ряд ограничений по видам деятельности, которые они могут осуществлять. -
Нельзя приостановить бизнес без дополнительных затрат
Индивидуальные предприниматели имеют специфическую особенность — они уплачивают страховые взносы за себя с момента регистрации до момента снятия с учета. Эта обязанность никак не зависит от того, ведется бизнес или нет. Поэтому, если наметился перерыв в деятельности, лучше подать заявление о снятии с учета. При необходимости всегда можно будет зарегистрироваться в качестве ИП снова.
Что лучше открыть ИП или ООО в 2021 году?
Posted On 25 мая, 2021
После того как вы решили открыть бизнес встает вопрос, что же открыть — ИП или ООО. На чашу весов встает — простота ведения и открытия бизнеса, сумма налогов и взносов, а самое главное — прибыль от деятельности, которую можно потратить на личные нужды.
ИП и ООО очень сильно различаются, а потому нельзя однозначно сказать, что лучше. Все это индивидуально — и зависит от деятельности, которую вы выбрали в качестве ведения дела и ваших планов на бизнес — привлечения работников, инвесторов и т.д. В этой статье я расскажу вам об отличиях ИП и ООО, что бы вы смогли принять решение для себя.
Что открыть ИП или ООО. Главные отличия
ИП — Индивидуальный Предприниматель — это физическое лицо, зарегистрированное в установленном законом порядке и осуществляющее предпринимательскую деятельность без образования юридического лица. Любой дееспособный гражданин РФ может зарегистрировать ИП.
ООО — Общество с Ограниченной Ответственностью — это учреждение, организованное одним или несколькими юридическими или физическими лицами. Лица открывшие ООО — учредители. В ООО есть уставной капитал, который разделен на доли его участников.
Получается что ИП — это физическое лицо, а ООО — это учреждение. В связи с этим имеется множество различий в ведении, ответственности, отчетности и других аспектах деятельности организации.
Если коротко — то главными отличиями являются:
- Имущественная ответственность у ИП выше.
- У ИП есть ряд ограничений на виды деятельности.
- Патент может быть использован только ИП.
- Пакет документов для регистрации у ИП гораздо меньше.
- У ИП нет проблем с регистрацией своего бизнеса — он всегда регистрируется по месту прописки физического лица.
- Отчетности у ИП без работников, меньше чем у ООО.
- ИП обязан платить страховые взносы за себя, а ООО нет.
- Вывести деньги из бизнеса ИП гораздо проще.
- ООО может зарегистрировать бизнес на несколько участников одновременно.
- ООО может привлекать дополнительных инвесторов с свое дело.
- Административная и налоговая ответственность у ИП ниже.
- Закрыть ИП проще.
Далее мы более детально рассмотрим каждый из этих пунктов.
Имущественная ответственность на ИП и ООО
Так как ИП — это не учреждение, а физическое лицо, осуществляющее предпринимательскую деятельность — в случае образования долгов, отвечать он будет своим личным имуществом.
ООО — является учреждением, при открытии формируется уставной капитал организации (мин. 10 000 ₽) — поэтому участники общества несут риски только в пределах доли уставного капитала, но только до тех пор, пока общество не находится в стадии банкротства.
При банкротстве общества, участники несут субсидиарную ответственность по долгам общества, своим личным имуществом.
Субсидиарная ответственность — это право взыскания долга с другого обязанного лица. Т.е. при возникновении долга в организации, ответственность падает на само учреждение, а не на его участников. Но если организация не смогла расплатиться с долгами — деньгами или своим имуществом, то суд может наложить ответственность на участников компании. Это спорный вопрос, при котором будут учитываться аспекты — кто принимал решение повлекшее возникновение долга, было ли это намеренным действием и т.д.
Но не стоит доводить до таких последствий и рисковать чужими деньгами, в надежде на то, что учредителя могут не призвать к ответственности. Будьте ответственными и порядочными.
Есть имущество, которое не могут отобрать в счет уплаты долга у ИП или участников ООО — это единственное жилье, предметы личного пользования, и т.д. Полный перечень смотрите в ст. 446 ГПК РФ — Имущество, на которое не может быть обращено взыскание по исполнительным документам.
Ограничения на виды деятельности
У ИП есть ряд ограничений на виды деятельности. Многие из 99-ФЗ о лицензировании отдельных видов деятельности — недопустимы для ИП. Такие, как:
- Ломбарды.
- Производство и продажа алкоголя (ИП может продавать только пиво).
- Банковская деятельность.
- Производство лекарственных препаратов.
- Страховая деятельность и т.д.
У ООО нет ограничений на виды деятельности. Можете выбрать любой вид деятельности из ОКВЭД.
ОКВЭД — это общероссийский классификатор видов экономической деятельности.
Виды налогообложения на ИП и ООО. Льготы.
В 2021 году существует 4 вида налогообложения:
- ОСНО — общая система налогообложения.
- УСН — упрощенная система налогообложения (упрощенка).
- ЕСХН — единый сельскохозяйственный налог.
- Патент — патентная система налогообложения.
Патент могут использовать только Индивидуальные Предприниматели.
Патент — это система налогообложения, предполагающая освобождение от налога на прибыль, имущественного налога и НДС. Вы платите только фиксированную сумму за патент. Виды деятельности, по которым можно выбрать данную систему налогообложения устанавливаются в каждом субъекте РФ отдельно. Более подробно о патенте читайте в статье Системы налогообложения для ИП — подробный разбор.
Остальные системы могут использовать как ИП, так и ООО.
На ИП также есть возможность применять льготную ставку налогообложения согласно пункту 4 статьи 346.20 НК РФ.Налоговые ставки — это своего рода “налоговые каникулы”.
Налоговые каникулы в 2021 году — дают возможность не платить налоги в течение 2 лет.
Воспользоваться “налоговыми каникулами” можно в регионах, где законом установлено применение льготной ставки в размере 0%. Льгота распространяется только на впервые зарегистрированные ИП, применяющие УСН или ПСН и осуществляющие деятельность в производственной, социальной и (или) научной сферах, а также в сфере бытовых услуг населению. При этом доля доходов данных видов деятельности (по которым применяется льготная ставка) должна быть не меньше 70% от общего дохода.
Возможность применять налоговые каникулы есть только у ИП . Остальные льготы, применяются в зависимости от выбранного налогообложения равноправно на ИП и ООО, например, на ОСНО есть возможность применять льготную ставку на прибыль — согласно статье 284. Налоговые ставки — устанавливается субъектами РФ.
Что проще и выгоднее открыть — ИП или ООО
Регистрация ИП гораздо проще и дешевле, чем регистрация ООО:
- ИП зарегистрировано на одно физическое лицо, поэтому и документы нужны только от одного лица, в отличие от ООО, в котором может быть несколько учредителей (до 50 физических или юридических лиц).
- Госпошлина за регистрацию ИП 800 ₽, а за регистрацию ООО 4 000 ₽. С 01.01.2019 года госпошлину можно не платить, при условии подачи документов в электронном виде, с подписью ЭЦП (электронно-цифровая подпись).
- При регистрации ООО учредители обязаны внести уставной капитал в течение 4-рех месяцев. Минимальный взнос в уставной капитал составляет 10 000 ₽.
Документы необходимые для регистрации ИП и ООО при личном обращении в ФНС:
ИП | ООО |
|
|
Юридический адрес ИП и ООО
Индивидуальный предприниматель регистрируется по месту своей прописки. В этом есть как плюсы — не надо арендовать помещение и платить за него, так и минусы — если вы прописаны на Камчатке, а работать планируете в Москве — зарегистрированы вы будете у себя на Родине. И для регистрации вам нужно будет или лететь в родные края или зарегистрироваться удаленно, с помощью эл. подписи, представителя или отправлять документы по почте, предварительно заверив свою подпись у нотариуса.
Но осуществлять деятельность можно на всей территории РФ, без открытия обособленного подразделения, в отличии от ООО.
Обособленное подразделение — это предприятие, от вашей организации, которое находится отдаленно от основной компании и оборудованное рабочими местами.
ООО может зарегистрировать юридический адрес:
- В собственном нежилом помещении.
- В арендованном помещении.
- По месту прописки учредителя (с долей собственности не менее 50%) или директора, с гарантийным письмом от собственника жилища, что он не имеет возражений.
- Также можно купить адрес для регистрации в специализированных фирмах.
При выборе юридического адреса учитывайте, что ваша организация действительно должна находиться по данному адресу. Так как на этот адрес вам будет направляться корреспонденция от налоговой — требования, уведомления о вызове, запрос документов. И если вы их проигнорируете, это может вызвать негативные последствия.
После регистрации налоговая обычно проверяет нахождение организации по месту регистрации и если вас там не обнаружат, выпишут штраф от 5 000 ₽. В зависимости от обстоятельств (смотрите ст. 14.25 КоАП РФ пункт 3,4) и могут поднять вопрос о ликвидации ООО, если вы не исправите ситуацию.
Да, и на всякий случай — налоговая всегда проверяет наличие таблички с наименованием вашей организации. Так что распечатайте на листе бумаге, вырежьте и повесьте на дверь), чтобы при проверке они были довольны).
У нас в офисе зарегистрировано несколько организаций и вот уже несколько сотрудников ФНС приходили проверять нахождение той или иной организации… я каждый раз немного волнуюсь при этом…)) И вот при первой проверке мы не повесили табличку на дверь кабинета, но попался добрый инспектор, который отметил у себя в акте проверке, что табличка есть, при условии, что мы в этот же день устраним данный недочет. Желаю и вам лояльных и добрых инспекторов)
Налоги и отчетность
Ставка налогов зависит от выбранного налогообложения, а не от выбора организационно-правовой формы. Единственное отличие в налогах есть на ОСНО — вместо налога на прибыль 20% ИП платит НДФЛ 13%.
Ну и выше я уже говорила, что ПСН (Патент) может использовать только ИП.
Подробнее по налогам и видам налогообложения читайте в статье Системы налогообложения для ИП — подробный разбор.
Что касается отчетности — у ИП ее немного меньше:
- ИП не нужно сдавать и вести бух. отчетность.
- Если на ИП нет работников, то он освобожден от сдачи ежемесячной отчетности в ПФР и от остальных (квартальных и годовых) отчетов связанных со страховыми взносами (4 ФСС, 6 НДФЛ, РСВ), так как ИП не платит сам себе заработную плату.
А вот ООО, даже если на нем нет сотрудников, кроме директора, все эти отчеты сдавать обязан, даже при отсутствии деятельности (нулевые отчеты).
Страховые взносы за себя и работников
Что касается страховых взносов за работников — тут нет разницы открыли вы ИП или ООО, ставки на взносы одинаковые:
- 22% от суммы заработной платы — на взносы обязательного пенсионного страхования (ОПС).
- 5,1% от заработной платы — на обязательное медицинское страхование (ОМС).
- 2,9% от заработной платы — на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством.
- От 0,2 до 8,5% от заработной платы — на страхование по травматизму и профзаболеваниям. Ставка зависит от класса профессионального риска. Устанавливается ежегодно на основании вашего основного вида деятельности.
Но на ИП вы еще будете обязаны платить обязательные фиксированные взносы за себя. В 2020 фиксированные взносы за себя составляют:
- Страховые взносы на обязательное пенсионное страхование (ОПС) — 32 448 ₽.
- Страховые взносы на обязательное медицинское страхование (ОМС) — 8 426 ₽.
Общая сумма фиксированных взносов ИП в 2021 году составляет 40 874 ₽
Помимо этого, если доход за год превышает 300 тыс. ₽, предприниматель обязан уплатить на ОПС еще дополнительно 1% с суммы дохода, превышающего этот предел, но не более 8-ми кратной фиксированной суммы.
Т.е. если ваш доход за год составил 500 000 ₽, значит помимо фиксированных взносов, необходимо будет заплатить дополнительный взнос ОПС 2 000 ₽:
(500 000 — 300 000) х 1% = 2 000
Взносы платятся независимо от того есть у вас доход или нет!
А на ООО в случае отсутствия деятельности никакие взносы платить не нужно. Только не забудьте отправлять в налоговую нулевые отчеты и написать заявление на отпуск за свой счет, на этот срок.
Вывод денег из бизнеса ИП и ООО
Целью создания бизнеса является независимость (от начальства) и увеличение собственного дохода. Но для того чтобы тратить доход на личные нужды, необходимо вывести деньги из бизнеса.
Все деньги, которые заработал ИП — его собственные и могут быть в любой момент изъяты из кассы в виде наличных средств или перевода безналичных на свой счет в банке. Никаких дополнительных налогов платить не нужно. Единственно банк может взять свою комиссию.
А вот доход ООО принадлежит организации, а не ее участникам, даже если он один. Поэтому просто перевести деньги на свой счет или изъять наличные деньги вы не имеете права.
Вывести деньги из бизнеса законным путем можно:
- Выплатив себе заработную плату , с которой необходимо перечислить налог 13 % НДФЛ (при этом придется еще начислить и выплатить страховые взносы).
- Выплатить дивиденды учредителю, которые также облагаются НДФЛ 13%.
Дивиденды — это чистая прибыли организации, которая ежегодно распределяется между учредителями.
Чистая прибыль — это доход организации, который остается после уплаты всех налогов, взносов, заработной платы и других обязательств.
Некоторые организации пытаются вывести деньги незаконным путем — заключают фиктивные договора, для вывода денег, или делают займы от организации физ. лицу — который не собираются отдавать. Но это все чревато последствиями.
В случае с фиктивным договором опасность заключается не только в проверке налоговой, но также банки стараются пресекать подобного рода сделки и могут заблокировать ваш счет в случае подозрения незаконного вывода денег.
А по поводу займов — вы будете обязаны ежемесячно рассчитывать и удерживать НДФЛ с материальной выгоды, с получателя займа. А в случае если человек, на кого оформлен займ, не является сотрудником организации, вам необходимо будет уведомлять налоговую о невозможности удержания НДФЛ. Тогда налоговая займется им сама.
Поэтому давайте использовать только законные пути вывода денег. Что касается заработной платы, то с нее необходимо начислять и выплачивать страховые взносы, а это аж 30 % от суммы з.п. Это много, поэтому основную часть прибыли ООО выводят через дивиденды. (Но все же зарплату платить придется. На ООО обязательно должен быть хоть один сотрудник — директор. Которому необходимо платить зарплату, а с нее и страховые взносы).
Пример расчета прибыли при выводе денег на ИП и ООО
Давайте разберем на примере, сколько можно вывести денег при равных условиях на ИП и ООО:
Представим что ИП без работников и ООО с одним работником — директором и учредителем в одном лице заработали за год 1 млн ₽ Система налогообложения УСН 6%. А хозяйственных затрат они понесли 100 тыс. ₽.
ИП выведет себе в карман — 840 000 ₽.
Расчет: 1 000 000 — 100 000 — 40 874 — 19 126 = 840 000
Расшифровка:
Хозяйственные нужды (для примера) = 100 000 ₽.
Обязательные страховые взносы за себя = 40 874 ₽.
Налог 6% = 19 126 ₽ .
Расчет налога: 1 000 000 ₽ * 6% = 60 000. По закону ИП без работников может уменьшить сумму налога на страховые взносы до 100 % (при условии что они выплачены в расчетном периоде). Получается:
60 000 — 40 874 = 219 126
На ООО при этих же условиях вы заберете — 718 972,25 ₽.
Из них 592 335,05 в виде дивидендов и 126 637,20 заработная плата директору.
Расшифровка:
Хозяйственные нужды (для примера) = 100 000 ₽.
Налог 6 % = 30 000 ₽ .
Расчет налога: 1 000 000 ₽ * 6% = 60 000. ООО может уменьшить сумму налога на сумму страховых взносов (при условии оплаты их в расчетном периоде), но не более чем 50%. Получается:
60 000 — 50% (т.к. сумма взносов больше чем 50% налога) = 30 000
Заработная плата директору за год — 145 560 ₽ (из расчета по МРОТ. МРОТ в 2020 равен 12 130 ₽) из них НДФЛ 18 922,80 ₽, т.е. на руки вы получите 126 637,20 ₽
Страховые взносы с заработной платы за год = 43 959,12 ₽
145 560 * 30,2% (при условии что взносы на травматизм у вас минимальны) = 43 959,12
Для расчета дивидендов нам необходимо определить сумму чистой прибыли, для этого необходимо с дохода отнять все затраты.
Расчет чистой прибыли: 1 000 000 — 100 000 — 30 000 — 145 560 — 43 595,12 = 680 844,88
Налог на дивиденды 13% = 88 509,83
680 844,88 * 13% = 88 509,83
Расчет дивидендов: 680 844,88 — 88 509,83= 592 335,05
Разница в сумме выведенных средств получается 121 027,75 ₽
Эту разницу можно сократить за счет уменьшения заработной платы директору, а точнее, уменьшение суммы страховых взносов. Вы можете оформить трудовой договор с директором на 0,25 ставки. Это законно. Хотя налоговая может придраться, но если вы сможете обосновать, что действительно на работу тратите не более 2 часов день (10 часов в неделю), то они не смогут заставить вас платить больше заработную плату.
Такое решение уже сэкономит вам 32 605,34 ₽.
(12 130 * 0,25 * 12) * 30,2% = 10 989,78 ₽ страховых взносов, вместо 43 595,12
Партнерство, престиж и репутация
Партнерство — совместная деятельность.
Если вы планируете открыть бизнес самостоятельно, без партнеров, то нет разницы откроете вы ИП или ООО.
Но если вы с друзьями собрались вести дело, то открыв ИП, у вас не будет равноправия, так как все дело будет оформлено только на того, на кого вы зарегистрируете ИП. Он один будет нести ответственность и руководить компанией, в том числе и в финансовых вопросах. Ваши договоренности будут держаться только на словах.
В этом случае лучше открыть ООО и разделить его доли — на равные части или как вам будет удобно. Все учредители будут официально зарегистрированы, у каждого будут равные права и ответственность также будет делиться поровну. В случае чего, каждый учредитель может в любой момент выйти из дела продав свою долю его же участникам или стороннему лицу.
Что касается престижа и репутации. Есть мнение, что ИП это не так серьезно и престижно и что ООО не любят с ними сотрудничать. Здесь сложно опровергнуть или принять эту точку зрения, статистики на этот счет нет. Могу лишь сказать, что ООО часто не сотрудничают с ИП, из-за отсутствия НДС. Предприниматели чаще всего предпочитают работать с упрощенным налогообложением. А компании, которые являются плательщиками НДС, стремятся работать с организациями на ОСНО из экономических соображений.
Стоит ли из-за этого открывать ООО на ОСНО? Однозначно нет! Отталкивайтесь от вашей ситуации и вашей деятельности, выбор налогообложения очень важен, от него зависят ваши расходы в бюджет. И различаться они могут в разы, в зависимости от системы налогообложения.
См. Системы налогообложения для ИП — подробный разбор.
Привлечение инвестиций
Привлечение инвестиций, это дополнительное преимущество у ООО. Если вы открываете дело, но не имеете необходимой суммы для его старта, вы всегда можете обратиться к инвесторам — ваша идея + их финансы могут быть отличным союзом. Многие крупные организации используют инвесторов. Ведь чем крупнее бизнес, тем больше он требует средств на модернизацию, а в условиях конкуренции всегда приходится бороться за клиентов и улучшать свой продукт.
Но не забывайте, что инвестиции и благотворительность — разные вещи. Инвесторы за вложение своих средств попросят свою долю — бизнеса и прибыли. Поэтому решение принимайте взвешенно — возможно есть способ не делиться своим бизнесом, а например, взять кредит.
