Сравнение ип и ооо: Ошибка 404: Страница не найдена

Таблица отличий ИП и ООО. Что лучше открыть? – TvoeDelo 24-7

Общество с ограниченной ответственностью (ООО) (общеизвестное под названием «частная компания с ограниченной ответственностью») в сравнении с ТОО и ИП

В данном руководстве проводится сравнительный анализ

Статус юридического лица

Индивидуальный предприниматель в Сингапуре не является юридическим лицом, соответственно, не имеет статуса самостоятельного юридического лица. В глазах закона и общественности вы как собственник и ваша коммерческая структура являетесь единым целым. В результате вы обладаете полным контролем над бизнесом и его операциями, НО при этом несете личную ответственность по всем задолженностям и всем судебным искам, возбужденным против ИП.

В Сингапуре Общества с ограниченной ответственностью (ООО) и товарищества с ограниченной ответственностью (ТОО) обладают статусом юридического лица, существующего отдельно от своих акционеров (владеющих компанией) и своих директоров (управляющих компанией)

1. Юридическое лицо принимает на себя и получает обязательства и владеет недвижимостью от своего имени, заключает контракты со своими участниками, директорами, сотрудниками и третьими лицами.

2.    Юридическое лицо может подавать иск в суд или привлекаться в качестве ответчика по иску от своего имени.

3.    Юридическое лицо не подвергается никаким изменениям, даже если меняется статус его участников.

4.    Юридическое лицо может вступать в правовые отношения со своими участниками или директорами.

ИП — отсутствие статуса самостоятельного юридического лица 

ТОО, ООО — наличие статуса самостоятельного юридического лица

Финансовая ответственность

Поскольку ИП не имеет статуса самостоятельного юридического лица, его собственник несет неограниченную финансовую ответственность. Другими словами, кредиторы могут подать против вас иск в отношении возникших задолженностей, а так же могут получить от суда исполнительный лист об обращении взыскания на ваши личные активы, в том числе и имущество. Ваши личные активы никак не защищены. Поскольку ТОО и ООО в Сингапуре создаются как юридические лица с ограниченной ответственностью, их финансовые обязательства остаются в пределах самого юридического лица и таким образом защищают участников компаний (партнеров и акционеров соответственно) посредством ограниченной ответственности.

По сути, это означает, что ваша ответственность ограничивается суммой средств, внесенных вами в организацию, а ваши личные активы защищены.  

ИП: неограниченная ответственность – собственник несет личную ответственность по задолженностям и убыткам.

ТОО: ограниченная ответственность – ответственность каждого партнера ограничена его вкладом в ТОО.

ООО: ограниченная ответственность – ответственность каждого акционера ограничена его вкладом в компанию.

Непрерывность владения и преемственность

В случае с ИП вы и ваш бизнес неразделимы. Ваш бизнес не вечен, его деятельность останавливается с вашим отходом от дел или смертью. С другой стороны, ТОО и ООО продолжают существовать, независимо от статуса их партнеров или директоров и акционеров. Уход в отставку или смерть участников таких компаний обычно не влияет на продолжение существования ТОО и ООО.

ИП: отсутствие непрерывного правопреемства

ТОО, ООО: структура продолжает действовать после смерти или увольнения ее участников

Легкость расширения бизнеса

Для роста и расширения вашего бизнеса основное значение имеет капитал. Будучи индивидуальным предпринимателем, очень сложно привлечь в ваш бизнес внешний капитал посредством ссуд или инвестиций. Ваш капитал ограничен вашими собственными финансовыми средствами и прибылью, которую приносит ваш бизнес. Для получения кредита в банках или кредитных организациях вы должны представлять в качестве обеспечения свои собственные активы.

Кроме того, в структуре индивидуального предпринимателя может быть только один собственник, что означает, что у вас нет способа привлечь другого партнера в свой бизнес. В принципе, ТОО также испытывает трудности с привлечением внешнего капитала, часто ограниченного долей вклада его партнеров. В качестве частной компании с ограниченной ответственностью вы можете воспользоваться преимуществом привлекать капитал посредством привлечения долевых партнеров, венчурных фондов, финансирования предприятий и т.д.

Инвесторы с большей вероятностью будут инвестировать в компанию, в которой существует официальное разделение личных активов и активов компании. В целом, банки предпочитают давать ссуды компаниям, а не индивидуальным предпринимателям или ТОО. 

Налогообложение

Прибыль ИП и ТОО в Сингапуре не облагается налогом на том же уровне, что и прибыль коммерческих компаний, их прибыль воспринимается как личный доход собственника. В случае с ИП вся коммерческая прибыль считается личным доходом собственника и облагается налогом по ставке налога на личные доходы. Так и в случае с ТОО: прибыль распределяется между партнерами в соответствии с учредительным договором ТОО, считается частью личного дохода каждого партнера и облагается по ставке налога на личные доходы.

В Сингапуре частные компании с ограниченной ответственностью облагаются налогом по ставке на прибыль компаний и могут пользоваться различными налоговыми льготами, предоставляемыми компаниям. Эффективная налоговая ставка на прибыль компаний для ООО при объеме прибыли до 300 000 сингапурских долларов ниже 9%, а максимальная – 17% при объеме прибыли свыше 300 000 сингапурских долларов. Более того, в течение первых трех лет с момента образования компании действует нулевая налоговая ставка на первые 100 000 сингапурских долларов прибыли каждый год.

В Сингапуре принята одноуровневая налоговая политика, что означает, что после уплаты налогов с дохода на уровне компании дивиденды распределяются между акционерами уже без налогообложения. 

Передача прав собственности

ИП или ТОО нельзя продать как единое целое. Права собственности по каждому активу, лицензии и разрешению приходится передавать по отдельности. В отличие от них, права на всю собственность ООО или ее часть передаются легко, при этом на время продажи активов деятельность компании не прерывается.

ИП: сложно передать права собственности на бизнес

ТОО, ООО: легко передать права на часть собственности или всю собственность компании

Обеспечение постоянной деятельности

ИП – самая легкая и малозатратная форма организации и ведения бизнеса в Сингапуре. Государственный комиссионный сбор за регистрацию ИП составляет 65 сингапурских долларов, а количество необходимых документов сведено к минимуму. Нет требований о постоянном предоставлении отчетности, необходимо только каждый год обновлять регистрацию ИП.

Регистрация ТОО сложнее, чем регистрация ИП, но проще регистрации частной компании с ограниченной ответственностью. Комиссионный сбор правительства Сингапура за регистрацию ТОО составляет 165 сингапурских долларов, плюс вам, возможно, понадобится профессиональная помощь при составлении учредительного договора ТОО. В рамках соблюдения ежегодных требований ТОО должно предоставлять в органы декларацию о финансовой состоятельности или несостоятельности ТОО. Представлять другие документы не требуется.

Регистрация ООО немного сложнее, чем регистрация двух вышеуказанных форм компаний, а государственный комиссионный сбор за регистрацию составляет 315 сингапурских долларов. Кроме того, требования по ежегодной отчетности более сложные; например, необходимо предоставлять годовую финансовую отчетность, подавать налоговую декларацию, проводить ежегодное общее собрание акционеров и т.д.

Мы рекомендуем воспользоваться услугами профессиональных компаний (секретарских, бухгалтерских или юридических фирм), чтобы справиться с исходным процессом создания компании, а также для обеспечения постоянного соблюдения компанией необходимых требований. 

ИП: минимальные расходы на создание/соблюдение требований и минимальное количество необходимых документов

ТОО: средний уровень расходов на создание/соблюдение требований и среднее количество необходимых документов

ООО: более сложный процесс создания/большие затраты на соблюдение требований и большее количество необходимых документов

Восприятие общественностью

Восприятие вашего бизнеса вашими поставщиками, сотрудниками, банкирами и заказчиками может в значительной степени изменить судьбу вашего бизнеса. В глазах общественности ИП является наименее предпочтительной формой организации серьезных компаний, а компания – наиболее предпочтительной. Статус частной компании с ограниченной ответственностью придает организации важность, престиж и вызывает доверие.  

Прекращение деятельности

Ликвидация ИП проще, чем ликвидация ТОО или частной компании с ограниченной ответственностью. В случае с ИП процедура предусматривает отправку уведомления о ликвидации, за которым следует уведомление регистрационных органов о прекращении деятельности. Однако процесс ликвидации ТОО и ООО более сложный. В любом случае процесс ликвидации компании занимает 3-12 месяцев в зависимости от существующих сложностей.

Какой вариант выбрать?

Из трех форм организаций в Сингапуре наилучшим вариантом для крупных предпринимателей является создание частной компании с ограниченной ответственностью. Ваши личные активы защищены от финансовых обязательств, вы пользуетесь особыми налоговыми стимулами от государства, а структура компании позволят вам расширяться. 

Сравнение общего налогового режима и специальных режимов для индивидуальных предпринимателей | ФНС России

Что лучше: сравнение ИП и ООО

Ключевые отличия правового статуса коммерческого проекта заключаются в следующих моментах:

• ИП отвечает своей собственностью за долги, возникшие в результате деятельности. Для сравнения, организация рискует только уставным капиталом. Однако статья 3 закона от 08.02.1998 № 14-ФЗ предусматривает субсидиарную ответственность собственников при банкротстве компании.

• В состав учредителей юр. лица может входить до 50 субъектов, а предприниматель всегда владеет своими активами единолично.

• В список документов ИП входят ИНН, ОГРНИП и коды статистики. В состав документации общества входят устав, протокол об избрании директора, ИНН, ОГРН, изменения, приказы и т. д.

• Частник вправе распоряжаться выручкой без ограничений, а учредители фирмы — только своими дивидендами.

• Индивидуальный предприниматель регистрирует бизнес по месту прописки, в то время как юридическое лицо должно представить в налоговую документы, подтверждающие местонахождение предприятия. Бывают случаи, когда организация регистрирует фирму по месту регистрации руководителя или собственника. Это законно, но может привести к разногласиям с налоговыми органами, а также вызвать трудности при открытии расчетного счета, получении кредита и т. д.

• ООО обязано вести бухгалтерский учет, а у ИП таких обязательств нет. Достаточно вовремя платить фиксированные взносы и налоги.

Что легче зарегистрировать: ИП или ООО

Для открытия индивидуального предпринимательства достаточно паспорта, заявления и квитанции об оплате гос. пошлины 800 р. (при дистанционной процедуре не требуется). 

Для юридического лица постановка на учет сопряжена с составлением уставной документации, посещением налоговой в полном составе собственников, а также нюансами заполнения форм. 

Если действовать самостоятельно, статус ООО обойдется в 4000 р. 

В список документов для регистрации входят: решение об учреждении общества, заявление по форме P11001, устав в двух экземплярах, квитанция об уплате пошлины, документы, подтверждающие местонахождение компании (договор аренды, копия свидетельства о собственности или гарантийное письмо от собственника). 

Хорошая новость для будущих владельцев бизнеса! Российские банки предлагают своим клиентам бесплатную помощь в регистрации. У пользователей сервиса Сбербанк Онлайн есть возможность дистанционно зарегистрировать ИП или ООО с единственным учредителем через сервис «Деловая среда» и одновременно открыть расчетный счет в Сбербанке. Если выбрать такой вариант, то посещать налоговую и платить пошлину не потребуется.

Что выгоднее: ИП или ООО

Каждая форма имеет преимущества и ограничения. Для масштабного проекта, привлечения инвестиций и работы с крупными компаниями лучше открывать юридическое лицо. Для небольшого бизнеса-проекта и стартапа — выбирать ИП. 

Налоги для ИП и ООО

Разница в возможных налоговых режимах для ИП и ООО невелика. В отличие от прочих форм образования юр. лица, ИП может выбирать патентный режим. Другие варианты приведены ниже.

• Налог на добавленную стоимость + налог на прибыль + налог на имущество для ООО и Налог на добавленную стоимость + НДФЛ + налог на имущество для ИП. Перечисленные взносы уплачиваются при общей системе налогообложения.

• Налог при упрощенной системе с разницей в вариантах начисления: 6% со всех доходов или 15% с доходов за минусом расходов.

• Единый налог на вмененный доход.

Ограничения для ИП и ООО

Оговорки для бизнеса ИП следующие:

• Ограничения в делегировании полномочий и ответственности. Индивидуальный предприниматель не выбирает директора, он сам руководит коммерческой деятельностью и лично несет связанные с этим риски. 

• ИП не может вести страховую, банковскую, туроператорскую и некоторые другие виды деятельности. Для сравнения, у юр. лиц таких ограничений нет. 

• ИП недоступны продажа или переоформление бизнеса.

У ООО нет права применять патентную систему и закрывать бизнес без процедуры ликвидации. Но главным ограничением служит то, что учредители не вправе тратить выручку компании на личные нужды. Собственники могут распоряжаться только дивидендами. 

как открыть бизнес через банк Tinkoff , отзывы, документы — tvoedelo.online

• Главная
• Банки
• Открытие ИП и ООО в Тинькофф Банке: руководство для начинающих

• бесплатное открытие счета
• бесплатная бухгалтерия
• бесплатная корпоративная карта
• бесплатный интернет и мобильный банк
• счет по одному документу
• поддержка 24/7
• поддержка в чате
• бесплатное внесение наличных
• интеграция с онлайн бухгалтерией
• получение счета онлайн
• выезд менеджера

0 руб

Подключение

490 руб

Обслуживание

• бесплатное открытие счета
• бесплатная бухгалтерия
• бесплатная корпоративная карта
• бесплатный интернет и мобильный банк
• счет по одному документу
• поддержка 24/7
• поддержка в чате
• бесплатное внесение наличных
• интеграция с онлайн бухгалтерией
• получение счета онлайн
• выезд менеджера

0 руб

Подключение

1990 руб

Обслуживание

• бесплатное открытие счета
• бесплатная бухгалтерия
• бесплатная корпоративная карта
• бесплатный интернет и мобильный банк
• счет по одному документу
• поддержка 24/7
• поддержка в чате
• бесплатное внесение наличных
• интеграция с онлайн бухгалтерией
• получение счета онлайн
• выезд менеджера

0 руб

Подключение

4990 руб

Обслуживание

• Год основания — 2006
• Лидер на рынке финансовых технологий
• Полностью онлайн

• Открытие счета бесплатно
• Бесплатная бухгалтерия для ИП на УСН
• Возврат до 6% на остаток по счету

АО «Тинькофф Банк»

Дальше действовать будем мы

Заказать звонок

Заполните форму ниже и мы свяжемся с вами!

Отправляем заявку…

Заявка отправлена!

Какая-то ошибка…

Открыть счёт онлайн

В банках такого не предложат. Это бесплатно. 😉

Отправляем заявку…

Заявка отправлена!

Какая-то ошибка…

Покупка в 1 клик

Заполните форму ниже и мы свяжемся с вами!

