Разница ип ооо: ИП и ООО — что лучше выбрать, отличия, плюсы и минусы — СКБ Контур

Что открыть для розничной торговли: ИП или ООО

Собираетесь открыть розничный магазин, но так и не определились как зарегистрироваться? Это понятно: мнений много и они кардинально противоположные. Одни хвалят ИП, потому что это просто и удобно, другие настаивают на ООО, потому что это солидно и престижно. 

Мы подготовили подробную статью, в которой объяснили разницу между ИП и ООО, наглядно показали отличия, преимущества и недостатки и привели таблицу. Давайте разберемся с некоторыми моментами прямо сейчас:

1. Гражданин РФ имеет право зарегистрироваться как индивидуальный предприниматель и вести коммерческую деятельность с целью получения прибыли. Ведет деятельность сам, на свой страх и риск. Не является юридическим лицом.
2. В отличие от ИП, ООО — хозяйствующий объект со статусом юридического лица. В его деятельности могут участвовать до 50 физических и/или юридических лиц. Для открытия нужен уставной капитал. Каждый участник получает дивиденды. Все учредители отвечают за негативные последствия деятельности компании в пределах суммы своего вклада в уставной капитал.
3. ИП может работать на патентной системе и открыть магазин площадью до 50 м2. Но не получится продавать алкоголь — запрещено законом именно для этой формы предпринимательской деятельности. Зато можно не вести бухгалтерский учет и как угодно распоряжаться прибылью.
4. Для ООО нет ограничений по направлениям деятельности. Зато сложный бухучет, налог на прибыль и размер штрафов выше, чем у ИП, да и чтобы вывести прибыль нужно выработать законную схему. На это уходят время, силы и зарплата толковому бухгалтеру.

У нас есть отдельные статьи на эту тему:

«Что открыть: ИП или ООО. Самая важная статья для начинающего предпринимателя».

«Минусы ИП и ООО: о чём важно знать, выбирая форму собственности, чтобы не усложнить себе жизнь».

Выбираем форму собственности: «сравнительная таблица ИП и ООО от экспертов по регистрации бизнеса

ООО — солидно. ИП — выгодно и намного проще.

Обычно именно такие ярлыки бизнесмены навешивают этим двум формам предпринимательской деятельности. А потом начинаются проблемы:

• выбрали ООО — придётся тщательно вести бухучёт, иначе налоговая накажет. Да и платежей намного больше, чем у предпринимателя, можно запутаться и получить штраф, если работать без толкового бухгалтера;
• выбрали ИП — платим страховые взносы даже за тот период, когда уезжаем в отпуск. Недоступны некоторые виды деятельности, например, продажа алкоголя (кроме пива).

Какую форму собственности лучше выбрать для розничного магазина?

В статье отвечаем на этот вопрос, а также помогаем вам:

• разобраться в теории и узнать, что такое ООО и ИП с точки зрения законодательства;
• понять разницу между ИП и ООО;
• определиться с подходящей формой предпринимательской деятельности.

Плюсы и минусы форм собственности свели в таблицу, чтобы было проще увидеть отличия, сравнить варианты и сделать выводы.

Что лучше открыть: ИП или ООО? Разберемся с понятиями

В соответствии с ГК РФ, аббревиатура ООО расшифровывается как «общество с ограниченной ответственностью». Но учтите, что сегодня ответственность за долги может понести директор и даже бухгалтер (это показала судебная практика), поэтому нужно внимательно составлять уставные документы.

Согласно законодательству, ООО — хозяйствующий объект с такими характеристиками:

• есть статус юридического лица;
• участвуют от 1 до 50 физических и/или юридических лиц;
• есть уставной капитал, который разделен на доли между участниками;
• каждый участник оказывает влияние на управление объектом в зависимости от размера доли;
• участник получает дивиденды — прибыль от хозяйственной активности ООО;
• при наличии убытков учредители отвечают за негативные последствия активности ООО в пределах суммы своего вклада в уставной капитал. Исключение — банкротство компании, когда на участников возлагается дополнительная ответственность по долгам юридического лица.

Индивидуальный предприниматель — гражданин, который зарегистрировался как субъект предпринимательской деятельности.

ИП не является юридическим лицом, но имеет такие же права и обязанности, потому что ведет хозяйственные операции с целью получить прибыль. Действует самостоятельно на свой страх и риск.

На первый взгляд форма ИП кажется более простой и не вызывающей доверия у серьезных игроков рынка розничной торговли. Не спешите делать выводы.

Не можете разобраться в деталях? Доверьте это Фингуру

Давайте посмотрим, чем ИП и ООО отличаются друг от друга. Мы выбрали 12 ключевых критериев, чтобы вы могли принять взвешенное решение.

ИП и ООО: сводная таблица отличий форм деятельности в 2019 году

Специально для предпринимателей, которые планируют открытие розничного магазина, мы разработали бесплатный email-курс «Как открыть розничный магазин: пошаговое руководство».

Как видите, есть достаточно много различий. Поэтому при открытии розничного магазина обдумайте, какой вариант вам подходит. В этом вам помогут 2 таблицы — читайте дальше.

ИП и ООО: наглядно о плюсах и минусах

Вы ознакомились с особенностями двух форм ведения бизнеса. Какая из них лучше подойдет для розничного магазина? Давайте посмотрим на плюсы и минусы ИП и ООО в таблице, чтобы вы могли принять взвешенное решение.

Больше 4 лет избавляем предпринимателей от бумажной рутины и последствий неправильно заполненных документов, а также экономим 2 дня на поездках в налоговую — каждый день регистрируем новую компанию. Хотите, чтобы следующей была ваша?

Еще 4 важных нюанса деятельности ИП и ООО:

1. Фиксированные взносы — главный минус ИП? Это одно из самых распространенных мнений. Но подумайте о другой стороне: страховые взносы — это не налоги, а отчисления на медицинскую страховку и будущую пенсию. Даже если в ООО только один участник — ему все равно необходимо начислять заработную плату и делать из нее все отчисления. При минимальной зарплате они будут почти такими же, как фиксированные взносы ИП.
2. Еще одна приятная новость: индивидуальный предприниматель без сотрудников может уменьшать исчисленный налог на всю сумму внесенных им фиксированных взносов. В случае ООО и ИП с сотрудниками это возможно только на 50%, но в большинстве случаев в денежном эквиваленте эти 50% больше, чем 100% у ИП, работающего в одиночку.
3. Относительно отчетности и найма сотрудников:
   все зависит исключительно от системы налогообложения, а не от организационно-правовой формы. Например, если применяется ОСНО, ООО будет платить налог на прибыль, а ИП — НДФЛ. Отчетность по этим налогам будет разной. При этом отчетность за работников у них всегда одинаковая.
4. В остальном деятельность ИП и ООО ничем не отличается. Оформлять наемных работников, а также соблюдать их права должны все организационно-правовые формы, в соответствии с ТК РФ. Контрагенты в равной степени охотно работают как с ИП, так и с ООО, главное — выполнение договоренностей.

Что выбрали для своего розничного магазина?

Как видите, у обоих вариантов есть плюсы и недостатки. Неправильный выбор чреват такими последствиями:

• не сможете вести выбранную деятельность, как в случае ИП и продажи алкоголя;
• придётся вести бухучет, которого можно было избежать, зарегистрировав ИП;
• если в вашем бизнесе есть сезонность и вы зарегистрировались как ИП, будете платить взносы даже во время неоплачиваемого отпуска, хотя этого можно было избежать;
• если планируете регулярно выводить прибыль, в случае с ООО будет много заморочек.

Поэтому важно с самого начала сделать правильный выбор.

Мы проводим бесплатные консультации, на которых помогаем выбрать оптимальную форму собственности с учетом нюансов вашего розничного бизнеса. Запишитесь на консультацию — специалисты «Фингуру» помогут определиться и зарегистрировать компанию!

Чем отличается ИП от ЧУП и ООО? | Вопрос-ответ

Индивидуальный предприниматель (ИП) — это физическое лицо, осуществляющее деятельность после регистрации, но без образования юридического лица. Вы можете стать ИП, если хотите открыть небольшой личный бизнес по оказанию услуг или продаже товаров. ИП работает сам на себя и отвечает за ведение дел личным имуществом. Индивидуальным предпринимателем может быть только гражданин РБ или гражданин, имеющий вид на жительство в Беларуси. ИП не нужен юридический адрес (офис). В подчинении ИП может быть до трех работников. После уплаты налогов прибылью можно распоряжаться по желанию.

Частное унитарное предприятие (ЧУП) — юридическое лицо с рядом ограничений в порядке управления. Позволяет вести небольшой бизнес и нанимать неограниченное число сотрудников. В отличие от ИП, ЧУП не отвечает по обязательствам своего учредителя. Создавать юридическое лицо может гражданин или юридическое лицо любого государства. Владелец должен зарегистрировать юридический адрес ЧУП, а также приобрести книгу замечаний и предложений и книгу проверок. Количество наемных сотрудников в зависимости от выбранной системы налогообложения — от 50 до 100 работников. Прибыль ЧУП — только дивиденды после уплаты подоходного налога, а остальные средства предназначены для развития компании.

Общество с ограниченной ответственностью (ООО) — юридическое лицо, имеющее наибольшие возможности в управлении компанией. Это зарегистрированная организация, фирма или компания, которая имеет обособленное имущество, может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, быть истцом и ответчиком в суде. Создать может гражданин или юридическое лицо любого государства. Учредителей ООО может быть от 1 до 50. Юридическое лицо обязано иметь офис как место постоянной деятельности, книгу учета проверок, книгу замечаний и предложений, печать. Учредители и партнеры ООО получают дивиденды, но только после уплаты налогов. Остальные средства предназначены для развития компании. Регистрация осуществляется в исполнительном распорядительном органе по месту юридического адреса лица.

Общество с ограниченной ответственностью (ООО) (общеизвестное под названием «частная компания с ограниченной ответственностью») в сравнении с ТОО и ИП

В данном руководстве проводится сравнительный анализ общества с ограниченной ответственностью, индивидуального предпринимателя

и товарищества с ограниченной ответственностью, необходимый для принятия решения о структуре коммерческой организации, оптимально отвечающей вашим потребностям.

Статус юридического лица

Индивидуальный предприниматель в Сингапуре не является юридическим лицом, соответственно, не имеет статуса самостоятельного юридического лица. В глазах закона и общественности вы как собственник и ваша коммерческая структура являетесь единым целым. В результате вы обладаете полным контролем над бизнесом и его операциями, НО при этом несете личную ответственность по всем задолженностям и всем судебным искам, возбужденным против ИП.

В Сингапуре Общества с ограниченной ответственностью (ООО) и товарищества с ограниченной ответственностью (ТОО) обладают статусом юридического лица, существующего отдельно от своих акционеров (владеющих компанией) и своих директоров (управляющих компанией). Это, по существу, подразумевает следующее:

1. Юридическое лицо принимает на себя и получает обязательства и владеет недвижимостью от своего имени, заключает контракты со своими участниками, директорами, сотрудниками и третьими лицами.

2.    Юридическое лицо может подавать иск в суд или привлекаться в качестве ответчика по иску от своего имени.

3.    Юридическое лицо не подвергается никаким изменениям, даже если меняется статус его участников.

4.    Юридическое лицо может вступать в правовые отношения со своими участниками или директорами.

ИП — отсутствие статуса самостоятельного юридического лица 

ТОО, ООО — наличие статуса самостоятельного юридического лица

Финансовая ответственность

Поскольку ИП не имеет статуса самостоятельного юридического лица, его собственник несет неограниченную финансовую ответственность. Другими словами, кредиторы могут подать против вас иск в отношении возникших задолженностей, а так же могут получить от суда исполнительный лист об обращении взыскания на ваши личные активы, в том числе и имущество. Ваши личные активы никак не защищены. Поскольку ТОО и ООО в Сингапуре создаются как юридические лица с ограниченной ответственностью, их финансовые обязательства остаются в пределах самого юридического лица и таким образом защищают участников компаний (партнеров и акционеров соответственно) посредством ограниченной ответственности.

По сути, это означает, что ваша ответственность ограничивается суммой средств, внесенных вами в организацию, а ваши личные активы защищены.  

ИП: неограниченная ответственность – собственник несет личную ответственность по задолженностям и убыткам.

ТОО: ограниченная ответственность – ответственность каждого партнера ограничена его вкладом в ТОО.

ООО: ограниченная ответственность – ответственность каждого акционера ограничена его вкладом в компанию.

Непрерывность владения и преемственность

В случае с ИП вы и ваш бизнес неразделимы. Ваш бизнес не вечен, его деятельность останавливается с вашим отходом от дел или смертью. С другой стороны, ТОО и ООО продолжают существовать, независимо от статуса их партнеров или директоров и акционеров. Уход в отставку или смерть участников таких компаний обычно не влияет на продолжение существования ТОО и ООО.

ИП: отсутствие непрерывного правопреемства

ТОО, ООО: структура продолжает действовать после смерти или увольнения ее участников

Легкость расширения бизнеса

Для роста и расширения вашего бизнеса основное значение имеет капитал. Будучи индивидуальным предпринимателем, очень сложно привлечь в ваш бизнес внешний капитал посредством ссуд или инвестиций. Ваш капитал ограничен вашими собственными финансовыми средствами и прибылью, которую приносит ваш бизнес. Для получения кредита в банках или кредитных организациях вы должны представлять в качестве обеспечения свои собственные активы.

Кроме того, в структуре индивидуального предпринимателя может быть только один собственник, что означает, что у вас нет способа привлечь другого партнера в свой бизнес. В принципе, ТОО также испытывает трудности с привлечением внешнего капитала, часто ограниченного долей вклада его партнеров. В качестве частной компании с ограниченной ответственностью вы можете воспользоваться преимуществом привлекать капитал посредством привлечения долевых партнеров, венчурных фондов, финансирования предприятий и т.д.