У ИП не может быть совладельцев бизнеса — мы об этом говорили в разделе Партнерство. Оформить часть доли ИП не представляется возможным. ИП открывается на 1 физическое лицо, поэтому все взносы в бизнес ИП могут быть только в виде займов и кредитов.
Административная и налоговая ответственность на ИП и ООО. Штрафы
ИП и ООО несут разную административную ответственность. При регистрации, ИП не получает статус юридического лица, в отличие от ООО. Согласно КоАП РФ Статья 2.4. Административная ответственность должностных лиц — индивидуальные предприниматели, совершившие административное правонарушение, несут административную ответственность как должностные лица, если настоящим Кодексом не установлено иное. А штрафы у должностного лица в разы меньше, чем у юридического. Например:
При этом, при административном правонарушении на ООО может быть назначено 2 штрафа — на само юридическое лицо и на должностное (бухгалтера, директора — того, кто это правонарушение допустил или совершил).
Что касается налоговых правонарушений, то за не вовремя отправленную декларацию или недоплаченные налоги и сборы ИП и ООО платят одинаковые штрафы. Но вот если сумма неуплаченных налогов превышает определенный порог, то одними штрафами вы можете не отделаться. Неуплата налогов в крупном и особо крупном размере — может привести к лишению свободы.
Причем на ООО более строгое наказание. И также на ООО есть риск попасть под определение — деяние, совершенное группой лиц по предварительному сговору, так как в организации может быть несколько учредителей.
На ИП крупным размером считается неуплата налогов за последние 3 года в размере более 900 тыс. ₽. На ООО крупный размер неуплаченных взносов начинается от 5 млн ₽, за последние 3 года. На ИП и ООО данный вид правонарушения регламентируется разными статьями:
Неуплатой налогов, считается не только прямая неуплата сумм по декларации, но и также выявление нарушений в заполнении декларации, которое может обнаружиться в ходе камеральной или выездной налоговой проверки, может послужить поводом для доначисления вам налогов и пеней. И если сумма превысит порог “крупного размера”, то налоговая может обвинить вас в подаче заведомо ложных сведений и передать эти данные в надлежащие инстанции.
Камеральная налоговая проверка — контроль за соблюдением налогоплательщиками законодательства о налогах и сборах, путем проверки по месту нахождения налогового органа налоговых деклараций, которые предоставил налогоплательщик. Регламентируется ст. 88 НК РФ. Камеральная налоговая проверка.
Выездная налоговая проверка — проводится на территории налогоплательщика. См. ст. 89 НК РФ. Выездная налоговая проверка.
Закрытие ИП и Ликвидация ООО
Процедура закрытия ИП гораздо проще, чем ликвидация ООО.
Для закрытия ИП вам понадобится:
Чтобы ликвидировать ООО необходимо:
- Принять решение о ликвидации, общим собранием участников. Создать ликвидационную комиссию и назначить ответственное лицо (ликвидатор). С момента назначения ликвидатора, к нему переходят все полномочия по управлению делами юридического лица.
- В течение 3 дней после принятия решения, предоставить в ФНС уведомление по форме Р15001.
- Ликвидационная комиссия обязана опубликовать в журнале «Вестник государственной регистрации» сообщение о ликвидации, а также о порядке и сроке заявления требований кредиторами общества.
- В течение 2 месяцев после публикации сообщения, комиссия обязана выявить кредиторов и лично каждого уведомить о ликвидации ООО.
- По истечении 2 месяцев, комиссия формирует промежуточный ликвидационный баланс. И сообщает об этом в налоговую.
- Далее подготавливается заявление по форме Р16001 о государственной регистрации юридического лица в связи с его ликвидацией.
- Оплачивается госпошлина в размере 800 ₽.
- И весь пакет документов передается в ФНС.
На 6-й рабочий день после подачи документов, вы получите документы о ликвидации ООО:
- Лист записи ЕГРЮЛ.
- Уведомление о снятии с учета юридического лица в налоговом органе.
Сравнительная таблица
Форма бизнеса | ИП | ООО |
Регистрация | Для регистрации ИП необходим только паспорт, ИНН и заявление. + 800 ₽ за госпошлину | Регистрация ООО требует большего пакета документов. + 4000 ₽ за регистрацию |
Виды деятельности | Ограничение на виды деятельности | Нет ограничений на виды деятельности |
Количество участников | Только один | До 50 физических или юридических лиц |
Уставной капитал | Не требуется | Обязателен. Минимальный 10 000 ₽ |
Виды налогообложения | Может использовать все виды налогообложения | Не имеет право использовать Патент. Все остальные может |
Адрес регистрации | Всегда по месту прописки физического лица, который регистрирует ИП | Может быть зарегистрирован по месту прописки учредителя, в арендованном помещении или собственном нежилом помещении |
Имущественная ответственность | ИП отвечает всем своим имуществом | ООО отвечает имуществом организации. Но в случае банкротства существует вероятность, что отвечать будут ее участники, по субсидиарной ответственности |
Налоги в случае отсутствия деятельности на предприятии | Необходимо платить фиксированные страховые взносы за себя | Ничего платить не нужно |
Отчетность | Если нет работников, то нет необходимости отправлять отчетность по страховым взносам | Необходимо сдавать все виды отчетности |
Страховые взносы за себя и работников | Сумма страховых взносов за работников одинаковая на ИП и ООО. Страховые взносы за себя в 2021 году составляют 40 874 ₽ | Сумма страховых взносов за работников одинаковая на ИП и ООО. Фиксированных смтраховых взносов за себя — нет |
Работники | ИП может работать один, без привлечения работников | Обязательно наличие одного сотрудника — директора, устроенного по ТК РФ |
Вывод денег | Все деньги на ИП — его собственные, могут быть в любой момент изъяты из дела на личные нужды. При выводе денег налогом дополнительно не облагаются | Все деньги ООО принадлежат организации, вывести можно только чистую прибыль, путем выплаты дивидендов. Облагаются налогом НДФЛ — 13% |
Привлечение инвесторов | В бизнес ИП нельзя вступить в долю. Поэтому при нехватке средств придется брать кредиты и займы | Можно привлекать дополнительных инвесторов. При этом отдав им долю общества, а значит прибыли |
Закрытие бизнеса | Закрытие ИП не требует больших усилий — просто написать заявление и оплатить госпошлину | Ликвидация ООО требует регламентированных действий, в определенной последовательности. Ликвидация длится не менее 3 месяцев |
Административная и налоговая ответственность | Штрафы ИП при совершении административной ответственности ниже. И если речь идет об уголовной ответственности, при совершении налогового правонарушения, то также у ИП немного мягче наказания | К ООО более суровые требования, а потому штрафы и ответственность выше. Единственное за налоговые правонарушения — штрафы одинаковые у ИП и ООО |
Продажа бизнеса | ИП не может продать бизнес, так как он привязан к его личности | ООО может продать бизнес целиком, или какую-то долю |
Запомнить
- Открыть ИП проще и по финансам и по количеству собираемых документов.
- Налоги и отчетности зависят от выбранной системы налогообложения, а не от формы бизнеса. Единственное преимущества ИП в этом — если он работает без наемных сотрудников, ему не придется сдавать отчеты по страховым взносам.
- ИП не может продать бизнес, привлечь инвесторов и принять в него новых участников. Если вы планируете что-то из перечисленного, открывайте ООО.
- У ИП есть ограничения на виды деятельности.
- Систему налогообложения ПСН (Патент) может применять только ИП.
- Ответственность при административном или налоговом правонарушении у ИП меньше.
- ИП обязан платить страховые взносы за себя независимо от того, есть ли прибыль!
- Закрытие ИП гораздо проще, в отличие от процедуры ликвидации ООО.
Открыть и вести бизнес на ИП проще, но иногда он ограничивает деятельность. А потому отталкиваться надо от ваших потребностей.
Если только начинаете дело и собираетесь вести его один — открывайте ИП, в случае расширения бизнеса откроете ООО.
Если же собираетесь открыть дело с партнерами, или привлекать инвесторов, или деятельность, которой собираетесь заниматься запрещена для ИП — то однозначно открывайте ООО.
Удачи вам в ваших начинаниях!
Может быть полезно:
- Как самому открыть ИП — подробная пошаговая инструкция для новичков
- Системы налогообложения для ИП — подробный разбор
- Открыть расчетный счет в Тинькофф Банке
- Открыть расчетный счет в Альфа-Банке для ИП и ООО.
Интересно:
- У вас уже есть опыт ведения бизнеса? Может есть какой нибудь секрет успеха, поделитесь?
5 Преимущества подсетей | Network Computing
Ой, трафик в вашей сети сильно увеличился, в результате чего она работает медленнее. Пришло время подумать о том, чтобы разбить вашу сеть на подсети. Хотя разбиение на подсети требует некоторого планирования и может занять много времени, оно того стоит. Вот пять преимуществ разбиения на подсети, которые следует учитывать
1. Повышение производительности и скорости сети
Один широковещательный пакет отправляет информацию, которая достигает каждого устройства, подключенного к этой сети, потому что каждое устройство имеет точку входа в сеть.Однако большое количество точек входа может отрицательно повлиять на производительность устройства межсетевой коммутации, а также на общую производительность вашей сети.
Еще одна проблема, связанная с широковещательными пакетами, заключается в том, что они могут спамить любое устройство в сети, даже устройства, которые не имеют отношения к поставленной задаче, что может снизить пропускную способность сети и привести к ее разрушению.
Но разбиение на подсети позволяет гарантировать, что информация остается в сети с подсетями или широковещательном домене, что позволяет другим подсетям максимизировать свою скорость и эффективность.Разделение на подсети также разделяет широковещательные домены вашей сети, что позволяет вам лучше контролировать поток трафика, тем самым повышая производительность сети!
Однако одно предостережение. Лучше ограничить трафик одной подсетью, чем позволять ему перемещаться из подсети в подсеть. Таким образом, вы должны по возможности ограничивать количество устройств в вашей подсети, а также контролировать поток трафика между подсетями. Это повысит скорость и производительность вашей сети.
2.Уменьшить перегрузку сети
Подсети гарантирует, что трафик, предназначенный для устройства в подсети, остается в этой подсети, что снижает перегрузку. За счет стратегического размещения подсетей вы можете снизить нагрузку на сеть и более эффективно направлять трафик.
Итак, что происходит с большой сетью без подсетей? Каждый компьютер будет видеть широковещательные пакеты со всех компьютеров и серверов в сети, в результате чего коммутаторам придется перемещать весь этот трафик на соответствующие порты.Это приводит к увеличению перегрузки, снижению производительности сети и более медленному времени отклика.
Однако использование маршрутизатора для перемещения трафика между подсетями не приводит к тому, что широковещательный трафик или какая-либо информация, которую не нужно маршрутизировать, перемещается в другие подсети. Поскольку объем трафика в каждой подсети уменьшается, скорость каждой подсети увеличивается, что снижает перегрузку сети.
3. Повышение безопасности сети
Вы можете подумать: «Что, если устройство в моей сети включено?» Разделив вашу сеть на подсети, вы можете контролировать поток трафика с помощью списков контроля доступа, QoS или карт маршрутов, что позволяет вам легче выявлять угрозы, закрывать точки входа и направлять свои ответы.
Вы также можете разделить вашу сеть, используя маршрутизаторы для подключения подсетей, через конфигурацию списков ACL на маршрутизаторах и коммутаторах. В результате устройства в подсети не могут получить доступ ко всей сети.
Другой вариант — ограничить доступ к ресурсам на беспроводных клиентах, гарантируя, что ценная информация не будет легко доступна в удаленных местах.
4. Контроль роста сети
При планировании и проектировании сети необходимо учитывать размер.Одним из ключевых преимуществ разделения на подсети является то, что оно позволяет вам контролировать рост вашей сети.
Вы можете использовать популярную формулу хоста, чтобы определить размер вашей сети. Возьмите количество нулей в маске вашей подсети при преобразовании в двоичную форму, возьмите два в степени этого числа, затем минус два — и тогда у вас будет количество возможных хостов для этой маски подсети. Это было немного сложно, так что вот более подробное объяснение формулы хоста.
Ваш следующий шаг — вычислить ожидаемый рост сети, который в большинстве случаев будет во многом зависеть от физического размера вашего здания.Например, останется ли количество необходимых устройств стабильным или со временем оно может удвоиться? Если это так, вам нужно будет соответствующим образом скорректировать уравнение для формулы хоста, чтобы определить правильное пространство IP-адресов для вашей сети.
5. Простота администрирования
Вы сетевой администратор? Тогда разбиение на подсети не составит труда, потому что это может значительно облегчить вашу работу. Разбивая на подсети, вы можете создавать сети, которые имеют больше логических ограничений для хостов, в отличие от ограничений классов IP-адресации: восемь бит для класса A, 16 бит для класса B и 24 бита для класса C.Подумайте об этом так: если бы Интернет был ограничен только этими тремя классами, каждая сеть имела бы только 254, 64 000 или 16 миллионов IP-адресов для хост-устройств.
При отсутствии подсетей сети с более чем 254 устройствами нуждаются в распределении класса B, что может привести к потере тысяч IP-адресов. Разбивая на подсети, вы можете выбрать количество бит в вашей подсети, создавая более реалистичные ограничения для хостов.
Разделение на подсети также является эффективным способом наблюдения за машинами в вашей сети, что, в свою очередь, может помочь вам определить, какие машины требуют внимания в случае возникновения проблем.Таким образом, несмотря на тщательное планирование и реализацию, в сетях с подсетями легче управлять и устранять неполадки.
Узнайте больше о разделении на подсети в этом видео с Кейтом Баркером, инструктором CBT Nuggets.
Преимущества и недостатки VoIP: сравнение 2021 года
Мы написали полное руководство, в котором взвешиваются преимущества и недостатки телефонных систем VoIP. Если вы хотите перейти прямо к сводной таблице, нажмите здесь.
Преимущества и недостатки VoIP: обзорНе хочется читать? Посмотрите наше трехминутное видео о плюсах и минусах VoIP ниже:
VoIP: преимущества
Поскольку мы сами являемся провайдерами VoIP в Nextiva, было бы справедливо сказать, что мы кое-что знаем о VoIP.Вот подробное руководство по его плюсам и минусам:
- Меньшие затраты
- Повышенная доступность
- Полная переносимость
- Повышенная масштабируемость
- Расширенные функции для малых и больших команд
- Более четкое качество передачи речи
- Поддерживает многозадачность
- Больше гибкости с программными телефонами
Чистая прибыль жизненно важна для любого бизнеса, большого или малого.Итак, вы должны рассмотреть все возможности экономии. Один из способов, которым компании могут добиться значительной экономии средств, — это использование телефонной системы VoIP.
Рассмотрим это:
В среднем стоимость стационарной телефонной системы (POTS) составляет 50 долларов США за линию в месяц. В этот тариф входят только местные (а иногда и внутренние) звонки. Планы VoIP, напротив, доступны менее чем за 20 долларов за линию.
Подождите, что?
Верно.Исходя из этих цифр, VoIP может снизить ваш телефонный счет более чем вдвое по сравнению с текущим.
Важно отметить, что переход на VoIP не является гарантией того, что ваши расходы на телефонную связь резко упадут. Бизнесы различаются, и их потребности тоже.
Но в чем вы можете быть уверены, так это в том, что переход на VoIP приведет к значительной экономии средств. Снижение затрат на VoIP происходит двумя способами: прямым и косвенным.
Прямая экономия затратКогда дело доходит до традиционного телефонного обслуживания, бизнес несет огромные начальные затраты.Особенно в названии бизнес-телефонов и оборудования АТС.
a) Стоимость АТСУАТС (частная телефонная станция) — это локальное физическое оборудование. Он соединяет множество стационарных телефонов в офисе и может стоить огромных денег. Речь идет о десятках тысяч долларов — сумме, которую можно погасить за несколько лет.
Вы можете возразить, что аналоговые телефоны стоят примерно столько же, как IP-телефоны. Точная цена будет отличаться в зависимости от желаемых характеристик.
Но установка УАТС на месте — дорогостоящее капиталовложение. Он может стоить от 500 до 2000 долларов за пользователя. Таким образом, даже малому бизнесу с небольшим количеством сотрудников необходимо инвестировать в физическое оборудование.
СетиVoIP избавляются от этой потребности в дополнительном оборудовании, поскольку широкополосное соединение обеспечивает работу службы.
Чтобы упростить переход при обновлении своих телефонных систем, такие организации могут использовать протокол инициирования сеанса, известный как магистраль SIP. Магистраль SIP действует как цифровой канал для ваших голосовых услуг, поддерживая при этом существующее телефонное оборудование в вашем офисе.Ключевые преимущества SIP Trunking включают меньшую стоимость, простоту управления и возможность мгновенно активировать услугу.
Технологические лидеры используют SIP Trunking для добавления новых голосовых возможностей в существующую телефонную систему.
b) Плата за медную проводкуШирокополосные соединения также избавляются от лишней проводки, поскольку сети VoIP позволяют передавать как голос, так и данные по одному и тому же каналу. В ИТ и телекоммуникационных кругах правильное слово для этого — полнодуплексный.Это возможность одновременно отправлять и получать голос и данные. Большинству настольных телефонов VoIP требуется только один порт Ethernet для подключения к нему.
Power over Ethernet (PoE) позволяет офисам быть более модульными с офисным персоналом. Кроме того, этим офисам не нужно будет вносить изменения в электропроводку здания.
Собираетесь полностью на беспроводную связь? Профессиональная услуга VoIP также доступна в виде приложения на вашем компьютере или смартфоне. Гибкость VoIP — это большая победа как для предпринимателей, так и для предприятий.
c) Расходы на вызовыПрямые затраты также выражаются в стоимости звонков. Звонки VoIP дешевле по сравнению с коммутируемой телефонной сетью общего пользования (PSTN) или традиционной телефонной сетью с коммутацией каналов с натяжкой.
По большей части это связано с резким падением стоимости передачи данных. Изначально цены на данные были недоступны для большинства малых предприятий.
Даже в крупных организациях пользователям приходилось сталкиваться с ограничением полосы пропускания корпоративного Интернета и широкополосного доступа.Однако сегодня скорость интернета повысилась, а стоимость передачи данных, соответственно, резко упала.
Статистика показывает, что малые предприятия, использующие VoIP, могут сократить телефонные счета своей компании до 60%. Они также могут сэкономить до 90% на международных звонках.
Связано: Как перестать переплачивать по служебному телефону
Это значительное число, о котором мы говорим в любой год.
Эта экономия связана с отказом от дорогостоящих интерфейсов первичной скорости ISDN (сокращение от Integrated Service Digital Network).Или даже выделенные линии, связанные с системой POTS в пользу услуги VoIP. Компании, которые совершают междугородние звонки за пределами США, пользуются более низкой стоимостью VoIP.
Традиционная телефонная связь стоит примерно вдвое дороже, чем VoIP. VoIP предлагает значительные преимущества для компаний, работающих по всему миру.
г) Текущие расходыУслуга VoIP также позволяет предприятиям сократить другие текущие расходы, такие как налоги, плату за ремонт и техническое обслуживание.Провайдеры VoIP обычно включают эти расходы в планы подписки, которые, как и в случае с Nextiva, могут стоить всего 5 долларов на пользователя в месяц.
Все эти затраты в совокупности делают услуги VoIP привлекательным предложением для растущих стартапов и малых и средних предприятий.