Отправляем заявку…

Заявка отправлена!

Какая-то ошибка…

Оформление заказа

Заполните форму ниже и мы свяжемся с вами!

Отправляем заявку…

Заявка отправлена!

Какая-то ошибка…

Оформить

Заполните форму ниже и мы свяжемся с вами!

Отправляем заявку…

Заявка отправлена!

Какая-то ошибка…

Чтобы узнать, какой тариф создан именно для Вас пройдите простой опрос, в конце — полезный подарок для роста Вашего бизнеса от Твое Дело Онлайн!

ИП это физическое или юридическое лицо

Правовой статус индивидуального предпринимателя вызывает немало вопросов. В первую очередь, многим не ясно физическим или юридическим лицом с точки зрения законодательства является ИП.
Расскажем в статье, что по этому поводу считает налоговая и как по закону характеризуется индивидуальное предпринимательство.

С точки зрения законодательства индивидуальный предприниматель не является юридическим лицом. Это следует из определения.

Ст. 11 НК РФ:
Индивидуальные предприниматели — физические лица, зарегистрированные в установленном порядке и осуществляющие предпринимательскую деятельность без образования юридического лица, главы крестьянских (фермерских) хозяйств. Физические лица, осуществляющие предпринимательскую деятельность без образования юридического лица, но не зарегистрировавшиеся в качестве индивидуальных предпринимателей в нарушение требований гражданского законодательства Российской Федерации, при исполнении обязанностей, возложенных на них настоящим Кодексом, не вправе ссылаться на то, что они не являются индивидуальными предпринимателями.

В соответствии с этим текстом законодательства индивидуальный предприниматель является физическим лицом, которое ведет коммерческую деятельность. Это вполне однозначно. Однако правовой статус ИП подразумевает некую схожесть со статусом юридического лица. Разберемся далее, в чем схожесть и различия этих понятий.

Вернуться к содержанию ↑

○ Признаки физических и юридических лиц.

Физическое лицо – это человек, обладающий правами и обязанностями, в рамках правового регулирования государства. У физлица существуют определенные признаки:

• Идентификация осуществляется по ФИО.
• Нет необходимости в прохождении дополнительной регистрации, кроме получения свидетельства о рождении и общегражданского паспорта.
• Наличие права на осуществление экономических сделок с другими лицами и организациями.

Юридическое лицо – это организация, зарегистрированная в реестре, и имеющая обособленное имущество, которым отвечает по своим обязательствам.

Ст. 48 ГК РФ:

1. Юридическим лицом признается организация, которая имеет обособленное имущество и отвечает им по своим обязательствам, может от своего имени приобретать и осуществлять гражданские права и нести гражданские обязанности, быть истцом и ответчиком в суде.
2. Юридическое лицо должно быть зарегистрировано в едином государственном реестре юридических лиц в одной из организационно-правовых форм.
3. К юридическим лицам, на имущество которых их учредители имеют вещные права, относятся государственные и муниципальные унитарные предприятия, а также учреждения.

Юридические лица имеют следующие признаки:

• Наличие регистрации в едином реестре.
• Определенное имущество в собственности.
• Отдельное название и регистрационный адрес.
• Наличие структурированного коллектива с управляющими и подчиненными.
• Право на получение лицензий на некоторые виды деятельности, недоступные другим формам.
• Обязательное наличие печати и расчетного счета в банке.

Юридическое лицо несет ответственность за ведение деятельности принадлежащим ему имуществом. Этот признак идентичен ответственности физического лица и ИП.

Вернуться к содержанию ↑

○ Сравнение ИП и простого физического лица.

По сути физическое лицо и ИП имеют множество общих признаков. Однако ведение определенных видов предпринимательской деятельности без регистрации не допускается. Расскажем, в чем сходства и различия между ИП и физическим лицом.

✔ Общие признаки.

К общим признакам можно отнести следующие факты:

1. Законодательно ИП и физическое лицо равны.
2. Это конкретный человек, имеющий ФИО и идентификационный номер.
3. Место постоянной регистрации совпадает.
4. ИП может выступать как гражданин при заключении сделок.
5. Физлицо и ИП вправе проводить хозяйственные операции, заключать сделки, оформлять необходимые документы и совершать юридически значимые действия.
6. В случае образования долга физлицо и ИП отвечают имуществом, находящемся в их собственности.

С точки зрения законодательства индивидуальный предприниматель – это статус физического лица. Тем не менее, разница между этими понятиями все же есть.

✔ Отличительные признаки.

Отличие ИП от физического лица заключается в системе налогообложения доходов и допустимой сфере деятельности. К примеру, физическое лицо, имеющее статус ИП, не может быть наемным работником и одновременно вести предпринимательскую деятельность. Человек, будучи ИП, может быть наемным работником, но в качестве физического лица.

Физическому лицу, не имеющему статуса ИП, не доступны многие виды коммерческой деятельности. Так, например, он не может открыть павильон и продавать там какой-либо товар или заниматься оказанием бытовых услуг населению.

Вернуться к содержанию ↑

○ Сравнение ИП и юридического лица.

Довольно часто можно встретить отожествление статусов ИП и юридического лица. Это не совсем корректно с точки зрения законодательства, но тем не менее сходства между этими статусами безусловно есть. Рассмотрим в чем общность и различия.

✔ Общность в деятельности.

Общность деятельности заключается в следующих факторах:

• Цель создания – ведение предпринимательской деятельности и получение прибыли.
• Необходимость прохождения процедуры государственной регистрации.
• Доступность систем налогообложения – УСН, ЕНВД и т.д.
• Возможность трудоустройства сотрудников в соответствии с ТК РФ.
• Могут иметь расчетный счет в банке (для ИП не обязательно).
• В суде могут быт истцом и ответчиком.

На этом схожесть заканчивается. Рассмотрим, чем отличаются ИП и юридические лица.

✔ Отличительные характеристики.

Главные отличия заключаются в следующем:

• ИП – это конкретный человек, юридическое лицо – это организация.
• Регистрация человека в качестве индивидуального предпринимателя осуществляется по месту постоянного проживания, а юридическое лицо оформляется по юридическому адресу.
• ИП ведет деятельность самостоятельно, юридическое лицо – это коллектив людей (однако и те, и другие могут быть работодателями).
• Имущество организации и ее учредителей обособлено друг от друга, ИП в свою очередь отвечает всем своим имуществом, как физическое лицо.
• ИП не имеет собственного наименования.
• Юрлицо обязано иметь печать и расчетный счет в банке, для ИП и то, и другое носит рекомендательный характер.
• Деятельность юридического лица невозможна без наличия уставных документов.

Организации вправе вести коммерческую деятельность в любой сфере, не противоречащей законодательству. Для предпринимателей действуют определенные ограничения.

Вернуться к содержанию ↑

○ Что говорит налоговая?

С точки зрения налогового законодательства индивидуальные предприниматели – это физические лица, обладающие особым статусом. Тем не менее, ФНС предусматривает для ИП льготные системы налогообложения с минимальной отчетностью.

Индивидуальные предприниматели на особом счету. Для них разрабатываются отдельные нормы и правила.

Вернуться к содержанию ↑

○ Советы юриста:

✔ Можно ли ИП преобразовать в юридическое лицо?

Прямого запрета на преобразование в законодательстве нет, то есть такое допускается. Для этого необходимо обратиться в территориальное отделение ФНС и подать соответствующие документы. 

✔ Может ли физическое лицо заниматься коммерцией без открытия ИП или ООО?

Законодательно не допускается ведение коммерческой деятельности без регистрации. Это требуется для целей налогообложения, возможности нанимать сотрудников и беспрепятственно работать и рассчитываться с контрагентами.

Вернуться к содержанию ↑

Генеральный директор «Центр Геммерлинга» Иван Геммерлинг расскажет о различиях, плюсах и минусах в формах деятельности индивидуальных предпринимателей и юридических лиц.

Опубликовал : Вадим Калюжный, специалист портала ТопЮрист.РУ

Самозанятые, ИП или ООО — таблица сравнения

, PPA и заключение

Целевые показатели эффективности, PPA и заключение

Микроархитектура серии U8 первоначально будет производиться как два IP-предложения: ядра ЦП U84 и U87:

U87 будет доступен только в конце следующего года, в то время как U84 также дорабатывается прямо сейчас. У компании есть IP U84, работающий внутри на платформах FPGA.

Повышение производительности по сравнению с ядрами SiFive предыдущего поколения чрезвычайно впечатляет: по сравнению с U54 при ISO-процессе новый U84 имеет 5.Увеличение производительности в 3 раза в SPECint2006. Если принять во внимание усовершенствования технологического узла, которые позволяют U84 повышать тактовую частоту, увеличение количества поколений, которое мы наблюдаем в продуктах, будет более близким к коэффициенту 7,2.

Что касается PPA, по сравнению с ЦП серии U7, IPC увеличивается в 2,3 раза, что приводит к повышению производительности в 3,1 раза (процесс ISO). Значительное увеличение производительности серии U8 происходит благодаря увеличенным частотным характеристикам, которые равны 1.В 4 раза выше в этом поколении с масштабированием ядра до 2,6 ГГц на 7-нм техпроцессе.

При том же 7-нм техпроцессе U84 занимает 0,28 мм² на каждое ядро, а кластер, состоящий из четырех ядер и 2 МБ кэша L2, занимает 2,63 мм². Для сравнения, Arm Cortex-A55, измеренный на Kirin 980, также на 7-нм техпроцессе, ядро ​​с его частным кэшем L2 128 КБ имеет размер 0,36 мм². Учитывая, что SiFive обещает производительность, аналогичную Cortex-A72, которая, в свою очередь, будет более чем вдвое выше производительности A55, похоже, что ядро ​​SiFive U84 будет чрезвычайно конкурентоспособным с точки зрения PPA.

Наконец, SiFive может сконфигурировать до 9 ядер ЦП в когерентный кластер с общим L2. IP также может делать это гетерогенным образом, аналогично подходу Arm big.LITTLE, с использованием ЦП серий U8 и U7 и даже ЦП серии S в одном кластере.

Заключение — большой шаг в долгом путешествии

В целом, новое ядро ​​SiFive U8, на мой взгляд, является очень важным и важным шагом для компании с точки зрения продвижения своих продуктов, а также развития экосистемы RISC-V.Ключевой вывод U8 — это значительно улучшенная производительность ядра, которая теперь внезапно позволяет компании серьезно конкурировать с некоторыми ядрами среднего и низкого уровня Arm.

Я не очень ожидаю увидеть ядро, используемое в таких продуктах, как смартфоны, в ближайшее время, поскольку, откровенно говоря, SiFive еще предстоит очень долгий путь с точки зрения улучшения абсолютных характеристик. При этом я думаю, что на рынках Интернета вещей и встроенных систем мы увидим более быстрое и широкое внедрение ядер RISC-V, а SiFive наверняка увидит дальнейший рост и интерес в ближайшие годы.Мы с нетерпением ждем возможности наблюдать за развитием этого будущего.

Исследование потенциала ионизации и улавливания электронов растительного изоляционного масла, связанное с зарождением и распространением стримеров

Основные моменты

•

Орбитальные энергии молекул триацилглицерина с разной степенью ненасыщенности рассчитаны и составы наиболее занятых молекулярная орбиталь (ВЗМО) и самая низкая незанятая молекулярная орбиталь (НСМО) анализируются.

•

Рассчитаны потенциалы ионизации (IP) молекул триацилглицерина и получены характеристики распределения IP растительных изоляционных масел.

•

Рассчитаны сродства к электрону (EAs) молекул триацилглицерина, а также оценены химическая ловушка и общая ловушка в растительных изоляционных маслах.

•

Обсуждаются эффекты характера распределения IP и неглубокой ловушки на начало и распространение кос.

Реферат

Растительные масла, в основном состоящие из молекул триацилглицерина, в последние годы широко изучаются как новые изоляционные материалы. В данной работе мы изучаем электронные свойства различных молекул триацилглицерина с разной степенью ненасыщенности с помощью теории функционала плотности (DFT). Потенциал ионизации (IP), сродство к электрону (EA) и электронная ловушка оцениваются теоретическим анализом и экспериментами. Результаты показывают, что атомы C двойной связи цис CC вносят основной вклад в самую высокую занятую молекулярную орбиталь (ВЗМО) ненасыщенной молекулы триацилглицерина; IP полностью ненасыщенных молекул триацилглицерина почти ограничены узкими диапазонами от 7.От 30 до 7,45 эВ в газовой фазе и от 6,77 до 6,84 эВ в жидкой фазе соответствуют молекулам LnLnLn и ООО соответственно; атомы сложноэфирной группы и соседние атомы вносят основной вклад в низшую незанятую молекулярную орбиталь (НСМО) как насыщенных, так и ненасыщенных молекул триацилглицерина; ЭА молекул триацилглицерина ограничены узкими диапазонами от -0,34 до -0,18 эВ, а химическая ловушка оценивается в 0-0,16 эВ; полная ловушка составляет 0,32–0,36 эВ. Характер распределения IP и мелкая ловушка могут быть основными причинами того, что растительные масла демонстрируют низкую устойчивость к быстрым стримерам.Работа может обеспечить теоретическую основу молекулярной модификации для улучшения характеристик растительных изоляционных масел.

Ключевые слова

Растительное изоляционное масло

Streamer

Потенциал ионизации

Сродство к электрону

Ловушка для электронов

Теория функционала плотности

Рекомендуемые статьи Цитирующие статьи (0)

B.V. Все права защищены.

Рекомендуемые статьи

Цитирующие статьи

CRS0050103153.TIF

% PDF-1.4 % 131 0 объект > эндобдж 127 0 объект [/ CalGray>] эндобдж 126 0 объект [/ CalRGB>] эндобдж 128 0 объект > поток Чт, 6 сентября, 08:51:46 2007 PageGenie PDFGeneratorapplication / pdf

Где CPaaS развертывают свои сети — сравнение

Пару недель назад в Amazon Web Services (AWS) произошел сбой в регионе US-EAST-1.Поскольку многие сервисы полагаются на AWS, этот сбой имел более широкое влияние, вызвав сбои и различные проблемы с собственными сервисами Amazon Ring, интернет-магазинами и даже MTA в Нью-Йорке. Кроме того, пара крупных провайдеров «Платформа связи как услуга» (CPaaS) также сообщила о проблемах (Voximplant не пострадал), что может повлиять на связь многих их клиентов.

Имея это в виду, сейчас хорошее время, чтобы посмотреть, как CPaaS предлагает использовать инфраструктуру общедоступного облака, и проанализировать факторы, влияющие на предоставление надежных и высококачественных коммуникационных услуг.В этом посте мы рассмотрим инфраструктуру общедоступного облака, используемую несколькими крупными поставщиками CPaaS, и обсудим последствия их выбора.