Инвесторы с большей вероятностью будут инвестировать в компанию, в которой существует официальное разделение личных активов и активов компании. В целом, банки предпочитают давать ссуды компаниям, а не индивидуальным предпринимателям или ТОО. 

Налогообложение

Прибыль ИП и ТОО в Сингапуре не облагается налогом на том же уровне, что и прибыль коммерческих компаний, их прибыль воспринимается как личный доход собственника. В случае с ИП вся коммерческая прибыль считается личным доходом собственника и облагается налогом по ставке налога на личные доходы. Так и в случае с ТОО: прибыль распределяется между партнерами в соответствии с учредительным договором ТОО, считается частью личного дохода каждого партнера и облагается по ставке налога на личные доходы.

В Сингапуре частные компании с ограниченной ответственностью облагаются налогом по ставке на прибыль компаний и могут пользоваться различными налоговыми льготами, предоставляемыми компаниям. Эффективная налоговая ставка на прибыль компаний для ООО при объеме прибыли до 300 000 сингапурских долларов ниже 9%, а максимальная – 17% при объеме прибыли свыше 300 000 сингапурских долларов. Более того, в течение первых трех лет с момента образования компании действует нулевая налоговая ставка на первые 100 000 сингапурских долларов прибыли каждый год.

В Сингапуре принята одноуровневая налоговая политика, что означает, что после уплаты налогов с дохода на уровне компании дивиденды распределяются между акционерами уже без налогообложения. 

НАЛОГООБЛАГАЕМЫЙ ДОХОД	ПРИБЛИЗИТЕЛЬНАЯ СУММА НАЛОГА ИП или ТОО (S$)	ПРИБЛИЗИТЕЛЬНАЯ СУММА НАЛОГА ООО (S$)
100,000	7000	0
300,000	40,000	17,000
600,000	98,000	70,000

Примечание: Данные расчеты приводятся исключительно в целях приблизительной оценки. В вышеприведенный расчет налоговых сумм по ТОО входит полное освобождение новых компаний от уплаты налогов.

Передача прав собственности

ИП или ТОО нельзя продать как единое целое. Права собственности по каждому активу, лицензии и разрешению приходится передавать по отдельности. В отличие от них, права на всю собственность ООО или ее часть передаются легко, при этом на время продажи активов деятельность компании не прерывается.

ИП: сложно передать права собственности на бизнес

ТОО, ООО: легко передать права на часть собственности или всю собственность компании

Обеспечение постоянной деятельности

ИП – самая легкая и малозатратная форма организации и ведения бизнеса в Сингапуре. Государственный комиссионный сбор за регистрацию ИП составляет 65 сингапурских долларов, а количество необходимых документов сведено к минимуму. Нет требований о постоянном предоставлении отчетности, необходимо только каждый год обновлять регистрацию ИП.

Регистрация ТОО сложнее, чем регистрация ИП, но проще регистрации частной компании с ограниченной ответственностью. Комиссионный сбор правительства Сингапура за регистрацию ТОО составляет 165 сингапурских долларов, плюс вам, возможно, понадобится профессиональная помощь при составлении учредительного договора ТОО. В рамках соблюдения ежегодных требований ТОО должно предоставлять в органы декларацию о финансовой состоятельности или несостоятельности ТОО. Представлять другие документы не требуется.

Регистрация ООО немного сложнее, чем регистрация двух вышеуказанных форм компаний, а государственный комиссионный сбор за регистрацию составляет 315 сингапурских долларов. Кроме того, требования по ежегодной отчетности более сложные; например, необходимо предоставлять годовую финансовую отчетность, подавать налоговую декларацию, проводить ежегодное общее собрание акционеров и т.д.

Мы рекомендуем воспользоваться услугами профессиональных компаний (секретарских, бухгалтерских или юридических фирм), чтобы справиться с исходным процессом создания компании, а также для обеспечения постоянного соблюдения компанией необходимых требований. 

ИП: минимальные расходы на создание/соблюдение требований и минимальное количество необходимых документов

ТОО: средний уровень расходов на создание/соблюдение требований и среднее количество необходимых документов

ООО: более сложный процесс создания/большие затраты на соблюдение требований и большее количество необходимых документов

Восприятие общественностью

Восприятие вашего бизнеса вашими поставщиками, сотрудниками, банкирами и заказчиками может в значительной степени изменить судьбу вашего бизнеса. В глазах общественности ИП является наименее предпочтительной формой организации серьезных компаний, а компания – наиболее предпочтительной. Статус частной компании с ограниченной ответственностью придает организации важность, престиж и вызывает доверие.  

Прекращение деятельности

Ликвидация ИП проще, чем ликвидация ТОО или частной компании с ограниченной ответственностью. В случае с ИП процедура предусматривает отправку уведомления о ликвидации, за которым следует уведомление регистрационных органов о прекращении деятельности. Однако процесс ликвидации ТОО и ООО более сложный. В любом случае процесс ликвидации компании занимает 3-12 месяцев в зависимости от существующих сложностей.

Какой вариант выбрать?

Из трех форм организаций в Сингапуре наилучшим вариантом для крупных предпринимателей является создание частной компании с ограниченной ответственностью. Ваши личные активы защищены от финансовых обязательств, вы пользуетесь особыми налоговыми стимулами от государства, а структура компании позволят вам расширяться. 

ИП – это юридическое лицо или физическое?

Индивидуальный предприниматель – это юридическое лицо?

Юридическим лицом очень часто называют любого предпринимателя. Ну логично же – раз работает на себя, раз платит налоги за предпринимательскую деятельность, значит — уже не физическое лицо, как и все остальные смертные. На самом деле это не так.

К юридическим лицам относятся, например, фирмы с формой деятельности «ООО». То есть общество с ограниченной ответственностью. А вот индивидуальные предприниматели (те самые ИП) – это уже физические лица.

Кому это нужно знать и зачем?

В общем-то всем. Правовая грамотность в наше время – совсем нелишняя штука. Но в первую очередь, конечно, тем, кто хочет открыть свой бизнес. Потому что различия у физических и юридических лиц глобальны. Давайте немного углубимся в тему и посмотрим, в чём они заключаются.

Итак, ещё раз тезисно.

ИП (индивидуальный предприниматель), которого называют в народе частным предпринимателем с точки зрения закона – это предприниматель без образования юридического лица. То есть это просто физическое лицо, но с правом заниматься определённой предпринимательской деятельностью. Мы написали определённой, потому что некоторые виды деятельности доступны только юридическим лицам.

То есть ИП может стать каждый. Главное, чтобы соблюдались законы и платились налоги (опять же, в зависимости от ситуации).

Иван Иванович решил покупать оптом картошку, и продавать её в розницу на местном рынке. Естественно дороже, чем покупает. Чтобы иметь прибыль и жить с улыбкой на лице. Как ему это сделать? Зарегистрироваться в налоговой в качестве индивидуального предпринимателя. Что это даст? Это даст право продавать картошку (заниматься коммерцией). Станет ли он от этого предпринимателем? Да. Станет ли юридическим лицом? Нет. Он останется физическим лицом, как и его сосед Виктор, который работает грузчиком. Но Виктор не имеет права продавать картошку на рынке, а Иван Иванович – имеет. Правда за это право и за проданную картошку, он заплатит государству налог.

Почему нельзя заниматься коммерческой деятельностью, если вы не ИП?

Потому что это незаконно. Если вы получаете прибыль от своей деятельности, будьте добры заплатить налог. Как это отслеживается налоговой? Через декларации и проверки, которые сдают и проходят предприниматели. А чтобы неповадно было не сдавать вовремя отчёты о своей прибыли, коммерческую деятельность без статуса ИП (мы не говорим сейчас об ООО) сделали вне закона. Всё просто.

Более того, получая зарплату, вы тоже получаете прибыль. И тоже платите налоги. Только не сами. Самим сложно. За вас это делает ваш работодатель. Правда не просто так. Деньги на налог за вас, он вычитает из вашей зарплаты. А индивидуальные предприниматели платят сами, вычитая у самого себя.

Индивидуальный предприниматель тоже может нанимать сотрудников. Так, наш Иван Иванович, чтобы продавать больше картошки нанял грузчика Виктора. Иван Иванович платит ему зарплату. А за то, что Виктор получает свою прибыль в виде зарплаты, государство берёт с него налог. Этот налог платит Иван Иванович – работодатель Виктора. Он отнимает сумму налога от зарплаты сотрудника и выдаёт ему оставшуюся часть. А остальное – отдаёт государству. Всё в рамках закона. Все довольны (почти).

Кто такие физические лица?

Возникает вопрос. Если предприниматель остаётся физическим лицом, что это значит для него с точки зрения закона? Ведь он всё же отличается от физического лица, которое право на предпринимательскую деятельность не имеет.

Физическое лицо с точки зрения закона – это человек с правами и обязанностями.

• Он идентифицируется государственной системой по ФИО.
• Он не обязан проходить какую-либо регистрацию, кроме как регистрацию при получении свидетельства о рождении и паспорта.

Общее для ИП и физлица без права на предпринимательскую деятельность:

• Прибыль ИП и финансы физлица полностью в их распоряжении.
• Как ИП, так и обычное физлицо не обязаны открывать расчётные счета и вести бухучёт.
• ИП и физлица не обязаны иметь печать.
• Оба отвечают перед законом за содеянные нарушения сами.
• Адрес регистрации физлица является адресом регистрации бизнеса у физлица с правом предпринимательской деятельности (ИП).

При этом ещё раз повторяем, физлицо без регистрации в качестве индивидуального предпринимателя не может вести коммерческую деятельность. Именно в этом и заключается главное отличие ИП от обычного физлица.

После всего этого, остаётся понять, чем же отличается физлицо от юридического лица.

Юридическое лицо

Юрлицо:

• Это организация, которая зарегистрирована, имеет право заниматься бизнесом и обладает определённым имуществом.
• Имеет своё отдельное название и адрес регистрации (адрес прописки не может быть адресом регистрации бизнеса)
• Несёт отдельную ответственность.
• Обязано вести бухучёт, подавать отчётности в ФНС, а также другие фонды.
• Имеет право на получение определённых бизнес-лицензий, которые не доступны ИП.
• Обязано иметь печать и расчётный счёт.

Что важно, юрлицо действует в форме определённого коллектива, в котором есть управляющие и подчинённые (у каждого есть свои обязанности и права).

Организаторы юридического лица при регистрации вкладывают в «общую копилку» бизнеса часть уставного капитала.

Сравниваем ИП и юрлицо

Категория	ИП	Юрлицо
Налоги	платит	платит
Сотрудники	имеет право	имеет право
Расчётный счёт	имеет право / необязано	обязано
Печать	имеет право / необязано	обязано
Штрафы	как и у любого человека	значительно выше
Ответственность	за нарушение несёт ответственность своим имуществом	несёт ответственность имуществом в рамках уставного капитала
Регистрация	Нужен паспорт, квитанция, заявление	Требуется большой пакет учредительных документов
Адрес	регистрация бизнеса по месту жительства	регистрация бизнеса по отдельному адресу
Виды бизнеса	много ограничений	доступны почти все виды
Распоряжение доходами	Распоряжается деньгами сам	Требуется указывать цель снятия наличных с расчётного счёта

Как можно увидеть из краткой таблицы, отличия ИП от юрлица существенны. Особенно по ответственности. Индивидуальный предприниматель несёт ответственность целиком сам. И в случае, если он задолжает по суду деньги, а их не будет, расплачиваться придётся всем чем есть в собственности. Ведь это всё ещё физическое лицо, просто с правом вести коммерческую деятельность.

Это очевидный минус ИП (хотя достаточно просто не нарушать, что уж там). С другой стороны, ИП приходится проще в плане возможных штрафов. Один и тот же штраф для юрлица будет в 10-15 раз выше, чем для ИП. Но зато ИП не может заниматься некоторыми видами деятельности, которые могли бы принести больше прибыли… Различий много. Но если вы только начинаете, не планируете зарабатывать в ближайшее время большие суммы, бизнес у вас простой как у нашего Ивана Ивановича с картошкой, то рекомендуем регистрироваться в качестве ИП.

Плюсы и минусы ИП

Преимущества ИП:

• Простота регистрации
• Полное управление своими доходами
• Несложная отчётность
• Офис, печать и расчётный счёт – не обязательны
• Штрафы меньше, чем у юрлица

Недостатки ИП:

• Ответственность личным имуществом
• Некоторые виды деятельности под запретом
• Предвзятое отношение со стороны крупных компаний, которые откажутся с вами работать, потому что нет доверия мелким ИП.
• Платить в Пенсионный фонд всё равно придётся. Даже если вы ничего не делаете.

Итог

Мы вкратце разобрались с тем, что же собой представляет физическое лицо, почему ИП – это также физическое лицо, а не юридическое, чем отличается ИП от простого физического лица без права предпринимательской деятельности. И главное, в чём отличие от юридического лица.

Надеемся, вам эта информация помогла. Помните одно – со всем можно разобраться самому, главное, не жалейте времени, особенно, когда дело касается финансов. Успешного бизнеса!

Чем отличается ИП от ЧП и ПБОЮЛ? Основные моменты

Нередко первые шаги в бизнес осуществляются через предпринимательство. Человек, скопивший некоторый капитал или обладающий полезными навыками, хочет серьезно улучшить свое материальное положение за счет занятия предпринимательской деятельностью. Но, как правило, на первом этапе, информации о способах и формах ведения такой деятельности не хватает.

Вот здесь и возникает вопрос: чем отличается ИП от ЧП и ПБОЮЛ? Предлагаемая статья рассчитана как раз на читателей, которых он интересует.