Экономия косвенных затратКосвенную экономию труднее оценить количественно, но это не делает ее менее важной для вашего бизнеса. Ниже приведены некоторые из наиболее распространенных областей, в которых организации экономят деньги в долгосрочной перспективе.
a) Экономия при удаленной работеПереход на VoIP позволяет сотрудникам оставаться на связи с корпоративной телефонной системой, работая удаленно. Это благодаря длинному списку функций VoIP телефона , таких как ожидание вызова, автосекретарь, мгновенный видеозвонок, конференц-связь и другие, которые не предусмотрены в традиционных телефонах.
Исследования показывают, что это не только может повысить продуктивность сотрудников, но также может сократить расходы на коммунальные услуги и офисные площади.
Согласно недавнему анализу, проведенному компанией Global Workplace Analytics , типичный бизнес может сэкономить 11000 долларов на человека в год, просто позволяя им работать дома 50% времени.
b) Дополнительные функции без дополнительных затратВозможно, вы сразу заметите, что даже традиционная УАТС поддерживает удаленную работу с помощью таких функций, как перевод вызовов, групповой звонок, постановка вызовов в очередь и т. Д.
По сути, эти функции не присущи стандартной системе PBX. Скорее, это дополнительные функции, за которые нужно платить отдельно.
Для сравнения: телефонные услуги VoIP включают многие из этих функций без дополнительных затрат. Не нужно доплачивать за любую функцию, которая, по вашему мнению, может быть полезна для вашего бизнеса.
c) Перепрофилированная рабочая силаЕсли ваша компания полагается на секретаря для обработки телефонных звонков и приема сообщений, функция автосекретаря позволяет вам изменить назначение этой роли без дополнительных затрат.(Домашний секретарь, нанятый на полную ставку, зарабатывает около 45 тысяч долларов в год, что недешево.)
Конечно, наличие секретаря имеет смысл для компаний, принимающих большое количество посетителей, или для крупных корпораций с значительными бюджетами.
Однако малым предприятиям может быть сложно оправдать такую зарплату. Но с функцией автосекретаря всего одним щелчком мыши вы просто отказались от этой платы.
2) Повышенная доступностьПомимо рентабельности, доступность — одно из самых больших преимуществ VoIP для бизнеса.Одно явное преимущество облачной услуги VoIP — это возможность совершать звонки из любого места.
Если у вас хорошее соединение для передачи данных, вы можете совершать и принимать звонки для своей компании. А когда вы не можете ответить на звонок, вы можете направлять вызовы другому человеку или получать голосовые сообщения по электронной почте. Заметным преимуществом VoIP является возможность взять с собой рабочий телефон с помощью приложения для программного телефона.
В условиях все более мобильной рабочей силы удаленный доступ позволяет вашему бизнесу быть гибким.Мобильные сотрудники могут оставаться продуктивными независимо от их местонахождения.
Более того: VoIP адаптируется в зависимости от того, как работают ваши сотрудники. Сотрудникам не нужно физически присутствовать в офисе. Они могут работать на своих смартфонах и планшетах из любого места.
[Отчет о состоянии производительности труда показал 65% сотрудников, занятых полный рабочий день , считают, что график удаленной работы повысит производительность.]
3) Полная переносимостьНомер VoIP, также известный как виртуальный номер , полностью переносимый.Это означает, что вы можете использовать один и тот же номер, куда бы вы ни пошли.
Для людей, которые много путешествуют, это должно быть более чем долгожданная новость. Еще лучше, если ваша компания изменит адрес, вы можете сохранить тот же номер VoIP.
Мы провели для вас исследование. Загрузите Руководство покупателя телефонной системы VoIP, содержащее передовой опыт и рекомендации.
4) Повышенная масштабируемостьМасштабируемость — еще одно из многих преимуществ VoIP, которые делают его привлекательным предложением для растущего бизнеса.Хотя это часто обсуждаемый аспект VoIP, что именно он означает?
Имея такую возможность, каждый владелец бизнеса предпочел бы телефонную систему, которая растет вместе с их бизнесом.
Решение VoIP избавляет от необходимости покупать дорогое оборудование или выделенную линию по мере роста. Подумайте обо всех возможных сценариях здесь, как вы:
- Подготовка к всплеску спроса в праздничные дни
- Открытие нового филиала
Независимо от сценария, мгновенно переключайте свои предпочтения без необходимости покупать дополнительные линии или выделенное оборудование.
5) Расширенные функции для малых и больших командБлагодаря расширенным функциям, таким как автосекретарь и переадресация вызовов, VoIP позволяет даже одному человеку создать имидж крупной компании.
С другой стороны, это может сделать большое предприятие более доступным. Все дело в том, чтобы максимально использовать все доступные функции.
Допустим, у вас есть бизнес в Шарлотте, но вы также обслуживаете клиентов в таком далеком штате, как Орегон.
Регистрируясь у такого провайдера, как Nextiva, вы получаете номер телефона VoIP с кодом зоны Орегон , хотя вы находитесь в Северной Каролине. Это заставляет клиентов воспринимать вас как местного жителя, хотя вы им не являетесь.
Точно так же функция автосекретаря может заставить вас выглядеть больше, чем вы есть на самом деле. Например, вы можете быть индивидуальным предпринимателем, но при этом настроить автосекретарь так, чтобы он звучал так, как будто вы — компания с несколькими отделами.
VoIP предлагает преимущества по сравнению с традиционными телефонными системами благодаря возможностям многостороннего вызова.Большие и малые организации часто нуждаются в отдельном провайдере конференц-связи, который позволяет множеству людей присоединиться к одному разговору.
ПровайдерыBusiness VoIP включают надежные функции конференц-связи, встроенные прямо в свои услуги.
6) Более четкое качество голосаКогда впервые появилась услуга VoIP, одним из ее самых значительных недостатков было слабое качество связи. Звонки прерывались без всякой причины, качество голоса было ненастоящим, а задержка была в порядке вещей.
Сегодня, если у вас есть быстрое и стабильное подключение к Интернету, качество передачи голоса не должно быть проблемой. Звонки VoIP, как правило, четкие и четкие, без задержек, задержек или прерываний вызовов. Все мы раньше были на жалких голосовых и видеоконференциях.
Ключом к качеству вызовов VoIP является надежное соединение с хорошей пропускной способностью. Без этого это может стать кошмаром, особенно если вы часто обнаруживаете, что ваш офис одновременно звонит. Всегда есть кто-то, кто звонит по мобильному телефону, а все остальные страдают из-за эха, задержек и фонового шума.
ТелефоныVoIP прекращают эти перерывы, чтобы вы могли сосредоточиться на повестке дня встречи. Такие инновации, как микрофоны с шумоподавлением и улучшенное сжатие звука, позволяют телефонам VoIP достигать превосходного качества звука.
7) Поддерживает многозадачностьНаряду с традиционными телефонными звонками, VoIP позволяет отправлять документы, изображения и видео, одновременно участвуя в разговоре. Таким образом, вы можете беспрепятственно проводить более интегрированные встречи с клиентами или сотрудниками из других уголков земного шара.
8) Больше гибкости с программными телефонамиНесмотря на название, программные телефоны — это не аппаратных устройств . Вместо этого это программы, установленные на компьютере или других интеллектуальных устройствах, таких как планшет или смартфон. Хорошим примером является Skype, хотя Enterprise VoIP провайдеры , такие как Nextiva, имеют свои приложения, специально предназначенные для бизнеса.
Плюсы софтфона для делового общения многочисленны:
- Освобождает рабочее место
- Снижает затраты на дополнительное оборудование
- Обеспечивает еще большую мобильность
- Обеспечивает постоянную связь сотрудников
Более того, программные телефоны позволяют проявлять гибкость.Они предоставляют вам доступ к функциям, которые поддерживают ваш стиль удаленной работы.
9) Повышенная безопасностьБольшинство людей не хотят тратить больше времени, чем стоит думать о безопасности своей телефонной системы. Безопасность телефонной системы имеет большое значение, особенно для бизнеса. Спрос на информацию, позволяющую установить личность (PII), никогда не был таким высоким.
Типичная отправная точка — обман персонала с помощью мошеннических телефонных звонков, обычно известных как социальная инженерия.
VoIP может уменьшить такие угрозы безопасности, используя достижения IP-технологии, включая шифрование и улучшенное управление идентификацией. Хостинговые провайдеры VoIP работают круглосуточно, чтобы защитить свои сети, поэтому вам не нужно этого делать.
Защита вашей системы VoIP означает, что вы должны работать с надежным провайдером VoIP, который проходит независимые аудиты безопасности, гарантирует, что персонал использует правильные пароли и настраивает автоматические предупреждения для сомнительного поведения при звонках.
Кроме того, всегда рекомендуется регулярно обновлять операционную систему, чтобы гарантировать, что ваш бизнес не подвергнется риску из-за новых уязвимостей.
VoIP: недостаткиВсе, что имеет преимущество, имеет свои недостатки. VoIP-телефония не освобождается от этого правила.
Вот недостатки, связанные с услугой VoIP, о которых необходимо знать:
- Требуется надежное подключение к Интернету
- Задержка и джиттер
- Нет отслеживания местоположения для экстренных вызовов
Во-первых, ваш VoIP-сервис работает ровно настолько, насколько хорошо ваше интернет-соединение.Если пропускная способность вашей сети низкая, служба обязательно пострадает.
VoIP не использует такую большую полосу пропускания, как можно было бы ожидать. Очень важно, чтобы устройства VoIP получали низкую задержку в вашей сети. На каждом устройстве должна быть доступна скорость загрузки не менее 100 кбит / с. Хорошее соединение имеет пинг и джиттер менее 70 мс, что измеряет задержку и стабильность вашего интернет-соединения.
Пропускная способность, необходимая вашему бизнесу, будет зависеть от количества одновременных вызовов, которые вы планируете совершать.Лучший способ определить это — запустить тест пропускной способности в вашей текущей сети.
Связано: надежен ли VoIP? Девять полезных советов, которые вы должны знать
2) Задержка и джиттерПомимо скорости, существуют и другие проблемы с подключением, с которыми может столкнуться любая интернет-технология: задержка и джиттер.
При общении в сети каждое сообщение (будь то электронная почта, видео или аудио) разбивается на биты данных, называемые «пакетами данных».Эти пакеты затем повторно собираются в предполагаемом месте назначения, чтобы создать исходное сообщение.
Задержка и дрожание — это когда эти пакеты данных либо задерживаются при передаче, либо неправильно собираются повторно. Этих проблем может даже не быть вашей сети; основные магистральные сети Интернет изменяют маршруты данных, чтобы обеспечить надежную и быструю доставку трафика к месту назначения. Эти изменения происходят автоматически, без вашего участия.
Почему возникают задержки и джиттер- Плохое интернет-соединение — VoIP требует большей пропускной способности, чем обычный веб-серфинг.Итак, если вам не хватает скорости Интернета, возможно, сейчас самое время честно поговорить с вашим интернет-провайдером.
- Неадекватный маршрутизатор — Для бесперебойной работы службы VoIP необходим специализированный маршрутизатор VoIP. Это маршрутизатор, настроенный для приоритезации пакетов, так что голосовой трафик имеет более высокий приоритет над данными.
- Недостаточно кабелей — Кабели Ethernet бывают разных категорий и уровней мощности. Для VoIP лучше всего использовать кабель Ethernet Cat-5e или выше.Нижние тросы могут не работать на достаточно высоких скоростях.
- Включить буферизацию джиттера — это легко настроить, и она предварительно включена во многие устройства Nextiva.
- Выберите высокоскоростной Интернет — Свяжитесь с вашим интернет-провайдером для получения информации о доступных вариантах пропускной способности.
- Обновление кабелей Ethernet — Используйте кабель Ethernet CAT-5e или CAT-6 на всех устройствах VoIP.
Связано: платформа Nextiva предназначена для минимизации джиттера при звонках. Попробуйте это здесь.
3) Ограниченное отслеживание местоположения для экстренных вызововОтслеживание местоположения — последний недостаток VoIP. Из-за портативности и доступности VoIP третьим сторонам сложно определить, откуда исходит звонок.
Звонки поступают с IP-адреса без данных GPS или информации о вышках сотовой связи для отслеживания.Хотя 99% звонящих не нуждаются в этой информации, это создает проблемы для экстренных служб, таких как 911. Вам нужно будет сообщить, где вы находитесь в экстренной ситуации.
Использование услуг VoIP домаДля подключения к провайдеру услуг VoIP вам понадобится телефон VoIP. Вы можете сделать это одним из трех способов:
- Подключите выделенный VoIP к проводной сети Wi-Fi
- Используйте обычный аналоговый телефон, но с аналоговым телефонным адаптером
- Установите на компьютер приложение программного телефона с микрофоном и динамиком или гарнитурой.
Предприятия стремятся перейти от традиционных телефонных систем с медным проводом к системам VoIP по двум причинам:
- Эффективность полосы пропускания
- Сниженные затраты
Поскольку VoIP позволяет передавать как голос, так и данные в одной сети, и поскольку он работает с вашим существующим оборудованием, является привлекательной альтернативой для предприятий . Даже если бы вам пришлось расширить свои линии VoIP, это все еще более доступно по сравнению с частными телефонными станциями (PBX) и линиями.
Сегодня VoIP для предприятий включает следующее и называется Unified Communications :
- Телефонные звонки
- Факсы
- Голосовая почта
- Электронная почта
- Интернет-конференций и не только
Таким образом, VoIP может стимулировать рост как на предприятиях, так и на малых и средних предприятиях, не имея большого бюджета для работы.
Переключитесь на VoIP сегодняЕсли посмотреть на плюсы и минусы выше, становится ясно, что преимущества VoIP намного перевешивают любые недостатки.В Nextiva мы помогаем предприятиям перейти от традиционных телефонных систем к унифицированным коммуникационным решениям.
Мы предоставим вам возможность сосредоточиться на других важных бизнес-аспектах, поскольку мы настраиваем вас на новую телефонную систему с минимальными нарушениями.
Чтобы узнать больше о наших продуктах и о том, что мы можем сделать, чтобы помочь вашему бизнесу, ознакомьтесь с нашими коммерческими телефонными услугами.
Сократите счета за телефонную связь вашей компании до 65%.
Запросите бесплатное и бесплатное ценовое предложение сегодня.
Гаэтано ДиНарди является директором по формированию спроса в Nextiva и имеет успешный опыт работы с такими брендами, как Major League Baseball, Pipedrive, Sales Hacker и Outreach.io. Помимо маркетинга, Гаэтано — опытный музыкальный продюсер и автор песен. Он работал с такими крупными артистами, как Толстый Джо, Шэгги, и любит сочинять музыку, чтобы оставаться на высоте. Чтобы связаться с ним, подпишитесь на него в LinkedIn.
Безработных жителей Нью-Йорка застряли после того, как они использовали VPN для подачи документов на пособие
Родригес получал пособие еженедельно до конца июня.Затем она повторно заверила свои льготы в Интернете.
«В тот вечер я получила кое-что, в котором говорилось:« Мы видим, что вы в Румынии ». Я подумала, подождите, о чем вы говорите… а потом я поняла, что мой VPN включен», — сказала она.
VPN — это виртуальная частная сеть, по сути, более безопасное интернет-соединение, которое маскирует ваш настоящий IP-адрес.
«У меня только что была VPN для дополнительной безопасности, потому что я слышал, что киберугроз за это время усилилось, поэтому я подумал, что действую проактивно и умно и делаю все это.Я ни на секунду не подумал, что это может показать, что я не в стране », — сказал Родригес.
ВыплатыРодригес были немедленно приостановлены, и, хотя она предоставила копии каждой страницы своего паспорта и копию водительских прав, чтобы доказать, что она не путешествовала, ей еще предстоит получить ответ от Министерства труда.
Колин Уодсворт также заявил о преимуществах использования VPN.
«Утром я получил электронное письмо, в котором говорилось:« О, мы заметили, что у вас есть международный IP-адрес, и вы находитесь за пределами страны, пожалуйста, заполните эту небольшую анкету, чтобы мы могли возобновить ваши льготы снова », и казалось, что они были в ней чтобы помочь мне », — сказал он News10NBC.
Уодсворт заполнил анкету, но до сих пор не получил ответа от DOL, и теперь он почти 8 недель живет без пособий.
«Если бы они просто дали мне знать, есть ли еще какая-то информация, которую я могу предоставить, пароли, документация… они все равно не ответят», — сказал он.
В своем заявлении пресс-секретарь NYSDOL заявила: «Мошенничество со страхованием по безработице, к сожалению, является бедствием, с которым DOL борется каждый день, и преступные сети активно стремятся использовать эту глобальную чрезвычайную ситуацию в области общественного здравоохранения для обмана государственных систем.Во время этого кризиса мы заблокировали тысячи поддельных заявок на пособие по безработице — и один из наших лучших инструментов — пометить заявки, которые, по всей видимости, исходят из Соединенных Штатов, для дальнейшего рассмотрения. Мы продолжаем напоминать жителям Нью-Йорка, использующим VPN или другие системы «интернет-анонимайзеров», отключить эти услуги перед подачей заявки на пособие или еженедельной сдачей сертификатов ».
Продолжительность каждого расследования различается в зависимости от NYSDOL и зависит от участия заявителя, ответов, которые он дает на вопросы, и того, какие доказательства они предоставляют.
DOL немедленно рассмотрит дела Уодсворта и Родригеса.
Преимущества и недостатки использования частного адресного пространства IP | Малый бизнес
Частные сети образуются компьютерами, подключенными друг к другу, но не с внешними сетями или Интернетом. Каждый компьютер в частной сети занимает пространство частных IP-адресов, а это означает, что никакой компьютер за пределами сети не может найти этот адрес или связаться с этим компьютером. Хотя такая конфигурация необычна для малого бизнеса, она используется некоторыми операциями, обрабатывающими конфиденциальную или очень секретную информацию, с рядом преимуществ и недостатков для малого бизнеса.
Преимущество: безопасность
Интернет полон отличного контента, но он также содержит немалую долю вредоносных приложений и пользователей — от троянов и вирусов до червей и хакеров. Очевидное преимущество частной сети состоит в том, что, не будучи подключенной к внешним сетям или Интернету в целом, частная сеть просто не подвергается этим угрозам. Согласно исследованию Ponemon Institute, при средней стоимости утечки данных для организации в 6,6 млн долларов в виде потери бизнеса и затрат на ремонт, безопасность частной сети может быть ценным преимуществом для малого бизнеса, имеющего дело с конфиденциальным контентом.
Преимущество: автономность
Не будучи подключенной к внешним сетям, частная сеть также не подвержена техническим трудностям за пределами сети. Такие проблемы, как потеря подключения к Интернету или сбои внешнего сервера, не влияют на производительность частной сети. Работа частных сетей зависит только от оборудования, составляющего сеть. Это означает, что любую проблему в сети, такую как внутренние вирусы или неисправный сервер, можно решить путем обслуживания сетевого оборудования, а не ожидания ответа от интернет-провайдера или оператора сервера.
Недостаток: изоляция
Отсутствие подключения к другим сетям — палка о двух концах. Хотя изоляция частной сети гарантирует повышенную безопасность, она также делает невозможным переход сетевых IP-адресов в общедоступные сети для связи с другими компьютерами. Никакая информация не поступает в сеть из других сетей — электронная почта, внешние данные или цифровые обновления программного обеспечения — и никакая информация не может покидать сеть в другие сети без физического перемещения.В контексте офиса малого бизнеса в частной сети ваши сотрудники могут отправлять данные друг другу, но не отправлять и не получать данные от клиентов, поставщиков или продавцов.