Как платформы облачных коммуникаций создают свои сети

Все облачные поставщики программного обеспечения как услуги (SaaS) должны размещать свой код где-то на сервере. Этот код необходимо подключить к различным точкам обмена данными в Интернете, чтобы эти услуги могли быть доступны клиентам и поставщикам услуг-партнеров. У этих провайдеров обычно есть два варианта размещения своей инфраструктуры:

1. Поставщики общедоступных облаков — крупные компании, занимающиеся облачными вычислениями, которые используют различные API-интерфейсы и службы облачной инфраструктуры.Самые популярные из них включают Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM Cloud, а также многие более мелкие.
2. Провайдеры центров обработки данных — предлагают доступ нижнего уровня к серверам и Интернет-провайдеру без всех дополнительных уровней программного обеспечения наверху. Примеры включают такие компании, как Equinix, INAP и servers.com. Многие из этих компаний начали добавлять услуги, которые делают их больше похожими на предложения «Инфраструктура как услуга» (IaaS) крупных поставщиков общедоступного облака.

Крупные поставщики общедоступных облаков выросли до огромных размеров с гигантскими экосистемами поддерживающих продуктов. Они, как правило, являются наиболее популярным выбором для платформ облачных коммуникаций. Тем не менее, независимые поставщики центров обработки данных все еще находят применение в нишевых потребностях, которые не удовлетворяются крупными игроками.

Как инфраструктура поставщика облачных услуг влияет на услуги CPaaS

Выбор, который поставщик CPaaS делает для своей облачной инфраструктуры, имеет большое значение для пользователей этих услуг.Связь в реальном времени, персональная и часто критически важная, делает ее особенно сложной для реализации по сравнению с другими приложениями. Поскольку во время разговора заметен даже кратковременный сбой, поставщики приложений связи должны предлагать высоконадежные услуги при сохранении высокого качества. Кроме того, общение с использованием микрофона или камеры влечет за собой уникальные последствия для конфиденциальности. Эти выборы являются основными факторами в выборе CPaaS для развертывания своих сетей.

Надежность за счет резервирования

Предоставление надежных услуг через Интернет имеет множество аспектов.Помимо передовых методов разработки кода и строгих процессов обеспечения качества, лучшей защитой от серьезных проблем, таких как простои, является избыточность. Избыточность, в конечном счете, заключается в том, чтобы избежать единичных точек отказа, которые могут привести к остановке службы. Чем больше и сложнее сеть, тем больше потенциальных точек отказа. Хорошо спроектированная сеть будет иметь дублирующие программные процессы, выполняемые на избыточном оборудовании с несколькими независимыми сетевыми маршрутами. На практике это означает установку:

1. Резервные серверы / процессы — гарантия того, что в случае возникновения критических проблем с одним сервером или программным процессом на его место придет другой.
2. Избыточные центры обработки данных — в относительно редких случаях, когда в физическом центре обработки данных возникает проблема — например, при наводнении или строительной аварии — должны быть резервные физические объекты.
3. Резервные облачные провайдеры — последнее средство использует нескольких облачных провайдеров.

Избыточность на уровне сервера или процесса часто достигается с помощью элемента балансировки нагрузки, который распределяет трафик между несколькими серверами. Если один сервер выходит из строя, балансировщик нагрузки может отправлять трафик другим процессам, если приложение способно его обрабатывать.Конечно, сами балансировщики нагрузки тоже должны быть настроены с резервированием.

Избыточность на уровне центра обработки данных часто встроена в современные облачные платформы. Например, крупные поставщики облачных услуг часто размещают несколько физических центров обработки данных в физических областях, которые обеспечивают аналогичные характеристики задержки. Если в одном из физических центров обработки данных возникнут проблемы, существуют процедуры автоматической маршрутизации трафика в альтернативные центры обработки данных. Эти поставщики также могут предоставлять инструменты, помогающие обмениваться данными и трафиком между регионами.

Последний уровень резервирования — это резервирование облачного провайдера. Хотя это случается редко, человеческая ошибка и глупая удача могут вывести облачного провайдера из строя. Ошибки при использовании SDK конкретного поставщика облачных услуг также могут вызвать проблемы, связанные с конкретным поставщиком облачных услуг. Лучшая защита в таких случаях — мультиоблачная архитектура, которая зависит от нескольких облачных провайдеров. В мультиоблачных архитектурах могут использоваться несколько поставщиков общедоступных облаков, а также независимые центры обработки данных для максимальной избыточности.

Задержка: чем ближе, тем лучше

Связь в реальном времени очень чувствительна к задержке — времени, необходимому для передачи голосовых и видеоданных между вызывающими абонентами. Низкая задержка обычно является одним из лучших показателей хорошего качества мультимедиа. Как правило, чем ближе пользователь к объекту, с которым он общается, тем лучше. Путь, по которому проходит данный пакет VoIP, может быть подвержен изгибам и поворотам на своем пути, но, как и в случае с шоссе, короткий прямой маршрут обычно быстрее доставит вас туда.

По этой причине провайдеры CPaaS должны стремиться размещать свои услуги в центрах обработки данных, расположенных близко к пользователям. Это особенно важно для элементов обработки мультимедиа, таких как мультимедийные серверы, шлюзы и SBC, которые обрабатывают мультимедиа и находятся непосредственно в потоке связи.

Конечно, существуют практические ограничения на то, что имеет смысл, а также на реальные затраты на содержание большего количества центров обработки данных, чем действительно необходимо. Точно так же, как у автомагистралей обычно есть ограниченные съезды и съезды, то же самое можно сказать и об интернет-соединениях между центрами обработки данных.Нецелесообразно иметь центр обработки данных в каждом городе, но проектировщики сетей должны стремиться иметь центр обработки данных в основном регионе.

Например, если у вас есть абонент из Нью-Йорка, вы не хотите, чтобы его трафик направлялся в Сан-Франциско, чтобы он мог поговорить с кем-то примерно в 100 милях / 150 км в Филадельфии. Хорошая целевая задержка приема-передачи составляет 150 мс. Время, необходимое свету для прохождения по оптоволокну по прямой от Нью-Йорка до Сан-Франциско и обратно, составляет почти 40 мс.Добавление более реалистичного пути с задержками, добавляемыми многими маршрутизаторами по пути, добавит много кратных этой задержке, в результате чего она значительно превысит 150 мс. Вы действительно хотите, чтобы этот трафик проходил через центр обработки данных где-нибудь поближе. Центр обработки данных в Нью-Йорке был бы идеальным вариантом, но обычно где-нибудь на Восточном побережье обычно дает очень приемлемую производительность.

Независимость данных и локализация

Во многих странах есть законы, регулирующие контроль и хранение облачных данных.Эти правила могут указывать, как правительства могут получить доступ к данным пользователей и к системам, в которых эти данные хранятся. Помимо требований, чтобы компании соблюдали свои законы о пользовательских данных и безопасности, усилия по локализации данных фактически требуют некоторой первоначальной обработки данных в пределах национальных границ. Кроме того, некоторые компании могут предпочесть, чтобы их данные обрабатывались в определенном регионе, чтобы обеспечить соблюдение более широких правил безопасности и конфиденциальности. Например, Общий регламент ЕС по защите данных (GDPR) требует защиты данных граждан ЕС даже за пределами ЕС.Многие компании предпочли хранить свои данные в ЕС, а не заниматься проблемами соответствия, возникающими при размещении данных за пределами ЕС.

Единственный способ обеспечить соблюдение суверенитета данных — это разместить серверы в странах, где это требуется. Глобальные поставщики могут предлагать варианты размещения данных, которые позволяют хранить данные в определенной стране или центре обработки данных.

Анализ центра обработки данных CPaaS

Анализ обратного поиска IP-адресов нескольких основных провайдеров CPaaS дает некоторые интересные результаты.Можно изучить, как CPaaS построила свою сеть, проанализировав публично перечисленные IP-адреса. Мы рассмотрели Twilio, Vonage / Nexmo и Messagebird, чтобы понять их географический охват и поставщиков центров обработки данных.

В разделе «Методология» ниже описывается, как проводился этот анализ.

Континентальное покрытие

Для истинного географического покрытия требуется как минимум один центр обработки данных, расположенный на каждом континенте. Вот сравнение этих провайдеров по всему миру:

Количество уникальных стран с хотя бы одним центром обработки данных

Ни один CPaaS не охватил все континенты.Неудивительно, что нет общедоступных центров обработки данных для незначительного населения Антарктиды. Однако ни у одного из провайдеров CPaaS нет центра обработки данных в Африке. Только Voximplant и Twilio покрывают все остальные континенты.

Покрытие страны

Как упоминалось ранее, покрытие в определенных странах может потребоваться по нормативным или политическим причинам в дополнение к уменьшенной задержке, которую обычно обеспечивает более близкое расположение. На картах ниже показано, где у этих поставщиков CPaaS есть серверы.

Уникальные страны, в которых выделен хотя бы один центр обработки данных для каждого CPaaS. Обратите внимание, что карта выполнена в масштабе, поэтому некоторые небольшие страны, такие как Сингапур, трудно увидеть.

Все вышеперечисленные CPaaS имели центры обработки данных в Сингапуре. Nexmo является уникальной компанией, предлагающей канадский центр обработки данных для Северной Америки. Voximplant уникален тем, что предлагает множество центров обработки данных в 9 странах Европы, в том числе:

• Беларусь
• Франция
• Германия
• Люксембург
• Нидерланды
• Польша
• Россия
• Швеция
• Украина

Разнообразие поставщиков центров обработки данных

Этот анализ также может выявить, кто предоставляет хостинг и IaaS за каждым CPaaS:

Уникальные хостинговые организации, используемые каждым CPaaS

Все исследованные CPaaS в некоторой степени полагаются на крупных поставщиков общедоступных облаков.Twilio и Messagebird не имели многооблачной архитектуры, а IP-адреса указывали только на одного крупного поставщика облачной платформы. Voximplant уникален тем, что использует несколько поставщиков общедоступного облака. Кроме того, Voximplant также использует несколько независимых центров обработки данных, что придает ему наибольшее разнообразие.

Сетевой подход Voximplant

Voximplant на раннем этапе начала строить свою сеть, используя мультиоблачный подход. Поскольку ее клиентам требовалось более широкое покрытие, а компания вышла на мировой рынок, было относительно легко расширить эту инфраструктуру для различных поставщиков облачных услуг и независимых центров обработки данных.В результате Voximplant не ограничивается местоположениями, предлагаемыми крупными поставщиками облачных услуг, такими как Amazon Web Services. Это имеет дополнительное преимущество, заключающееся в том, что он может очень гибко добавлять новые местоположения центров обработки данных для уникальных требований клиентов или там, где этого требует производительность. Multicloud также позволяет нам обеспечивать лучшую избыточность, не полагаясь на одного поставщика облачных вычислений. Наконец, этот разнообразный набор инфраструктуры также обеспечивает прочную основу для требований суверенитета данных.

В будущем Voximplant продолжит предлагать разнообразную мультиоблачную среду.Некоторые поставщики центров обработки данных могут быть объединены для снижения затрат и оптимизации операций. В то же время мы ожидаем, что продолжим добавлять новые центры обработки данных, которые улучшат производительность и помогут нашим клиентам соблюдать нормативные требования.

Обязательно используйте наш getMediaResources API для получения последнего списка IP-адресов по типам. Конечно, вы всегда можете связаться с Voximplant для получения дополнительной информации и рекомендаций!

Методология

CPaaS должен совместно использовать информацию о своем IP-адресе, чтобы брандмауэры можно было запрограммировать для разрешения трафика от CPaaS.Инструменты поиска IP-адреса могут использоваться для определения поставщика центра обработки данных и общего географического местоположения, где находится этот IP-адрес.

ipapi использовался для выполнения анализа обратного поиска IP. По возможности использовались только IP-адреса, связанные с обработкой мультимедиа, то есть RTP, поскольку они наиболее чувствительны к требованиям к задержке и надежности. В большинстве случаев не было явных расхождений между центрами обработки данных, используемыми для передачи сигналов, и носителями.

ipapi возвращает страну, город, регион и организацию для каждого IP-адреса.Org используется для определения значений поставщиков DC. Поля org и region были объединены, чтобы определить уникальные регионы центра обработки данных (DC Regions) для сравнения. В случаях, когда был предоставлен блок IP-адресов, в этом блоке анализировался единственный IP-адрес.

Полный анализ можно найти здесь. См. Ниже подробные сведения о том, как были получены IP-адреса для каждого поставщика CPaaS.

Voximplant

Все IP-адреса Voximplant доступны через API getMediaResources.Как отмечалось выше, основное внимание уделялось конечным точкам обработки мультимедиа, поэтому был использован следующий URL:

http://api.voximplant.com/getMediaResources?with_mediaservers&with_sbcs для окончательного анализа.

Twilio

Twilio публично перечисляет свои регионы обслуживания здесь. Следующие ссылки были использованы для агрегирования информации об этом IP-адресе:

https://www.twilio.com/docs/video/ip-addresses#media-servers

https://www.twilio.com/docs/stun-turn/regions

https: // www.twilio.com/docs/sip-trunking/ip-addresses

https://www.twilio.com/docs/voice/api/sip-interface#ip-addresses

Vonage перечисляет здесь IP-адреса для SIP-адресов Nexmo. Vonage использует разные IP-адреса для Tokbox, своего API видеозвонков. Vonage перечисляет здесь местоположения Tokbox, но список IP-адресов доступен только для пользователей Tokbox с планом Enterprise. Поскольку эти данные не были полностью доступны для проверки и эта инфраструктура используется только для более ограниченного набора услуг, конкретные местоположения Tokbox были исключены.

MessageBird

MessageBird перечисляет здесь информацию о своем IP-адресе. Для анализа использовалась информация о SIP RTP-серверах.

Сравнение численных методов для обыкновенных дифференциальных уравнений в JSTOR

Численные методы для систем обыкновенных дифференциальных уравнений первого порядка проверены на множестве начальных задач.Методы сравниваются в первую очередь с точки зрения того, насколько хорошо они справляются с относительно рутинными этапами интеграции при различных требованиях к точности, а не с точки зрения того, насколько хорошо они справляются с трудностями, вызванными неоднородностями, жесткостью, округлением или началом работы. Согласно критериям, включающим количество оценок функций, накладные расходы и надежность, лучший универсальный метод, если оценка функций не требует больших затрат, — это метод, предложенный Булиршем и Стоером. Однако, когда вычисления функций относительно дороги, лучше всего подходят методы переменного порядка, основанные на формулах Адамса.Накладные расходы ниже для метода Булирша и Стера, но методы Адамса требуют значительно меньшего количества вычислений функций. Реализация Крогом метода Адамса переменного порядка — лучшая из протестированных, но и метод, созданный Гиром, тоже очень хорош. В общем, методы Рунге-Кутты неконкурентоспособны, но методы четвертого или пятого порядка этого типа лучше всего подходят для ограниченных классов задач, в которых вычисления функций не очень дороги, а требования к точности не очень строгие.Проблемы, методы и критерии сравнения указаны очень тщательно. Одна из целей при этом — обеспечить строгую концептуальную основу для сравнения методов. Другой — предоставить полезный стандарт для таких сравнений. Программа под названием DETEST используется для получения соответствующей статистики для любого конкретного метода.