Суть вопроса

Предпринимательская деятельность не возможна без регистрации. Если физическое лицо планирует на постоянной основе заниматься деятельностью приносящей доход, то оно должно быть зарегистрировано в ЕГРИП. Этот государственный реестр содержит в себе данные обо всех гражданах занимающихся предпринимательской деятельностью. Данная регистрация необходима, так как позволяет правильно и в полной мере собирать налоги и сборы, установленные законом. Позволяет привлекать граждан, занимающихся предпринимательской деятельностью, в административном порядке наравне с юридическими лицами. Решать судебные споры в порядке, предусмотренном для других субъектов экономической деятельности.

По сути, после регистрации в государственном реестре гражданин приобретает статус субъекта экономической деятельности со всеми вытекающими последствиями. И соответственно выделять его из числа граждан, не занимающихся предпринимательской деятельностью, и потребовалось введение специальных аббревиатур: ИП,ЧП и ПБОЮЛ.

Что такое: ИП,ЧП и ПБОЮЛ

Как уже было сказано, указанные сокращения, применяются для того чтобы отделить граждан занимающихся предпринимательской деятельностью, от граждан занимающихся трудовой деятельностью и частной практикой. В практическом плане, это имеет значение, в частности, при оформлении сделок с участием таких граждан и при их исполнении.

Так, например, если лицо является предпринимателем, то его контрагенту сразу будет ясно, что данный гражданин-предприниматель сам уплачивает за себя налоги. И поэтому, в данном случае, сторона по договору с таким предпринимателем не будет выступать налоговым агентом.

Одновременно сокращение — ИП, ЧП или ПБОЮЛ, перед фамилией и инициалами одной из сторон договора, подскажет другой стороне, что в случае наличия, какого либо хозяйственного спора с данным лицом, судебный процесс, будет происходить не в суде общей юрисдикции, а в одном из арбитражных судов.

ИП — это юридическое или физическое лицо? Отвечаем на интересующие вас вопросы тут: https://ipshnik.com/otkryitie-registratsiya-zakryitie-ip/individualnyiy-predprinimatel-yavlyaetsya-fizicheskim-ili-yuridicheskim-litsom.html

Кроме употребления указанных сокращений в договорах, они употребляются на бланках документов, в рекламе и обязательно на вывесках перед входом в помещения занимаемые предпринимателем для осуществления предпринимательской деятельности.

Что кроется под этими буквами? рассмотрим подробно.

ЧП — частный предприниматель. Изначально применение такого оборота было связано с тем, что хозяйственная деятельность велась преимущественного предприятиями государственного сектора. Это было на «заре рыночного времени». Частное предпринимательство граждан было относительно новым явлением. Если сказать точнее, такое предпринимательство существовало и ранее, но на нелегальной основе. Его представителями выступали разного рода «цеховики», «фарцовщики» и так далее. Данная деятельность была уголовно наказуема. Признание частных предпринимателей легальными субъектами хозяйственной деятельности было одним из первых шагов на пути к рыночной экономике.

ПБОЮЛ — сам термин расшифровывается просто: предприниматель без образования юридического лица. Здесь противопоставляются два вида ведения юридической деятельности — с образованием и без образования юридического лица. Под первым понимается, когда гражданин выступает контролирующим участником (акционером) юридического лица, и тем самым, как бы, действует через него. По сути, юридическое лицо выступает инструментом ведения предпринимательской деятельности. Это позволяет отделить личное имущество гражданина от того имущества которое используется для ведения предпринимательской деятельности и тем самым оградить его от претензий кредиторов, на случай неудачного ведения бизнеса. Ведение деятельности без образования юридического лица, таких преимуществ не предоставляет. Что, по сути, и отражает данная аббревиатура.

Подробнее о ПБОЮЛ читайте у нас на сайте: https://ipshnik.com/otkryitie-registratsiya-zakryitie-ip/chto-takoe-pboyul-otkryitie-zakryitie-i-preimushhestva.html

ИП — если брать в исторической перспективе, то данный термин обладает многозначностью. Первоначально, ИП, трактовалось как индивидуальное предприятие. Подобное использование, сохранилось и до настоящего времени в некоторых государствах СНГ. По сути, там, где оно сейчас употребляется, и в России, когда оно употреблялось ране в коротком промежутке времени, оно подразумевало одну из форм юридического лица, характеризующуюся одним учредителем. Но в настоящем времени, в России от этого ушли. Хотя, в обыденной речи часто встречается такая трактовка.

ИП в современной России расшифровывается как «индивидуальный предприниматель».

А чем же отличается ИП от ООО? Разбираем вместе по ссылке: https://ipshnik.com/otkryitie-registratsiya-zakryitie-ip/vyibor-mezhdu-ip-i-ooo/otlichiya-ip-i-ooo-v-ukraine-i-rossii.html

ПБОЮЛ и ИП, в чем разница?

Данный вопрос часто встречается не только у граждан, которые планируют начать предпринимательскую деятельность. Задаются вопросом, чем отличается ИП от ПБОЮЛ? и сотрудники (юристы, бухгалтера) коммерческих организации, которым приходится сталкиваться с данными аббревиатурами в договорах, получаемых от контрагентов — физических лиц. Ведь не секрет, что предприниматели играют существенную роль в нашей экономике, а соответственно и число договоров с ними все время растет.

Отличие ИП от ПБОЮЛ незначительно. С точки зрения правового статуса физических лиц занимающихся предпринимательской деятельностью таких различий нет вообще. Как было рассмотрено ранее, все три термина, употреблялись для обозначения одного и того же явления — гражданина занимающегося предпринимательской деятельностью.

Среди всех терминов, ЧП появился ранее всех. Затем стал более употребителен термин ПБОЮЛ. Так как, это было относительно недавно, то он употребляется и по сегодняшний день многими предпринимателями в договорах и бланках документов. Поэтому на вопрос: ПБОЮЛ или ИП как правильно? стоит отвечать, что правильно в каждом из случаев, но более современный термин это — ИП.

Разобравшись в вопросе: чем отличается ИП от ЧП и ПБОЮЛ, стоит немного сказать о правильности употребления данных терминов. Споры об их употреблении не прекращаются, но все они, по сути, безосновательны. Государство определилось в выборе термина, который применяется в регулировании правоотношений с участием граждан ведущих предпринимательскую деятельность. Это ИП — индивидуальный предприниматель.

Это в частности следует из названия главного реестра, который ведется государственными органами для учета предпринимателей — Единый государственный реестр индивидуальных предпринимателей. Однозначно употребляется данный термин и в Налоговом кодексе РФ. Но в тоже время и ИП, и ЧП, и ПБОЮЛ правильно отражают отдельные характерные аспекты предпринимательской деятельности. Поэтому говорить о неправильности употребления данных терминов в повседневной речи, будет корректно.

Оцените статью: Поделитесь с друзьями!

ИП это физическое или юридическое лицо

Правовой статус индивидуального предпринимателя вызывает немало вопросов. В первую очередь, многим не ясно физическим или юридическим лицом с точки зрения законодательства является ИП.
Расскажем в статье, что по этому поводу считает налоговая и как по закону характеризуется индивидуальное предпринимательство.

 

 

○ Понятие Индивидуальный предприниматель.

С точки зрения законодательства индивидуальный предприниматель не является юридическим лицом. Это следует из определения.

Ст. 11 НК РФ:
Индивидуальные предприниматели — физические лица, зарегистрированные в установленном порядке и осуществляющие предпринимательскую деятельность без образования юридического лица, главы крестьянских (фермерских) хозяйств. Физические лица, осуществляющие предпринимательскую деятельность без образования юридического лица, но не зарегистрировавшиеся в качестве индивидуальных предпринимателей в нарушение требований гражданского законодательства Российской Федерации, при исполнении обязанностей, возложенных на них настоящим Кодексом, не вправе ссылаться на то, что они не являются индивидуальными предпринимателями.

В соответствии с этим текстом законодательства индивидуальный предприниматель является физическим лицом, которое ведет коммерческую деятельность. Это вполне однозначно. Однако правовой статус ИП подразумевает некую схожесть со статусом юридического лица. Разберемся далее, в чем схожесть и различия этих понятий.

Вернуться к содержанию ↑

 

○ Признаки физических и юридических лиц.

Физическое лицо – это человек, обладающий правами и обязанностями, в рамках правового регулирования государства. У физлица существуют определенные признаки:

• Идентификация осуществляется по ФИО.
• Нет необходимости в прохождении дополнительной регистрации, кроме получения свидетельства о рождении и общегражданского паспорта.
• Наличие права на осуществление экономических сделок с другими лицами и организациями.

Юридическое лицо – это организация, зарегистрированная в реестре, и имеющая обособленное имущество, которым отвечает по своим обязательствам.

Ст. 48 ГК РФ:

1. Юридическим лицом признается организация, которая имеет обособленное имущество и отвечает им по своим обязательствам, может от своего имени приобретать и осуществлять гражданские права и нести гражданские обязанности, быть истцом и ответчиком в суде.
2. Юридическое лицо должно быть зарегистрировано в едином государственном реестре юридических лиц в одной из организационно-правовых форм.
3. К юридическим лицам, на имущество которых их учредители имеют вещные права, относятся государственные и муниципальные унитарные предприятия, а также учреждения.

Юридические лица имеют следующие признаки:

• Наличие регистрации в едином реестре.
• Определенное имущество в собственности.
• Отдельное название и регистрационный адрес.
• Наличие структурированного коллектива с управляющими и подчиненными.
• Право на получение лицензий на некоторые виды деятельности, недоступные другим формам.
• Обязательное наличие печати и расчетного счета в банке.

Юридическое лицо несет ответственность за ведение деятельности принадлежащим ему имуществом. Этот признак идентичен ответственности физического лица и ИП.

Вернуться к содержанию ↑

 

○ Сравнение ИП и простого физического лица.

По сути физическое лицо и ИП имеют множество общих признаков. Однако ведение определенных видов предпринимательской деятельности без регистрации не допускается. Расскажем, в чем сходства и различия между ИП и физическим лицом.

✔ Общие признаки.

К общим признакам можно отнести следующие факты:

1. Законодательно ИП и физическое лицо равны.
2. Это конкретный человек, имеющий ФИО и идентификационный номер.
3. Место постоянной регистрации совпадает.
4. ИП может выступать как гражданин при заключении сделок.
5. Физлицо и ИП вправе проводить хозяйственные операции, заключать сделки, оформлять необходимые документы и совершать юридически значимые действия.
6. В случае образования долга физлицо и ИП отвечают имуществом, находящемся в их собственности.

С точки зрения законодательства индивидуальный предприниматель – это статус физического лица. Тем не менее, разница между этими понятиями все же есть.

✔ Отличительные признаки.

Отличие ИП от физического лица заключается в системе налогообложения доходов и допустимой сфере деятельности. К примеру, физическое лицо, имеющее статус ИП, не может быть наемным работником и одновременно вести предпринимательскую деятельность. Человек, будучи ИП, может быть наемным работником, но в качестве физического лица.

Физическому лицу, не имеющему статуса ИП, не доступны многие виды коммерческой деятельности. Так, например, он не может открыть павильон и продавать там какой-либо товар или заниматься оказанием бытовых услуг населению.

Вернуться к содержанию ↑

 

○ Сравнение ИП и юридического лица.

Довольно часто можно встретить отожествление статусов ИП и юридического лица. Это не совсем корректно с точки зрения законодательства, но тем не менее сходства между этими статусами безусловно есть. Рассмотрим в чем общность и различия.

✔ Общность в деятельности.

Общность деятельности заключается в следующих факторах:

• Цель создания – ведение предпринимательской деятельности и получение прибыли.
• Необходимость прохождения процедуры государственной регистрации.
• Доступность систем налогообложения – УСН, ЕНВД и т.д.
• Возможность трудоустройства сотрудников в соответствии с ТК РФ.
• Могут иметь расчетный счет в банке (для ИП не обязательно).
• В суде могут быт истцом и ответчиком.

На этом схожесть заканчивается. Рассмотрим, чем отличаются ИП и юридические лица.

✔ Отличительные характеристики.

Главные отличия заключаются в следующем:

• ИП – это конкретный человек, юридическое лицо – это организация.
• Регистрация человека в качестве индивидуального предпринимателя осуществляется по месту постоянного проживания, а юридическое лицо оформляется по юридическому адресу.
• ИП ведет деятельность самостоятельно, юридическое лицо – это коллектив людей (однако и те, и другие могут быть работодателями).
• Имущество организации и ее учредителей обособлено друг от друга, ИП в свою очередь отвечает всем своим имуществом, как физическое лицо.
• ИП не имеет собственного наименования.
• Юрлицо обязано иметь печать и расчетный счет в банке, для ИП и то, и другое носит рекомендательный характер.
• Деятельность юридического лица невозможна без наличия уставных документов.

Организации вправе вести коммерческую деятельность в любой сфере, не противоречащей законодательству. Для предпринимателей действуют определенные ограничения.

Вернуться к содержанию ↑

 

○ Что говорит налоговая?

С точки зрения налогового законодательства индивидуальные предприниматели – это физические лица, обладающие особым статусом. Тем не менее, ФНС предусматривает для ИП льготные системы налогообложения с минимальной отчетностью.

Индивидуальные предприниматели на особом счету. Для них разрабатываются отдельные нормы и правила.

Вернуться к содержанию ↑

 

○ Советы юриста:

✔ Можно ли ИП преобразовать в юридическое лицо?

Прямого запрета на преобразование в законодательстве нет, то есть такое допускается. Для этого необходимо обратиться в территориальное отделение ФНС и подать соответствующие документы. 