Недостаток: затраты на обслуживание
Хотя зависимость от удаленных серверов и поставщиков услуг для сетевого подключения может вызывать разочарование, преимущество огромных глобальных сетей, таких как Интернет, заключается в том, что затраты на обслуживание сетевой инфраструктуры можно разделить между миллионы пользователей.В случае частной сети стоимость серверного пространства и соединительного оборудования полностью ложится на одного оператора сети. Частные сети, в которых один компьютер подключен к внешней сети, также могут потребовать усиленной настройки и обслуживания, поскольку этот компьютер должен использовать два IP-адреса для связи через частную сеть и с внешними сетями.
Альтернативы: VPN
Не следует путать с частной IP-сетью, где IP-адрес, используемый сетевыми компьютерами, фактически не позволяет им получить доступ к общедоступным сетям, виртуальной частной сети или VPN, представляет собой систему, в которой зашифрованы частные данные. передается в публичную сеть.VPN — это попытка обеспечить преимущества безопасности и конфиденциальности частной сети, оставаясь при этом подключенной к общедоступным сетям и Интернету. По сути, это метод защиты общедоступных сетей, а не частной сети сам по себе, но он предлагает расширенные функциональные возможности и приемлемый уровень безопасности для многих малых предприятий.
Ссылки
Биография писателя
Эдвард Мерсер начал профессионально писать в 2009 году, участвуя в нескольких онлайн-публикациях по темам, включая путешествия, технологии, финансы и питание.Он получил степень бакалавра литературы в Йельском университете в 2006 году.
Что это значит для потребителей и рекламодателей
Вы когда-нибудь видели цифровой контент на мини-экране телевизора на заправочной станции? А как насчет цифрового справочника в торговом центре или цифрового рекламного щита на борту автобуса? Все это примеры цифровых средств массовой информации вне дома (DOOH), и они захватывают индустрию рекламы с новыми инновациями, казалось бы, каждый день.
Мы поговорили с несколькими отраслевыми экспертами о том, как они видят, куда движется цифровая внешняя среда, и что это будет значить для потребителей и рекламодателей, которые будут взаимодействовать с этой концепцией в ближайшие годы.Давайте начнем!
Что такое наружная реклама?
Во-первых, сделаем шаг назад — что такое вне дома (OOH) медиа в первую очередь? Наружная реклама, которую иногда также называют наружной рекламой, — это любая реклама, которая достигает потребителей, когда они находятся вне дома. Он разработан, чтобы привлечь внимание людей, которые находятся в пути или ждут в местах с высокой посещаемостью (например, залы ожидания, терминалы аэропорта или платформы метро).
Наружная реклама раньше была относительно ограничена такими понятиями, как рекламные щиты и другая печатная реклама, но площадь наружной рекламы растет с каждым днем, поскольку рекламодатели могут занять все новые и новые ресурсы.Сегодня он включает динамический контент на цифровых экранах в типичных местах размещения рекламных щитов, автобусных остановках, заправочных станциях, аэропортах, торговых центрах, платформах метро и даже по бокам автобусов или автомобилей. По сути, везде, где потребители могут публично взаимодействовать с брендированным контентом, существуют возможности для наружной рекламы.
Что такое DOOH media и чем он отличается от традиционного OOH?
Так чем же DOOH отличается? «Цифровой» элемент цифрового дома очень важен. Поскольку видеоконтент набирает обороты в маркетинговых стратегиях брендов по всему миру (и не зря), DOOH позволяет сочетать вездесущий характер наружной рекламы с динамичным, потенциально интерактивным характером видео.
Для рекламодателей это брак, заключенный на небесах. Потребители, которые проводят время на открытом воздухе, часто не имеют другого выбора, кроме как просматривать контент, который им показывают. На рекламных щитах нет кнопки перемотки вперед или опции «закрыть рекламу», поэтому наружная реклама полностью доступна для просмотра. Затем добавьте к этому нестационарный контент, привлекающий внимание, и вы получите рецепт успеха в виде сверхвысокой вовлеченности.
Statista прогнозирует, что расходы DOOH вырастут с 6 долларов.7 миллиардов долларов в 2019 году до 15,9 миллиардов долларов в 2027 году, поэтому понимание роста отрасли и инноваций будет приобретать все большее значение.
Как наружная реклама работает для рекламодателей?
Наружная реклама с цифровой поддержкой использует данные о местоположении, чтобы понять, какая аудитория находится в пределах видимости рекламы. Потребители в любое время загружают приложение, которое запрашивает данные о местоположении, например, те, кто согласились, соглашаются поделиться информацией о своем местоположении с поставщиками данных. Затем рекламодатели могут использовать эти данные, чтобы понять модели трафика этих потребителей и то, где они проводят время.
Таким же образом измеряется количество просмотров наружной рекламы, хотя нет гарантии, что кто-то в определенном месте действительно просмотрел эту рекламу. Затем эти данные о местоположении можно использовать для оценки эффективности рекламы, особенно если вашей конечной целью является привлечение трафика в определенное место, например, на витрину.
Компании, занимающиеся рекламными технологиями, также имеют возможность сопоставлять эти данные о местоположении с онлайн-аудиторией с помощью мобильных идентификаторов, которые можно преобразовать в IP-адреса.Ретаргетинг на потребителей также является вариантом, поскольку геозона позволяет рекламодателям ориентироваться на людей в определенном радиусе и показывать им дополнительный рекламный контент.
Куда движется индустрия наружной рекламы?
Некоторые компании находятся в авангарде инноваций в области наружной рекламы, особенно когда речь идет об использовании преимуществ новых функций DOOH.
Барри Фрей, президент и генеральный директор DPAA, проливает свет на то, как цифровые технологии захватывают OOH:
«Будет время и место для любой рекламы, но поскольку цифровая реклама перевернула всю рекламную индустрию, то же самое будет и с наружной рекламой.Потребители и рекламодатели всегда и всегда будут склоняться к видео, когда оно доступно. Вот почему наша ежегодная конференция называется «Саммит DPAA Video Everywhere». Видео теперь везде, в том числе за пределами дома ».
Источники в отрасли, однако, осторожно указывают на то, что рынки Лос-Анджелеса и Нью-Йорка сильно отличаются от остальной страны с точки зрения того, что происходит с рекламой DOOH. Огромное количество потребителей и скопление на открытом воздухе делают эти два региона образцом того, на что способны СМИ DOOH.
Таким образом, многие примеры инноваций, которые мы приводим в этой статье, отражают рынки Лос-Анджелеса и Нью-Йорка. Маловероятно, что такой же уровень инноваций будет немедленно реализован в массовом порядке где-либо еще, просто потому, что потенциальная отдача менее экстремальна в местах с меньшей численностью населения и меньшим вниманием к цифровому творчеству.
Однако DOOH не ограничивается крупномасштабными густонаселенными открытыми площадками, которые могут прийти в голову в таких местах, как Лос-Анджелес и Нью-Йорк. Он по-прежнему работает и процветает на рынках по всей стране на экранах, таких как те, что установлены в спортзалах, автомобилях для поездок, ресторанах или других местах повседневной жизни.
Имея это в виду, давайте взглянем на некоторые новые функции, которые делает DOOH.
Чередование объявлений в одном пространстве
Одной из ключевых особенностей DOOH по сравнению с наружной рекламой является то, что в одном и том же физическом пространстве теперь может размещаться более одной рекламы одновременно, поскольку экраны могут вращаться с помощью нескольких вариантов. Подразумевается, что предложение для рекламодателей увеличивается без дополнительных инвестиций в инфраструктуру, поэтому увеличивается доход.
Это также важно, поскольку во многих регионах действуют правила создания новых активов.Например, в некоторых городах требуется демонтировать традиционные рекламные щиты, прежде чем можно будет установить новые цифровые рекламные щиты. Преимущество этого обмена заключается в том, что новый цифровой рекламный щит может вместить нескольких рекламодателей, а не только одного, поэтому чистый результат будет положительным.
Программный DOOH
Programmatic DOOH — это концепция, которая позволяет покупателям СМИ разработать набор критериев для целевой аудитории данной рекламы, таких как, например, время суток или погодные условия.Когда эти критерии соблюдены, транзакция покупки выполняется автоматически, и на экране отображается реклама.
Фрей объясняет важность этой способности, заявляя:
«Рост продаж вне дома определенно меняется и ускоряется. С его цифровой трансформацией и ростом расходов рекламодателей мы переживаем сдвиг парадигмы вперед. Если раньше потребители и рекламодатели взаимодействовали с рекламой вне дома, которая оставалась на рекламном щите или здании в течение месяца или дольше, то теперь цифровая реклама меняется в зависимости от времени, температуры, аудитории, релевантности и других факторов.”
PwC обнаружила, что наиболее серьезной проблемой в этой области является образование, поэтому организации, которым нужно время, чтобы понять программную среду и то, как она влияет на их бизнес-модели, в ближайшем будущем будут иметь преимущество перед конкурентами.
Световые установки, окружающие рекламные щиты
WOW Media является лидером в области технологий наружной рекламы, предлагая световые инсталляции в дополнение к четырем своим цифровым рекламным щитам. Компания выпустила новую технологию в декабре 2019 года на автостраде 405 в Лос-Анджелесе.В пресс-релизе, объявляющем о проекте, содержится следующая информация о стратегии, лежащей в основе этого решения:
«Четыре бюллетеня могут быть синхронизированы с креативом на самих досках, создавая визуальный эффект на открытом воздухе, ранее невиданный в индустрии наружной рекламы. Подсветка может работать в сочетании с каждой отдельной рекламой, отображая основные цвета, чтобы дополнить художественную направленность самой рекламы ».
Эту синхронизацию можно увидеть на фотографии ниже, где показано, как функции освещения могут усилить существующий креатив.
Помимо визуальной привлекательности координации, световые рамы обладают преимуществами в соответствии с нормативными требованиями. По закону рекламные щиты, видимые с автострады, имеют ограничения по размеру (1200 квадратных футов), но световые инсталляции не входят в размер самого рекламного щита. В результате реклама выглядит намного больше, чем рекламный щит, и привлекает еще больше внимания.
Движущиеся цифровые рекламные щиты
Еще одно нововведение WOW Media — это полноформатные цифровые рекламные щиты, компания владеет десятью полноформатными бюллетенями размером 14 x 48 дюймов, размещенными на оживленных транзитных маршрутах по пути в аэропорт Лос-Анджелеса и Форум (место развлечений в Лос-Анджелесе). .Это тоже меняет возможности, существующие для создания цифрового контента на открытом воздухе, как вы можете видеть на видео ниже.
Источник: WOW MediaКиноиндустрия является наиболее очевидным выгодоприобретателем от концепции полномасштабного движения, поскольку студии уже разработали динамический контент, готовый для таких сред. Однако на самом деле нет никаких ограничений в отношении того, кто может воспользоваться полным движением сдвига. Бренды и агентства принимают эту концепцию и создают кампании специально для полноформатной DOOH, поэтому киноиндустрия — не единственный вид бизнеса, у которого есть возможности.
Скотт Кранц, основатель и генеральный директор WOW Media, Inc., говорит следующее о полномасштабной разработке:
«Мы верим, что будущее за полноформатной DOOH. Сетевое телевидение приходит в упадок, показы веб-рекламы сомнительны, газеты — динозавры, и все больше и больше рекламодателей переводят доллары на DOOH, особенно на полноформатные. Мир не статичен, поэтому имеет смысл только то, что полное движение — это следующий рубеж ».
Синхронизация между пространствами
Наличие нескольких цифровых экранов в данной среде также позволяет синхронизировать креатив для усиления эффекта.На видео ниже показан пример этой концепции от JCDecaux для баскетбольной программы Университета ДеПола. В кампании используются четыре последовательных экрана вдоль тротуара, и кажется, что баскетбольный мяч пробивает каждый из экранов подряд, прежде чем его рука попадает в последний слот. Комбинированное воздействие привлекает внимание, захватывает и рассказывает цельную историю, потому что креатив синхронизируется на разных экранах.
Источник: JCDecauxЭта концепция почти наверняка будет доминировать в будущем рекламы DOOH, тем более что координация между различными экранами может быть полностью настроена для конкретного местоположения и опыта аудитории.
Что это значит для рекламодателей?
Рекламодатели, со своей стороны, «изучают новую среду», как выразился Рик Робинсон, директор по стратегии агентства наружной рекламы Billups. Им нужно обратить внимание на то, какие возможности существуют, что работает, а что не работает для их брендов и других, и что это может означать для следующей итерации креатива.
Одна вещь, которую они наверняка усвоили, заключается в том, что они не могут просто взять креатив, предназначенный для мобильных устройств, онлайн или телевидения, и поместить его в ландшафт DOOH.Крайне важно адаптировать креатив к уникальному пространству и потребителям, которые будут с ним взаимодействовать, равно как и понимание спецификаций и лучших практик цифровых рекламных щитов по сравнению с другими каналами. Компании, которые пытаются применить универсальный подход к своим DOOH-медиа, скорее всего, обнаружат, что их усилия в конечном итоге не окупаются.
Что это значит для потребителей?
Потребители получают огромную выгоду от того, что наружная реклама больше не является исключительно коммерческой.Цифровые экраны можно использовать в служебных целях, например, для демонстрации предупреждений о погоде на наружных рекламных щитах или времени прибытия следующих поездов на транзитную платформу.
«Мы обучаем людей возможностям этих экранов», — говорит Робинсон. «Появление цифрового следа коренным образом меняет отношения между общественными и внешними СМИ, а также то, что значит жить в этом пространстве».
Этот момент играет ключевую роль в культурном влиянии наружной рекламы. Цифровые взаимодействия, которые становятся возможными с DOOH, полностью меняют контекст взаимоотношений между сообществами и пространством OOH.Среда становится важной по причинам, не связанным с рекламой, и люди учатся ожидать некоммерческой полезной информации, которую экраны могут предоставлять в дополнение к рекламе.
Фрей соглашается, заявляя: «Все муниципалитеты, безусловно, выиграют, как и потребители, получающие более актуальные и полезные сообщения, поскольку цифровые экраны позволяют распространять видео и другой полезный, информативный и развлекательный контент».
Заключение
DOOH меняет рекламный ландшафт, и многие считают, что он меняется к лучшему.В ближайшие месяцы и годы мы продолжим наблюдать, как бренды действительно экспериментируют, чтобы понять, на что они способны в этом новом пространстве. Потребители также будут пожинать плоды, взаимодействуя со своим окружением таким образом, чтобы одновременно информировать и развлекать. Время покажет, куда нас приведет индустрия, но одно можно сказать наверняка: DOOH никуда не денется.
Просмотры сообщений: 9 482
Анализ снимков межсетевого экрана Firepower для эффективного устранения сетевых проблем
Введение
В этом документе описываются различные методы анализа перехвата пакетов, направленные на эффективное устранение неполадок в сети.Все сценарии, представленные в этом документе, основаны на реальных пользовательских случаях, замеченных в Центре технической поддержки Cisco (TAC). Документ охватывает захват пакетов с точки зрения межсетевого экрана Cisco следующего поколения (NGFW), но те же концепции применимы и к другим типам устройств.
Предварительные требования
Требования
Cisco рекомендует ознакомиться со следующими темами:
- Архитектура платформы Firepower
- Журналы NGFW
- Устройство трассировки пакетов NGFW
Кроме того, перед началом анализа перехвата пакетов настоятельно рекомендуется выполнить следующие требования:
- Знать работу протокола — Бесполезно начинать проверку захвата пакета, если вы не понимаете, как работает захваченный протокол
- Знать топологию — Вы должны знать транзитные устройства.В идеале сквозной. Если это невозможно, вы должны хотя бы знать восходящие и нисходящие устройства .
- Знать устройство — Вы должны знать, как ваше устройство обрабатывает пакеты, каковы задействованные интерфейсы (например, вход / выход), какова архитектура устройства и каковы различные точки захвата
- Знать конфигурацию — Вы должны знать, как устройство должно обрабатывать поток пакетов с точки зрения:
- Интерфейс маршрутизации / выхода
- Применяемые политики
- Преобразование сетевых адресов (NAT)
- Знайте доступные инструменты — Наряду с захватами рекомендуется также быть готовым к применению других инструментов и методов устранения неполадок, таких как ведение журнала и трассировщики, и, при необходимости, сопоставить их с захваченными пакетами
Используемые компоненты
Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:
- Большинство сценариев основано на FP4140 с программным обеспечением FTD 6.5.x.
- FMC с программным обеспечением 6.5.x.
Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.
Справочная информация
Захват пакетов — один из наиболее часто игнорируемых инструментов устранения неполадок, доступных сегодня. Центр технической поддержки Cisco TAC ежедневно решает множество проблем клиентов путем анализа собранных данных.Цель этого документа — помочь сетевым инженерам и специалистам по безопасности выявлять и устранять распространенные сетевые проблемы, в основном на основе анализа перехвата пакетов.
Как собирать и экспортировать снимки по семейству продуктов NGFW?
В случае устройства Firepower (1xxx, 21xx, 41xx, 93xx) и приложения Firepower Threat Defense (FTD) обработка пакетов может быть визуализирована, как показано на изображении.
- Пакет поступает на входящий интерфейс и обрабатывается внутренним коммутатором шасси.
- Пакет поступает в механизм FTD Lina, который в основном выполняет проверки L3 / L4.
- Если политика требует, пакет проверяется механизмом Snort (в основном проверка L7).
- Механизм Snort возвращает вердикт для пакета.
- Ядро LINA отбрасывает или пересылает пакет на основе вердикта Snort.
- Пакет выходит на шасси через внутренний коммутатор шасси.
В зависимости от показанной архитектуры захваты FTD могут выполняться в 3 разных местах:
- FXOS
- Двигатель FTD Lina
- FTD Двигатель Snort
Процесс описан в этом документе:
https: // www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos271/web-guide/b_GUI_FXOS_ConfigGuide_271/troubleshooting.html#concept_E8823CC63C934A909BBC0DF12F301DED 9000
захвата FXOS могут быть сделаны только во входном направлении с точки зрения внутреннего коммутатора, как показано на изображении здесь.
Как показано на изображении, это две точки захвата в каждом направлении (из-за внутренней архитектуры коммутатора).
Перехваченные пакеты в точках 2, 3 и 4 имеют виртуальный сетевой тег (VNTag).
Примечание : Захваты FXOS на уровне шасси доступны только на платформах FP41xx и FP93xx. FP1xxx и FP21xx не предоставляют такой возможности.
Включение и сбор данных FTD Lina CaptureОсновные точки захвата:
- Входящий интерфейс
- Выходной интерфейс
- Ускоренный путь безопасности (ASP)
Вы можете использовать либо пользовательский интерфейс Центра управления огневой мощью (FMC UI), либо FTD CLI, чтобы включить и собрать захваты FTD Lina.
Включить захват из CLI на интерфейсе INSIDE:
firepower # захват интерфейса CAPI ВНУТРИ соответствие хосту icmp 192.168.103.1 хост 192.168.101.1
Этот захват соответствует трафику между IP-адресами 192.168.103.1 и 192.168.101.1 в обоих направлениях.
Включите захват ASP, чтобы увидеть все пакеты, отброшенные механизмом FTD Lina:
firepower # захват ASP тип asp-drop all
Экспорт захвата FTD Lina на FTP-сервер:
firepower # copy / pcap capture: CAPI ftp: // ftp_username: ftp_password @ 192.168.78.73 / CAPI.pcap
Экспорт захвата FTD Lina на сервер TFTP:
firepower # copy / pcap capture: CAPI tftp: //192.168.78.73
Начиная с версии FMC 6.2.x, вы можете включать и собирать захваты FTD Lina из пользовательского интерфейса FMC.