«Общество промышленной и прикладной математики является ведущим международная ассоциация прикладной математики и ее публикации мог бы стать ядром адекватного собрания по математике.Один из Целями этой организации является обеспечение обмена информацией между университет и промышленность стали более гладкими. Он превосходно выполняет эту задачу и многие из ведущих академических институтов мира являются его членами ». — Журналы для библиотек, восьмое издание, 1995, Р. Р. Боукер, Нью-Провиденс, Нью-Джерси Общество промышленной и прикладной математики (SIAM), штаб-квартира в Филадельфии, была основана в 1951 году для продвижения применения математики в науку и промышленность, продвигать математические исследования и предоставлять средства массовой информации для обмена информацией и идеями между математики, инженеры и ученые.SIAM имеет обширную программу публикаций в прикладных и вычислительных математика, в том числе 11 престижных исследовательских журналов. Для полного описание наших журналов и недавно анонсированных SIAM Journals Online, доступ http://www.siam.org/.

Анализируйте записи данных межсетевого экрана Firepower для эффективного устранения сетевых проблем

Введение

В этом документе описываются различные методы анализа перехвата пакетов, направленные на эффективное устранение неполадок в сети.Все сценарии, представленные в этом документе, основаны на реальных пользовательских случаях, замеченных в Центре технической поддержки Cisco (TAC). Документ охватывает захват пакетов с точки зрения межсетевого экрана Cisco следующего поколения (NGFW), но те же концепции применимы и к другим типам устройств.

Предварительные требования

Требования

Cisco рекомендует ознакомиться со следующими темами:

• Архитектура платформы Firepower
• Журналы NGFW
• Трассировщик пакетов NGFW

Кроме того, перед началом анализа перехвата пакетов настоятельно рекомендуется выполнить следующие требования:

• Знать работу протокола — Бесполезно начинать проверку захвата пакета, если вы не понимаете, как работает захваченный протокол
• Знать топологию — Вы должны знать транзитные устройства.В идеале сквозной. Если это невозможно, вы должны, по крайней мере, знать восходящие и нисходящие устройства
.
• Знать устройство — Вы должны знать, как ваше устройство обрабатывает пакеты, каковы задействованные интерфейсы (например, вход / выход), какова архитектура устройства и каковы различные точки захвата
• Знать конфигурацию — Вы должны знать, как устройство должно обрабатывать поток пакетов с точки зрения:
  • Интерфейс маршрутизации / выхода
  • Применяемые политики
  • Преобразование сетевых адресов (NAT)
• Знайте доступные инструменты — Наряду с захватами рекомендуется также быть готовым к применению других инструментов и методов устранения неполадок, таких как ведение журнала и трассировщики, и, при необходимости, сопоставить их с захваченными пакетами

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

• Большинство сценариев основано на FP4140 с программным обеспечением FTD 6.5.x.
• FMC с программным обеспечением 6.5.x.

Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Справочная информация

Захват пакетов — один из наиболее часто игнорируемых инструментов устранения неполадок, доступных сегодня. Центр технической поддержки Cisco TAC ежедневно решает множество проблем клиентов путем анализа собранных данных.Цель этого документа — помочь сетевым инженерам и специалистам по безопасности выявлять и устранять распространенные сетевые проблемы, в основном на основе анализа перехвата пакетов.

Как собирать и экспортировать снимки по семейству продуктов NGFW?

В случае устройства Firepower (1xxx, 21xx, 41xx, 93xx) и приложения Firepower Threat Defense (FTD) обработка пакетов может быть визуализирована, как показано на изображении.

1. Пакет поступает на входящий интерфейс и обрабатывается внутренним коммутатором шасси.
2. Пакет поступает в механизм FTD Lina, который в основном выполняет проверки L3 / L4.
3. Если политика требует, пакет проверяется механизмом Snort (в основном проверка L7).
4. Механизм Snort возвращает вердикт для пакета.
5. Механизм LINA отбрасывает или пересылает пакет на основе вердикта Snort.
6. Пакет выходит на шасси через внутренний коммутатор шасси.

В зависимости от показанной архитектуры захваты FTD могут выполняться в 3 разных местах:

• FXOS
• FTD Lina двигатель
Двигатель
• FTD Snort

Процесс описан в этом документе:

https: // www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos271/web-guide/b_GUI_FXOS_ConfigGuide_271/troubleshooting.html#concept_E8823CC63C934A909BBC0DF12F301DED 9000

захвата FXOS могут быть сделаны только во входном направлении с точки зрения внутреннего коммутатора, как показано на изображении здесь.

Как показано на изображении, это две точки захвата в каждом направлении (из-за внутренней архитектуры коммутатора).

Перехваченные пакеты в точках 2, 3 и 4 имеют виртуальный сетевой тег (VNTag).

Примечание : Захваты на уровне шасси FXOS доступны только на платформах FP41xx и FP93xx. FP1xxx и FP21xx не предоставляют такой возможности.

Основные точки захвата:

• Входящий интерфейс
• Выходной интерфейс
• Ускоренный путь безопасности (ASP)

Вы можете использовать либо пользовательский интерфейс Центра управления огневой мощью (FMC UI), либо FTD CLI, чтобы включить и собрать захваты FTD Lina.

Включить захват из CLI на интерфейсе INSIDE:

 firepower #  захват интерфейса CAPI ВНУТРИ соответствие хосту icmp 192.168.103.1 хост 192.168.101.1  

Этот захват соответствует трафику между IP-адресами 192.168.103.1 и 192.168.101.1 в обоих направлениях.

Включите захват ASP, чтобы увидеть все пакеты, отброшенные механизмом FTD Lina:

 огневая мощь #  захват ASP тип asp-drop all  

Экспорт захвата FTD Lina на FTP-сервер:

 firepower #  copy / pcap capture: CAPI ftp: // ftp_username: ftp_password @ 192.168.78.73 / CAPI.pcap  

Экспорт захвата FTD Lina на сервер TFTP:

 firepower #  copy / pcap capture: CAPI tftp: //192.168.78.73  

Начиная с версии FMC 6.2.x, вы можете включать и собирать захваты FTD Lina из пользовательского интерфейса FMC.

Другой способ сбора перехватов FTD от межсетевого экрана, управляемого FMC, — это.

Шаг 1

В случае захвата LINA или ASP скопируйте захват на диск FTD, например.

 firepower #  copy / pcap capture: capin disk0: capin.pcap 

Имя захвата источника [capin]?

Целевое имя файла [capin.pcap]?
!!!!
 

Шаг 2

Перейдите в экспертный режим, найдите сохраненный снимок и скопируйте его в / ngfw / var / common location:

 огневая мощь #

Консольное соединение отключено.

>  эксперт
  admin @ firepower: ~ $  sudo su 
Пароль:
корень @ огневая мощь: / home / admin #  cd / mnt / disk0 
root @ firepower: / mnt / disk0 #  ls -al | grep pcap 
-rwxr-xr-x 1 корень root 24 апр 26 18:19 CAPI.pcap
-rwxr-xr-x 1 корневой корень 30110 8 апреля 14:10  capin.pcap 
-rwxr-xr-x 1 корневой корень 6123 8 апр, 14:11 capin2.pcap
корень @ огневая мощь: / mnt / disk0 #  cp capin.pcap / ngfw / var / common
  

Шаг 3

Войдите в FMC, который управляет FTD, и перейдите к Devices> Device Management. Найдите устройство FTD и выберите значок Устранение неполадок значок:

Шаг 4

Выберите Расширенный поиск и устранение неисправностей:

Укажите имя файла захвата и выберите Загрузить:

Дополнительные примеры включения / сбора снимков из пользовательского интерфейса FMC см. В этом документе:

https: // www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Точка захвата показана на изображении здесь.

Включить захват уровня Snort:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Опции:  -n хост 192.168.101.1
  

Чтобы записать захват в файл с именем capture.pcap и скопировать его через FTP на удаленный сервер:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Параметры:  -w capture.pcap host 192.168.101.1 
   CTRL + C <- для остановки захвата  
 
>  копия файла 10.229.22.136 ftp / capture.pcap 
Введите пароль для [email protected]:
Копирование capture.pcap
Копирование выполнено успешно.

> 

Для получения дополнительных примеров захвата уровня Snort, которые включают различные фильтры захвата, проверьте этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Топология показана на изображении здесь:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA:

 firepower #  capture CAPI int INSIDE match ip host 192.168.0.100 host 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

захвата — функциональный сценарий:

В качестве основы всегда очень полезно иметь захваты из функционального сценария.

Захват, сделанный на интерфейсе NGFW INSIDE, как показано на изображении:

Ключевые точки:

1. TCP 3-стороннее рукопожатие.
2. Двунаправленный обмен данными.
3. Нет задержек между пакетами (в зависимости от разницы во времени между пакетами)
4. MAC-адрес источника — это правильное нисходящее устройство.

Захват, сделанный на ВНЕШНЕМ интерфейсе NGFW, показан на изображении здесь:

Ключевые точки:

1. Те же данные, что и в захвате CAPI.
2. MAC-адрес назначения — это правильное восходящее устройство.

Захваты — нефункциональный сценарий

Из интерфейса командной строки устройства снимки выглядят следующим образом:

 огневая мощь #  показать захват 
захват интерфейса необработанных данных типа CAPI INSIDE  [захват - 484 байта] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ  [захват - 0 байт] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
 

Содержимое CAPI:

 огневая мощь #  показать захват CAPI 

Захвачено 6 пакетов

   1: 11:47:46.
2 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
   2: 11: 47: 47.161902 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
   3: 11: 47: 49.3 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
   4: 11: 47: 50.162757 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
   5: 11: 47: 55.0 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
   6: 11: 47: 56.164710 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
 
 огневая мощь #  показать захват CAPO 

  0 пакетов захвачено 

Показано 0 пакетов
 
 Это образ захвата CAPI в Wireshark:
  
 Ключевые точки:
 Видны только TCP SYN-пакеты (без трехстороннего подтверждения TCP).
 Невозможно установить 2 сеанса TCP (порт источника 3171 и 3172). Исходный клиент повторно отправляет пакеты TCP SYN. Эти повторно переданные пакеты идентифицируются Wireshark как повторные передачи TCP.
 Повторные передачи TCP происходят каждые ~ 3, затем 6 и т.д. секунд
 MAC-адрес источника получен от правильного нисходящего устройства.
 На основании 2 отловов можно сделать вывод, что:
 Пакет из пяти кортежей (src / dst IP, src / dst порт, протокол) поступает на межсетевой экран на ожидаемом интерфейсе (INSIDE).
 Пакет не покидает межсетевой экран на ожидаемом интерфейсе (ВНЕШНИЙ).
 Рекомендуемые действия 
 Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Проверьте трассировку эмулируемого пакета.
 Используйте средство отслеживания пакетов, чтобы увидеть, как пакет должен обрабатываться межсетевым экраном. В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка эмулированного пакета выглядит примерно так:
 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 11111 10.10.1.100 80 

Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: МАРШРУТ-ПРОСМОТР
Подтип: Resolve Egress Interface 
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA
  
 Действие 2.Проверьте следы живых пакетов.
 Включите трассировку пакетов, чтобы проверить, как настоящие пакеты TCP SYN обрабатываются межсетевым экраном. По умолчанию отслеживаются только первые 50 входящих пакетов:
 огневая мощь #  захват трассировки CAPI  
 Очистить буфер захвата:
 огневая мощь #  четкий захват / все  
 
 В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка выглядит примерно так:
 firepower #  show capture CAPI packet-number 1 trace
 
Захвачено 6 пакетов

   1: 12:45:36.279740 192.168.0.100.3630> 10.10.1.100.80: S 2322685377: 2322685377 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, Расположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA 

Показан 1 пакет
 
 Действие 3.Проверьте логи FTD Lina.
 Чтобы настроить системный журнал на FTD через FMC, проверьте этот документ:
 https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200479-Configure-Logging-on-FTD-via-FMC.html
 Настоятельно рекомендуется настроить внешний сервер системного журнала для журналов FTD Lina. Если удаленный сервер системного журнала не настроен, включите локальные буферные журналы на брандмауэре во время устранения неполадок. Конфигурация журнала, показанная в этом примере, является хорошей отправной точкой:
 огневая мощь #  показать журнал пробега 
…
ведение журнала включить
отметка времени регистрации
размер буфера регистрации 1000000
логирование буферизованной информации
 
 
 Установите пейджер терминала на 24 линии для управления пейджером терминала:
 firepower #  терминал пейджер 24  
 
 Очистить буфер захвата:
 firepower #  очистить буфер регистрации  
 Протестируйте соединение и проверьте журналы с помощью фильтра синтаксического анализатора.В этом примере пакеты отбрасываются политикой доступа брандмауэра:
 огневая мощь №  показать лесозаготовку | включает 10.10.1.100 
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3696 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100 / 3696 dst ВНЕШНИЙ: 10.10.1.100/80 по группе доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
 
 Действие 4. Проверьте отбрасывание ASP межсетевого экрана.
 Если вы подозреваете, что пакет отброшен брандмауэром, вы можете увидеть счетчики всех пакетов, отброшенных брандмауэром на программном уровне:
 огневая мощь #  показать asp drop 

Падение кадра:
  Нет маршрута к хосту (нет маршрута) 234
  Поток запрещен настроенным правилом (acl-drop) 71

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15

Падение потока:

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15
 
 Вы можете включить записи, чтобы увидеть все падения уровня программного обеспечения ASP:
 firepower #  захват ASP тип asp-drop весь буфер 33554432 только заголовки  
  Подсказка : Если вас не интересует содержимое пакета, вы можете захватить только заголовки пакета (опция только заголовков).Это позволяет захватывать гораздо больше пакетов в буфер захвата. Кроме того, вы можете увеличить размер буфера захвата (по умолчанию 500 Кбайт) до 32 Мбайт (опция буфера). Наконец, начиная с FTD версии 6.3, опция размера файла позволяет вам конфигурировать файл захвата размером до 10 ГБ. В этом случае вы можете видеть только захваченное содержимое в формате pcap.
 Чтобы проверить содержимое захвата, вы можете использовать фильтр, чтобы сузить область поиска:
 огневой мощи #  показать захват ASP | включить 10.10.1.100 
  18: 07: 51: 57.823672 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  19: 07: 51: 58.074291 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  26: 07: 52: 00.830370 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  29: 07: 52: 01.080394 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  45: 07: 52: 06.824282 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  46: 07: 52: 07.074230 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
 