✔ Может ли физическое лицо заниматься коммерцией без открытия ИП или ООО?

Законодательно не допускается ведение коммерческой деятельности без регистрации. Это требуется для целей налогообложения, возможности нанимать сотрудников и беспрепятственно работать и рассчитываться с контрагентами.

Вернуться к содержанию ↑

 

Генеральный директор «Центр Геммерлинга» Иван Геммерлинг расскажет о различиях, плюсах и минусах в формах деятельности индивидуальных предпринимателей и юридических лиц.

Опубликовал : Вадим Калюжный, специалист портала ТопЮрист.РУ

Чем отличается ИП от ООО

В Российской Федерации существуют самые разнообразные формы юридических лиц, которые имеют определенные права, обязанности и полномочия. Очень часто возникает ситуация, когда человек хочет открыть свое собственное дело, но не знает, какую форму хозяйствования ему выбрать – ИП или ООО. Стоит сказать о том, что это два совершенно разных понятия, имеющих определенные достоинства и недостатки. Итак, давайте посмотрим, чем отличается ооо от ип.

Определение

ИП – индивидуальный предприниматель, то есть частное лицо, которое зарегистрировало свою деятельность в государственных органах. Если человек осуществляет свою деятельность без регистрации в государственных контролирующих органах, он может быть оштрафован на сумму от 5 до 20 МРОТ. Если ИП зарегистрирован, но по каким-то причинам у него появилось множество долгов перед кредиторами, он отвечает по своим обязательствам всем имеющимся у него имуществом. Это означает, что по требованию кредиторов все имущество, а также недвижимость, может быть изъята в целях погашения долгов.

ООО (Общество с ограниченной ответственностью) – такая форма хозяйствования, при которой один либо несколько субъектов могут внести свои доли в уставный капитал организации и станут его учредителями. Если у организации, имеющей форму ООО, появляются долги перед кредиторами или инвесторами, каждый его учредитель не отвечает по обязательствам компании полностью. В данном случае он несет ответственность лишь в части своей доли, то есть с них могут удержать лишь размер той суммы, которую он внес в уставный капитал организации. В связи с последним фактом ООО стало наиболее распространенной формой хозяйствования в экономике Российской Федерации.

к содержанию ↑

Сравнение

На основе вышеизложенного можно говорить о том, что ИП представляет собой регистрацию одного физического лица, в то время как ООО подразумевает под собой фиксацию одного или нескольких физических лиц в качестве учредителей. Они вносят определенные доли в уставный капитал, которые могут быть как денежными средствами, какими-то ценными бумагами, так и любым другим ценным имуществом. Кроме того, ИП несет полную ответственность по своим обязательствам, в то время как учредители ООО отвечают по обязательствам компании лишь в той части средств, которые были внесены в качестве вклада в уставный капитал фирмы.

к содержанию ↑

Выводы TheDifference.ru

1. ИП может зарегистрировать только один человек, в свою очередь ООО представляет собой юридическое лицо, учредителями которого может быть как одно, так и несколько физических лиц;
2. Если возникают обязательства перед займодавцами или кредитными организациями, ИП отвечает за них всем имеющимся у него в собственности имуществом, в то время как участники ООО, отвечая по обязательствам компании, могут потерять лишь ту часть имущества, которая стала вкладом в уставный капитал;
3. ООО как форма хозяйствования имеет более широкое распространение, нежели ИП, поскольку при ухудшении финансового положения фирмы теряют меньше денежных средств.

Устройства TippingPoint и неупорядоченные пакеты

Что такое нестандартные пакеты? Неупорядоченные (ООО) пакеты — это пакеты данных, которые прибывают в порядке, отличном от того, в каком они были отправлены.

Что вызывает неупорядоченные пакеты?

Множественные пути: Неупорядоченные пакеты могут быть вызваны потоками данных, идущими по нескольким путям в сети (например, трафик, проходящий через Интернет), или параллельными путями обработки в сетевом оборудовании, которые не предназначены для обеспечения того, чтобы пакет порядок сохраняется.

Организация очереди: 000 пакетов также могут быть вызваны плохо настроенной организацией очереди по пути или даже асимметричными конфигурациями маршрутизации. В случае постановки в очередь по пути ООО пакетов может быть вызвано, когда устройство постановки в очередь не пересылает пакеты в порядке «первым пришел / первым вышел» (FIFO).

Агрегация каналов: Балансировка нагрузки и агрегация каналов могут вызывать ООО пакетов, если используется алгоритм циклического перебора (для каждого пакета).

UDP-трафик: Неупорядоченные пакеты также могут быть вызваны трафиком UDP.Эта проблема возникает в основном из-за подключений без сохранения состояния и отсутствия механизмов управления потоком, существующих в протоколе UDP. Одна из функций TCP заключается в предотвращении доставки данных с нарушением порядка путем повторной сборки пакетов по порядку или принудительного повторного получения пакетов с нарушением порядка.

Превышение подписки: Избыточная подписка устройств или каналов также вызывает ООО пакетов. Ссылки с избыточной подпиской и устройства отбрасывают трафик, вызывая повторную передачу, замедление и неправильные пакеты.

Микропакет: В компьютерных сетях микропакет — это поведение, наблюдаемое в сетях с быстрой коммутацией пакетов, где быстрые пакеты данных отправляются в быстрой последовательности, что приводит к периодам передачи с полной линейной скоростью, что может привести к переполнению пакета. буферы сетевого стека. «Волна» микровсплесков проходит через сеть и прерывается, потому что устройства не могут справиться с дополнительной пропускной способностью. Эти пакеты отбрасываются, что приводит к повторной передаче, замедлению и неправильной передаче пакетов.Микропакет не отображается на счетчиках интерфейса из-за небольшой длины (100 миллисекунд или меньше) пакета.

Как IPS обрабатывает неупорядоченные пакеты?

Если IPS получает значительное количество ООО пакетов, IPS станет менее эффективным (перегруженным) с точки зрения проверки. Это связано с тем, что пакеты с нарушением порядка должны быть повторно собраны, прежде чем может произойти проверка пакетов и сопоставление триггеров. Эти функции повторной сборки и проверки выполняются на уровнях 3 и 4 механизма подавления угроз.К трем наиболее ресурсоемким операциям относятся:

• Повторная сборка IP
• Проверка угроз
• Переупорядочение TCP-пакетов

Уменьшение неупорядоченных, фрагментированных и мелких пакетов

В наши дни большинство маршрутизаторов и коммутаторов могут помочь в оптимизации трафика, если они настроены для этого. В некоторых случаях частью проблемы может быть широкое использование агрегации каналов и балансировки нагрузки. Если с IPS используется агрегация каналов, необходимо поддерживать сходство потока трафика. Используйте алгоритм на основе потока, такой как агрегирование с использованием исходного IP-адреса. Это гарантирует, что все фрагменты из любого конкретного потока пройдут через один и тот же сегмент.

каналов WAN являются частой причиной фрагментации из-за необходимости дополнительной инкапсуляции. Когда происходит IP-фрагментация, дейтаграммы разбиваются на более мелкие части для создания пакетов, которые будут проходить через ссылку. В этих случаях важно определить, какую оптимизацию, повторную сборку и повторную инкапсуляцию выполняют конечные точки, прежде чем трафик будет перенаправлен по сети.Кроме того, важно определить (в случае зашифрованного трафика или нестандартных протоколов), должна ли IPS вообще его проверять.

Приложения, которые полагаются на протокол UDP, обычно являются причиной увеличения количества мелких пакетов в сети. Имейте в виду, что многие инструменты управления сетью широко используют SNMP, который обычно основан на UDP (в зависимости от версии). Приложения для обмена файлами также широко используют протокол UDP. Устранение или направление этих типов трафика через определенные сегменты сети, которые могут по-разному проверяться IPS, может снизить общее воздействие на систему.

Что такое объектно-ориентированная онтология? Краткое и грязное руководство по философскому движению, охватывающему мир искусства | Искусство для продажи

УСЛОВИЯ ИСПОЛЬЗОВАНИЯ

Дата вступления в силу: 12 февраля 2014 г. Последнее обновление: 27 января 2021 г.

Благодарим вас за посещение Artspace.com («Сайт»), принадлежащего и управляемого Artspace LLC. («Артспейс»). Использование вами Сайта означает, что вы прочитали, поняли и согласны с этими условиями использования («Условия»).Если вы не согласны с настоящими Условиями, вы не можете получить доступ к Сайту или использовать его. Мы можем время от времени изменять Условия без предварительного уведомления. Положения, содержащиеся в настоящем документе, заменяют все предыдущие уведомления или заявления, касающиеся наших Условий в отношении этого Сайта. Мы рекомендуем вам часто проверять наш Сайт, чтобы видеть действующие Условия и любые изменения, которые могли быть в них внесены. Используя Сайт после любых изменений Условий, вы соглашаетесь с такими изменениями.

Использование сайта

Сайт представляет собой онлайн-торговую площадку для продавцов с соответствующей квалификацией («Продавец»), которые могут предлагать продажу товаров («Предметы») потенциальным покупателям («Покупатели»).Любая продажа Предмета напрямую между Покупателем и Продавцом регулируется настоящими Условиями.

Artspace предоставляет вам доступ к Сайту и возможность его использования при условии соблюдения вами Условий и Политики конфиденциальности Сайта, доступных по адресу https://www.artspace.com/privacy_policy. Никакие материалы с Сайта не могут быть скопированы, воспроизведены, переизданы, загружены, размещены, переданы или распространены каким-либо образом, за исключением случаев, специально разрешенных на Сайте.

Сайт, включая все его содержимое, такое как текст, изображения и HTML-код, используемый для создания страниц («Материалы»), является нашей собственностью или собственностью наших поставщиков, партнеров или лицензиаров и защищен патентом, товарный знак и / или авторские права в соответствии с законодательством США и / или других стран.Если иное не предусмотрено в настоящем документе, вы не можете использовать, загружать, выгружать, копировать, распечатывать, отображать, выполнять, воспроизводить, публиковать, изменять, удалять, добавлять, лицензировать, публиковать, передавать или распространять любые Материалы с этого Сайта целиком или частично, в общественных или коммерческих целях без нашего специального письменного разрешения. Мы предоставляем вам личную, неисключительную, непередаваемую лицензию на доступ к Сайту и на использование информации и услуг, содержащихся здесь.

Роль Artspace

Роль Artspace прямо ограничивается предоставлением доступа к Сайту и его обслуживанием для продавцов, покупателей и пользователей.Artspace является посредником, а не агентом или доверенным лицом для любого продавца, покупателя или пользователя для каких-либо целей. Artspace не несет ответственности за фактическую продажу любого Предмета и не контролирует информацию, предоставленную продавцами, покупателями или пользователями, а также их действия или бездействие. Artspace не зависит от продавца, покупателя и пользователя, и никакие партнерские отношения, совместные предприятия, отношения между работником и работодателем или франчайзером-франчайзи не создаются и не создаются в результате работы этого Сайта компанией Artspace.

Artspace может, но не обязана, предоставлять посреднические услуги между покупателем и продавцом в связи с обслуживанием клиентов или вопросами разрешения споров.В случае, если Artspace по своему усмотрению выбирает предоставление посреднических услуг, решение Artspace является окончательным и обязательным для всех сторон и не может быть обжаловано, оспорено или отменено.

Ваша учетная запись и доступ

Сайт доступен пользователям 18 лет и старше, которые не были приостановлены или удалены Artspace по какой-либо причине. Этот Сайт не предназначен для детей младше 13 лет и сознательно не собирает информацию от таких несовершеннолетних детей. Вы заявляете, что не являетесь лицом, которому запрещено получать услуги в соответствии с законодательством США или другой применимой юрисдикции.Принимая во внимание использование вами Сайта, во время регистрации и в любое время, когда вы добровольно вводите информацию в свою учетную запись, вы соглашаетесь предоставлять правдивую, точную, актуальную и полную информацию о себе. Мы оставляем за собой право аннулировать вашу учетную запись, отказать в обслуживании, удалить или отредактировать контент по своему усмотрению по любой причине в любое время, в том числе в результате нарушения настоящих Условий использования, без предварительного уведомления. Учетные записи недействительны там, где это запрещено законом.

Нарушение авторских прав.Уведомление и процедуры снятия.

Если вы считаете, что ваша работа была скопирована способом, который представляет собой нарушение авторских прав, предоставьте нашему агенту по авторским правам следующую письменную информацию: (i) электронную или физическую подпись лица, уполномоченного действовать от имени владельца авторские права; (ii) описание защищенной авторским правом работы, права на которую, по вашему мнению, были нарушены; (iii) описание того, где на Сайте находится материал, который, по вашему мнению, нарушает авторские права; (iv) ваш адрес, номер телефона и адрес электронной почты; (v) ваше заявление о том, что вы добросовестно полагаете, что спорное использование не разрешено владельцем авторских прав, его агентом или законом; и (vi) ваше заявление, сделанное под страхом наказания за лжесвидетельство, о том, что приведенная выше информация в вашем уведомлении является точной и что вы являетесь владельцем авторских прав или уполномочены действовать от имени владельца авторских прав.С нашим агентом по авторским правам для уведомления о претензиях о нарушении авторских прав на Сайте можно связаться следующим образом:

Агент по авторским правам:

Artspace LLC
65 Bleecker St. 8th Floor
New York, NY, 10012
Электронная почта: [email protected]
Факс: 646-365-3350

сайта в нарушение авторских прав, пожалуйста, сообщите нам по электронной почте по адресу [email protected]

Правила, ограничения и изменения Сайта

Мы оставляем за собой право по любой причине, по нашему собственному усмотрению и без вашего уведомления, прекратить, изменить, приостановить или прекратить работу любого аспекта Сайта, включая, помимо прочего, информацию, продукты, данные, текст, музыку, звук, фотографии, графику, видео, сообщения или другие материалы («Контент»), функции и / или часы доступности, и мы не несем ответственности перед вами или какой-либо третьей стороной за это.Мы также можем налагать правила и ограничения на использование Сайта или ограничивать ваш доступ к части или всему Сайту без уведомления или штрафных санкций. Мы имеем право изменить эти правила и / или ограничения в любое время по нашему собственному усмотрению.