Другой способ сбора перехватов FTD от межсетевого экрана, управляемого FMC, — это.
Шаг 1
В случае захвата LINA или ASP скопируйте захват на диск FTD, например.
firepower # copy / pcap capture: capin disk0: capin.pcap Имя захвата источника [capin]? Целевое имя файла [capin.pcap]? !!!!
Шаг 2
Перейдите в экспертный режим, найдите сохраненный снимок и скопируйте его в / ngfw / var / common location:
огневая мощь # Консольное соединение отключено. > эксперт админ @ огневая мощь: ~ $ sudo su Пароль: корень @ огневая мощь: / home / admin # cd / mnt / disk0 root @ firepower: / mnt / disk0 # ls -al | grep pcap -rwxr-xr-x 1 корень root 24 апр 26 18:19 CAPI.pcap -rwxr-xr-x 1 корневой корень 30110 8 апреля 14:10 capin.pcap -rwxr-xr-x 1 корневой корень 6123 8 апр, 14:11 capin2.pcap корень @ firepower: / mnt / disk0 # cp capin.pcap / ngfw / var / common
Шаг 3
Войдите в FMC, который управляет FTD, и перейдите к Devices> Device Management. Найдите устройство FTD и выберите значок Устранение неполадок :
Шаг 4
Выберите Расширенное устранение неполадок:
Укажите имя файла захвата и выберите Загрузить:
Дополнительные примеры включения / сбора снимков из пользовательского интерфейса FMC см. В этом документе:
https: // www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html
Включение и сбор перехватов FTD SnortТочка захвата показана на изображении здесь.
Включить захват уровня Snort:
> захват трафика Выберите домен для захвата трафика: 0 - br1 1 - Маршрутизатор Выбор? 1 Укажите желаемые параметры tcpdump. (или введите "?" для получения списка поддерживаемых опций) Опции: -n хост 192.168.101.1
Чтобы записать захват в файл с именем capture.pcap и скопировать его через FTP на удаленный сервер:
> захват трафика Выберите домен для захвата трафика: 0 - br1 1 - Маршрутизатор Выбор? 1 Укажите желаемые параметры tcpdump. (или введите "?" для получения списка поддерживаемых опций) Параметры: -w capture.pcap host 192.168.101.1 CTRL + C <- для остановки захвата
> копия файла 10.229.22.136 ftp / capture.pcap Введите пароль для [email protected]: Копирование capture.pcap Копирование выполнено успешно. >
Для получения дополнительных примеров захвата уровня Snort, которые включают различные фильтры захвата, проверьте этот документ:
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html
Устранение неполадок Случай 1. Нет TCP SYN на исходящем интерфейсеТопология показана на изображении здесь:
Описание проблемы: HTTP не работает
Затронутый поток:
Src IP: 192.168.0.100
Dst IP: 10.10.1.100
Протокол: TCP 80
Анализ захвата
Включить захват на движке FTD LINA:
firepower # захват CAPI int INSIDE match ip host 192.168.0.100 host 10.10.1.100 firepower # захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
Захваты — Функциональный сценарий:
В качестве основы всегда очень полезно иметь захваты из функционального сценария.
Захват, сделанный на интерфейсе NGFW INSIDE, как показано на изображении:
Ключевые точки:
- TCP 3-стороннее рукопожатие.
- Двунаправленный обмен данными.
- Нет задержек между пакетами (исходя из разницы во времени между пакетами)
- MAC-адрес источника — это правильное нисходящее устройство.
Захват, сделанный на ВНЕШНЕМ интерфейсе NGFW, показан на изображении здесь:
Ключевые точки:
- Те же данные, что и в захвате CAPI.
- MAC-адрес назначения — это правильное восходящее устройство.
Захваты — нефункциональный сценарий
Из интерфейса командной строки устройства снимки выглядят следующим образом:
огневая мощь # показать захват захват интерфейса необработанных данных типа CAPI INSIDE [захват - 484 байта] сопоставить IP-хост 192.168.0.100 хост 10.10.1.100 захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват - 0 байт] сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
Содержание CAPI:
огневая мощь # показать захват CAPI Захвачено 6 пакетов 1: 11:47:46.2 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 81922: 11: 47: 47.161902 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192 3: 11: 47: 49.3 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192 4: 11: 47: 50.162757 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192 5: 11: 47: 55.0 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192 6: 11: 47: 56.164710 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192
огневая мощь # показать захват CAPO 0 пакетов захвачено Показано 0 пакетов
Это образ захвата CAPI в Wireshark:
Ключевые точки:
- Видны только TCP SYN-пакеты (без трехстороннего подтверждения TCP).
- Невозможно установить 2 сеанса TCP (порт источника 3171 и 3172). Исходный клиент повторно отправляет пакеты TCP SYN. Эти повторно переданные пакеты идентифицируются Wireshark как повторные передачи TCP.
- Повторные передачи TCP происходят каждые ~ 3, затем 6 и т. Д. Секунд
- MAC-адрес источника получен от правильного нисходящего устройства.
На основании 2 снимков можно сделать вывод, что:
- Пакет из определенного набора из 5 кортежей (src / dst IP, src / dst порт, протокол) поступает на межсетевой экран на ожидаемом интерфейсе (INSIDE).
- Пакет не покидает межсетевой экран на ожидаемом интерфейсе (ВНЕШНИЙ ВИД).
Рекомендуемые действия
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте трассировку эмулируемого пакета.
Используйте средство отслеживания пакетов, чтобы увидеть, как пакет должен обрабатываться межсетевым экраном. В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка эмулированного пакета выглядит примерно так:
firepower # вход для отслеживания пакетов INSIDE tcp 192.168.0.100 11111 10.10.1.100 80 Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: МАРШРУТ-ПРОСМОТР Подтип: Resolve Egress Interface Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.2.72 с использованием исходящего ifc ВНЕШНИЙ Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: DROP Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ Дополнительная информация: Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: падение Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA
Действие 2.Проверьте следы живых пакетов.
Включите трассировку пакетов, чтобы проверить, как настоящие пакеты TCP SYN обрабатываются межсетевым экраном. По умолчанию отслеживаются только первые 50 входящих пакетов:
огневая мощь # захват трассировки CAPI
Очистить буфер захвата:
firepower # чистый захват / все
В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка выглядит примерно так:
firepower # показать трассировку номера 1 пакета CAPI Захвачено 6 пакетов 1: 12:45:36.279740 192.168.0.100.3630> 10.10.1.100.80: S 2322685377: 2322685377 (0) win 8192Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.2.72 с использованием исходящего ifc ВНЕШНИЙ Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: DROP Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ Дополнительная информация: Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: падение Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, Местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA Показан 1 пакет
Действие 3.Проверьте логи FTD Lina.
Чтобы настроить системный журнал на FTD через FMC, проверьте этот документ:
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200479-Configure-Logging-on-FTD-via-FMC.html
Настоятельно рекомендуется настроить внешний сервер системного журнала для журналов FTD Lina. Если удаленный сервер системного журнала не настроен, включите локальные буферные журналы на брандмауэре во время устранения неполадок. Конфигурация журнала, показанная в этом примере, является хорошей отправной точкой:
firepower # показать пробег … ведение журнала включить отметка времени регистрации размер буфера регистрации 1000000 логирование буферизованной информации
Установите пейджер терминала на 24 линии, чтобы управлять пейджером терминала:
firepower # терминальный пейджер 24
Очистить буфер захвата:
firepower # очистить буфер регистрации
Протестируйте соединение и проверьте логи с помощью фильтра синтаксического анализатора.В этом примере пакеты отбрасываются политикой доступа брандмауэра:
огневая мощь № показать лесозаготовку | включает 10.10.1.100 09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3696 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0] 09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0] 09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100 / 3696 dst ВНЕШНИЙ: 10.10.1.100/80 по группе доступа "CSM_FW_ACL_" [0x97aa021a, 0x0] 09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
Действие 4. Проверьте, что ASP брандмауэра отбрасывается.
Если вы подозреваете, что пакет отброшен брандмауэром, вы можете увидеть счетчики всех пакетов, отброшенных брандмауэром на программном уровне:
firepower # показать asp drop Падение кадра: Нет маршрута к хосту (нет маршрута) 234 Поток запрещен настроенным правилом (acl-drop) 71 Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15 Падение потока: Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15
Вы можете включить захват, чтобы увидеть все падения уровня программного обеспечения ASP:
firepower # захват ASP тип asp-drop весь буфер 33554432 только заголовки
Совет : Если вас не интересует содержимое пакета, вы можете захватить только заголовки пакета (опция только заголовков).Это позволяет захватывать гораздо больше пакетов в буфер захвата. Кроме того, вы можете увеличить размер буфера захвата (по умолчанию 500 Кбайт) до 32 Мбайт (опция буфера). Наконец, начиная с FTD версии 6.3, опция размера файла позволяет вам конфигурировать файл захвата размером до 10 ГБ. В этом случае вы можете видеть только захваченное содержимое в формате pcap.
Чтобы проверить содержимое захвата, вы можете использовать фильтр, чтобы сузить область поиска:
огневая мощь # показать захват ASP | включить 10.10.1.100 18: 07: 51: 57.823672 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 819219: 07: 51: 58.074291 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 26: 07: 52: 00.830370 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 29: 07: 52: 01.080394 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 45: 07: 52: 06.824282 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 46: 07: 52: 07.074230 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192
В этом случае, поскольку пакеты уже отслеживаются на уровне интерфейса, причина отбрасывания не упоминается в захвате ASP.Помните, что пакет можно отследить только в одном месте (входящий интерфейс или отбрасывание ASP). В этом случае рекомендуется выполнить несколько сбросов ASP и установить конкретную причину сброса ASP. Вот рекомендуемый подход:
1. Очистить текущие счетчики отбрасывания ASP:
огневая мощь # чистая гадюка
2. Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).
3. Еще раз проверьте счетчики сбросов ASP и отметьте увеличившиеся значения, например.грамм.
firepower # показать asp drop Падение кадра: Нет маршрута к хосту ( no-route ) 234 Поток запрещен настроенным правилом ( acl-drop ) 71
4. Включите захват ASP для определенных видимых отбрасываний:
firepower # захват ASP_NO_ROUTE тип asp-drop no-route firepower # захват ASP_ACL_DROP тип asp-drop acl-drop
5.Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).
6. Проверьте захваты ASP. В этом случае пакеты были отброшены из-за отсутствия маршрута:
огневая мощь # показать захват ASP_NO_ROUTE | включают 192.168.0.100. * 10.10.1.100 93: 07: 53: 52.381663 192.168.0.100.12417> 10.10.1.100.80: S 34515: 3451
5 (0) win 8192
95: 07: 53: 52.632337 192.168.0.100.12418> 10.10.1.100.80: S 16 448: 16
448 (0) win 8192
101: 07:53:55.375392 192.168.0.100.12417> 10.10.1.100.80: S 3451 5: 3451
5 (0) win 8192
102: 07: 53: 55.626386 192.168.0.100.12418> 10.10.1.100.80: S 16 448: 16
448 (0) win 8192
116: 07: 54: 01.376231 192.168.0.100.12417> 10.10.1.100.80: S 3451 5: 3451
5 (0) выигрыш 8192
117: 07: 54: 01.626310 192.168.0.100.12418> 10.10.1.100.80: S 16 448: 16
448 (0) win 8192
Действие 5.Проверьте таблицу соединений FTD Lina.
Могут быть случаи, когда вы ожидаете, что пакет будет исходить из интерфейса «X», но по каким-либо причинам он выходит за пределы интерфейса «Y». Определение выходного интерфейса межсетевого экрана основано на следующем порядке работы:
- Поиск установленного соединения
- Поиск преобразования сетевых адресов (NAT) — этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
- Маршрутизация на основе политик (PBR)
- Поиск в таблице маршрутизации
Для проверки таблицы соединений FTD:
firepower # показать conn 2 используются, 4 наиболее часто используются Осмотрите Snort: preserve-connection: 2 включено, 0 активно, 4 наиболее активно, 0 наиболее активно TCP DMZ 10.10.1.100: 80 INSIDE 192.168.0.100: 11694 , режим ожидания 0:00:01, байты 0, флаги aA N1 TCP DMZ 10.10.1.100:80 INSIDE 192.168.0.100: 11693 , режим ожидания 0:00:01, байты 0, флаги aA N1
Ключевые точки:
- На основании флагов (Aa) соединение находится в зачаточном состоянии (полуоткрытое — межсетевой экран видел только TCP SYN).
- В зависимости от портов источника / назначения входной интерфейс — ВНУТРЕННИЙ, а выходной интерфейс — DMZ.
Это можно визуализировать на изображении здесь:
Примечание : Поскольку все интерфейсы FTD имеют уровень безопасности 0, порядок интерфейсов в выводе show conn основан на номере интерфейса. В частности, интерфейс с более высоким vpif-num (номер интерфейса виртуальной платформы) выбирается как внутренний, а интерфейс с меньшим vpif-num выбирается как внешний. Вы можете увидеть значение vpif интерфейса с помощью команды show interface detail .Связанное усовершенствование, CSCvi15290 ENH: FTD должен показывать направленность соединения в выводе FTD ‘show conn’
огневая мощь № показать детали интерфейса | i Номер интерфейса: | Интерфейс [P | E]. * - ... Интерфейс Ethernet1 / 2 "INSIDE", включен, протокол линии включен Номер интерфейса 19 Интерфейс Ethernet1 / 3.202 "OUTSIDE", включен, протокол линии включен Номер интерфейса 20 Интерфейс Ethernet1 / 3.203 "DMZ", включен, протокол линии включен Номер интерфейса 22
Примечание : Начиная с версии программного обеспечения Firepower 6.5, выпуск 9.13.x ASA, выходные данные команд show conn long и show conn detail предоставляют информацию об инициаторе соединения и ответчике
.Выход 1:
firepower # показать conn long ... TCP ВНЕШНИЙ: 192.168.2.200/80 (192.168.2.200/80) ВНУТРИ: 192.168.1.100/46050 (192.168.1.100/46050), флаги aA N1, простоя 3 секунды, время безотказной работы 6 секунд, таймаут 30 секунд, байты 0 Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 Идентификатор ключа поиска подключения: 228982375
Выход 2:
firepower # показать деталь ... TCP ВНЕШНИЙ: 192.168.2.200/80 ВНУТРИ: 192.168.1.100/46050, флаги aA N1, простоя 4 с, время безотказной работы 11 с, тайм-аут 30 с, байты 0 Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 Идентификатор ключа поиска подключения: 228982375
Кроме того, show conn long отображает IP-адреса с NAT в круглых скобках в случае преобразования сетевых адресов:
firepower # показать conn long ... TCP ВНЕШНИЙ: 192.168.2.222/80 (192.168.2.222/80) ВНУТРИ: 192.168.1.100/34792 ( 192.168.2.150 /34792), флаги aA N1, простоя 0 с, время безотказной работы 0 с, тайм-аут 30 с, байты 0, xlate id 0x2b5a8a4314c0 Инициатор: 192.168.1.100, Ответчик: 192.168.2.222 Идентификатор ключа поиска соединения: 262895
Действие 6. Проверьте кэш протокола разрешения адресов (ARP) межсетевого экрана.
Если межсетевой экран не может разрешить следующий переход, межсетевой экран автоматически отбрасывает исходный пакет (в данном случае TCP SYN) и непрерывно отправляет запросы ARP, пока не разрешит следующий переход.
Чтобы увидеть кеш ARP брандмауэра, используйте команду:
огневая мощь # показать arp
Дополнительно, чтобы проверить наличие неразрешенных хостов, вы можете использовать команду:
firepower # показать статистику arp Количество записей ARP в ASA: 0 Выпало блоков в ARP: 84 Максимальное количество блоков в очереди: 3 Блоки в очереди: 0 Получено ARP-сообщений о конфликте интерфейсов: 0 ARP-защита Отправлено бесплатных ARPS: 0 Общее количество попыток ARP: 182 <указывает на возможную проблему для некоторых хостов Неразрешенные хосты: 1 <это текущий статус Максимальное количество неразрешенных хостов: 2
Если вы хотите дополнительно проверить работу ARP, вы можете включить захват, специфичный для ARP:
firepower # захват ARP интерфейс ARP Ethernet-типа ВНЕШНИЙ огневая мощь № показать захват ARP ... 4: 07: 15: 16.877914 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 сказать 192.168.2.50 5: 07: 15: 18.020033 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 сказать 192.168.2.50
В этих выходных данных межсетевой экран (192.168.2.50) пытается разрешить следующий переход (192.168.2.72), но нет ответа ARP
Выходные данные здесь показывают функциональный сценарий с правильным разрешением ARP:
огневая мощь # показать захват ARP 2 пакета захвачены 1: 07:17:19.495595 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 скажите 192.168.2.50 2: 07: 17: 19.495946 802.1Q vlan # 202 P0 ответ arp 192.168.2.72 is-at 4c: 4e: 35: fc: fc: d8 Показано 2 пакета
firepower # показать arp ВНУТРИ 192.168.1.71 4c4e.35fc.fcd8 9 ВНЕШНИЙ 192.168.2.72 4c4e.35fc.fcd8 9
В случае, если запись ARP отсутствует, трассировка активного пакета TCP SYN показывает:
firepower # показать трассировку номер пакета 1 CAPI захвата Захвачено 6 пакетов 1: 07:03:43.270585 192.168.0.100.11997> 10.10.1.100.80 : S 4023707145: 4023707145 (0) win 8192Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE … Фаза: 14 Тип: ПОТОК-СОЗДАНИЕ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Новый поток создан с идентификатором 4814, пакет отправлен в следующий модуль … Фаза: 17 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: обнаружил следующий переход 192.168.2.72 с использованием исходящего ifc OUTSIDE Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: разрешить
Как видно из выходных данных, трассировка показывает Действие: разрешить , даже если следующий прыжок недоступен и пакет автоматически отбрасывается брандмауэром! В этом случае необходимо также проверить средство отслеживания пакетов, поскольку оно обеспечивает более точный вывод:
firepower # вход для отслеживания пакетов INSIDE tcp 192.168.0.100 1111 10.10.1.100 80 Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE … Фаза: 14 Тип: ПОТОК-СОЗДАНИЕ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Новый поток создан с идентификатором 4816, пакет отправлен следующему модулю … Фаза: 17 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: падение Причина отбрасывания: (no-v4-смежность) Недопустимая смежность V4, Расположение отбрасывания: кадр 0x00005647a4e86109 поток (NA) / NA
В последних версиях ASA / Firepower приведенное выше сообщение было оптимизировано до:
Причина отбрасывания: (no-v4-смежность) Нет допустимой смежности V4. Проверить таблицу ARP (показать arp) имеет запись для nexthop ., Место сброса: f
Сводка возможных причин и рекомендуемых действий
Если вы видите только пакет TCP SYN на входных интерфейсах, но не пакет TCP SYN, отправленный из ожидаемого выходного интерфейса, возможны следующие причины:
Возможная причина | Рекомендуемые действия |
Пакет отброшен политикой доступа межсетевого экрана. |
|
Неправильный фильтр захвата. |
|
Пакет отправляется на другой выходной интерфейс. |
Если пакет отправлен на неправильный интерфейс, потому что он соответствует существующему соединению, используйте команду clear conn address и укажите 5-кортеж соединения, которое вы хотите очистить. |
Нет маршрута к месту назначения. |
|
Нет записи ARP на исходящем интерфейсе. |
|
Выходной интерфейс не работает. | Проверьте выходные данные команды show interface iprief на брандмауэре и проверьте состояние интерфейса. |
На этом изображении показана топология:
Описание проблемы: HTTP не работает
Затронутый поток:
Src IP: 192.168.0.100
Dst IP: 10.10.1.100
Протокол: TCP 80
Анализ захвата
Включите захват на движке FTD LINA.