 В этом случае, поскольку пакеты уже отслеживаются на уровне интерфейса, причина отбрасывания не упоминается в захвате ASP.Помните, что пакет можно отследить только в одном месте (входящий интерфейс или отбрасывание ASP). В этом случае рекомендуется выполнить несколько сбросов ASP и установить конкретную причину сброса ASP. Вот рекомендуемый подход:
 1. Очистить текущие счетчики отбрасывания ASP:
 firepower #  clear asp drop  
 2. Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).
 3. Еще раз проверьте счетчики сбросов ASP и отметьте увеличенные значения, например.г.
 огневая мощь #  показать asp drop 
Падение кадра:
  Нет маршрута к хосту ( нет маршрута ) 234
  Поток запрещен настроенным правилом ( acl-drop ) 71
 
 
 4. Включите захват ASP для определенных видимых отбрасываний:
 огневая мощь #  захват ASP_NO_ROUTE тип asp-drop no-route 
firepower #  захват ASP_ACL_DROP тип asp-drop acl-drop
  
 5.Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).
 6. Проверьте захваты ASP. В этом случае пакеты были сброшены из-за отсутствия маршрута:
 огневая мощь #  показать захват ASP_NO_ROUTE | включают 192.168.0.100. * 10.10.1.100 
  93: 07: 53: 52.381663 192.168.0.100.12417> 10.10.1.100.80: S 34515: 34515 (0) win 8192 
  95: 07: 53: 52.632337 192.168.0.100.12418> 10.10.1.100.80: S 16
448: 16
448 (0) win 8192 
 101: 07:53:55.375392 192.168.0.100.12417> 10.10.1.100.80: S 34515: 34515 (0) win 8192 
 102: 07: 53: 55.626386 192.168.0.100.12418> 10.10.1.100.80: S 16
448: 16
448 (0) win 8192 
 116: 07: 54: 01.376231 192.168.0.100.12417> 10.10.1.100.80: S 34515: 34515 (0) выигрыш 8192 
 117: 07: 54: 01.626310 192.168.0.100.12418> 10.10.1.100.80: S 16
448: 16
448 (0) win 8192 
 
 Действие 5.Проверьте таблицу соединений FTD Lina.
 Могут быть случаи, когда вы ожидаете, что пакет будет исходить через интерфейс «X», но по каким-либо причинам он выходит за пределы интерфейса «Y». Определение выходного интерфейса межсетевого экрана основано на следующем порядке работы:
 Поиск установленного соединения
 Поиск трансляции сетевых адресов (NAT) - этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
 Маршрутизация на основе политик (PBR)
 Поиск в таблице маршрутизации
 Для проверки таблицы соединений FTD:
 firepower #  показать conn 
2 используются, 4 наиболее часто используются
Осмотрите Snort:
        preserve-connection: 2 включено, 0 активно, 4 наиболее активно, 0 наиболее активно

TCP  DMZ  10.10.1.100:  80   INSIDE  192.168.0.100:  11694 , простоя 0:00:01, байты 0, флаги  aA N1 
TCP  DMZ  10.10.1.100:80  INSIDE  192.168.0.100:  11693 , режим ожидания 0:00:01, байты 0, флаги  aA N1
  
 Ключевые точки:
 На основании флагов (Aa) соединение находится в зачаточном состоянии (полуоткрытое - межсетевой экран видел только TCP SYN).
 В зависимости от портов источника / назначения входной интерфейс - ВНУТРЕННИЙ, а выходной интерфейс - DMZ.
 Это можно визуализировать на изображении здесь:
  Примечание : Поскольку все интерфейсы FTD имеют уровень безопасности 0, порядок интерфейсов в выводе  show conn  основан на номере интерфейса. В частности, интерфейс с более высоким vpif-num (номер интерфейса виртуальной платформы) выбирается как внутренний, а интерфейс с меньшим vpif-num выбирается как внешний. Вы можете увидеть значение vpif интерфейса с помощью команды  show interface detail .Связанное усовершенствование, CSCvi15290 ENH: FTD должен показывать направленность соединения в выводе FTD 'show conn'
 огневая мощь #  показать детали интерфейса | i Номер интерфейса: | Интерфейс [P | E]. * is up 
...
Интерфейс Ethernet1 / 2 "INSIDE", включен, протокол линии включен
        Номер интерфейса  19 
Интерфейс Ethernet1 / 3.202 "OUTSIDE", включен, протокол линии включен
        Номер интерфейса  20 
Интерфейс Ethernet1 / 3.203 "DMZ", включен, протокол линии включен
        Номер интерфейса  22  
  Примечание : Начиная с версии программного обеспечения Firepower 6.5, выпуск 9.13.x ASA, выходные данные команд show conn long и show conn detail предоставляют информацию об инициаторе соединения и ответчике
 Выход 1:
 огневая мощь #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 (192.168.2.200/80) ВНУТРИ: 192.168.1.100/46050 (192.168.1.100/46050), флаги aA N1, простоя 3 секунды, время безотказной работы 6 секунд, таймаут 30 секунд, байты 0
    Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 
 Выход 2:
 огневая мощь #  показать деталь коннектора 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 ВНУТРИ: 192.168.1.100/46050,
    флаги aA N1, простоя 4 с, время безотказной работы 11 с, тайм-аут 30 с, байты 0
    Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 
 Кроме того,  show conn long  отображает IP-адреса с NAT в круглых скобках в случае преобразования сетевых адресов:
 огневая мощь #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.222/80 (192.168.2.222/80) ВНУТРИ: 192.168.1.100/34792 ( 192.168.2.150 /34792), флаги aA N1, idle 0s, uptime 0s, timeout 30s, байты 0, xlate id 0x2b5a8a4314c0
  Инициатор: 192.168.1.100, Ответчик: 192.168.2.222
  Идентификатор ключа поиска соединения: 262895
 
 Действие 6. Проверьте кэш протокола разрешения адресов (ARP) межсетевого экрана.
 Если межсетевой экран не может разрешить следующий переход, межсетевой экран автоматически отбрасывает исходный пакет (в данном случае TCP SYN) и непрерывно отправляет запросы ARP, пока не разрешит следующий переход.
 Чтобы увидеть кеш ARP брандмауэра, используйте команду:
 огневая мощь #  показать arp  
 Дополнительно, чтобы проверить наличие неразрешенных хостов, вы можете использовать команду:
 firepower #  показать статистику arp 
        Количество записей ARP в ASA: 0

        Выпало блоков в ARP: 84
        Максимальное количество блоков в очереди: 3
        Блоки в очереди: 0
        Получено ARP-сообщений о конфликте интерфейсов: 0
        ARP-защита Отправлено бесплатных ARPS: 0
        Общее количество попыток ARP:  182 <указывает на возможную проблему для некоторых хостов 
        Неразрешенные хосты:  1   <текущий статус 
        Максимальное количество неразрешенных хостов: 2
 
 Если вы хотите дополнительно проверить работу ARP, вы можете включить захват, специфичный для ARP:
 firepower #  захват ARP интерфейс ARP Ethernet-типа ВНЕШНИЙ 
огневая мощь #  показать захват ARP 
...
   4: 07: 15: 16.877914 802.1Q vlan # 202 P0 arp  у кого есть 192.168.2.72 сказать 192.168.2.50 
   5: 07: 15: 18.020033 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 сказать 192.168.2.50
 
 В этих выходных данных межсетевой экран (192.168.2.50) пытается разрешить следующий переход (192.168.2.72), но нет ответа ARP
 Выходные данные здесь показывают функциональный сценарий с правильным разрешением ARP:
 огневая мощь #  показать захват ARP 

2 пакета захвачены

   1: 07:17:19.495595 802.1Q vlan # 202 P0  arp у кого есть 192.168.2.72 скажите 192.168.2.50 
   2: 07: 17: 19.495946 802.1Q vlan # 202 P0  ответ arp 192.168.2.72 is-at 4c: 4e: 35: fc: fc: d8 
Показано 2 пакета
 
 огневая мощь #  показать arp 
        ВНУТРИ 192.168.1.71 4c4e.35fc.fcd8 9
        ВНЕШНИЙ 192.168.2.72 4c4e.35fc.fcd8 9
 
 В случае отсутствия записи ARP, трассировка активного пакета TCP SYN показывает:
 firepower #  show capture CAPI packet-number 1 trace 

Захвачено 6 пакетов

   1: 07:03:43.270585  192.168.0.100.11997> 10.10.1.100.80 : S 4023707145: 4023707145 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: ROUTE-LOOKUP 
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE 
…
Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4814, пакет отправлен в следующий модуль
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  обнаружил следующий переход 192.168.2.72 с использованием исходящего ifc ВНЕШНЕЕ 

Результат:
  интерфейс ввода: INSIDE 
вход-статус: вверх
вход-линия-статус: вверх
  выходной интерфейс: ВНЕШНИЙ 
статус вывода: вверх
статус строки вывода: вверх
  Действие: разрешить
  
 Как видно из выходных данных, трассировка показывает действие : разрешить , даже если следующий прыжок недоступен, а пакет автоматически отбрасывается брандмауэром! В этом случае необходимо также проверить средство отслеживания пакетов, поскольку оно обеспечивает более точный вывод:
 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 1111 10.10.1.100 80
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE
…

Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4816, пакет отправлен следующему модулю
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (no-v4-смежность) Недопустимая смежность V4, Расположение отбрасывания: кадр 0x00005647a4e86109 поток (NA) / NA
  
 В последних версиях ASA / Firepower приведенное выше сообщение было оптимизировано до:
 Причина отбрасывания: (no-v4-смежность) Нет допустимой смежности V4.  Проверить таблицу ARP (показать arp) имеет запись для nexthop ., Место сдачи: f 
 Сводка возможных причин и рекомендуемых действий 
 Если вы видите только пакет TCP SYN на входных интерфейсах, но не пакет TCP SYN, отправленный из ожидаемого выходного интерфейса, возможны следующие причины:
  Возможная причина 
  Рекомендуемые действия 
 Пакет отброшен политикой доступа межсетевого экрана.
 Используйте трассировщик пакетов   или захват  с трассировкой , чтобы узнать, как брандмауэр обрабатывает пакет.
 Проверьте журналы брандмауэра.
 Проверьте брандмауэр. ASP отбрасывает  (покажите asp drop  или  захват типа asp-drop). 
 Проверьте события подключения FMC. Это предполагает, что в правиле включено ведение журнала.
 Неправильный фильтр захвата.
 Используйте трассировщик пакетов   или захват  с трассировкой , чтобы узнать, есть ли трансляция NAT, которая изменяет исходный или целевой IP.В этом случае настройте фильтр захвата.
  В выходных данных команды show conn long  отображаются IP-адреса с NAT.
 Пакет отправляется на другой выходной интерфейс.
 Используйте трассировщик пакетов   или захват  с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет. Помните порядок операций, касающихся определения выходного интерфейса, существующего соединения, UN-NAT, PBR и поиска в таблице маршрутизации.
 Проверьте журналы брандмауэра.
 Проверьте таблицу соединений брандмауэра ( show conn ).
 Если пакет отправлен на неправильный интерфейс, потому что он соответствует существующему соединению, используйте команду  clear conn   address  и укажите 5-кортеж соединения, которое вы хотите очистить.
 Нет маршрута к пункту назначения.
 Используйте трассировщик пакетов   или захват  с трассировкой , чтобы узнать, как брандмауэр обрабатывает пакет.
 Проверьте, что брандмауэр отбрасывает ASP  (показать asp drop)  для  no-route  причина отбрасывания.
 На исходящем интерфейсе нет записи ARP.
 Проверьте кэш ARP брандмауэра ( покажите arp ).
 Используйте трассировщик пакетов  , чтобы узнать, существует ли допустимая смежность.
 Выходной интерфейс не работает.
 Проверьте выходные данные команды  show interface iprief  на брандмауэре и проверьте состояние интерфейса.
 Случай 2. TCP SYN от клиента, TCP RST от сервера 
 На этом изображении показана топология:
 Описание проблемы: HTTP не работает
 Затронутый поток:
 Src IP: 192.168.0.100
 Dst IP: 10.10.1.100
 Протокол: TCP 80
  Анализ захвата  
 Включите захват на движке FTD LINA.
 firepower #  capture CAPI int INSIDE match ip host 192.168.0.100 хост 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  
 Захваты - нефункциональный сценарий:
 Из интерфейса командной строки устройства захваты выглядят следующим образом:
 огневая мощь #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват -  834 байта ]
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват -  878 байт ]
  сопоставьте ip host 192.168.0.100 хост 10.10.1.100
 
 Содержимое CAPI:
 огневая мощь #  показать захват CAPI 
   1: 05: 20: 36.654217 192.168.0.100.22195> 10.10.1.100.80:  S  1397289928: 1397289928 (0) win 8192 
   2: 05: 20: 36.1 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
   3: 05: 20: 36. 
3 10.10.1.100.80> 192.168.0.100.22196: 
  R  1850052503: 1850052503 (0) ack 2171673259 win 0
   4: 05:20:37.414132 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
   5: 05: 20: 37.414803 10.10.1.100.80> 192.168.0.100.22196:  R  31997177: 31997177 (0) ack 2171673259 win 0
   6: 05: 20: 37.
3 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
...
 