Особые запрещенные виды использования

Сайт может использоваться только в законных целях лицами, пользующимися авторизованными услугами Artspace. Вы несете ответственность за свои собственные коммуникации, включая загрузку, передачу и размещение информации, а также за последствия их публикации на Сайте или через него.Artspace прямо запрещает любое использование Сайта и требует от всех пользователей согласия не использовать Сайт в следующих случаях:

• Публикация неполной, ложной, неточной или чужой информации;
• Выдача себя за другое лицо;
• Создание или поощрение поведения, которое составило бы уголовное преступление, повлекло бы за собой гражданскую ответственность или иным образом нарушило бы любой городской, региональный, национальный или международный закон или постановление или которое не соответствует принятому Интернет-протоколу;
• Размещение материалов, которые защищены авторским правом или иным образом принадлежат третьей стороне, если вы не являетесь владельцем авторских прав или не имеете разрешения владельца на их размещение;
• Размещение материалов, раскрывающих коммерческую тайну, если вы не владеете ими или не имеете разрешения владельца;
• Публикация материалов, нарушающих любую другую интеллектуальную собственность, право на неприкосновенность частной жизни или публичность;
• Передача или передача (любыми средствами) информации или программного обеспечения, полученного с сайта, в зарубежные страны или определенные иностранные государства в нарушение законов США об экспортном контроле;
• Попытка каким-либо образом вмешаться в работу сетей Сайта или Artspace или сетевой безопасности, или попытка использовать сервис Сайта для получения несанкционированного доступа к любой другой компьютерной системе.
• Злоупотребление привилегией «Пригласить друга» любым способом, включая, помимо прочего, многократное приглашение себя под разными псевдонимами и / или под разными адресами электронной почты.
• Злоупотребление специальными скидками, наградами или поощрениями, предлагаемыми Artspace. Если не указано иное, только одно предложение на человека, максимум два на семью.

Правила безопасности

Нарушение безопасности системы или сети может повлечь за собой гражданскую или уголовную ответственность.Мы будем расследовать происшествия и можем привлекать правоохранительные органы и сотрудничать с ними в судебном преследовании пользователя или пользователей, причастных к таким нарушениям. Вам запрещается нарушать или пытаться нарушить безопасность Сайта, включая, помимо прочего, следующее:

• Доступ к данным, не предназначенным для вас, или вход на сервер или учетную запись, доступ к которым у вас нет;
• Попытка исследовать, сканировать или протестировать уязвимость системы или сети или нарушить меры безопасности или аутентификации без надлежащей авторизации;
• Попытка помешать работе любого пользователя, хоста или сети, в том числе, без ограничений, посредством отправки вируса, червя, троянского коня или другого вредоносного кода на Сайт, перегрузки, «наводнения», «почтовой бомбардировки» или « грохот »; или отправка нежелательной электронной почты, включая рекламные акции и / или рекламу продуктов или услуг, или
• Подделка любого заголовка пакета TCP / IP или любой части информации заголовка в любом сообщении электронной почты или группы новостей.

Пользовательский контент

Вы несете ответственность за любой Пользовательский контент, который вы публикуете на сайте. Под «Пользовательским контентом» мы подразумеваем любой контент, который вы публикуете на сайте, который может включать обзоры, комментарии, загрузку изображений, подписи, участие в форумах, подборку или создание коллекций произведений искусства и другие подобные функции, которые позволяют вам добавлять контент на сайт. Мы не несем ответственности за идентифицирующую личность или другую информацию, которую вы решили отправить в качестве Пользовательского контента, и оставляем за собой право удалить любой Пользовательский контент, созданный любым пользователем, по нашему собственному усмотрению.Вы понимаете, что как только вы публикуете Пользовательский контент, ваш контент становится общедоступным. Мы не несем ответственности за конфиденциальность любого Пользовательского контента, поэтому, если вы не хотите, чтобы кто-либо читал или видел этот контент, не отправляйте и не размещайте его на Сайте.

Если мы разрешаем вам загружать Пользовательский контент, вы не можете:

предоставлять Пользовательский контент, который вы не имеете права отправлять, если у вас нет разрешения владельца; это включает материалы, защищенные чьими-либо авторскими правами, патентами, коммерческой тайной, конфиденциальностью, гласностью или любыми другими правами собственности;
подделывать заголовки или манипулировать другими идентификаторами, чтобы скрыть происхождение любого Пользовательского контента, который вы предоставляете;
предоставлять любой Пользовательский контент, содержащий ложь, ложь или искажения, которые могут нанести вред нам или кому-либо еще;
предоставлять Пользовательский контент, который является незаконным, непристойным, дискредитирующим, клеветническим, угрожающим, порнографическим, преследующим, ненавистным, оскорбительным по расовому или этническому признаку, или поощрять поведение, которое будет считаться уголовным преступлением, повлечет за собой гражданскую ответственность, нарушит любой закон или является в противном случае неприемлемо;
выдавать себя за другое лицо или лгать о вашей аффилированности с другим физическим или юридическим лицом в вашем Пользовательском контенте;
использовать метатеги или любой другой «скрытый текст», используя названия продуктов или товарных знаков наших или наших поставщиков в вашем Пользовательском контенте; или
предоставляют Пользовательский контент, который унижает нас или наших поставщиков, партнеров, подрядчиков, галереи, художников, учреждения, дистрибьюторов, представителей и аффилированных лиц.
Если специально не предусмотрено иное, если вы публикуете контент или отправляете материал на Сайт, вы предоставляете нам неисключительное, бесплатное, бессрочное, безотзывное и полностью сублицензируемое право на использование, воспроизведение, изменение, адаптацию, публикацию, перевод , создавать производные работы, распространять и отображать такой контент по всему миру на любых носителях. Вы заявляете и гарантируете, что владеете или иным образом контролируете все права на публикуемый вами контент; что содержание является точным; что использование предоставленного вами контента не нарушает настоящие Условия или какие-либо законы или постановления; и содержание не причинит вреда ни одному физическому или юридическому лицу.Мы имеем право, но не обязаны отслеживать и редактировать или удалять любые действия или контент. Пользовательский контент поступает из различных источников. Мы не одобряем и не поддерживаем какие-либо взгляды, мнения, рекомендации или советы, которые могут содержаться в Пользовательском контенте, а также не ручаемся за его точность или надежность, полезность, безопасность или права интеллектуальной собственности в отношении любого Пользовательского контента. Мы не несем ответственности и не берем на себя ответственность за любой Пользовательский контент, размещенный вами или любой третьей стороной.

Продажа на Artspace

Взаимоотношения сторон

Продавец несет ответственность за точное описание и оценку Товаров, которые он предлагает для продажи.Покупатель несет полную ответственность за определение стоимости, состояния и подлинности Приобретаемые товары и для оплаты покупной цены Продавцу, включая любые продажи. налог, НДС или импортные / экспортные пошлины.

Роль Artspace прямо ограничена, как указано в пункте выше, озаглавленном «Роль Artspace ». Artspace полагается на продавцов за такую ​​информацию и не несет ответственности ни за какие способ описания или цены Товаров на Сайте, предоставленный продавцом.Artspace не несет ответственность за доставку платежа от вас Продавцу, если мы явно не согласны быть.

Товаров в наличии на сайте

Все товары, представленные на Сайте, предлагаются для продажи при наличии. Некоторые предметы отображаемые на Сайте уникальны и предлагаются Продавцами, которые обычно имеют розничную торговлю. возможности продажи Предмета независимо от Artspace, и, следовательно, некоторые Предметы могут быть недоступны.

Сайт предназначен для предоставления Покупателю доступа к Предметам в том виде, в каком их представляют Продавцы.Соответственно, Artspace не проверяет информацию, предоставленную Продавцом (или его представитель, продающий Предмет), и Artspace не делает никаких заявлений и не дает никаких гарантий в отношении в отношении Продавца, Товара или информации, относящейся к Товару.

Продажи «как есть»

Все товары, представленные на Сайте, продаются «как есть» и «со всеми дефектами». Ни Продавец, ни Artspace дает любые гарантии или заверения, явные или подразумеваемые, в отношении любых Покупатель в отношении любого Предмета, включая, помимо прочего, его состояние, товарность, пригодность для определенной цели, качество, редкость, важность, происхождение, дизайнер или создатель, выставки, литература, историческое значение, или относительно того, приобретает ли Покупатель какие-либо право на воспроизведение или иное право интеллектуальной собственности на любой объект.Никакого заявления нигде, как устные, так и письменные, считаются любой такой гарантией, гарантией или заявлением.

Аукционы

Artspace может делать доступными аукционы Artspace, на которых продавцы могут предлагать товары для продажи с аукциона тому, кто предложит самую высокую цену. Artspace не зависит от покупателей и продавцов, которые участвуют в аукционах Artspace, и никакие агентства, партнерства, совместные предприятия, сотрудники-работодатели или франчайзеры-франчайзи или фидуциарные отношения не создаются и не создаются в результате работы аукционов Artspace.Artspace может, но не обязана предоставлять посреднические услуги между покупателем и продавцами, использующими аукционы Artspace. Artspace оставляет за собой право по своему усмотрению и в любое время, в том числе во время аукциона, отказать или отозвать разрешение продавцам предлагать товары или покупателям подавать заявки.

Как работают торги

Все ставки должны быть в долларах США. Участвующие продавцы и покупатели могут быть обязаны зарегистрироваться на сайте, могут выбрать имя пользователя и пароль и должны согласиться с этими условиями.Покупатели должны зарегистрировать действующую кредитную карту в Artspace и согласиться заплатить покупателю премию в пользу Artspace, которая будет добавлена ​​к успешной цене предложения. Премия покупателя составляет 15% от цены выигравшей заявки для заявок на некоторые лоты аукциона. Победитель торгов должен уплатить покупную цену плюс надбавку покупателя в качестве окончательной покупной цены. Соглашения между покупателями и продавцами не регулируются Конвенцией ООН о договорах международной купли-продажи товаров, применение которой прямо исключается.

Ставки подаются путем нажатия кнопки «Ставка» на сайте; все заявки являются окончательными и не могут быть изменены или отозваны после подачи. Все заявки будут регистрироваться Artspace, и такая запись будет представлять собой окончательное и окончательное определение и запись каждой заявки и максимальной ставки.

Резервная цена продавца

Продавцы могут установить минимальную цену для аукциона («Резервная цена»). Продавец не обязан принимать заявки на сумму ниже Резервной цены.Если ставки размещаются ниже резервной цены продавца, участник торгов будет уведомлен о том, что ставка ниже резервной цены.

Торги в Artspace

Artspace может через своих сотрудников подавать заявки на аукционы, на которые распространяется Резервная цена. Artspace может (1) подать начальную заявку от имени продавца по Резервной цене, (2) размещать одиночные или последовательные заявки от имени продавца в ответ на другие заявки, которые ниже Резервной цены. Ни при каких обстоятельствах Artspace не будет делать ставки выше Резервной цены.

Сделайте ставку

Введите любую сумму ставки, если она больше или равна «Следующей минимальной ставке» (отображается под полем ставки), и нажмите «Разместить ставку». Это автоматически разместит прямую ставку при следующем приращении и сохранит поданную вами ставку (если она выше, чем «Следующая минимальная ставка») в качестве вашей «максимальной ставки». Вы получите электронное письмо с подтверждением вашей ставки и получите уведомление по электронной почте, когда ваша ставка будет перебита.

Делая ставку, каждый покупатель безотзывно разрешает Artspace немедленно списать с зарегистрированной кредитной карты покупателя сумму, равную премии покупателя.

Обратите внимание, что если аукцион переходит к физическому событию в реальном времени (это будет указано на странице аукциона, и заявитель будет отмечен как таковой по электронной почте), то участник, предложивший самую высокую цену после закрытия онлайн-аукциона, будет начальной ставкой на мероприятии, и будет уведомлен в течение 48 часов после мероприятия, если ставка является окончательной победившей ставкой или была перебита кем-либо на мероприятии.

Шаг ставок

Делая ставку, введите максимальную сумму, которую вы готовы заплатить за работу.Ввод «максимальной ставки» не обязательно означает, что вы заплатите эту цену, вы можете заплатить меньше. Система аукционов будет делать прокси-ставки от вашего имени в размере, не превышающем вашу максимальную ставку. После того, как вы введете максимальную ставку, ваша текущая ставка будет отображаться в размере «Следующей минимальной ставки». По ходу аукциона Artspace будет сравнивать вашу ставку с ставками других участников. Когда ваша ставка перебита, система автоматически делает ставку от вашего имени в соответствии с шагом ставки, установленным для этого аукциона, до (но никогда не превышая) вашей максимальной ставки.Мы увеличиваем вашу ставку на столько, сколько необходимо для сохранения вашей позиции как участника, предлагающего самую высокую цену. Ваша максимальная ставка остается конфиденциальной, пока ее не превысит другой участник торгов. Если ваша максимальная ставка перебита, вы получите уведомление по электронной почте, чтобы вы могли сделать еще одну ставку.

Если аукцион является выгодным аукционом или аукционом с физическим мероприятием (что будет отмечено на странице аукциона), все онлайн-ставки будут перенесены на это мероприятие, и Artspace или организация, проводящая мероприятие, продолжат лично отслеживать ваши ставки. и продолжайте делать ставки по доверенности от вашего имени до максимальной ставки.Победители будут уведомлены в течение 48 часов после закрытия аукциона. Если с вами не связались Artspace, значит, вы не предложили самую высокую цену.