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хост 10.10.1.100 firepower # захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
Захваты — нефункциональный сценарий:
Из интерфейса командной строки устройства захваты выглядят следующим образом:
огневая мощь # показать захват захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 834 байта, ] сопоставить IP-хост 192.168.0.100 хост 10.10.1.100 захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват - 878 байт, ] сопоставьте ip host 192.168.0.100 хост 10.10.1.100
Содержание CAPI:
огневая мощь # показать захват CAPI 1: 05: 20: 36.654217 192.168.0.100.22195> 10.10.1.100.80: S 1397289928: 1397289928 (0) win 81922: 05: 20: 36.1 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 3: 05: 20: 36.3 10.10.1.100.80> 192.168.0.100.22196: R 1850052503: 1850052503 (0) ack 2171673259 win 0 4: 05:20:37.414132 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 5: 05: 20: 37.414803 10.10.1.100.80> 192.168.0.100.22196: R 31997177: 31997177 (0) ack 2171673259 win 0 6: 05: 20: 37.3 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 ...
Содержание CAPO:
огневая мощь # показать захват CAPO 1: 05:20:36.654507 802.1Q vlan # 202 P0 192.168.0.100.22195> 10.10.1.100.80: S 2866789268: 2866789268 (0) win 81922: 05: 20: 36.8 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80: S 4785344: 4785344 (0) win 8192 3: 05: 20: 36.7 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196: R 0: 0 (0) ack 4785345 win 0 4: 05: 20: 37.414269 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80: S 4235354730: 4235354730 (0) win 8192 5: 05: 20: 37.414758 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196: R 0: 0 (0) ack 4235354731 win 0 6: 05: 20: 37.5 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80: S 4118617832: 4118617832 (0) win 8192
На этом изображении показан захват CAPI в Wireshark.
Ключевые точки:
- Источник отправляет пакет TCP SYN.
- Источнику отправлено TCP RST.
- Источник повторно передает пакеты TCP SYN.
- MAC-адреса верны (для входящих пакетов MAC-адрес источника принадлежит нисходящему маршрутизатору, MAC-адрес назначения принадлежит интерфейсу INSIDE межсетевого экрана).
На этом изображении показан захват CAPO в Wireshark:
Ключевые точки:
- Источник отправляет пакет TCP SYN.
- TCP RST поступает на ВНЕШНИЙ интерфейс.
- Источник повторно передает пакеты TCP SYN.
- MAC-адреса верны (для исходящих пакетов ВНЕШНИЙ межсетевой экран является MAC-адресом источника, восходящий маршрутизатор — MAC-адресом назначения).
На основании 2 снимков можно сделать вывод, что:
- Трехстороннее установление связи TCP между клиентом и сервером не завершается
- Имеется TCP RST, который поступает на выходной интерфейс межсетевого экрана.
- Межсетевой экран «общается» с соответствующими устройствами восходящего и нисходящего потоков (на основе MAC-адресов)
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте исходный MAC-адрес, который отправляет TCP RST.
Убедитесь, что MAC-адрес назначения в пакете TCP SYN совпадает с MAC-адресом источника в пакете TCP RST.
Эта проверка имеет целью подтвердить 2 вещи:
- Убедитесь, что нет асимметричного потока.
- Убедитесь, что MAC принадлежит ожидаемому восходящему устройству.
Действие 2. Сравните входящие и исходящие пакеты.
Визуально сравните 2 пакета в Wireshark, чтобы убедиться, что брандмауэр не изменяет / не повреждает пакеты.Выделены некоторые ожидаемые различия.
Ключевые точки:
- Временные метки разные. С другой стороны, разница должна быть небольшой и разумной. Это зависит от функций и проверок политики, применяемых к пакету, а также от нагрузки на устройство.
- Длина пакетов может отличаться, особенно если брандмауэр добавляет / удаляет заголовок dot1Q только с одной стороны.
- MAC-адреса разные.
- Заголовок dot1Q может быть на месте, если захват был сделан на подинтерфейсе.
- IP-адрес (а) различаются, если к пакету применяется NAT или преобразование адресов порта (PAT).
- Порты источника или назначения различаются, если к пакету применяется NAT или PAT.
- Если вы отключите параметр Wireshark Relative Sequence Number , вы увидите, что порядковые номера TCP / номера подтверждения изменяются брандмауэром из-за рандомизации начального порядкового номера (ISN).
- Некоторые параметры TCP могут быть перезаписаны.Например, межсетевой экран по умолчанию изменяет максимальный размер сегмента TCP (MSS) на 1380, чтобы избежать фрагментации пакетов на пути передачи.
Действие 3. Сделайте снимок в пункте назначения.
Если возможно, сделайте снимок в самом пункте назначения. Если это невозможно, сделайте снимок как можно ближе к месту назначения. Цель здесь — проверить, кто отправляет TCP RST (целевой сервер или какое-то другое устройство на пути?).
Корпус 3.Трехстороннее подтверждение TCP + RST от одной конечной точкиНа этом изображении показана топология:
Описание проблемы: HTTP не работает
Затронутый поток:
Src IP: 192.168.0.100
Dst IP: 10.10.1.100
Протокол: TCP 80
Анализ захватаВключите захват на движке FTD LINA.
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 firepower # захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
Захваты — нефункциональный сценарий:
Эта проблема может проявляться в захватах несколькими способами.
3.1 — Трехстороннее установление связи TCP + отложенный RST от клиента
И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.
Ключевые точки:
- Трехстороннее подтверждение TCP проходит через брандмауэр.
- Сервер повторно передает SYN / ACK.
- Клиент повторно передает ACK.
- Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте снимки как можно ближе к двум конечным точкам.
Записи брандмауэра показывают, что клиентский ACK не был обработан сервером. Это основано на следующих фактах:
- Сервер повторно передает SYN / ACK.
- Клиент повторно передает ACK.
- Клиент отправляет TCP RST или FIN / ACK перед любыми данными.
Захват на сервере показывает проблему. Клиентский ACK из трехстороннего подтверждения TCP так и не поступил:
3.2 — Трехстороннее подтверждение связи TCP + отложенный FIN / ACK от клиента + отложенный RST от сервераИ CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.
Ключевые точки:
- Трехстороннее подтверждение TCP проходит через брандмауэр.
- Через ~ 5 секунд клиент отправляет FIN / ACK.
- Через ~ 20 секунд сервер сдается и отправляет TCP RST.
На основании этого захвата можно сделать вывод, что, несмотря на трехстороннее квитирование TCP через брандмауэр, кажется, что оно никогда не завершается на одной конечной точке (повторные передачи указывают на это).
Рекомендуемые действияТо же, что и в случае 3.1
3.3 — Трехстороннее подтверждение связи TCP + отложенный RST от клиентаИ CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.
Ключевые точки:
- Трехстороннее подтверждение TCP проходит через брандмауэр.
- Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
На основании этих снимков можно сделать вывод, что:
- Через 5-20 секунд одна конечная точка отказывается и решает разорвать соединение.
То же, что и в случае 3.1
3.4 — Трехстороннее установление связи TCP + немедленное RST с сервера
Оба брандмауэра перехватывают эти пакеты, CAPI и CAPO содержат эти пакеты, как показано на изображении.
Ключевые точки:
- Трехстороннее подтверждение TCP проходит через брандмауэр.
- Через несколько миллисекунд после пакета ACK от сервера идет TCP RST.
Действие: Делайте снимки как можно ближе к серверу.
Немедленное TCP RST от сервера может указывать на неисправный сервер или устройство на пути, которое отправляет TCP RST. Сделайте снимок на самом сервере и определите источник TCP RST.
Случай 4. TCP RST от клиентаНа этом изображении показана топология:
Описание проблемы: HTTP не работает.
Затронутый поток:
Src IP: 192.168.0.100
Dst IP: 10.10.1.100
Протокол: TCP 80
Анализ захвата
Включить захват на движке FTD LINA.
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 firepower # захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
Захваты — нефункциональный сценарий:
Это содержимое CAPI.
огневая мощь # показать захват CAPI 14 пакетов захвачено 1: 12: 32: 22.860627 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 81922: 12: 32: 23.111307 192.168.0.100.47079> 10.10.1.100.80: S 24861: 24861 (0) win 8192 3: 12: 32: 23.112390 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0 4: 12: 32: 25.858109 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 5: 12: 32: 25.868698 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0 6: 12: 32: 26.108118 192.168.0.100.47079> 10.10.1.100.80: S 24861: 24861 (0) win 8192 7: 12:32:26.109079 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэндов: 3000518858 (0) выигрыш 0 8: 12: 32: 26.118295 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0 9: 12: 32: 31.859925 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 10: 12: 32: 31.860902 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0 11: 12: 32: 31.875229 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0 12: 12:32:32.140632 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0 13: 12: 32: 32.159995 192.168.0.100.47079> 10.10.1.100.80: S 24861: 24861 (0) win 8192 14: 12: 32: 32.160956 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0 Показано 14 пакетов
Это содержимое CAPO:
огневая мощь # показать захват CAPO Захвачено 11 пакетов 1: 12: 32: 22.860780 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 81922: 12: 32: 23.111429 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3000518857: 3000518857 (0) win 8192 3: 12: 32: 23.112405 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 35140: 35140 (0) выигрыш 0 4: 12: 32: 25.858125 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 5: 12:32:25.868729 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 29688: 29688 (0) выигрыш 0 6: 12: 32: 26.108240 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3822259745: 3822259745 (0) win 8192 7: 12: 32: 26.109094 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 40865466: 40865466 (0) выигрыш 0 8: 12: 32: 31.860062 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 42 752: 42 752 (0) win 8192 9: 12:32:31.860917 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 1581733941: 1581733941 (0) выигрыш 0 10: 12: 32: 32.160102 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 4284301197: 4284301197 (0) win 8192 11: 12: 32: 32.160971 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 502 8: 502
8 (0) выигрыш 0 Показано 11 пакетов
Журналы брандмауэра показывают:
firepower # показать журнал | я 47741 13 октября 2019 13:57:36:% FTD-6-302013: Построено входящее TCP-соединение 4869 для INSIDE: 192.168.0.100 / 47741 (192.168.0.100/47741) ВНЕШНИЙ: 10.10.1.100/80 (10.10.1.100/80) 13 октября 2019 13:57:36:% FTD-6-302014: Разрыв TCP-соединения 4869 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O от ВНУТРИ 13 октября 2019 г. 13:57:39:% FTD-6-302013: Построено входящее TCP-соединение 4870 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) ) 13 октября 2019 13:57:39:% FTD-6-302014: Разрыв TCP-соединения 4870 для INSIDE: 192.168.0.100 / 47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИ 13 октября 2019 13:57:45:% FTD-6-302013: Построено входящее TCP-соединение 4871 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) ) 13 октября 2019 13:57:45:% FTD-6-302014: Разрыв TCP-соединения 4871 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИЭти журналы показывают, что существует TCP RST, который поступает на ВНУТРЕННИЙ интерфейс межсетевого экрана
Захват CAPI в Wireshark:
Следуйте первому потоку TCP, как показано на изображении.
В Wireshark перейдите к Edit> Preferences> Protocols> TCP и отмените выбор параметра Relative sequence numbers , как показано на изображении.
На этом изображении показано содержимое первого потока в захвате CAPI:
Ключевые точки:
- Клиент отправляет пакет TCP SYN.
- Клиент отправляет пакет TCP RST.
- Пакет TCP SYN имеет значение порядкового номера, равное 4098574664.
Тот же поток в захвате CAPO содержит:
Ключевые точки:
- Клиент отправляет пакет TCP SYN. Брандмауэр рандомизирует ISN.
- Клиент отправляет пакет TCP RST.
На основании двух отловов можно сделать вывод, что:
Рекомендуемые действия
- Нет трехстороннего установления связи TCP между клиентом и сервером.
- Существует TCP RST, который исходит от клиента. Значение порядкового номера TCP RST в захвате CAPI — 1386249853.
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте снимок на клиенте.
На основе захватов, собранных на межсетевом экране, есть явное указание на асимметричный поток. Это основано на том факте, что клиент отправляет TCP RST со значением 1386249853 (рандомизированный ISN):
Ключевые точки:
- Клиент отправляет пакет TCP SYN.Порядковый номер 4098574664 и такой же, как и на ВНУТРЕННЕМ интерфейсе межсетевого экрана (CAPI)
.- Имеется TCP SYN / ACK с номером ACK 1386249853 (что ожидается из-за рандомизации ISN). Этот пакет не был замечен в захватах брандмауэра
- Клиент отправляет TCP RST, поскольку он ожидал SYN / ACK со значением номера ACK 4098574665, но получил значение 1386249853
Это можно представить как:
Действие 2. Проверьте маршрутизацию между клиентом и межсетевым экраном.
Подтвердите, что:
- MAC-адреса, отображаемые в захватах, являются ожидаемыми.
- Убедитесь, что маршрутизация между брандмауэром и клиентом симметрична.
Существуют сценарии, в которых RST исходит от устройства, которое находится между брандмауэром и клиентом, в то время как во внутренней сети существует асимметричная маршрутизация. Типичный случай показан на изображении:
В этом случае захват имеет это содержимое. Обратите внимание на разницу между MAC-адресом источника пакета TCP SYN и MAC-адресом источника TCP RST и MAC-адресом назначения пакета TCP SYN / ACK:
огневая мощь # показать захват CAPI деталь 1: 13:57:36.730217 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66 192.168.0.100.47740> 10.10.1.100.80: S [tcp sum ok] 3045001876: 3045001876 (0) win 8192(DF) (ttl 127, id 25661 ) 2: 13: 57: 36.981104 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66 192.168.0.100.47741> 10.10.1.100.80: S [tcp sum ok] 380
40: 380
40 (0) win 8192(DF) (ttl 127, id 25662 ) 3: 13: 57: 36.981776 00be.75f6.1dae a023.9f92.2a4d 0x0800 Длина: 66 10.10.1.100.80> 192.168.0.100.47741: S [tcp sum ok] 1304153587: 1304153587 (0) ack 380
41 win 8192(DF) (ttl 127, id 23339) 4: 13: 57: 36.982126 a023.9f92.2a4d 00be.75f6.1dae 0x0800 Длина: 54 192.168.0.100.47741> 10.10.1.100.80: R [tcp sum ok] 380
41: 380
41 (0) ack 1304153588 win 8192 (ttl 255, id 48501) ...Случай 5. Медленная передача TCP (сценарий 1)
Описание проблемы:
Передача SFTP между хостами 10.11.4.171 и 10.77.19.11 медленные. Хотя минимальная пропускная способность (BW) между двумя хостами составляет 100 Мбит / с, скорость передачи не превышает 5 Мбит / с.
При этом скорость передачи между хостами 10.11.2.124 и 172.25.18.134 значительно выше.
Теория предыстории:
Максимальная скорость передачи для одного потока TCP определяется продуктом задержки полосы пропускания (BDP). Используемая формула показана на изображении:
Более подробную информацию о BDP можно найти здесь:
Сценарий 1.Медленная передача
На этом изображении показана топология:
Затронутый поток:
IP-адрес источника: 10.11.4.171
Dst IP: 10.77.19.11
Протокол: SFTP (FTP через SSH)
Анализ захватаВключить захваты на ядре FTD LINA:
firepower # захват CAPI int INSIDE buffer 33554432 match ip host 10.11.4.171 host 10.77.19.11 firepower # захват CAPO int OUTSIDE buffer 33554432 match ip host 10.11.4.171 хост 10.77.19.11Предупреждение : Захваты LINA на захватах FP1xxx и FP21xx влияют на скорость передачи трафика, проходящего через FTD. Не включайте перехваты LINA на платформах FP1xxx и FP21xxx при устранении проблем с производительностью (медленная передача через FTD). Вместо этого используйте SPAN или устройство HW Tap в дополнение к захватам на исходном и целевом хостах. Проблема задокументирована в CSCvo30697.
firepower # захват интерфейса трассировки необработанных данных типа CAPI внутри соответствует icmp любой любой ПРЕДУПРЕЖДЕНИЕ. Выполнение перехвата пакетов может отрицательно сказаться на производительности.Рекомендуемые действияДействия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Расчет времени туда и обратно (RTT)
Сначала определите поток передачи и следуйте ему:
Измените представление Wireshark, чтобы отобразить секунд с момента предыдущего отображаемого пакета . Это упрощает расчет RTT:
RTT можно рассчитать, сложив значения времени между двумя пакетами обмена (один в направлении источника, а другой в направлении пункта назначения).В этом случае пакет № 2 показывает RTT между межсетевым экраном и устройством, которое отправило пакет SYN / ACK (сервер). Пакет № 3 показывает RTT между межсетевым экраном и устройством, отправившим пакет ACK (клиентом). Сложение двух чисел дает хорошую оценку сквозного RTT:
RTT ≈ 80 мс
Расчет размера окна TCP
Разверните пакет TCP, разверните заголовок TCP, выберите Расчетный размер окна и выберите Применить как столбец:
Проверьте столбец Расчетное значение размера окна , чтобы узнать, какое максимальное значение размера окна было во время сеанса TCP.Вы также можете выбрать имя столбца и отсортировать значения.
Если вы тестируете загрузку файла (сервер > клиент ), вы должны проверить значения, объявленные сервером. Максимальное значение размера окна, объявленное сервером, определяет максимальную скорость передачи.
В данном случае размер окна TCP составляет ≈ 50000 байт
На основе этих значений и с использованием формулы произведения на задержку полосы пропускания вы получаете максимальную теоретическую полосу пропускания, которая может быть достигнута в этих условиях: 50000 * 8/0.0 = 1 (без масштабирования окон). Это отрицательно сказывается на скорости передачи:
На этом этапе необходимо выполнить захват на сервере, подтвердить, что это тот, кто объявляет масштаб окна = 0, и перенастроить его (вам может потребоваться проверить документацию сервера, как это сделать).
Сценарий 2. Быстрая передача
Теперь рассмотрим хороший сценарий (быстрая передача через ту же сеть):
Топология:
Поток интересов:
Src IP: 10.11.2.124
Dst IP: 172.25.18.134
Протокол: SFTP (FTP через SSH)
Включить захват на движке FTD LINA
firepower # Capture CAPI int INSIDE buffer 33554432 match ip host 10.11.2.124 host 172.25.18.134 firepower # захват CAPO int OUTSIDE buffer 33554432 сопоставление ip host 10.11.2.124 host 172.25.18.134Расчет времени кругового обхода (RTT): В этом случае RTT составляет ≈ 300 мсек.
Расчет размера окна TCP: сервер объявляет коэффициент масштабирования окна TCP равный 7.
Размер окна TCP сервера ≈ 1600000 Байт:
На основе этих значений формула произведения на задержку полосы пропускания дает:
1600000 * 8 / 0,3 = максимальная теоретическая скорость передачи 43 Мбит / с
Случай 6. Медленная передача TCP (сценарий 2)Описание проблемы: Передача (загрузка) файлов по FTP через брандмауэр происходит медленно.