 Состав CAPO:
 огневая мощь #  показать захват CAPO 
   1: 05:20:36.654507 802.1Q vlan # 202 P0 192.168.0.100.22195> 10.10.1.100.80:  S  2866789268: 2866789268 (0) win 8192 
   2: 05: 20: 36.8 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4785344: 4785344 (0) win 8192 
   3: 05: 20: 36.
7 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4785345 win 0
4: 05: 20: 37.414269 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4235354730: 4235354730 (0) win 8192 
5: 05: 20: 37.414758 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4235354731 win 0
6: 05: 20: 37.5 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4118617832: 4118617832 (0) win 8192 
 На этом изображении показан захват CAPI в Wireshark.
 Ключевые точки:
 Источник отправляет пакет TCP SYN.
 Источнику отправлено TCP RST.
 Источник повторно передает пакеты TCP SYN.
 MAC-адреса верны (для входящих пакетов MAC-адрес источника принадлежит нисходящему маршрутизатору, MAC-адрес назначения принадлежит интерфейсу INSIDE межсетевого экрана).
 На этом изображении показан захват CAPO в Wireshark:
  
 Ключевые точки:
 Источник отправляет пакет TCP SYN.
 TCP RST поступает на ВНЕШНИЙ интерфейс.
 Источник повторно передает пакеты TCP SYN.
 MAC-адреса верны (для исходящих пакетов брандмауэр OUTSIDE - это MAC-адрес источника, восходящий маршрутизатор - MAC-адрес назначения).
 На основании 2 отловов можно сделать вывод, что:
 Трехстороннее установление связи TCP между клиентом и сервером не завершается
 Имеется TCP RST, который поступает на выходной интерфейс межсетевого экрана.
 Межсетевой экран «общается» с соответствующими устройствами восходящего и нисходящего потоков (на основе MAC-адресов)
 Рекомендуемые действия 
 Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Проверьте исходный MAC-адрес, который отправляет TCP RST.
 Убедитесь, что MAC-адрес назначения в пакете TCP SYN совпадает с MAC-адресом источника в пакете TCP RST.
 Эта проверка имеет целью подтвердить 2 вещи:
 Убедитесь, что нет асимметричного потока.
 Убедитесь, что MAC принадлежит ожидаемому восходящему устройству.
 Действие 2. Сравните входящие и исходящие пакеты.
 Визуально сравните 2 пакета в Wireshark, чтобы убедиться, что брандмауэр не изменяет / не повреждает пакеты.Выделены некоторые ожидаемые различия.
 Ключевые точки:
 Временные метки разные. С другой стороны, разница должна быть небольшой и разумной. Это зависит от функций и проверок политики, применяемых к пакету, а также от нагрузки на устройство.
 Длина пакетов может отличаться, особенно если брандмауэр добавляет / удаляет заголовок dot1Q только с одной стороны.
 MAC-адреса разные.
 Заголовок dot1Q может быть на месте, если захват был сделан на подинтерфейсе.
 IP-адрес (а) различаются, если к пакету применяется NAT или преобразование адресов порта (PAT).
 Порты источника и назначения различаются, если к пакету применяется NAT или PAT.
 Если вы отключите параметр Wireshark  Relative Sequence Number , вы увидите, что порядковые номера TCP / номера подтверждения изменены брандмауэром из-за рандомизации начального порядкового номера (ISN).
 Некоторые параметры TCP могут быть перезаписаны.Например, межсетевой экран по умолчанию изменяет максимальный размер сегмента TCP (MSS) на 1380, чтобы избежать фрагментации пакетов на пути передачи.
 Действие 3. Сделайте снимок в пункте назначения.
 Если возможно, сделайте снимок в самом пункте назначения. Если это невозможно, сделайте снимок как можно ближе к месту назначения. Цель здесь - проверить, кто отправляет TCP RST (целевой сервер или какое-то другое устройство на пути?).
 Корпус 3.Трехстороннее установление связи TCP + RST от одной конечной точки 
 На этом изображении показана топология:
  
 Описание проблемы: HTTP не работает
 Затронутый поток:
 Src IP: 192.168.0.100
 Dst IP: 10.10.1.100
 Протокол: TCP 80
 Анализ захвата 
 Включите захват на движке FTD LINA.
 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100
  firepower #  capture CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  
 Захваты - нефункциональный сценарий:
 Эта проблема может проявляться в захватах несколькими способами.
 3.1 - Трехстороннее установление связи TCP + отложенный RST от клиента 
 Оба перехвата межсетевого экрана CAPI и CAPO содержат одинаковые пакеты, как показано на изображении.
 Ключевые точки:
 Трехстороннее подтверждение TCP проходит через брандмауэр.
 Сервер повторно передает SYN / ACK.
 Клиент повторно передает ACK.
 Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
 Рекомендуемые действия 
 Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Сделайте снимки как можно ближе к двум конечным точкам.
 Записи брандмауэра показывают, что клиентский ACK не был обработан сервером. Это основано на следующих фактах:
 Сервер повторно передает SYN / ACK.
 Клиент повторно передает ACK.
 Клиент отправляет TCP RST или FIN / ACK перед любыми данными.
 Захват на сервере показывает проблему. Клиентский ACK из трехстороннего подтверждения TCP так и не поступил:
 3.2 - Трехстороннее подтверждение связи TCP + отложенный FIN / ACK от клиента + отложенный RST от сервера 
 Оба перехвата межсетевого экрана CAPI и CAPO содержат одинаковые пакеты, как показано на изображении.
 Ключевые точки:
 Трехстороннее подтверждение TCP проходит через брандмауэр.
 Через ~ 5 секунд клиент отправляет FIN / ACK.
 Через ~ 20 секунд сервер отказывается и отправляет TCP RST.
 На основании этого захвата можно сделать вывод, что, несмотря на трехстороннее установление связи TCP через брандмауэр, кажется, что оно никогда не завершается на одной конечной точке (повторные передачи указывают на это).
 Рекомендуемые действия 
 То же, что и в случае 3.1
 3.3 - Трехстороннее установление связи TCP + отложенный RST от клиента 
 Оба перехвата межсетевого экрана CAPI и CAPO содержат одинаковые пакеты, как показано на изображении.
 Ключевые точки:
 Трехстороннее подтверждение TCP проходит через брандмауэр.
 Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
 На основании этих снимков можно сделать вывод, что:
 Через 5-20 секунд одна конечная точка отказывается и решает разорвать соединение.
 Рекомендуемые действия 
 То же, что и в случае 3.1
 3.4 - Трехстороннее установление связи TCP + немедленное RST с сервера 
 Оба брандмауэра перехватывают эти пакеты, CAPI и CAPO содержат эти пакеты, как показано на изображении.
 Ключевые точки:
 Трехстороннее подтверждение TCP проходит через брандмауэр.
 Через несколько миллисекунд после пакета ACK от сервера идет TCP RST.
 Рекомендуемые действия 
 Действие: Делайте снимки как можно ближе к серверу.
 Немедленное TCP RST от сервера может указывать на неисправный сервер или устройство на пути, которое отправляет TCP RST. Сделайте снимок на самом сервере и определите источник TCP RST.
 Случай 4. TCP RST от клиента 
 На этом изображении показана топология:
 Описание проблемы: HTTP не работает.
 Затронутый поток:
 Src IP: 192.168.0.100
 Dst IP: 10.10.1.100
 Протокол: TCP 80
  Анализ захвата  
 Включить захват на движке FTD LINA.
 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  
 Захваты - нефункциональный сценарий:
 Это содержимое CAPI.
 огневая мощь #  показать захват CAPI 

14 пакетов захвачено

   1: 12: 32: 22.860627 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   2: 12: 32: 23.111307 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   3: 12: 32: 23.112390 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   4: 12: 32: 25.858109 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   5: 12: 32: 25.868698 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
   6: 12: 32: 26.108118 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   7: 12:32:26.109079 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэндов: 3000518858 (0) выигрыш 0
   8: 12: 32: 26.118295 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   9: 12: 32: 31.859925 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
  10: 12: 32: 31.860902 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  11: 12: 32: 31.875229 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  12: 12:32:32.140632 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
  13: 12: 32: 32.159995 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
  14: 12: 32: 32.160956 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
Показано 14 пакетов
 
 Это содержимое CAPO:
 огневая мощь #  показать захват CAPO 

Захвачено 11 пакетов

   1: 12: 32: 22.860780 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
   2: 12: 32: 23.111429 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3000518857: 3000518857 (0) win 8192 
   3: 12: 32: 23.112405 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 35140
: 35140
 (0) выигрыш 0
   4: 12: 32: 25.858125 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
   5: 12:32:25.868729 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 29688: 29688 (0) выигрыш 0
   6: 12: 32: 26.108240 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3822259745: 3822259745 (0) win 8192 
   7: 12: 32: 26.109094 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 40865466: 40865466 (0) выигрыш 0
   8: 12: 32: 31.860062 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 4294058752: 4294058752 (0) win 8192 
   9: 12:32:31.860917 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 1581733941: 1581733941 (0) выигрыш 0
  10: 12: 32: 32.160102 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 4284301197: 4284301197 (0) win 8192 
  11: 12: 32: 32.160971 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 502
8: 502
8 (0) выигрыш 0
Показано 11 пакетов
 
 Журналы брандмауэра показывают:
 firepower #  показать лог | я 47741 
13 октября 2019 13:57:36:% FTD-6-302013: Построено входящее TCP-соединение 4869 для INSIDE: 192.168.0.100 / 47741 (192.168.0.100/47741) ВНЕШНИЙ: 10.10.1.100/80 (10.10.1.100/80)
13 октября 2019 13:57:36:% FTD-6-302014: Разрыв TCP-соединения 4869 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O from ВНУТРИ 
13 октября 2019 13:57:39:% FTD-6-302013: Построено входящее TCP-соединение 4870 для INSIDE: 192.168.0.100/47741 (192.168.0.100/47741) для OUTSIDE: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:39:% FTD-6-302014: Разрыв TCP-соединения 4870 для INSIDE: 192.168.0.100 / 47741 к ВНЕШНЕМУ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O из ВНУТРИ 
13 октября 2019 г. 13:57:45:% FTD-6-302013: Построено входящее TCP-соединение 4871 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:45:% FTD-6-302014: Разрыв TCP-соединения 4871 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИ
 
 Эти журналы показывают, что существует TCP RST, который поступает на ВНУТРЕННИЙ интерфейс межсетевого экрана
 Захват CAPI в Wireshark:
 Следуйте первому потоку TCP, как показано на изображении.
 В разделе  Wireshark  перейдите к  Edit> Preferences> Protocols> TCP  и отмените выбор параметра  Relative sequence numbers , как показано на изображении.
 На этом изображении показано содержимое первого потока в захвате CAPI:
 Ключевые точки:
 Клиент отправляет пакет TCP SYN.
 Клиент отправляет пакет TCP RST.
 Пакет TCP SYN имеет значение порядкового номера, равное 4098574664.
 Тот же поток в захвате CAPO содержит:
 Ключевые точки:
 Клиент отправляет пакет TCP SYN. Брандмауэр рандомизирует ISN.
 Клиент отправляет пакет TCP RST.
 На основании двух отловов можно сделать вывод, что:
 Нет трехстороннего установления связи TCP между клиентом и сервером.
 Существует TCP RST, который исходит от клиента. Значение порядкового номера TCP RST в захвате CAPI - 1386249853.
 Рекомендуемые действия 
 Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Сделайте снимок на клиенте.
 На основе захватов, собранных на межсетевом экране, есть явное указание на асимметричный поток. Это основано на том факте, что клиент отправляет TCP RST со значением 1386249853 (рандомизированный ISN):
 Ключевые точки:
 Клиент отправляет пакет TCP SYN.Порядковый номер 4098574664 и такой же, как на ВНУТРЕННЕМ интерфейсе межсетевого экрана (CAPI)
.
 Имеется TCP SYN / ACK с номером ACK 1386249853 (что ожидается из-за рандомизации ISN). Этот пакет не был замечен в захватах брандмауэра
 Клиент отправляет TCP RST, поскольку он ожидал SYN / ACK со значением номера ACK 4098574665, но получил значение 1386249853
 Это можно представить как:
 Действие 2. Проверьте маршрутизацию между клиентом и межсетевым экраном.
 Подтвердите, что:
 MAC-адреса, отображаемые в захватах, являются ожидаемыми.
 Убедитесь, что маршрутизация между брандмауэром и клиентом симметрична.
 Существуют сценарии, в которых RST исходит от устройства, которое находится между брандмауэром и клиентом, в то время как во внутренней сети существует асимметричная маршрутизация. Типичный случай показан на изображении:
 В этом случае захват имеет это содержимое. Обратите внимание на разницу между MAC-адресом источника пакета TCP SYN и MAC-адресом источника TCP RST и MAC-адресом назначения пакета TCP SYN / ACK:
 огневая мощь #  показать захват CAPI деталь 
   1: 13:57:36.730217  4c4e.35fc.fcd8  00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47740> 10.10.1.100.80: S [tcp sum ok] 3045001876: 3045001876 (0) win 8192  (DF) (ttl 127, id 25661 )
   2: 13: 57: 36.981104 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47741> 10.10.1.100.80: S [tcp sum ok] 3809380540: 3809380540 (0) win 8192  (DF) (ttl 127, id 25662 )
   3: 13: 57: 36.981776 00be.75f6.1dae  a023.9f92.2a4d  0x0800 Длина: 66
      10.10.1.100.80> 192.168.0.100.47741: S [tcp sum ok] 1304153587: 1304153587 (0) ack 3809380541 win 8192  (DF) (ttl 127, id 23339)
   4: 13: 57: 36.982126  a023.9f92.2a4d  00be.75f6.1dae 0x0800 Длина: 54
      192.168.0.100.47741> 10.10.1.100.80:  R  [tcp sum ok] 3809380541: 3809380541 (0) ack 1304153588 win 8192 (ttl 255, id 48501)
...
 