Закрытие аукциона

После закрытия каждого аукциона Artspace отдельно подтверждает самую высокую ставку продавцу и уведомляет покупателя, сделавшего самую высокую ставку, о том, что ставка была успешной, и о сумме премии покупателя, причитающейся Artspace, которая будет снята с кредитной карты покупателя. После этого Artspace взимает с кредитной карты покупателя сумму в размере премии покупателя.

После получения премиального вознаграждения покупателя Artspace отправит электронное письмо как успешному покупателю, так и продавцу и предоставит каждому имя, адрес, номер телефона и адрес электронной почты другого; После этого покупатель и продавец несут единоличную ответственность за организацию передачи оплаты покупной цены в течение 24 часов с момента отправки электронного письма Artspace и за быструю доставку товаров после получения хороших денежных средств. Если по какой-либо причине после первоначального подтверждения Artspace выигравшей заявки покупатель отменяет транзакцию или не производит платеж продавцу, покупатель остается ответственным перед Artspace в отношении полной премии покупателя, и Artspace оставляет за собой право дополнительно удержать такую ​​премию покупателя. на любые другие средства правовой защиты, имеющиеся у него по закону или по справедливости.

Любой спор относительно аукциона любого предмета разрешается между покупателем и продавцом и без участия Artspace. Продавец несет полную ответственность за получение оплаты от покупателя. Artspace не гарантирует и не несет никакой ответственности за работу покупателей или продавцов, участвующих в аукционе.

Обязанности аукционных покупателей и продавцов

Товары, предлагаемые на аукционах Artspace, должны быть материальными товарами, соответствующими требованиям Сайта.Продавцы не должны предлагать какие-либо товары для продажи или совершать какие-либо транзакции, инициированные на аукционах Artspace, которые нарушают или могут привести к нарушению Artspace любого применимого закона, статута, постановления или постановления. Artspace оставляет за собой право по собственному усмотрению в отношении того, соответствует ли конкретный элемент требованиям Сайта, и это решение является окончательным.

Продавцы, предлагающие товары, должны опубликовать описание предлагаемых товаров и могут установить минимальную резервную цену, минимальную сумму превышения ставки и прекращение аукциона товаров.Продавцы соглашаются принять самую высокую ставку сверх установленной резервной цены и доставить предложенные товары покупателю, сделавшему такую ​​максимальную ставку. Любые товары, предлагаемые с использованием информации регистрационного журнала продавца, будут считаться Artspace и любым покупателем, участвующим в торгах, как предложенные или уполномоченные этим продавцом. Продавцы несут полную ответственность за описание, состояние, подлинность и качество предлагаемых товаров. Продавцы заявляют, что они соблюдают все применимые законы, включая, помимо прочего, те, которые касаются передачи технических данных, экспортируемых из США или страны, в которой проживает продавец, а также ограничений на импорт или экспорт товаров из страны продавца. в страну покупателя.

Размещая товары на аукционах Artspace, каждый продавец заявляет и гарантирует, что он / она владеет свободным и рыночным правом собственности на предлагаемые товары и что продажа любому покупателю будет свободна и свободна от любых залогов или обременений. Продавцы соглашаются с тем, что Artspace Auctions будет публиковать изображения и информацию на английском языке, относящуюся к товарам, предлагаемым продавцами. Продавцы несут исключительную ответственность за описания товаров и весь другой контент, предоставленный Artspace продавцом. Каждый продавец соглашается с тем, что Artspace может переформатировать контент, представленный продавцами, чтобы наилучшим образом удовлетворить потребности и форматирование аукционов Artspace.Продавцы предоставляют Artspace бессрочную, безотзывную и бесплатную лицензию на использование информации о листинге в других разделах сайта по нашему собственному усмотрению.

Продавцы несут ответственность за отгрузку товаров покупателям, выигравшим торги, после получения покупной цены. Продавцы должны осуществить отгрузку сразу же после получения от покупателей хороших денежных средств. Продавцы несут ответственность за сбор всех применимых налогов с успешного покупателя и за перевод таких налогов в соответствующий налоговый орган.

Покупатель несет ответственность за определение стоимости, состояния и подлинности товара. Покупатели, участвующие в аукционах Artspace, заявляют и гарантируют, размещая любую ставку, что они готовы, желают и могут оплатить цену покупки, все применимые налоги и премию покупателя в течение 24 часов после закрытия аукциона, если они выиграют. участник торгов. Любые заявки, поданные с использованием информации из регистрационного журнала покупателя, считаются сделанными или утвержденными этим покупателем.Каждый покупатель, делающий любую ставку, заявляет и гарантирует, что такие заявки не являются результатом какого-либо сговора или другого антиконкурентного соглашения и в остальном соответствуют федеральным законам и законам штата. Каждый покупатель несет ответственность за уплату налога штата Нью-Йорк и местного налога с продаж, любого применимого налога на использование, любого федерального налога на роскошь или любых других налогов, начисляемых при покупке товаров. Покупатель несет единоличную ответственность за идентификацию и получение любого необходимого разрешения на экспорт, импорт или другое разрешение на доставку товаров, а также за определение того, подлежат ли товары каким-либо экспортным или импортным эмбарго.

Artspace не отвечает за участие в аукционах; Нет заверений или гарантий

Продавцы и покупатели соглашаются, что Artspace не несет ответственности и не делает никаких заявлений или гарантий (явных или подразумеваемых) в отношении предлагаемых товаров, включая, помимо прочего, товарную пригодность, пригодность для определенной цели, точность описания товаров. , физическое состояние, размер, качество, редкость, важность, среда, происхождение, подпадают ли товары под экспортные или импортные ограничения или эмбарго, отгрузка или доставка, упаковка или обработка, платежеспособность покупателя, способность продавец, чтобы получить покупную цену, или любые другие заверения или гарантии любого рода или характера.Artspace не несет ответственности за какие-либо ошибки или сбои в выполнении заявок, размещенных онлайн, включая, помимо прочего, ошибки или сбои, вызванные (1) потерей соединения с Интернетом или программным обеспечением для онлайн-торгов любой стороной, (2) поломкой или сбой программного обеспечения для онлайн-торгов, или (3) поломка или сбой подключения к Интернету или компьютеру любого продавца или покупателя, или (4) любые ошибки или упущения в связи с процессом торгов.

Открытые вакансии на страницах вакансий

Мы можем размещать открытые вакансии на этом веб-сайте.Эти сообщения предназначены только для информационных целей и могут быть изменены без предварительного уведомления. Вы не должны толковать какую-либо информацию на этом Сайте или доступную через Сайт как предложение о приеме на работу. Вы также не должны истолковывать что-либо на этом веб-сайте как продвижение или предложение о приеме на работу, не разрешенное законами и постановлениями вашего региона.

Политика конфиденциальности; Информация о пользователе

В ходе использования вами Сайта вас могут попросить предоставить нам определенную информацию.Использование нами любой информации, которую вы предоставляете через Сайт, регулируется нашей Политикой конфиденциальности, доступной по адресу artspace.com/privacy. Мы настоятельно рекомендуем вам ознакомиться с нашей Политикой конфиденциальности. Вы признаете и соглашаетесь с тем, что несете полную ответственность за точность и содержание такой информации.

Международное использование

Мы контролируем и управляем Сайтом из наших офисов в Соединенных Штатах Америки, и вся информация обрабатывается в Соединенных Штатах. Мы не заявляем, что материалы на Сайте подходят или доступны для использования в других местах.Лица, которые выбирают доступ к Сайту из других мест, делают это по собственной инициативе и несут ответственность за соблюдение местных законов, если и в той мере, в какой это применимо.

Вы соглашаетесь соблюдать все применимые законы, правила и нормы в связи с использованием вами Сайта. Не ограничивая общность вышеизложенного, вы соглашаетесь соблюдать все применимые законы, касающиеся передачи технических данных, экспортируемых из США или страны, в которой вы проживаете.

Права собственности

В отношениях между вами и Artspace (или другой компанией, чьи товарные знаки появляются на Сайте), Artspace (или соответствующая компания) является владельцем и / или уполномоченным пользователем любого товарного знака, зарегистрированного товарного знака и / или знака обслуживания. на Сайте и является владельцем авторских прав или лицензиатом Контента и / или информации на Сайте, если не указано иное.

За исключением случаев, предусмотренных в настоящем документе, использование Сайта не дает вам лицензии на любой Контент, функции или материалы, к которым вы можете получить доступ на Сайте, и вы не можете изменять, сдавать в аренду, сдавать в аренду, одалживать, продавать, распространять или создавать производные работы. такого Контента, функций или материалов, полностью или частично.Любое коммерческое использование Сайта строго запрещено, за исключением случаев, разрешенных в настоящем документе или иным образом одобренных нами. Вы не можете загружать или сохранять копии любого Контента или экранов для любых целей, кроме случаев, предусмотренных Artspace. Если вы используете Сайт, за исключением случаев, предусмотренных в данном документе, при этом вы можете нарушить авторское право и другие законы США и других стран, а также применимые законы штата и можете нести ответственность за такое несанкционированное использование. Мы не предоставляем никаких лицензий или других разрешений любому пользователю наших товарных знаков, зарегистрированных товарных знаков, знаков обслуживания, других материалов, защищенных авторским правом, или любой другой интеллектуальной собственности, размещая их на Сайте.

Информация на Сайте, включая, помимо прочего, весь дизайн сайта, текст, графику, интерфейсы, а также выбор и расположение, защищена законом, в том числе законом об авторском праве.

Названия продуктов, логотипы, рисунки, заголовки, графика, слова или фразы могут быть защищены законом в качестве товарных знаков, знаков обслуживания или торговых наименований Artspace LLC или других организаций. Такие товарные знаки, знаки обслуживания и торговые наименования могут быть зарегистрированы в США и за рубежом.

Без нашего предварительного письменного разрешения вы соглашаетесь не отображать и не использовать наши товарные знаки, знаки обслуживания, торговые наименования, другие материалы, защищенные авторским правом, или любую другую интеллектуальную собственность каким-либо образом.

Ссылки с Сайта и на Сайт

Вы можете иметь возможность ссылаться на сторонние веб-сайты («Связанные сайты») с Сайта. Однако связанные сайты не просматриваются, не контролируются и не исследуются нами каким-либо образом, и мы не несем ответственности за содержание, доступность, рекламу, продукты, информацию или использование пользовательской информации или других материалов любых таких связанных сайтов или любых дополнительных ссылки, содержащиеся в нем. Эти ссылки не означают, что мы одобряем или ассоциируем Связанные сайты.Вы несете исключительную ответственность за соблюдение соответствующих условий обслуживания Связанных сайтов, а также любых других обязательств в соответствии с законами об авторском праве, секретности, клевете, порядочности, конфиденциальности, безопасности и экспорте, связанных с использованием таких Связанных сайтов и любого контента. содержится на нем. Ни при каких обстоятельствах мы не несем ответственности, прямо или косвенно, перед кем-либо за любые убытки или ущерб, возникшие в результате или вызванные созданием или использованием Связанных сайтов или информации или материалов, доступ к которым осуществляется через эти Связанные сайты.По всем вопросам обращайтесь к администратору этого сайта или веб-мастеру. Мы оставляем за собой исключительное право по собственному усмотрению добавлять, изменять, отклонять или удалять без предварительного уведомления любую функцию или ссылку на любой из Связанных сайтов с Сайта и / или вводить различные функции или ссылки для разных пользователей.

Мы должны предоставить разрешение для любого типа ссылки на Сайт. Чтобы получить наше разрешение, вы можете написать нам по указанному ниже адресу. Тем не менее, мы оставляем за собой право отклонить любой запрос или отменить любое предоставленное нами разрешение на создание ссылки через такой другой тип ссылки, а также потребовать прекращения действия любой такой ссылки на Сайт по нашему усмотрению в любое время.

ВОЗМЕЩЕНИЕ ОТВЕТСТВЕННОСТИ

Вы соглашаетесь защищать, освобождать от ответственности и защищать Artspace LLC, ее директоров, должностных лиц, сотрудников, агентов, поставщиков, партнеров, подрядчиков, галереи, художников, учреждения, дистрибьюторов, представителей и аффилированных лиц от любых претензий и обязательств. , убытки, издержки и расходы, включая разумные гонорары адвокатам, каким-либо образом возникающие в результате, в связи или в связи с использованием вами Сайта, вашим нарушением какого-либо закона, нарушением вами Условий или публикацией или передачей данных любого Пользователя Контент или материалы, размещаемые вами на Сайте или через него, включая, помимо прочего, заявления третьих лиц о том, что любая информация или материалы, которые вы предоставляете, нарушают права собственности третьих лиц.Вы соглашаетесь сотрудничать настолько полно, насколько это необходимо для защиты любого иска. Ваше обязательство по компенсации остается в силе после прекращения действия настоящих Условий и использования вами Сайта.