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.2.220
Dst IP: 192.168.1.220
Протокол: FTP
Анализ захватаВключите захват на движке FTD LINA.
firepower # захват буфера необработанных данных типа CAPI 33554432 интерфейс INSIDE соответствие хоста tcp 192.168.2.220 хост 192.168.1.220 firepower # cap Буфер необработанных данных типа CAPO 33554432 интерфейс ВНЕШНЕЕ соответствие хоста tcp 192.168.2.220 хост 192.168.1.220Выберите пакет FTP-DATA и следуйте каналу данных FTP при захвате FTD INSIDE (CAPI):
Содержимое потока FTP-DATA:
Содержимое захвата CAPO:
Ключевые точки:
- Есть пакеты TCP Out-Of-Order (OOO).
- Произошла повторная передача TCP.
- Имеется индикация потери пакета (отброшенные пакеты).
Совет : Сохраните захваченные изображения при переходе к File> Export Specified Packets . Затем сохраните только Отображаемый диапазон пакетов
Рекомендуемые действияДействия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Определите место потери пакета.
В подобных случаях необходимо выполнять одновременный захват и использовать методологию «разделяй и властвуй» для определения сегмента (ов) сети, вызывающего потерю пакетов. С точки зрения межсетевого экрана существует 3 основных сценария:
- Потеря пакета вызвана самим межсетевым экраном.
- Потеря пакета вызвана нисходящим потоком к устройству межсетевого экрана (направление от сервера к клиенту).
- Потеря пакета вызвана восходящим потоком к устройству межсетевого экрана (направление от клиента к серверу).
Потеря пакетов, вызванная межсетевым экраном: Чтобы определить, вызвана ли потеря пакета межсетевым экраном, необходимо сравнить входящий захват с исходящим захватом. Есть довольно много способов сравнить 2 разных снимка. В этом разделе показан один из способов решения этой задачи.
Процедура сравнения 2 захватов для определения потери пакетов
Шаг 1. Убедитесь, что 2 захвата содержат пакеты из одного и того же временного окна. Это означает, что в одном захвате не должно быть пакетов, которые были захвачены до или после другого захвата.Есть несколько способов сделать это:
- Проверьте значения IP-идентификатора (ID) первого и последнего пакета.
- Проверить значения отметок времени первого и последнего пакета.
В этом примере вы можете видеть, что первые пакеты каждого захвата имеют одинаковые значения IP ID:
Если они не совпадают, то:
- Сравните временные метки первого пакета каждого захвата.
- Из захвата с последней отметкой времени получите фильтр, измените фильтр отметки времени с == на > = (первый пакет) и <= (последний пакет), т.е.г:
(frame.time> = «16 октября 2019 г. 16: 13: 43.2446«) && (frame.time <= "16 октября 2019 г. 16: 20: 21.785130000")
3. Экспортируйте указанные пакеты в новый захват, выберите File> Export Specified Packets и затем сохраните Displayed packets. На этом этапе оба захвата должны содержать пакеты, охватывающие одно и то же временное окно. Теперь вы можете начать сравнение двух снимков.
Шаг 2. Укажите, какое поле пакета используется для сравнения двух захватов.Пример полей, которые можно использовать:
- Идентификация IP
- Порядковый номер RTP
- Порядковый номер ICMP
Создайте текстовую версию каждого захвата, содержащую поле для каждого пакета, указанного на шаге 1. Для этого оставьте только интересующий столбец, например если вы хотите сравнить пакеты на основе IP-идентификации, измените захват, как показано на изображении.
Результат:
Шаг 3.Создайте текстовую версию захвата ( File> Export Packet Dissections> As Plain Text …), как показано на изображении:
Снимите флажок I nclude заголовков столбцов и Параметры пакета , чтобы экспортировать только значения отображаемого поля, как показано на изображении:
Шаг 4. Отсортируйте пакеты в файлах. Для этого можно использовать команду Linux sort :
# сортировать CAPI_IDs> file1.отсортировано # sort CAPO_IDs> file2.sorted
Шаг 5. Используйте инструмент сравнения текста (например, WinMerge) или команду Linux diff , чтобы найти различия между двумя захватами.В этом случае захват CAPI и CAPO для трафика данных FTP идентичен. Это доказывает, что потеря пакетов не была вызвана межсетевым экраном.
Определение потери пакетов в восходящем / нисходящем направлениях.
Ключевые точки:
1.Этот пакет является повторной передачей TCP. В частности, это пакет TCP SYN, отправленный от клиента к серверу для данных FTP в пассивном режиме. Поскольку клиент повторно отправляет пакет, и вы можете увидеть начальный SYN (пакет №1), пакет был потерян в восходящем направлении к межсетевому экрану.
В этом случае может быть даже вероятность того, что пакет SYN добрался до сервера, но пакет SYN / ACK был потерян на обратном пути:
2. Есть пакет от сервера, и Wireshark определил, что предыдущий сегмент не был замечен / захвачен.Поскольку незахваченный пакет был отправлен с сервера на клиент и не был замечен в захвате брандмауэра, это означает, что пакет был потерян между сервером и брандмауэром.
Это указывает на потерю пакетов между FTP-сервером и межсетевым экраном.
Действие 2. Сделайте дополнительные захваты.
Делайте дополнительные захваты вместе с захватами на конечных точках. Попробуйте применить метод «разделяй и властвуй», чтобы изолировать проблемный сегмент, вызывающий потерю пакетов.
Ключевые точки:
- Получатель (в данном случае FTP-клиент) отслеживает входящие порядковые номера TCP. Если он обнаруживает, что пакет был пропущен (ожидаемый порядковый номер был пропущен), он генерирует пакет ACK с ACK = «ожидаемый порядковый номер, который был пропущен». В этом примере Ack = 2224386800.
- Dup ACK запускает быструю повторную передачу TCP (повторная передача в течение 20 мс после получения дублирующего ACK).
Что означают повторяющиеся ACK?
- Несколько дублированных ACK, но нет фактических повторных передач, указывают на то, что, скорее всего, есть пакеты, которые прибывают не по порядку.
- Дублирующиеся ACK, за которыми следуют фактические повторные передачи, указывают на то, что произошла некоторая потеря пакетов.
Действие 3. Рассчитайте время обработки межсетевым экраном транзитных пакетов.
Применить один и тот же захват на 2 разных интерфейсах:
firepower # буфер CAPI захвата 33554432 интерфейс INSIDE соответствует хосту tcp 192.168.2.220 хосту 192.168.1.220 firepower # захват интерфейса CAPI СНАРУЖИЭкспорт захвата, проверка разницы во времени между входящими и исходящими пакетами
Корпус 7.Проблема подключения TCP (повреждение пакета)Описание проблемы:
Беспроводной клиент (192.168.21.193) пытается подключиться к целевому серверу (192.168.14.250 — HTTP), и существует 2 разных сценария:
- Когда клиент подключается к точке доступа «A», HTTP-соединение не работает.
- Когда клиент подключается к точке доступа «B», HTTP-соединение работает.
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.21.193
Dst IP: 192.168.14.250
Протокол: TCP 80
Анализ захватаВключить захваты на ядре FTD LINA:
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.21.193 хост 192.168.14.250 firepower # захват CAPO int OUTSIDE match ip host 192.168.21.193 host 192.168.14.250Захваты — Функциональный сценарий:
В качестве основы всегда очень полезно иметь захваты из рабочего сценария.
На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE
.На этом изображении показан снимок, сделанный на ВНЕШНЕМ интерфейсе NGFW.
Ключевые точки:
- 2 захвата почти идентичны (учитывайте рандомизацию ISN).
- Нет признаков потери пакета.
- Пакеты без заказа (ООО)
- Есть 3 HTTP-запроса GET. Первый получает сообщение 404 «Не найдено», второй — 200 «ОК», а третий получает сообщение перенаправления 304 «Не изменено».
Захваты — Нерабочий сценарий:
Содержимое входящего захвата (CAPI).
Ключевые точки:
- Имеется трехстороннее рукопожатие TCP.
- Есть повторные передачи TCP и признаки потери пакета.
- Имеется пакет (TCP ACK), который Wireshark идентифицирует как Malformed .
На этом изображении показано содержимое исходящего захвата (CAPO).
Ключевые точки:
2 захвата почти идентичны (учитывайте рандомизацию ISN):
- Имеется трехстороннее рукопожатие TCP.
- Есть повторные передачи TCP и признаки потери пакета.
- Имеется пакет (TCP ACK), который Wireshark идентифицирует как Malformed .
Проверьте неправильно сформированный пакет:
Ключевые точки:
Рекомендуемые действия
- Пакет идентифицирован как неверно сформированный программой Wireshark.
- Он имеет длину 2 байта.
- Имеется полезная нагрузка TCP размером 2 байта.
- Полезная нагрузка — 4 дополнительных нуля (00 00).
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте дополнительные захваты, включая захваты на конечных точках, и, если возможно, попробуйте применить метод «разделяй и властвуй», чтобы изолировать источник повреждения пакета, например
В этом случае 2 дополнительных байта были добавлены драйвером интерфейса коммутатора «A», и решением было заменить коммутатор, вызывающий повреждение.
Случай 8. Проблема с подключением UDP (отсутствующие пакеты)Описание проблемы: сообщения системного журнала (UDP 514) не отображаются на целевом сервере системного журнала.
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.1.81
Dst IP: 10.10.1.73
Протокол: UDP 514
Анализ захватаВключить захваты на ядре FTD LINA:
firepower # захват CAPI int INSIDE trace match udp host 192.168.1.81 host 10.10.1.73 eq 514 firepower # захват CAPO int OUTSIDE match udp host 192.168.1.81 host 10.10.1.73 eq 514захватов FTD не показывают пакетов:
огневая мощь # показать захват захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 0 байт] соответствовать хосту udp 192.168.1.81 хост 10.10.1.73 eq syslog захват интерфейса необработанных данных типа CAPO СНАРУЖИ [захват - 0 байт] сопоставить хост udp 192.168.1.81 хост 10.10.1.73 eq syslogРекомендуемые действияДействия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте таблицу соединений FTD.
Чтобы проверить конкретное соединение, вы можете использовать этот синтаксис:
firepower # показать адрес соединения 192.168.1.81 порт 514 10 в использовании, 3627189 наиболее часто используемых Осмотрите Snort: preserve-connection: 6 включено, 0 активно, 74 наиболее активно, 0 наиболее активно UDP ВНУТРИ 10.10.1.73: 514 INSIDE 192.168.1.81:514, простоя 0:00:00, байты 480379697 , флаги - или N1Ключевые точки:
- Входящий и выходной интерфейсы одинаковы (разворот).
- Количество байтов имеет очень большое значение (~ 5 ГБ).
- Флаг «o» обозначает разгрузку потока (HW ускоренный поток). Это причина того, что захваты FTD не показывают никаких пакетов. Выгрузка потока поддерживается только на платформах 41xx и 93xx.В данном случае это устройство 41xx.
Действие 2. Сделайте снимки на уровне шасси.
Подключитесь к диспетчеру шасси Firepower и включите захват на входном интерфейсе (в данном случае E1 / 2) и интерфейсах объединительной платы (E1 / 9 и E1 / 10), как показано на изображении:
Через несколько секунд:
Совет : В Wireshark исключите пакеты с тегами VN, чтобы исключить дублирование пакетов на уровне физического интерфейса
Раньше:
После:
Ключевые точки:
- Фильтр отображения применяется для удаления дубликатов пакетов и отображения только системных журналов.
- Разница между пакетами находится на уровне микросекунд. Это указывает на очень высокую скорость передачи пакетов.
- Время жизни (TTL) постоянно уменьшается. Это указывает на пакетную петлю.
Действие 3. Используйте средство отслеживания пакетов.
Поскольку пакеты не проходят через механизм LINA брандмауэра, вы не можете выполнять трассировку в реальном времени (захват с трассировкой), но вы можете отслеживать эмулированный пакет с помощью средства отслеживания пакетов:
firepower # вход для трассировщика пакетов ВНУТРИ udp 10.10.1.73 514 192.168.1.81 514 Фаза 1 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: СПИСОК ДОСТУПА Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: ПОТОК-ПРОСМОТР Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Найден поток с идентификатором 25350892 с использованием существующего потока Фаза: 4 Тип: SNORT Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку Фаза: 5 Тип: МАРШРУТ-ПРОСМОТР Подтип: Разрешить исходящий интерфейс Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: найден следующий переход 192.168.1.81 с использованием egress ifc INSIDE Фаза: 6 Тип: ADJACENCY-LOOKUP Подтип: следующий переход и смежность Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: смежность активна MAC-адрес следующего перехода a023.9f92.2a4d попадает в 1 ссылку 1 Фаза: 7 Тип: ЗАХВАТ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНУТРИ статус вывода: вверх статус строки вывода: вверх Действие: разрешитьДействие 4.Подтвердите маршрутизацию FTD.
Проверьте таблицу маршрутизации межсетевого экрана на наличие проблем с маршрутизацией:
огневая мощь № показать маршрут 10.10.1.73 Запись маршрутизации для 10.10.1.0 255.255.255.0 Известен через "eigrp 1", расстояние 90, метрическая система 3072, тип внутренний Распространение через eigrp 1 Последнее обновление от 192.168.2.72 на ВНЕШНЕМ, 0:03:37 назад Блоки дескриптора маршрутизации: * 192.168.2.72, из 192.168.2.72, 0:02:37 назад, через OUTSIDE Метрика маршрута - 3072, доля трафика - 1. Общая задержка 20 микросекунд, минимальная пропускная способность 1000000 Кбит Надежность 255/255, минимальный MTU 1500 байт Загрузка 29/255, хмель 1Ключевые точки:
- Маршрут указывает на правильный выходной интерфейс.
- Маршрут был изучен несколько минут назад (0:02:37).
Действие 5. Подтвердите время работы соединения.
Проверьте время работы соединения, чтобы узнать, когда оно было установлено:
firepower # показать адрес соединения 192.168.1.81 порт 514 деталь 21 используется, 3627189 наиболее часто используется Осмотрите Snort: preserve-connection: 19 включено, 0 активно, 74 наиболее активно, 0 наиболее активно Флаги: A - ожидает ACK ответчика на SYN, a - ожидает ACK инициатора на SYN, b - TCP state-bypass или прибитый, C - CTIQBE media, c - кластер централизованный, D - DNS, d - дамп, E - внешнее обратное соединение, e - полураспределенное, F - инициатор FIN, f - ответчик FIN, G - группа, g - MGCP, H - H.323, h - H.225.0, I - данные инициатора, i - неполный, J - GTP, j - данные GTP, K - t3-ответ GTP k - тощий носитель, L - туннель без крышки, M - данные SMTP, m - носитель SIP N - проверено Snort (1 - сохранение соединения включено, 2 - сохранение соединения включено) n - GUP, O - данные респондента, o - выгружены, P - внутреннее заднее соединение, p - пассажирский поток q - данные SQL * Net, R - инициатор подтвердил FIN, R - UDP SUNRPC, r - ответчик подтвердил FIN, T - SIP, t - SIP переходный, U - вверх, V - сирота VPN, v - M3UA W - WAAS, w - резервная копия вторичного домена, X - проверяется сервисным модулем, x - на сеанс, Y - поток заглушки директора, y - поток заглушки резервного копирования, Z - Scansafe redirection, z - прямой поток пересылки UDP ВНУТРИ: 10.10.1.73 / 514 ВНУТРИ: 192.168.1.81/514, флаги -oN1, простоя 0 с, время безотказной работы 3 мин 49 с , тайм-аут 2 мин 0 с, байты 4801148711Ключевой момент:
- Соединение было установлено ~ 4 минуты назад (это до установки маршрута EIGRP в таблице маршрутизации)
Действие 6. Удалите существующее соединение.
В этом случае пакеты соответствуют установленному соединению и направляются на неправильный выходной интерфейс, вызывая петлю. Это связано с порядком работы брандмауэра:
- Поиск установленного соединения (имеет приоритет над поиском в глобальной таблице маршрутизации).
- Поиск преобразования сетевых адресов (NAT) — этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
- Маршрутизация на основе политик (PBR)
- Поиск в глобальной таблице маршрутизации
Поскольку соединение никогда не истекает (клиент системного журнала непрерывно отправляет пакеты, в то время как тайм-аут простоя соединения UDP составляет 2 минуты), необходимо вручную очистить соединение:
firepower # очистить адрес соединения 10.10.1.73 адрес 192.168.1.81 протокол udp порт 514 1 соединение (а) удалено.
Убедитесь, что установлено новое соединение:firepower # показать адрес соединения 192.168.1.81 детали порта 514 | б 10.10.1.73. * 192.168.1.81 UDP ВНУТРИ : 10.10.1.73/514 ВНУТРИ : 192.168.1.81/514, флаги -oN1, простоя 1 мин. 15 сек., время безотказной работы 1 мин. 15 сек., тайм-аут 2 мин. 0 сек., байты 408Действие 7. Настройте тайм-аут плавающего соединения.
Это правильное решение для решения проблемы и предотвращения неоптимальной маршрутизации, особенно для потоков UDP.Перейдите в Devices> Platform Settings> Timeouts и установите значение:
Более подробную информацию о тайм-ауте плавающего соединения можно найти в Справочнике команд:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1649892
Случай 9. Проблема подключения HTTPS (сценарий 1)Описание проблемы: HTTPS-связь между клиентом 192.168.201.105 и сервером 192.168.202.101 невозможно установить
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.201.111
Dst IP: 192.168.202.111
Протокол: TCP 443 (HTTPS)
Анализ захватаВключить захваты на ядре FTD LINA:
IP-адрес, используемый во ВНЕШНЕМ захвате, отличается из-за конфигурации преобразования адреса в порт.
firepower # захват CAPI int INSIDE соответствует IP-хосту 192.168.201.111 хост 192.168.202.111 firepower # захват CAPO int OUTSIDE match ip host 192.168.202.11 host 192.168.202.111
На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE:Ключевые точки:
- Имеется трехстороннее рукопожатие TCP.
- Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
- Клиент получил TCP ACK.
- Клиенту отправлено TCP RST.
На этом изображении показан снимок, сделанный на интерфейсе NGFW OUTSIDE.
Ключевые точки:
Рекомендуемые действия
- Имеется трехстороннее рукопожатие TCP.
- Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
- Брандмауэр отправляет на сервер повторные передачи TCP.
- На сервер отправлено TCP RST.
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте дополнительные снимки.
Захват, сделанный на сервере, показывает, что сервер получил TLS Client Hellos с поврежденной контрольной суммой TCP и молча отбрасывает их (нет TCP RST или любого другого пакета ответа для клиента):
Если собрать все вместе:
В этом случае, чтобы понять, что происходит, необходимо включить в Wireshark опцию Проверить контрольную сумму TCP, если возможно, . Перейдите в Edit> Preferences> Protocols> TCP , как показано на изображении.
В этом случае полезно расположить снимки рядом, чтобы получить полную картину:
Ключевые точки:
- Имеется трехстороннее рукопожатие TCP. Идентификаторы IP такие же. Это означает, что брандмауэр не проксировал поток.
- Приветствие клиента TLS приходит от клиента с IP-идентификатором 12083. Пакет передается через прокси-сервер межсетевым экраном (в данном случае межсетевой экран был настроен с использованием политики расшифровки TLS), а IP-идентификатор изменен на 52534.Кроме того, контрольная сумма TCP пакета повреждена (из-за дефекта программного обеспечения, который позже был исправлен).
- Брандмауэр находится в режиме TCP Proxy и отправляет ACK клиенту (подменяя сервер).
- Межсетевой экран не получает никаких пакетов TCP ACK от сервера и повторно передает приветственное сообщение клиента TLS. Это снова связано с режимом TCP Proxy, который активировал брандмауэр.
- Через ~ 30 секунд брандмауэр отказывается и отправляет клиенту TCP RST.