 Случай 5. Медленная передача TCP (сценарий 1) 
 Описание проблемы:
 Передача SFTP между хостами 10.11.4.171 и 10.77.19.11 медленные. Хотя минимальная пропускная способность (BW) между двумя хостами составляет 100 Мбит / с, скорость передачи не превышает 5 Мбит / с.
 При этом скорость передачи между хостами 10.11.2.124 и 172.25.18.134 значительно выше.
 Теория предыстории:
 Максимальная скорость передачи для одного потока TCP определяется продуктом задержки полосы пропускания (BDP). Используемая формула показана на изображении:
 Более подробную информацию о BDP можно найти здесь:
 Сценарий 1.Медленная передача 
 На этом изображении показана топология:
 Затронутый поток:
 IP-адрес источника: 10.11.4.171
 Dst IP: 10.77.19.11
 Протокол: SFTP (FTP через SSH)
 Анализ захвата 
 Включить захваты на ядре FTD LINA:
 firepower #  capture CAPI int INSIDE buffer 33554432 match ip host 10.11.4.171 host 10.77.19.11 
firepower #  захват CAPO int OUTSIDE buffer 33554432 match ip host 10.11.4.171 хост 10.77.19.11
  
  Предупреждение : Захваты LINA на захватах FP1xxx и FP21xx влияют на скорость передачи трафика, проходящего через FTD. Не включайте перехваты LINA на платформах FP1xxx и FP21xxx при устранении проблем с производительностью (медленная передача через FTD). Вместо этого используйте SPAN или устройство HW Tap в дополнение к захватам на исходном и целевом хостах. Проблема задокументирована в CSCvo30697.
 firepower #  захват интерфейса трассировки необработанных данных типа CAPI внутри соответствует icmp любой любой 
ПРЕДУПРЕЖДЕНИЕ. Выполнение захвата пакетов может отрицательно сказаться на производительности.
 Рекомендуемые действия 
 Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
  Расчет времени туда и обратно (RTT) 
 Сначала определите поток передачи и следуйте ему:
 Измените представление Wireshark, чтобы отобразить  секунд с момента предыдущего отображаемого пакета . Это упрощает расчет RTT:
.
 RTT можно рассчитать, сложив значения времени между двумя пакетами обмена (один в направлении источника, а другой в направлении пункта назначения).В этом случае пакет № 2 показывает RTT между межсетевым экраном и устройством, которое отправило пакет SYN / ACK (сервер). Пакет № 3 показывает RTT между межсетевым экраном и устройством, отправившим пакет ACK (клиентом). Сложение двух чисел дает хорошую оценку сквозного RTT:
 RTT ≈ 80 мс
  Расчет размера окна TCP 
 Разверните пакет TCP, разверните заголовок TCP, выберите  Расчетный размер окна  и выберите  Применить как столбец: 
 Проверьте столбец  Расчетное значение размера окна , чтобы узнать, какое максимальное значение размера окна было во время сеанса TCP.Вы также можете выбрать имя столбца и отсортировать значения.
 Если вы тестируете загрузку файла (сервер > клиент ), вы должны проверить значения, объявленные сервером. Максимальное значение размера окна, объявленное сервером, определяет максимальную достигнутую скорость передачи.
 В данном случае размер окна TCP составляет ≈ 50000 байт
 Основываясь на этих значениях и используя формулу произведения на задержку полосы пропускания, вы получаете максимальную теоретическую полосу пропускания, которая может быть достигнута в этих условиях: 50000 * 8/0.0 = 1 (без масштабирования окон). Это отрицательно сказывается на скорости передачи:
 На этом этапе необходимо выполнить захват на сервере, подтвердить, что это тот, кто объявляет масштаб окна = 0, и перенастроить его (вам может потребоваться проверить документацию сервера, как это сделать).
 Сценарий 2. Быстрая передача 
 Теперь рассмотрим хороший сценарий (быстрая передача через ту же сеть):
 Топология:
 Поток интересов:
 Src IP: 10.11.2.124
 Dst IP: 172.25.18.134
 Протокол: SFTP (FTP через SSH)
 Включить захват на движке FTD LINA
 firepower #  Capture CAPI int INSIDE buffer 33554432 match ip host 10.11.2.124 host 172.25.18.134 
firepower #  захват CAPO int OUTSIDE buffer 33554432 сопоставление ip host 10.11.2.124 host 172.25.18.134
  
 Расчет времени кругового обхода (RTT): В этом случае RTT составляет ≈ 300 мсек.
 Расчет размера окна TCP: сервер объявляет коэффициент масштабирования окна TCP равный 7.
 Размер окна TCP сервера ≈ 1600000 Байт:
 На основе этих значений формула произведения на задержку полосы пропускания дает:
 1600000 * 8 / 0,3 = максимальная теоретическая скорость передачи 43 Мбит / с
 Случай 6. Медленная передача TCP (сценарий 2) 
 Описание проблемы: Передача (загрузка) файлов по FTP через брандмауэр происходит медленно.
 На этом изображении показана топология:
 Затронутый поток:
 Src IP: 192.168.2.220
 Dst IP: 192.168.1.220
 Протокол: FTP
 Анализ захвата 
 Включите захват на движке FTD LINA.
 firepower #  захват буфера необработанных данных типа CAPI 33554432 интерфейс INSIDE соответствие хоста tcp 192.168.2.220 хост 192.168.1.220 
firepower #  cap Буфер необработанных данных типа CAPO 33554432 интерфейс ВНЕШНЕЕ соответствие хоста tcp 192.168.2.220 хост 192.168.1.220
  
 Выберите пакет FTP-DATA и следуйте каналу данных FTP при захвате FTD INSIDE (CAPI):
 Содержимое потока FTP-DATA:
 Содержимое захвата CAPO:
 Ключевые точки:
 Есть пакеты TCP Out-Of-Order (OOO).
 Произошла повторная передача TCP.
 Имеется индикация потери пакета (отброшенные пакеты).
  Совет : Сохраните захваченные данные, когда вы перейдете к  Файл> Экспортировать указанные пакеты . Затем сохраните только  Отображаемый диапазон пакетов 
 Рекомендуемые действия 
 Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Определите место потери пакета.
 В подобных случаях необходимо выполнять одновременный захват и использовать методологию «разделяй и властвуй» для определения сегмента (ов) сети, вызывающего потерю пакетов. С точки зрения межсетевого экрана существует 3 основных сценария:
 Потеря пакета вызвана самим межсетевым экраном.
 Потеря пакета вызвана нисходящим потоком к устройству межсетевого экрана (направление от сервера к клиенту).
 Потеря пакета вызвана восходящим потоком к устройству межсетевого экрана (направление от клиента к серверу).
 Потеря пакетов, вызванная межсетевым экраном: Чтобы определить, вызвана ли потеря пакетов межсетевым экраном, необходимо сравнить входящий захват с исходящим захватом. Есть довольно много способов сравнить 2 разных снимка. В этом разделе показан один из способов решения этой задачи.
  Процедура сравнения 2 захватов для определения потери пакетов 
 Шаг 1. Убедитесь, что 2 захвата содержат пакеты из одного и того же временного окна. Это означает, что в одном захвате не должно быть пакетов, которые были захвачены до или после другого захвата.Есть несколько способов сделать это:
 Проверьте значения IP-идентификатора (ID) первого и последнего пакета.
 Проверить значения отметок времени первого и последнего пакета.
 В этом примере вы можете видеть, что первые пакеты каждого захвата имеют одинаковые значения IP ID:
 Если они не совпадают, то:
 Сравните временные метки первого пакета каждого захвата.
 Из захвата с последней отметкой времени получите фильтр, измените фильтр отметки времени с  ==  на > =  (первый пакет) и  <=  (последний пакет), т.е.г:
 (frame.time> = "16 октября 2019 г. 16: 13: 43.2446") && (frame.time <= "16 октября 2019 г. 16: 20: 21.785130000")
 3. Экспортируйте указанные пакеты в новый захват, выберите  Файл> Экспортировать указанные пакеты  и затем сохраните  Отображенные пакеты . На этом этапе оба захвата должны содержать пакеты, охватывающие одно и то же временное окно. Теперь вы можете начать сравнение двух снимков.
 Шаг 2. Укажите, какое поле пакета используется для сравнения двух захватов.Пример полей, которые можно использовать:
 Идентификация IP
 Порядковый номер RTP
 Порядковый номер ICMP
 Создайте текстовую версию каждого захвата, содержащую поле для каждого пакета, указанного на шаге 1. Для этого оставьте только интересующий столбец, например если вы хотите сравнить пакеты на основе IP-идентификации, измените захват, как показано на изображении.
 Результат:
 Шаг 3.Создайте текстовую версию захвата ( File> Export Packet Dissections> As Plain Text  ...), как показано на изображении:
 Снимите отметку с  I   nclude заголовков столбцов  и  Параметры пакета , чтобы экспортировать только значения отображаемого поля, как показано на изображении:
 Шаг 4. Отсортируйте пакеты в файлах. Для этого можно использовать команду Linux  sort :
 #  сортировать CAPI_IDs> file1.отсортировано 
#  sort CAPO_IDs> file2.sorted
  
  
  Шаг 5. Используйте инструмент сравнения текста (например, WinMerge) или команду Linux  diff , чтобы найти различия между двумя захватами.
 В этом случае захват CAPI и CAPO для трафика данных FTP идентичен. Это доказывает, что потеря пакетов не была вызвана межсетевым экраном.
 Определение потери пакетов в восходящем / нисходящем направлениях.
  
 Ключевые точки:
 1.Этот пакет является повторной передачей TCP. В частности, это пакет TCP SYN, отправленный от клиента к серверу для данных FTP в пассивном режиме. Поскольку клиент повторно отправляет пакет, и вы можете увидеть начальный SYN (пакет №1), пакет был потерян в восходящем направлении к межсетевому экрану.
 В этом случае может быть даже вероятность того, что пакет SYN добрался до сервера, но пакет SYN / ACK был потерян на обратном пути:
 2. Есть пакет от сервера, и Wireshark определил, что предыдущий сегмент не был замечен / захвачен.Поскольку незахваченный пакет был отправлен с сервера на клиент и не был замечен в захвате брандмауэра, это означает, что пакет был потерян между сервером и брандмауэром.
 Это указывает на потерю пакетов между FTP-сервером и межсетевым экраном.
 Действие 2. Сделайте дополнительные захваты.
 Делайте дополнительные захваты вместе с захватами на конечных точках. Попробуйте применить метод «разделяй и властвуй», чтобы изолировать проблемный сегмент, вызывающий потерю пакетов.
 Ключевые точки:
 Получатель (в данном случае FTP-клиент) отслеживает входящие порядковые номера TCP. Если он обнаруживает, что пакет был пропущен (ожидаемый порядковый номер был пропущен), он генерирует пакет ACK с ACK = «ожидаемый порядковый номер, который был пропущен». В этом примере Ack = 2224386800.
 Dup ACK запускает быструю повторную передачу TCP (повторная передача в течение 20 мс после получения дублированного ACK).
 Что означают повторяющиеся ACK? 
 Несколько дублированных ACK, но нет фактических повторных передач, указывают на то, что, скорее всего, есть пакеты, которые прибывают не по порядку.
 Дублирующиеся ACK, за которыми следуют фактические повторные передачи, указывают на то, что произошла некоторая потеря пакетов.
 Действие 3. Рассчитайте время обработки межсетевым экраном транзитных пакетов.  
 
 Применить один и тот же захват на 2 разных интерфейсах:
 firepower #  захват буфера CAPI 33554432 интерфейс INSIDE соответствует хосту tcp 192.168.2.220 хосту 192.168.1.220 
firepower #  захват интерфейса CAPI СНАРУЖИ  
 Экспорт захвата, проверка разницы во времени между входящими и исходящими пакетами
 Корпус 7.Проблема подключения TCP (повреждение пакета) 
 Описание проблемы:
 Беспроводной клиент (192.168.21.193) пытается подключиться к целевому серверу (192.168.14.250 - HTTP), и существует 2 разных сценария:
 Когда клиент подключается к точке доступа «A», HTTP-соединение не работает.
 Когда клиент подключается к точке доступа «B», HTTP-соединение работает.
 На этом изображении показана топология:
  
 Затронутый поток:
 Src IP: 192.168.21.193
 Dst IP: 192.168.14.250
 Протокол: TCP 80
 Анализ захвата 
 Включить захваты на ядре FTD LINA:
 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.21.193 хосту 192.168.14.250 
firepower #  захват CAPO int OUTSIDE соответствует IP-хосту 192.168.21.193 хосту 192.168.14.250
  
 захвата - функциональный сценарий:
 В качестве основы всегда очень полезно иметь захваты из рабочего сценария.
 На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE
.
 На этом изображении показан снимок, сделанный на ВНЕШНЕМ интерфейсе NGFW.
 Ключевые точки:
 2 захвата почти идентичны (учитывайте рандомизацию ISN).
 Нет признаков потери пакета.
 Пакеты изношенные (ООО)
 Имеется 3 HTTP-запроса GET. Первый получает сообщение 404 «Не найдено», второй - 200 «ОК», а третий получает сообщение перенаправления 304 «Не изменено».
 Захваты - Нерабочий сценарий:
 Содержимое входящего захвата (CAPI).
 Ключевые точки:
 Имеется трехстороннее подтверждение TCP.
 Есть повторные передачи TCP и признаки потери пакета.
 Существует пакет (TCP ACK), который Wireshark идентифицирует как  Malformed .
 На этом изображении показано содержимое исходящего захвата (CAPO).
 Ключевые точки:
 2 захвата почти идентичны (учитывайте рандомизацию ISN):
 Имеется трехстороннее подтверждение TCP.
 Есть повторные передачи TCP и признаки потери пакета.
 Существует пакет (TCP ACK), который Wireshark идентифицирует как  Malformed .
 Проверить неверно сформированный пакет:
 Ключевые точки:
 Пакет идентифицирован как неверно сформированный программой Wireshark.
 Имеет длину 2 байта.
 Имеется полезная нагрузка TCP размером 2 байта.
 Полезная нагрузка - 4 дополнительных нуля (00 00).
 Рекомендуемые действия 
 Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Сделайте дополнительные захваты, включая захваты на конечных точках, и, если возможно, попробуйте применить метод «разделяй и властвуй», чтобы изолировать источник повреждения пакета, например
 В этом случае 2 дополнительных байта были добавлены драйвером интерфейса коммутатора «A», и было решено заменить коммутатор, вызывающий повреждение.
 Случай 8. Проблема с подключением UDP (отсутствующие пакеты) 
 Описание проблемы: сообщения системного журнала (UDP 514) не отображаются на целевом сервере системного журнала.
 На этом изображении показана топология:
 Затронутый поток:
 Src IP: 192.168.1.81
 Dst IP: 10.10.1.73
 Протокол: UDP 514
 Анализ захвата 
 Включить захваты на ядре FTD LINA:
 firepower #  capture CAPI int INSIDE trace match udp host 192.168.1.81 host 10.10.1.73 eq 514 
firepower #  захват CAPO int OUTSIDE match udp host 192.168.1.81 host 10.10.1.73 eq 514
  
 перехвата FTD не показывают пакетов:
 огневая мощь #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 0 байт]
  соответствовать хосту udp 192.168.1.81 хост 10.10.1.73 eq syslog
захват интерфейса необработанных данных типа CAPO СНАРУЖИ [захват - 0 байт]
  сопоставить хост udp 192.168.1.81 хост 10.10.1.73 eq syslog
 
 Рекомендуемые действия 
 Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Проверьте таблицу соединений FTD.
 Чтобы проверить конкретное соединение, вы можете использовать этот синтаксис:
 firepower #  показать адрес соединения 192.168.1.81 порт 514 
10 в использовании, 3627189 наиболее часто используемых
Осмотрите Snort:
        preserve-connection: 6 включено, 0 активно, 74 наиболее активно, 0 наиболее активно

UDP  ВНУТРИ  10.10.1.73: 514  INSIDE  192.168.1.81:514, idle 0:00:00, байты  480379697 , флаги -  o  N1
 
 Ключевые точки:
 Интерфейсы входа и выхода одинаковы (разворот).
 Количество байтов имеет очень большое значение (~ 5 ГБ).
 Флаг «o» обозначает разгрузку потока (HW ускоренный поток). Это причина, по которой захваты FTD не показывают никаких пакетов. Разгрузка потока поддерживается только на платформах 41xx и 93xx.В данном случае это устройство 41xx.
 Действие 2. Сделайте снимки на уровне шасси.
 Подключитесь к диспетчеру шасси Firepower и включите захват на входном интерфейсе (в данном случае E1 / 2) и интерфейсах объединительной платы (E1 / 9 и E1 / 10), как показано на изображении:
 Через несколько секунд:
  Совет : В Wireshark исключите пакеты с тегами VN, чтобы исключить дублирование пакетов на уровне физического интерфейса
 Раньше:
 После:
 Ключевые точки:
 Фильтр отображения применяется для удаления дубликатов пакетов и отображения только системных журналов.
 Разница между пакетами находится на уровне микросекунд. Это указывает на очень высокую скорость передачи пакетов.
 Время жизни (TTL) постоянно уменьшается. Это указывает на пакетную петлю.
  