ОТКАЗ ОТ ГАРАНТИЙ

ВЫ ПОНИМАЕТЕ И СОГЛАШАЕТЕСЬ С ТО, ЧТО:

САЙТ, ВКЛЮЧАЯ, БЕЗ ОГРАНИЧЕНИЙ, ВСЕ СОДЕРЖАНИЕ, ФУНКЦИИ, МАТЕРИАЛЫ И УСЛУГИ ПРЕДОСТАВЛЯЕТСЯ НА УСЛОВИЯХ «КАК ЕСТЬ» И «КАК ДОСТУПНО» НА ОСНОВЕ ЛЮБОЙ ВИД ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ, БЕЗ ОГРАНИЧЕНИЙ: (I) ЛЮБУЮ ГАРАНТИЮ НА ИНФОРМАЦИЮ, ДАННЫЕ, УСЛУГИ ОБРАБОТКИ ДАННЫХ ИЛИ БЕСПЕРЕБОЙНЫЙ ДОСТУП; (II) ЛЮБЫЕ ГАРАНТИИ ОТНОСИТЕЛЬНО ДОСТУПНОСТИ, ТОЧНОСТИ, ПОЛНОМОСТИ, ПОЛЕЗНОСТИ ИЛИ СОДЕРЖАНИЯ ИНФОРМАЦИИ; (III) ЛЮБЫЕ ГАРАНТИИ НАИМЕНОВАНИЯ, НЕДОПУСТИМОСТЬ ПРАВ, КОММЕРЧЕСКОЙ ЦЕННОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ; ИЛИ (IV) ЛЮБЫЕ ЗАЯВЛЕНИЯ ИЛИ ГАРАНТИИ ОТНОСИТЕЛЬНО ХАРАКТЕРА, РЕПУТАЦИИ ИЛИ ДЕЛОВОЙ ПРАКТИКИ ПРОДАВЦА.Artspace НЕ ГАРАНТИРУЕТ, ЧТО САЙТ ИЛИ ФУНКЦИИ, СОДЕРЖАНИЕ ИЛИ УСЛУГИ, ПРЕДОСТАВЛЯЕМЫЕ НА ЭТОМ, БУДУТ СВОЕВРЕМЕННЫМИ, БЕЗОПАСНЫМИ, БЕСПЕРЕБОЙНЫМИ ИЛИ БЕЗОШИБОЧНЫМИ, ИЛИ ЧТО ДЕФЕКТЫ БУДУТ ИСПРАВЛЕНЫ. Artspace НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, ЧТО САЙТ БУДЕТ СООТВЕТСТВОВАТЬ ОЖИДАНИЯМ ИЛИ ТРЕБОВАНИЯМ ПОЛЬЗОВАТЕЛЕЙ. НИКАКИЕ СОВЕТЫ, РЕЗУЛЬТАТЫ ИЛИ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, УСТНЫЕ ИЛИ ПИСЬМЕННЫЕ, ПОЛУЧЕННЫЕ ВАМИ ЧЕРЕЗ САЙТ, НЕ СОЗДАЮТ КАКИХ-ЛИБО ГАРАНТИЙ, ЯВНО НЕ ПРЕДАННЫХ ЗДЕСЬ. ЕСЛИ ВЫ НЕ УДОВЛЕТВОРЕНЫ САЙТОМ, ВАШЕ ЕДИНСТВЕННОЕ СРЕДСТВО — ПРЕКРАТИТЬ ИСПОЛЬЗОВАНИЕ САЙТА.

ЛЮБОЙ ПОКУПАТЕЛЬ ДОЛЖЕН НАПРАВИТЬ ВСЕ ПРЕТЕНЗИИ ПО ЛЮБОМУ ПРЕДМЕТУ ПРОДАВЦУ И ДОЛЖЕН РАЗРЕШИТЬ ЛЮБЫЕ СПОРЫ ПО ЛЮБОМУ ПРЕДМЕТУ НАПРЯМУЮ С ПРОДАВЦОМ.

Artspace НЕ ПОДТВЕРЖДАЕТ, НЕ ГАРАНТИРУЕТ ЛЮБЫЕ ПРОДУКТЫ ИЛИ УСЛУГИ, ПРЕДЛАГАЕМЫЕ ИЛИ ПРЕДОСТАВЛЯЕМЫЕ ПРОДАВЦАМИ ИЛИ ОТ ИМЕНИ ПРОДАВЦОВ НА САЙТЕ ИЛИ ЧЕРЕЗ САЙТ. Artspace НЕ ЯВЛЯЕТСЯ СТОРОНОЙ КАКИХ-ЛИБО СДЕЛОК МЕЖДУ ПОКУПАТЕЛЯМИ И ПРОДАВЦАМИ (ЕСЛИ НЕ ЗАПРОСОВАНО И НЕ УВЕДОМЛЕННО СТОРОНАМ В НАПИСИ).

ЛЮБОЙ МАТЕРИАЛ, ЗАГРУЖЕННЫЙ ИЛИ Иным образом ПОЛУЧЕННЫЙ ПРИ ИСПОЛЬЗОВАНИИ САЙТА, ​​ДЕЛАЕТСЯ НА ВАШ СОБСТВЕННЫЙ УСМОТРЕНИЕ И РИСК, И ВЫ НЕСЕТЕ ИСКЛЮЧИТЕЛЬНУЮ ОТВЕТСТВЕННОСТЬ ЗА ЛЮБОЙ УЩЕРБ, КОТОРЫЙ РЕЗУЛЬТАТ ПРИМЕНЕНИЯ ЗАГРУЗОЧНОГО МАТЕРИАЛА.

Artspace НЕ ПОДТВЕРЖДАЕТ, НЕ ГАРАНТИРУЕТ ИЛИ ГАРАНТИРУЕТ КАКИЕ-ЛИБО ПРОДУКТЫ ИЛИ УСЛУГИ, ПРЕДЛАГАЕМЫЕ ИЛИ ПРЕДОСТАВЛЯЕМЫЕ ИЛИ ОТ ИМЕНИ ТРЕТЬИХ СТОРОН НА САЙТЕ ИЛИ ЧЕРЕЗ САЙТ. Artspace НЕ ЯВЛЯЕТСЯ СТОРОНОЙ И НЕ МОНИТОРИРУЕТ ЛЮБЫЕ СДЕЛКИ МЕЖДУ ПОЛЬЗОВАТЕЛЯМИ И ТРЕТЬИМИ СТОРОНАМИ БЕЗ ПРЯМОГО УЧАСТИЯ КОМПАНИИ.

ВЫПУСК

ВЫ ЯВНО СОГЛАШАЕТЕСЬ ВЫПУСТИТЬ Artspace, LLC., ЕГО ДОКУМЕНТОВ ИЛИ ЛЮБЫХ ИХ ДИРЕКТОРОВ, ДОЛЖНОСТНЫХ ЛИЦ, СОТРУДНИКОВ, АГЕНТОВ, ПАРТНЕРОВ, ДОЧЕРНИХ ПРЕДПРИЯТИЙ, ПОДРАЗДЕЛЕНИЙ, ПЕРЕХОДНИКОВ, ПРЕДСТАВИТЕЛЕЙ, ПРЕДСТАВИТЕЛЕЙ, ПРЕДСТАВИТЕЛЕЙ И ПРЕДСТАВИТЕЛЕЙ «ОСВОБОЖДЕННЫЕ СТОРОНЫ»), И КАЖДОЕ ИЗ ВЫШЕИЗЛОЖЕННОГО, ОТ ЛЮБЫХ И ВСЕХ СПОСОБОВ ДЕЙСТВИЙ, ПРЕТЕНЗИИ ИЛИ ПРИЧИНЫ ИСКА ИЛИ ИСКУССТВА, ПО ЗАКОНУ ИЛИ СОЦИАЛЬНОМУ СОБСТВЕННОМУ СОБСТВЕННОСТИ, И ОТ ЛЮБЫХ И ВСЕХ УБЫТКОВ, УБЫТКОВ, ИЗДЕРЖЕК ИЛИ РАСХОДОВ, ВКЛЮЧАЯ БЕЗ ОГРАНИЧИТЕЛЬНЫЕ РАСХОДЫ СУДОВ И РАСХОДЫ АДВОКАТОВ, КОТОРЫЕ ВЫ МОЖЕТЕ ИМЕТЬ ПРОТИВ ОСВОБОЖДЕННЫХ СТОРОН ИЛИ ЛЮБОЙ ИЗ НИХ, ИЗВЕСТНЫЕ ИЛИ НЕИЗВЕСТНЫЕ, НЕРАКРЫТЫЕ ИЛИ НЕРАЗКРЫТЫЕ, ВОЗНИКАЮЩИЕ ИЛИ ОТНОСЯЩИЕСЯ К СПОРУ.ВЫ ДАЛЕЕ ОТКАЗЫВАЕТЕСЬ ОТ ЛЮБЫХ ПРИМЕНИМЫХ ПРАВ, СООТВЕТСТВУЮЩИМ РАЗДЕЛУ 1542 ГРАЖДАНСКОГО КОДЕКСА КАЛИФОРНИИ И ЛЮБОМ ПОДОБНОМУ ЗАКОНУ ЛЮБОЙ ПРИМЕНИМОЙ ЮРИСДИКЦИИ, КОТОРЫЙ ГОВОРИТ: ВРЕМЯ ВЫПОЛНЕНИЯ РАЗРЕШЕНИЯ, КОТОРЫЕ, ЕСЛИ ЕГО ИЗВЕСТНО, ДОЛЖНЫ ВНЕШНИЕ ВЛИЯТЬ НА ЕГО РАСЧЕТЫ С ДОЛЖНИКОМ «.

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ

НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ Artspace, ЕГО ПАРТНЕРЫ ИЛИ ЛЮБЫЕ ИЗ ИХ УВАЖАЮЩИЕ ДИРЕКТОРЫ, ОФИЦЕРЫ, СОТРУДНИКИ, АГЕНТЫ, ПАРТНЕРЫ, ДОЧЕРНИЕ ПРЕДПРИЯТИЯ, ПОДРАЗДЕЛЕНИЯ, ПРЕДСТАВИТЕЛИ, ПОСТАВЩИКИ, ПОСТАВЩИКИ, ПРЕДСТАВИТЕЛИ, ПРЕДСТАВИТЕЛИ, ПРЕДСТАВИТЕЛИ , ПРЕДСТАВИТЕЛИ ИЛИ СОДЕРЖАНИЕ ИЛИ ПОСТАВЩИКИ УСЛУГ НЕСУТ ОТВЕТСТВЕННОСТЬ ЗА ЛЮБОЙ КОСВЕННЫЙ, ОСОБЫЙ, СЛУЧАЙНЫЙ, КОСВЕННЫЙ, ПРИМЕРНЫЙ ИЛИ КАРАТНЫЙ УЩЕРБ, ВОЗНИКАЮЩИЙ В РЕЗУЛЬТАТЕ ИЛИ ПРЯМО ИЛИ КОСВЕННО СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ, ИЛИ НЕВОЗМОЖНОСТЬЮ ИСПОЛЬЗОВАНИЯ, ИЛИ НЕВОЗМОЖНОСТЬЮ ИСПОЛЬЗОВАТЬ МАТЕРИАЛ СВЯЗАННЫЕ С ЭТИМ, ВКЛЮЧАЯ, БЕЗ ОГРАНИЧЕНИЙ, ПОТЕРЮ ДОХОДОВ, ИЛИ ПРЕДПОЛАГАЕМУЮ ПРИБЫЛЬ, ИЛИ УТРАТУ БИЗНЕСА, ДАННЫХ ИЛИ ПРОДАЖ, ИЛИ СТОИМОСТИ ЗАМЕСТНЫХ УСЛУГ, ДАЖЕ ЕСЛИ КОМПАНИИ ИЛИ ЕЕ ПРЕДСТАВИТЕЛЬСТВУ ИЛИ ТАКОМУ ЛИЧНОМУ ПРЕДЛАГАЕМУЮ ПРЕДЛАГАЕМУЮ ПРЕДОСТАВЛЕНИЮ ПРЕДОСТАВЛЕНИЯ.В НЕКОТОРЫХ ЮРИСДИКЦИЯХ НЕ ДОПУСКАЕТСЯ ОГРАНИЧЕНИЕ ИЛИ ИСКЛЮЧЕНИЕ ОТВЕТСТВЕННОСТИ, поэтому НЕКОТОРЫЕ ИЗ ВЫШЕУКАЗАННЫХ ОГРАНИЧЕНИЙ МОГУТ НЕ ПРИМЕНЯТЬСЯ К ВАМ. НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ ОБЩАЯ ОТВЕТСТВЕННОСТЬ Artspace перед вами ЗА ВСЕ УБЫТКИ, УБЫТКИ И ПРИЧИНЫ ДЕЙСТВИЙ (БЕЗ ПРЕДВАРИТЕЛЬНЫХ ДОГОВОРОВ, ВКЛЮЧАЮЩИХ, НО НЕ ОГРАНИЧИВАЮЩИХСЯ НЕБРЕЖНОСТЬЮ ИЛИ ИНЫХ ОБРАЗОВАНИЙ), ВЫЯВЛЯЮЩИХСЯ ИЗ УСЛОВИЙ ИЛИ ИСПОЛЬЗОВАНИЯ ВАМИ САЙТА, ​​ПРЕВОСХОДЯТ В СБОРЕ, $ 100.00. БЕЗ ОГРАНИЧЕНИЙ ВЫШЕ, НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ Artspace ИЛИ ЕЕ ОТВЕТСТВЕННЫЕ ОФИЦЕРЫ НЕ ДОЛЖНЫ ДИРЕКТОРОВ, СОТРУДНИКОВ, АГЕНТОВ, ПРЕЕМНИКОВ, ДОЧЕРНИХ ПРЕДПРИЯТИЙ, ПОДРАЗДЕЛЕНИЙ, ДИСТРИБЬЮТОРОВ, ПОСТАВЩИКОВ, ФИЛИАЛОВ ИЛИ ТРЕТЬИХ ЛИЦ, ПРЕДОСТАВЛЯЮЩИХ ИЛИ ЛЮБЫЕ СТОРОНЫ, ПРЕДОСТАВЛЯЮЩИЕ ЛИБО СЛУЧАИ ИНФОРМАЦИИ ДЛЯ ОБМЕНА ЭТОЙ ИНФОРМАЦИЕЙ ИЛИ ИНЫМ ОБРАЗОМ, СВЯЗАННЫМ С УТЕЧКОЙ ЛЮБЫХ ДАННЫХ ИЛИ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ВАШЕЙ УЧЕТНОЙ ЗАПИСИ, ИЛИ ИНЫМ ОБРАЗОМ, СОХРАНЕННЫМ НА ИМЕНИ Artspace.