- Межсетевой экран отправляет серверу TCP RST.
Для справки:
Firepower TLS / SSL Обработка квитирования
Случай 10. Проблема подключения HTTPS (сценарий 2)Описание проблемы: Ошибка регистрации лицензии FMC Smart.
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.0.100
Dst: tools.cisco.com
Протокол: TCP 443 (HTTPS)
Анализ захватаВключить захват в интерфейсе управления FMC:
Попробуйте зарегистрироваться еще раз.C 264 захваченных пакета <- CTRL-C 264 пакетов, полученных фильтром 0 пакетов отброшено ядром корень @ огневая мощь: / Объем / home / admin #
Соберите снимок из FMC ( System> Health> Monitor, выберите устройство и выберите Advanced Troubleshooting ), как показано на изображении:На изображении показан захват FMC на Wireshark:
Совет : Чтобы проверить все новые TCP-сеансы, которые были захвачены, используйте tcp.flags == 0x2 фильтр отображения в Wireshark. Это фильтрует все захваченные TCP SYN-пакеты.
Совет : примените в качестве столбца поле Server Name из сообщения SSL Client Hello.
Совет : примените этот фильтр отображения, чтобы видеть только сообщения Client Hello ssl.handshake.type == 1
Примечание : На момент написания этой статьи портал интеллектуального лицензирования (tools.cisco.com) использует эти IP-адреса: 72.163.4.38, 173.37.145.8
Следуйте одному из потоков TCP ( Follow> TCP Stream) , как показано на изображении.
Ключевые точки:
- Имеется трехстороннее рукопожатие TCP.
- Клиент (FMC) отправляет сообщение SSL Client Hello на портал Smart Licensing.
- Идентификатор сеанса SSL — 0. Это означает, что сеанс не возобновлен.
- Целевой сервер отвечает сообщениями «Приветствие сервера», «Сертификат» и «Приветствие сервера выполнено».
- Клиент отправляет SSL Fatal Alert с жалобой на «Неизвестный ЦС».
- Клиент отправляет TCP RST, чтобы закрыть сеанс.
- Полная продолжительность сеанса TCP (от установления до закрытия) составляла ~ 0,5 секунды.
Выберите сертификат сервера и разверните поле эмитента , чтобы увидеть commonName. В этом случае Общее имя показывает устройство, которое выполняет функцию «Человек посередине» (MITM).
Это показано на этом изображении:
Рекомендуемые действияДействия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Сделайте дополнительные снимки.
Сделать снимки на транзитном брандмауэре:
CAPI показывает:
CAPO показывает:
Эти записи подтверждают, что транзитный межсетевой экран изменяет сертификат сервера (MITM)
Действие 2. Проверьте журналы устройства.
Вы можете получить комплект FMC TS, как описано в этом документе:
https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html
В этом случае файл /dir-archives/var-log/process_stdout.log показывает такие сообщения:
SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * среда .967 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg [494],
не удалось выполнить, ошибка код 60, строка ошибки "Сертификат узла SSL или удаленный ключ SSH не в порядке" ...
SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * Ср. 967 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue [514],
проблема с сертификатом проверка, ret 60, url "https: // tools.cisco.com/its/Рекомендуемое решение
Отключите MITM для определенного потока, чтобы FMC мог успешно зарегистрироваться в облаке Smart Licensing.
Случай 11. Проблема подключения IPv6Описание проблемы: внутренние узлы (расположенные за ВНУТРЕННИМ интерфейсом межсетевого экрана) не могут взаимодействовать с внешними узлами (узлами, расположенными за ВНЕШНИМ интерфейсом межсетевого экрана).
На этом изображении показана топология:
Затронутый поток:
Src IP: fc00: 1: 1: 1 :: 100
Dst IP: fc00: 1: 1: 2 :: 2
Протокол: любой
Анализ захватаВключить захват на движке FTD LINA.
firepower # захват CAPI int INSIDE match ip any6 any6 огневая мощь # захват CAPO int OUTSIDE match ip any6 any6Захваты — нефункциональный сценарий
Эти записи были сделаны параллельно с тестом подключения ICMP с IP fc00: 1: 1: 1 :: 100 (внутренний маршрутизатор) на IP fc00: 1: 1: 2 :: 2 (восходящий маршрутизатор).
Захват на межсетевом экране ВНУТРЕННИЙ интерфейс содержит:
Ключевые точки:
- Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
- Брандмауэр отвечает объявлением о соседстве IPv6.
- Маршрутизатор отправляет эхо-запрос ICMP.
- Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (fc00: 1: 1: 1 :: 100).
- Маршрутизатор отвечает объявлением о соседстве IPv6.
- Маршрутизатор отправляет дополнительные эхо-запросы IPv6 ICMP.
Запись на ВНЕШНИЙ интерфейс межсетевого экрана содержит:
Ключевые точки:
- Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
- Маршрутизатор отвечает объявлением о соседстве IPv6.
- Межсетевой экран отправляет эхо-запрос IPv6 ICMP.
- Устройство восходящего потока (маршрутизатор fc00: 1: 1: 2 :: 2) отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
- Межсетевой экран отправляет дополнительный эхо-запрос IPv6 ICMP.
- Восходящий маршрутизатор отправляет дополнительное сообщение запроса соседа IPv6 с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
Пункт 4 очень интересен. Обычно восходящий маршрутизатор запрашивает MAC-адрес ВНЕШНЕГО интерфейса межсетевого экрана (fc00: 1: 1: 2 :: 2), но вместо этого он запрашивает fc00: 1: 1: 1 :: 100. Это признак неправильной конфигурации.
Рекомендуемые действияДействия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте таблицу соседей IPv6.
Таблица IPv6-соседей межсетевого экрана заполнена правильно.
firepower # показать соседа по ipv6 | я fc00 fc00: 1: 1: 2 :: 2 58 4c4e.35fc.fcd8 СТАЛО СНАРУЖИ fc00: 1: 1: 1 :: 100 58 4c4e.35fc.fcd8 СТАЛО ВНУТРИДействие 2. Проверьте конфигурацию IPv6.
Это конфигурация брандмауэра.
firewall # show run int e1 / 2 ! интерфейс Ethernet1 / 2 nameif ВНУТРИ cts руководство распространять sgt preserve-untag политика статическая sgt отключена доверенная уровень безопасности 0 IP-адрес 192.168.0.1 255.255.255.0 IPv6-адрес fc00: 1: 1: 1 :: 1/64 ipv6 включить брандмауэр # показать запуск int e1 / 3.202 ! интерфейс Ethernet1 / 3.202 vlan 202 nameif СНАРУЖИ cts руководство распространять sgt preserve-untag политика статическая sgt отключена доверенная уровень безопасности 0 IP-адрес 192.168.103.96 255.255.255.0 IPv6-адрес fc00: 1: 1: 2 :: 1/64 ipv6 включить
Конфигурация восходящего устройства обнаруживает неправильную конфигурацию:Маршрутизатор № показывает интерфейс запуска g0 / 0.202 ! интерфейс GigabitEthernet0 / 0.202 инкапсуляция dot1Q 202 VRF переадресация VRF202 IP-адрес 192.168.2.72 255.255.255.0 IPv6-адрес FC00: 1: 1: 2 :: 2 /48Захваты — Функциональный сценарий
Исправлена проблема с изменением маски подсети (с / 48 на / 64). Это запись CAPI в функциональном сценарии.
Ключевой момент:
- Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
- Брандмауэр отвечает объявлением о соседстве IPv6.
- Маршрутизатор отправляет эхо-запросы ICMP и получает эхо-ответы.
Состав КАПО:
Ключевые точки:
Случай 12. Непостоянная проблема подключения (отравление ARP)
- Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
- Брандмауэр отвечает объявлением о соседстве IPv6.
- Межсетевой экран отправляет эхо-запрос ICMP.
- Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (IP fc00: 1: 1: 1 :: 1).
- Брандмауэр отвечает объявлением о соседстве IPv6.
- Межсетевой экран отправляет эхо-запросы ICMP и получает эхо-ответы.
Описание проблемы: внутренние узлы (192.168.0.x / 24) периодически имеют проблемы с подключением к узлам в той же подсети
На этом изображении показана топология:
Затронутый поток:
Src IP: 192.168.0.x / 24
Dst IP: 192.168.0.x / 24
Протокол: любой
Кажется, что кеш ARP внутреннего хоста отравлен:
Анализ захватаВключить захват на движке FTD LINA
Этот захват захватывает только пакеты ARP на интерфейсе INSIDE:
firepower # захват интерфейса CAPI_ARP INSIDE ethernet-type arpЗахваты — нефункциональный сценарий:
Захват на межсетевом экране ВНУТРИ интерфейса содержит.
Ключевые точки:
Рекомендуемые действия
- Межсетевой экран получает различные запросы ARP для IP-адресов в сети 192.168.0.x / 24
- Межсетевой экран отвечает на все из них (прокси-ARP) своим собственным MAC-адресом
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Проверьте конфигурацию NAT.
В зависимости от конфигурации NAT бывают случаи, когда ключевое слово no-proxy-arp может предотвратить вышеуказанное поведение:
firepower # демонстрационный пробег нац nat (INSIDE, OUTSIDE) исходный статический NET_1.1.1.0 NET_2.2.2.0 назначения статический NET_192.168.0.0 NET_4.4.4.0 no-proxy-arpДействие 2. Отключите функцию proxy-arp в интерфейсе межсетевого экрана.
Если ключевое слово «no-proxy-arp» не решает проблему, рассмотрите возможность отключения прокси-ARP на самом интерфейсе. В случае FTD на момент написания этой статьи вам нужно будет использовать FlexConfig и развернуть следующую команду (укажите соответствующее имя интерфейса).
sysopt noproxyarp ВНУТРИКорпус 13.Определите идентификаторы объектов SNMP (OID), которые вызывают сбои ЦПЭтот случай демонстрирует, как определенные идентификаторы SNMP OID для опроса памяти были определены как основная причина зависания ЦП (проблемы с производительностью) на основе анализа перехвата пакетов SNMP версии 3 (SNMPv3).
Описание проблемы: Переполнение на интерфейсах данных постоянно увеличивается. Дальнейшее устранение неполадок показало, что есть также проблемы с ЦП (вызванные процессом SNMP), которые являются основной причиной переполнения интерфейса.
Следующим шагом в процессе устранения неполадок было определение основной причины перегрузки ЦП, вызванной процессом SNMP, и, в частности, сужение области действия проблемы до определения идентификаторов объектов SNMP (OID), которые при опросе потенциально могут привести к в свиньях ЦП.
В настоящее время механизм FTD LINA не предоставляет команду show для идентификаторов SNMP OID, которые опрашиваются в реальном времени. Список SNMP OID для опроса можно получить из инструмента мониторинга SNMP, однако в этом случае были следующие ограничивающие факторы:
Анализ захвата
- Администратор FTD не имел доступа к инструменту мониторинга SNMP
- SNMP версии 3 с аутентификацией и шифрованием данных для конфиденциальности был настроен на FTD
Поскольку администратор FTD имел учетные данные для аутентификации и шифрования данных SNMP версии 3, был предложен следующий план действий:
- Захват пакетов SNMP
- Сохраните записи и используйте настройки протокола Wireshark SNMP, чтобы указать учетные данные SNMP версии 3 для расшифровки пакетов SNMP версии 3.Расшифрованные записи используются для анализа и получения идентификаторов SNMP OID
.Настроить захват пакетов SNMP на интерфейсе, который используется в конфигурации хоста snmp-server:
firepower # show run snmp-server | включить хост управление хостом snmp-сервера 192.168.10.10 версия 3 netmonv3 firepower # показать управление IP-адресами Системный IP-адрес: Имя интерфейса IP-адрес Маска подсети Метод Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ Текущий IP-адрес: Имя интерфейса IP-адрес Маска подсети Метод Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ firepower # захват capsnmp интерфейс управления буфер 10000000 матч udp host 192.168.10.10 host 192.168.5.254 eq snmp firepower # показать захват capsnmp захватить тип capsnmp буфер необработанных данных 10000000 интерфейс за пределами [захват - 9512 байт] соответствовать хосту udp 192.168.10.10 хост 192.168.5.254 eq snmpКлючевые точки:
Рекомендуемые действия
- Адреса / порты источника и назначения SNMP.
- PDU протокола SNMP не может быть декодирован, потому что PrivKey неизвестен Wireshark.
- Значение примитива encryptedPDU.
Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
Действие 1. Расшифруйте записи SNMP.
Сохраните записи и отредактируйте настройки протокола Wireshark SNMP, указав учетные данные SNMP версии 3 для расшифровки пакетов.
firepower # копирование / захват pcap: tftp: Имя захвата источника [capsnmp]? Адрес или имя удаленного хоста []? 192.168.10.253 Целевое имя файла [capsnmp]? capsnmp.pcap !!!!!! 64 пакета скопировано за 0,40 секундыОткройте файл захвата в Wireshark, выберите пакет SNMP и перейдите к Protocol Preferences> Users Table , как показано на изображении:
В таблице «Пользователи SNMP» были указаны имя пользователя SNMP версии 3, модель аутентификации, пароль аутентификации, протокол конфиденциальности и пароль конфиденциальности (фактические учетные данные не показаны ниже):
После применения настроек пользователей SNMP Wireshark показал расшифрованные PDU SNMP:
Ключевые точки:
- Инструменты мониторинга SNMP использовали SNMP getBulkRequest для запроса и обхода родительского OID 1.3.6.1.4.1.9.9.221.1 и связанные с ним OID.
- FTD отвечал на каждый запрос getBulkRequest получением ответа, содержащего OID, относящиеся к 1.3.6.1.4.1.9.9.221.1.
Действие 2. Определите идентификаторы SNMP OID.
SNMP Object Navigator показал, что OID 1.3.6.1.4.1.9.9.221.1 принадлежит базе управляющей информации (MIB) с именем CISCO-ENHANCED-MEMPOOL-MIB , как показано на изображении:
Чтобы отобразить OID в удобочитаемом формате в Wireshark, выполните следующие действия:
- Загрузите MIB CISCO-ENHANCED-MEMPOOL-MIB и ее зависимости, как показано на изображении:
2.В Wireshark в окне Edit> Preferences> Name Resolution установлен флажок Enable OID Resolution . В окне SMI (пути MIB и PIB) укажите папку с загруженными MIB, а в SMI (модули MIB и PIB). CISCO-ENHANCED-MEMPOOL-MIB автоматически добавляется в список модулей:
3. После перезапуска Wireshark активируется разрешение OID:
На основе расшифрованного вывода файла захвата инструмент мониторинга SNMP периодически (с интервалом 10 секунд) опрашивал данные об использовании пулов памяти на FTD.Как объяснено в статье TechNote, опрос ASA SNMP для статистики, связанной с памятью, при опросе использования глобального общего пула (GSP) с использованием SNMP приводит к загрузке ЦП. В этом случае из захватов было ясно, что использование глобального общего пула периодически опрашивалось как часть примитива SNMP getBulkRequest.
Чтобы свести к минимуму нагрузку на ЦП, вызванную процессом SNMP, было рекомендовано выполнить шаги по снижению нагрузки на ЦП для SNMP, упомянутые в статье, и избегать опроса OID, связанных с GSP.Без опроса SNMP для идентификаторов OID, которые относятся к GSP, не наблюдалось никаких перегрузок ЦП, вызванных процессом SNMP, и частота переполнений значительно снизилась.
Связанная информация
Основы работы с сетью: что такое подсети IPv4?
Почему октеты увеличиваются только до 255? Потому что они двоичные.
Максимально возможный IP-адрес 255.255.255.255
В двоичном формате этот IP-адрес выглядит так: 11111111.11111111.11111111.11111111
Обратите внимание, что между десятичными точками находится восемь чисел.Каждое число представляет собой бит. Отсюда термин октет или группировка 8-битных чисел.
Двоичное число соответствует этой таблице:
Давайте использовать это двоичное число, например: 10000001
Каждая 1 в двоичном числе «включает» число в его позиции. Итак, 1 в первой и последней позициях «включает» 128 и 1.
Сложите все позиции, чтобы получить десятичное число: 128 + 1 = 129
Когда все позиции «включены», они складываются. на 255.
Вы можете увидеть, как это работает здесь.Это наиболее распространенные октеты, с которыми вы столкнетесь при разбиении на подсети:
Как определить сетевую часть IP-адреса подсети
128 64 32 16 856 5000 21 255 1 1 1 1 1 1 1 449 1
1 1 1 1 1 0 252 1 1 1 1 501 501 501 50248 1 1 1 1 1 0 0 0 915 18240 1 1 1 1 0 0 0 0 224 115 50915 50224 115 50 91150 0 0 0 192 1 1 0 0 0 0 1285061 0 0 0 0 0 0 0 На ранних этапах Интернета , организации присваивали IP-адреса как сумасшедшие, пока у нас почти не кончились.К счастью, разработчики IP-адресации придумали способ положить конец этой расточительной практике: разделить сети с помощью подсетей.
Процесс выделения обширной сети и разделения на более мелкие сети известен как разбиение на подсети - он высвобождает больше общедоступных IPv4-адресов.
IP-адрес состоит из двух частей: сетевая часть и часть хоста.
Это как адрес дома. Сетевая часть похожа на город, штат и почтовый индекс. Часть хозяина похожа на номер дома и улицы.
Подсеть определяет количество бит из 32, используемых для «сетевой части» адреса. Маски подсети также могут быть определены в более распространенном представлении «косой черты», известном как нотация CIDR. В следующей таблице красные цифры представляют биты, используемые для сети. Черные цифры будут использоваться для IP-адресов устройств. Обратите внимание, что маска 255.0.0.0 также может быть представлена как '/ 8', поскольку она резервирует 8 бит из общих 32 бит, используемых для описания IPv4-адреса в качестве сетевой части.
Биты, используемые для маски Маска подсети по умолчанию Двоичная подсеть /8 255.0.0.0 11111111.000000.00 1
11111111.000000.00 11111111.11111111.00000000.00000000 /24 255.255.255.0 11111111.11111111.11111111.00000000 . : 172.16.56.0
Компьютер 1: 172.16.56.40
Компьютер 2: 172.16.56.55
Принтер 1: 172.16.56.100В этом случае мы используем 24 бита (или три октета) для сети. Обратите внимание, что каждое хост-устройство в сети имеет одни и те же первые три октета. Это сетевая часть IP-адреса с маской / 24.
IP-адрес: 172.16.56.40
Маска: 255.255.255.0
Двоичная маска: 11111111.11111111.11111111.00000000Последний октет - часть хоста IP-адреса.Вот где вы назначаете свои устройства. В этом случае вы можете назначить до 254 хостов. (Подробнее об этом позже.)
IP-адрес: 172.16.56.40
Маска: 255.255.255.0
Двоичная маска: 11111111.11111111.11111111.00000000Давайте еще раз посмотрим на таблицу. Если бы это было / 16, то первые два октета были бы сетевой частью, а хост-часть занимала бы последние два октета.
/16 255.255.0.0 11111111.11111111.00000000.00000000 Если бы это была сеть / 8, то только первый октет был бы сетевой частью.
/8 255.0.0.0 11111111.00000000.00000000.00000000 Это наиболее распространенные маски, потому что они самые простые, но когда вам нужно более одной сети, вам нужно подсеть. Разделение на подсети позволяет вам выбрать количество бит для использования в сетевой части. Вы даже можете украсть биты из части хоста для сети.
Вот как выглядит полная таблица масок подсети. В этой таблице единицы представляют часть сети, а нули - часть хоста.