 Действие 3. Используйте трассировщик пакетов.
 Поскольку пакеты не проходят через механизм LINA брандмауэра, вы не можете выполнять трассировку в реальном времени (захват с трассировкой), но вы можете отслеживать эмулируемый пакет с помощью packet-tracer:
 firepower #  вход для трассировщика пакетов ВНУТРИ udp 10.10.1.73 514 192.168.1.81 514
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: ПОТОК-ПРОСМОТР
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  Найден поток с идентификатором 25350892 с использованием существующего потока 

Фаза: 4
Тип: SNORT
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку

Фаза: 5
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.1.81 с использованием egress ifc INSIDE

Фаза: 6
Тип: ADJACENCY-LOOKUP
Подтип: следующий переход и смежность
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
смежность активна
MAC-адрес следующего перехода a023.9f92.2a4d попадает в 1 ссылку 1

Фаза: 7
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Результат:
  интерфейс ввода: INSIDE 
вход-статус: вверх
вход-линия-статус: вверх
  выходной интерфейс: ВНУТРИ 
статус вывода: вверх
статус строки вывода: вверх
Действие: разрешить
 
 Действие 4.Подтвердите маршрутизацию FTD.
 Проверьте таблицу маршрутизации межсетевого экрана на наличие проблем с маршрутизацией:
 firepower #  показать маршрут 10.10.1.73 

Запись маршрутизации для 10.10.1.0 255.255.255.0
  Известен через "eigrp 1", расстояние 90, метрическая система 3072, тип внутренний
  Распространение через eigrp 1
  Последнее обновление от 192.168.2.72 на  СНАРУЖИ, 0:03:37 назад 
  Блоки дескриптора маршрутизации:
  * 192.168.2.72, из 192.168.2.72,  0:02:37 назад, через OUTSIDE 
      Метрика маршрута - 3072, доля трафика - 1.
      Общая задержка 20 микросекунд, минимальная пропускная способность 1000000 Кбит
      Надежность 255/255, минимальный MTU 1500 байт
      Загрузка 29/255, хмель 1
 
 Ключевые точки:
 Маршрут указывает на правильный выходной интерфейс.
 Маршрут был изучен несколько минут назад (0:02:37).
 Действие 5. Подтвердите время работы соединения.
 Проверьте время работы соединения, чтобы узнать, когда оно было установлено:
 firepower #  показать адрес соединения 192.168.1.81 порт 514 деталь 
21 используется, 3627189 наиболее часто используется
Осмотрите Snort:
        preserve-connection: 19 включено, 0 активно, 74 наиболее активно, 0 наиболее активно
Флаги: A - ожидает ACK ответчика на SYN, a - ожидает ACK инициатора на SYN,
       b - TCP state-bypass или прибитый,
       C - CTIQBE media, c - кластер централизованный,
       D - DNS, d - дамп, E - внешнее обратное соединение, e - полураспределенное,
       F - инициатор FIN, f - ответчик FIN,
       G - группа, g - MGCP, H - H.323, h - H.225.0, I - данные инициатора,
       i - неполный, J - GTP, j - данные GTP, K - t3-ответ GTP
       k - тощий носитель, L - туннель без крышки, M - данные SMTP, m - носитель SIP
       N - проверено Snort (1 - сохранение соединения включено, 2 - сохранение соединения действует)
       n - GUP, O - данные респондента, o - выгружены,
       P - внутреннее заднее соединение, p - пассажирский поток
       q - данные SQL * Net, R - инициатор подтвердил FIN,
       R - UDP SUNRPC, r - ответчик подтвердил FIN,
       T - SIP, t - SIP переходный, U - вверх,
       V - сирота VPN, v - M3UA W - WAAS,
       w - резервная копия вторичного домена,
       X - проверяется сервисным модулем,
       x - на сеанс, Y - поток заглушки директора, y - поток заглушки резервного копирования,
       Z - Scansafe redirection, z - прямой поток пересылки

UDP ВНУТРИ: 10.10.1.73 / 514 ВНУТРИ: 192.168.1.81/514,
    флаги -oN1, простоя 0 с,  время безотказной работы 3 мин 49 с , тайм-аут 2 мин 0 с, байты 4801148711
 
 Ключевой момент:
 Соединение было установлено ~ 4 минуты назад (это до установки маршрута EIGRP в таблице маршрутизации)
 Действие 6. Удалите существующее соединение.
 В этом случае пакеты соответствуют установленному соединению и направляются на неправильный выходной интерфейс, вызывая петлю. Это связано с порядком работы брандмауэра:
 Поиск установленного соединения (имеет приоритет над поиском в глобальной таблице маршрутизации).
 Поиск трансляции сетевых адресов (NAT) - этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
 Маршрутизация на основе политик (PBR)
 Поиск в глобальной таблице маршрутизации
 Поскольку соединение никогда не истекает (клиент системного журнала непрерывно отправляет пакеты, в то время как тайм-аут простоя соединения UDP составляет 2 минуты), необходимо вручную очистить соединение:
 firepower #  очистить адрес соединения 10.10.1.73 адрес 192.168.1.81 протокол UDP порт 514 
1 соединение (а) удалено.
 
 Убедитесь, что установлено новое соединение:
 firepower #  показать адрес соединения 192.168.1.81 детали порта 514 | б 10.10.1.73. * 192.168.1.81 
UDP  ВНУТРИ : 10.10.1.73/514  ВНУТРИ : 192.168.1.81/514,
    флаги -oN1, простоя 1 мин. 15 сек., время безотказной работы 1 мин. 15 сек., тайм-аут 2 мин. 0 сек., байты 408
 
 Действие 7. Настройте тайм-аут плавающего соединения.
 Это правильное решение для решения проблемы и предотвращения неоптимальной маршрутизации, особенно для потоков UDP.Перейдите к  Devices> Platform Settings> Timeouts  и установите значение:
 Более подробную информацию о тайм-ауте плавающего соединения можно найти в Справочнике команд:
 https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1649892
 Случай 9. Проблема подключения HTTPS (сценарий 1) 
 Описание проблемы: HTTPS-связь между клиентом 192.168.201.105 и сервером 192.168.202.101 невозможно установить
 На этом изображении показана топология:
 Затронутый поток:
 Src IP: 192.168.201.111
 Dst IP: 192.168.202.111
 Протокол: TCP 443 (HTTPS)
 Анализ захвата 
 Включить захваты на ядре FTD LINA:
 IP-адрес, используемый во ВНЕШНЕМ захвате, отличается из-за конфигурации преобразования порта в адрес.
 firepower #  capture CAPI int INSIDE match ip host 192.168.201.111 хост 192.168.202.111 
firepower #  захват CAPO int OUTSIDE соответствие IP-хост 192.168.202.11 хост 192.168.202.111
  
 
 На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE:
 Ключевые точки:
 Имеется трехстороннее подтверждение TCP.
 Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
 Клиенту отправлено TCP ACK.
 Клиенту отправлено TCP RST.
 На этом изображении показан снимок, сделанный на интерфейсе NGFW OUTSIDE.
 Ключевые точки:
 Имеется трехстороннее подтверждение TCP.
 Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
 Брандмауэр отправляет на сервер повторные передачи TCP.
 На сервер отправлено TCP RST.
 Рекомендуемые действия 
 Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.
 Действие 1. Сделайте дополнительные снимки.
 Захват, сделанный на сервере, показывает, что сервер получил TLS Client Hellos с поврежденной контрольной суммой TCP и молча отбрасывает их (нет TCP RST или любого другого пакета ответа для клиента):
 Если собрать все вместе:
 В этом случае, чтобы понять, что происходит, необходимо включить в Wireshark параметр  Проверить контрольную сумму TCP, если возможно, параметр . Перейдите к  Edit> Preferences> Protocols> TCP , как показано на изображении.
  
 В этом случае полезно расположить снимки рядом, чтобы получить полную картину:
  
 Ключевые точки:
 Имеется трехстороннее подтверждение TCP. Идентификаторы IP такие же. Это означает, что брандмауэр не проксировал поток.
 Приветствие клиента TLS исходит от клиента с IP-идентификатором 12083. Пакет передается через прокси-сервер межсетевым экраном (в данном случае межсетевой экран был настроен с использованием политики расшифровки TLS), а IP-идентификатор изменен на 52534.Кроме того, контрольная сумма TCP пакета повреждена (из-за дефекта программного обеспечения, который позже был исправлен).
 Межсетевой экран находится в режиме TCP Proxy и отправляет ACK клиенту (подменяя сервер).
 Межсетевой экран не получает никаких пакетов TCP ACK от сервера и повторно передает приветственное сообщение клиента TLS. Это опять же из-за режима TCP Proxy, который активировал брандмауэр.
 Через ~ 30 секунд брандмауэр отказывается и отправляет клиенту TCP RST.
 Межсетевой экран отправляет серверу TCP RST.
 Для справки:
 Firepower TLS / SSL Обработка квитирования
 Случай 10. Проблема подключения HTTPS (сценарий 2) 
 Описание проблемы: Ошибка регистрации лицензии FMC Smart.
 На этом изображении показана топология:
  
 Затронутый поток:
 Src IP: 192.168.0.100
 Dst: tools.cisco.com
 Протокол: TCP 443 (HTTPS)
 Анализ захвата 
 Включить захват в интерфейсе управления FMC:
 Попробуйте зарегистрироваться еще раз.C 264 захваченных пакетов  <- CTRL-C   264 пакета, полученных фильтром
0 пакетов отброшено ядром  корень @ огневая мощь: / Том / главная / админ # 

Соберите снимок из FMC ( System> Health> Monitor, выберите устройство и выберите Advanced Troubleshooting ), как показано на изображении:

На изображении показан захват FMC на Wireshark:

Совет : Чтобы проверить все новые захваченные сеансы TCP, используйте tcp.flags == 0x2 фильтр отображения в Wireshark. Это фильтрует все захваченные TCP SYN-пакеты.

Совет : примените в качестве столбца поле имени сервера из сообщения SSL Client Hello.

Совет : примените этот фильтр отображения, чтобы видеть только сообщения Client Hello ssl.handshake.type == 1

Примечание : На момент написания этой статьи портал интеллектуального лицензирования (tools.cisco.com) использует эти IP-адреса: 72.163.4.38, 173.37.145.8

Следуйте одному из потоков TCP ( Follow> TCP Stream) , как показано на изображении.

Ключевые точки:

1. Имеется трехстороннее подтверждение TCP.
2. Клиент (FMC) отправляет сообщение SSL Client Hello на портал Smart Licensing.
3. Идентификатор сеанса SSL равен 0. Это означает, что сеанс не возобновлен.
4. Целевой сервер отвечает сообщениями «Server Hello», «Certificate» и «Server Hello Done».
5. Клиент отправляет SSL Fatal Alert с жалобой на «Неизвестный ЦС».
6. Клиент отправляет TCP RST, чтобы закрыть сеанс.
7. Полная продолжительность TCP-сеанса (от установления до закрытия) составляла ~ 0,5 секунды.

Выберите сертификат сервера и разверните поле эмитента , чтобы увидеть commonName. В этом случае Общее имя показывает устройство, которое выполняет функцию «Человек посередине» (MITM).

Это показано на этом изображении:

 SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * среда .967 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg [494], 
  не удалось выполнить, ошибка код 60, строка ошибки "Сертификат узла SSL или удаленный ключ SSH не в порядке" 
... 
 SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * Ср. 967 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue [514], 
 Проблема с сертификатом  проверка, ret 60, url "https: // tools.cisco.com/its/
  

 огневая мощь #  захват CAPI int INSIDE match ip any6 any6 
огневая мощь #  захват CAPO int OUTSIDE match ip any6 any6
  

 firepower #  показать сосед по ipv6 | я fc00 
fc00: 1: 1: 2 :: 2 58 4c4e.35fc.fcd8 СТАЛО СНАРУЖИ
fc00: 1: 1: 1 :: 100 58 4c4e.35fc.fcd8 СТАЛО ВНУТРИ
 

 firewall #  show run int e1 / 2 
!
интерфейс Ethernet1 / 2
 nameif ВНУТРИ
 cts руководство
  распространять sgt preserve-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 IP-адрес 192.168.0.1 255.255.255.0
 IPv6-адрес  fc00: 1: 1: 1 :: 1/64 
 ipv6 включить

firewall #  show run int e1 / 3.202 
!
интерфейс Ethernet1 / 3.202
 vlan 202
 nameif СНАРУЖИ
 cts руководство
  распространять sgt preserve-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 IP-адрес 192.168.103.96 255.255.255.0
 IPv6-адрес  fc00: 1: 1: 2 :: 1/64 
 ipv6 включить
 

 Маршрутизатор №  показывает интерфейс запуска g0 / 0.202 
!
интерфейс GigabitEthernet0 / 0.202
 инкапсуляция dot1Q 202
 VRF переадресация VRF202
 IP-адрес 192.168.2.72 255.255.255.0
 IPv6-адрес FC00: 1: 1: 2 :: 2 /48
  

 firepower #  захват интерфейса CAPI_ARP INSIDE ethernet-type arp  

 огневая мощь #  демонстрационный пробег nat 
nat (INSIDE, OUTSIDE) исходный статический NET_1.1.1.0 NET_2.2.2.0 назначения статический NET_192.168.0.0 NET_4.4.4.0  no-proxy-arp
  

 sysopt noproxyarp ВНУТРИ 

 firepower #  show run snmp-server | включить хост 
управление хостом snmp-сервера 192.168.10.10 версия 3 netmonv3


firepower #  показать управление IP-адресами 
Системный IP-адрес:
Имя интерфейса IP-адрес Маска подсети Метод
Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ
Текущий IP-адрес:
Имя интерфейса IP-адрес Маска подсети Метод
Управление 0/0 Управление 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ

firepower #  захват capsnmp интерфейс управления буфер 10000000 соответствие хоста udp 192.168.10.10 хост 192.168.5.254 eq snmp 

firepower #  показать захват capsnmp 

захватить тип capsnmp буфер необработанных данных 10000000 интерфейс вне интерфейса [захват -  9512  байт]
  соответствовать хосту udp 192.168.10.10 хост 192.168.5.254 eq snmp
 

 огневая мощь #  копирование / захват pcap: tftp: 
Имя захвата источника [capsnmp]?

Адрес или имя удаленного хоста []? 192.168.10.253

Целевое имя файла [capsnmp]? capsnmp.pcap
  !!!!!!
64 пакета скопировано за 0,40 секунды