Настоящим вы подтверждаете, что предыдущий параграф применяется ко всему контенту, товарам и услугам, доступным через Сайт.

Применимое право / юрисдикция

Вы соглашаетесь с тем, что настоящие Условия регулируются законами штата Нью-Йорк, за исключением его коллизионных норм. Обратите внимание, что использование вами Сайта может регулироваться другими местными, государственными, национальными и международными законами. Вы прямо соглашаетесь с тем, что исключительная юрисдикция для разрешения любых претензий или споров с Artspace, касающихся каким-либо образом вашего использования Сайта, принадлежит государственным и федеральным судам округа Нью-Йорк, штат Нью-Йорк, и вы также соглашаетесь и прямо соглашаетесь на осуществление персональная юрисдикция в судах штата и федеральных судах округа Нью-Йорк.Кроме того, вы прямо отказываетесь от права на суд присяжных в любом судебном разбирательстве против Artspace, ее материнской компании, дочерних компаний, подразделений или аффилированных лиц или их соответствующих должностных лиц, директоров, сотрудников, агентов или правопреемников в соответствии с настоящими Условиями или в связи с ними. Любая претензия или основание для иска, которое вы имеете в отношении использования Сайта, должны быть предъявлены в течение одного (1) года после возникновения претензии.

Согласие на обработку

Предоставляя любую личную информацию Сайту, все пользователи, включая, помимо прочего, пользователей в Европейском Союзе, полностью понимают и недвусмысленно соглашаются на сбор и обработку такой информации в Соединенных Штатах.

Любые запросы относительно настоящих Условий следует направлять нам по указанному ниже адресу.

Риск потери

Товары, приобретенные на нашем Сайте, отправляются сторонним перевозчиком в соответствии с контрактом на поставку. В результате риск потери и права собственности на такие предметы могут перейти к вам после того, как мы доставим их перевозчику.

Приобретение

Artspace и ее партнеры стремятся к полной точности описания и цен на продукты на Сайте. Однако из-за характера Интернета случайные сбои, перебои в обслуживании или ошибки могут привести к появлению неточностей на Сайте.Artspace имеет право аннулировать любые покупки, цена которых указана неточно. Если отображаемая цена выше фактической, вам может быть возмещена переплата. Если отображаемая цена меньше действительной, Artspace аннулирует покупку и попытается связаться с вами по телефону или электронной почте, чтобы узнать, хотите ли вы приобрести товар по правильной цене.

Вы признаете, что временные перебои в доступности Сайта могут происходить время от времени как нормальные события.Кроме того, мы можем принять решение о прекращении предоставления доступа к Сайту или любой его части в любое время и по любой причине. Ни при каких обстоятельствах компания Artspace или ее поставщики не несут ответственности за любой ущерб из-за таких перебоев или недоступности.

Уведомления

Уведомления вам могут направляться по электронной или обычной почте. Сайт также может предоставлять уведомления об изменениях в Условиях или других вопросах, отображая уведомления или ссылки на уведомления для вас на Сайте.

Конкурсы

В случае возникновения спора относительно личности лица, подавшего заявку, заявка будет считаться поданной лицом, на имя которого зарегистрирована учетная запись электронной почты.Все розыгрыши будут проводиться под наблюдением Спонсора. Решения спонсоров являются окончательными и обязательными по всем вопросам, связанным с этим конкурсом. Спонсоры оставляют за собой право по собственному усмотрению дисквалифицировать любого человека, которого они сочтут, по своему собственному усмотрению, вмешивающимся в процесс подачи заявки или работу Конкурса или веб-сайта, расположенного по адресу www.artspace.com; нарушать Условия использования Веб-сайта; действовать в нарушение настоящих Официальных правил; действовать подрывным образом или с намерением раздражать, оскорблять, угрожать или беспокоить любого другого человека.Если по какой-либо причине этот Конкурс не может быть проведен в соответствии с планом из-за заражения компьютерным вирусом, ошибок, взлома, несанкционированного вмешательства, мошенничества, технических сбоев или любых других причин, которые, по единоличному мнению Спонсора, коррумпируют или влияют на администрацию , безопасности, справедливости, целостности или надлежащего проведения этого Конкурса, Спонсор оставляет за собой право отменить, прекратить, изменить или приостановить Конкурс.

Ограничения ответственности

СПОНСОР НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ОШИБКИ, УПУЩЕНИЯ, ПЕРЕРЫВ, УДАЛЕНИЕ, ДЕФЕКТ, ЗАДЕРЖКУ ЭКСПЛУАТАЦИИ ИЛИ ПЕРЕДАЧИ, ОТКАЗ ЛИНИИ СВЯЗИ, КРАЖУ ИЛИ УДАЛЕНИЕ ИЛИ НЕСАВТОРИМОЕ ПРЕРЫВАНИЕ ДОСТУПА.СПОНСОР НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ПРОБЛЕМЫ ИЛИ ТЕХНИЧЕСКИЕ НЕИСПРАВНОСТИ ЛЮБОЙ ТЕЛЕФОННОЙ СЕТИ ИЛИ ТЕЛЕФОННЫХ ЛИНИЙ, КОМПЬЮТЕРНЫХ ОНЛАЙН-СИСТЕМ, СЕРВЕРОВ, КОМПЬЮТЕРНОГО ОБОРУДОВАНИЯ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ОТКАЗА ЛЮБОЙ ЭЛЕКТРОННОЙ ПОЧТЫ ИЛИ ТЕХНИЧЕСКОЙ НЕИСПРАВНОСТИ, ПОЛУЧЕННОЙ SPCO ДЛЯ ПОЛУЧЕНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ОШИБКА ЧЕЛОВЕКА ИЛИ ЗАГРУЗКА ДВИЖЕНИЯ В ИНТЕРНЕТЕ ИЛИ НА ЛЮБОМ ВЕБ-САЙТЕ, ИЛИ ЛЮБОЙ ИХ КОМБИНАЦИИ. СПОНСОР НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБОЙ НЕПРАВИЛЬНЫЙ ИЛИ НЕТОЧНЫЙ ЗАХВАТ ИНФОРМАЦИИ ИЛИ ОТСУТСТВИЕ ПОЛУЧЕНИЯ ТАКОЙ ИНФОРМАЦИИ, ВЫЗВАННОЕ ПОЛЬЗОВАТЕЛЯМИ ВЕБ-САЙТА, ​​ВЗАИМОДЕЙСТВИЕМ ИЛИ взломом, ИЛИ ЛЮБЫМ ОБОРУДОВАНИЕМ ИЛИ ПРОГРАММИРОВАНИЕМ, СВЯЗАННЫМ С ИСПОЛЬЗОВАНИЕМ.СПОНСОР НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ТРАВМЫ ИЛИ ПОВРЕЖДЕНИЕ КОМПЬЮТЕРА УЧАСТНИКОВ ИЛИ ЛЮБОГО ЛИЦА, СВЯЗАННОГО ИЛИ РЕЗУЛЬТАТЫ УЧАСТИЯ В ЭТОМ КОНКУРСЕ ИЛИ ИЛИ ИСПОЛЬЗОВАНИЯ ВЕБ-САЙТА. НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ СПОНСОР ИЛИ ИХ РОДИТЕЛЬСКИЕ КОМПАНИИ, ДИСТРИБЬЮТОРЫ, ФИЛИАЛЫ, ДОЧЕРНИЕ ПРЕДПРИЯТИЯ, ОФИЦЕРЫ, ПРОДАВЦЫ И АГЕНТСТВА, КАЖДЫЙ из ИХ ОТВЕТСТВЕННЫХ ДИРЕКТОРОВ, ДОЛЖНОСТНЫХ ЛИЦ, СОТРУДНИКОВ, ПРЕДСТАВИТЕЛЕЙ И АГЕНТОВ ИЛИ ЗАРУБЕЖНЫХ ПРЕДСТАВИТЕЛЕЙ ИЛИ ДОЛЖНЫ БЫТЬ ОТВЕТСТВЕННЫМИ , ВКЛЮЧАЯ ПРЯМЫЕ, КОСВЕННЫЕ, СЛУЧАЙНЫЕ, КОСВЕННЫЕ ИЛИ ШТРАФНЫЕ УБЫТКИ, ВОЗНИКАЮЩИЕ В РЕЗУЛЬТАТЕ ВАШЕГО УЧАСТИЯ В ЭТОМ КОНКУРСЕ, ДОСТУПА И ИСПОЛЬЗОВАНИЯ ВЕБ-САЙТА ИЛИ ЗАГРУЗКИ И / ИЛИ ПЕЧАТИ МАТЕРИАЛОВ, ЗАГРУЖЕННЫХ С ВЕБ-САЙТА.БЕЗ ОГРАНИЧЕНИЙ ВЫШЕ, ВСЕ НА ВЕБ-САЙТЕ И В ЭТОМ КОНКУРСЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ», БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЯ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ТОВАРНОЙ ПРИГОДНОСТИ ИЛИ ПРИГОДНОСТИ НАРУШЕНИЕ. В НЕКОТОРЫХ ЮРИСДИКЦИЯХ МОГУТ НЕ РАЗРЕШИТЬСЯ ОГРАНИЧЕНИЯ ИЛИ ИСКЛЮЧЕНИЕ ОТВЕТСТВЕННОСТИ ЗА СЛУЧАЙНЫЕ ИЛИ КОСВЕННЫЕ УБЫТКИ, ИЛИ ИСКЛЮЧЕНИЕ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ, ПОЭТОМУ НЕКОТОРЫЕ ИЗ ВЫШЕУКАЗАННЫХ ОГРАНИЧЕНИЙ ИЛИ ИСКЛЮЧЕНИЙ МОГУТ НЕ ОТНОСИТЬСЯ К ВАМ.ПРОВЕРЬТЕ ВАШИ МЕСТНЫЕ ЗАКОНЫ НА ЛЮБЫЕ ОГРАНИЧЕНИЯ ИЛИ ОГРАНИЧЕНИЯ, КАСАЮЩИЕСЯ ЭТИ ОГРАНИЧЕНИЯ ИЛИ ИСКЛЮЧЕНИЙ.

Споры

В качестве условия участия в Конкурсе вы соглашаетесь с тем, что любые споры, которые не могут быть разрешены между сторонами, претензии и причины действий, возникающие в результате или связанные с этим Конкурсом, или любыми присужденными призами, или решением Решение о победителе решается в индивидуальном порядке, без обращения в какую-либо форму группового иска, исключительно в арбитражном порядке в соответствии с правилами коммерческого арбитража Американской арбитражной ассоциации, вступившими в силу.Кроме того, в любом таком споре вам ни при каких обстоятельствах не разрешается получать вознаграждения, и вы тем самым отказываетесь от всех прав требовать штрафных, случайных или косвенных убытков или любых других убытков, включая гонорары адвокатов, кроме ваших фактических убытков. карманные расходы (т. е. расходы, связанные с участием в этом Конкурсе), и вы отказываетесь от всех прав на умножение или увеличение убытков. Все вопросы и вопросы, касающиеся конструкции, действительности, толкования и применимости настоящих Официальных правил, или ваших прав и обязанностей или прав и обязанностей Спонсора в связи с этим Конкурсом, регулируются и толкуются в соответствии с законами штата. Нью-Йорка, U.S.A. без применения его правил коллизионного права, и все судебные разбирательства должны проходить в этом штате в городе и округе Нью-Йорк.

В качестве условия участия в Конкурсе вы соглашаетесь с тем, что любые споры, которые не могут быть разрешены между сторонами, претензии и причины действий, возникающие в результате или связанные с этим Конкурсом, или любыми присужденными призами, или определением победителя разрешается в индивидуальном порядке, без обращения к какой-либо форме группового иска исключительно в арбитражном порядке в соответствии с правилами коммерческого арбитража Американской арбитражной ассоциации, вступившими в силу.Кроме того, в любом таком споре вам ни при каких обстоятельствах не разрешается получать вознаграждения, и вы тем самым отказываетесь от всех прав требовать штрафных, случайных или косвенных убытков или любых других убытков, включая гонорары адвокатов, кроме ваших фактических убытков. карманные расходы (т. е. расходы, связанные с участием в этом Конкурсе), и вы отказываетесь от всех прав на умножение или увеличение убытков. Все вопросы и вопросы, касающиеся конструкции, действительности, толкования и применимости настоящих Официальных правил, или ваших прав и обязанностей или прав и обязанностей Спонсора в связи с этим Конкурсом, регулируются и толкуются в соответствии с законами штата. Нью-Йорка, U.S.A. без применения его правил коллизионного права, и все судебные разбирательства должны проходить в этом штате в городе и округе Нью-Йорк.

В качестве условия участия в Конкурсе вы соглашаетесь с тем, что любые споры, которые не могут быть разрешены между сторонами, претензии и причины действий, возникающие в результате или связанные с этим Конкурсом, или любыми присужденными призами, или определением победителя разрешается в индивидуальном порядке, без обращения к какой-либо форме группового иска исключительно в арбитражном порядке в соответствии с правилами коммерческого арбитража Американской арбитражной ассоциации, вступившими в силу.Кроме того, в любом таком споре вам ни при каких обстоятельствах не разрешается получать вознаграждения, и вы тем самым отказываетесь от всех прав требовать штрафных, случайных или косвенных убытков или любых других убытков, включая гонорары адвокатов, кроме ваших фактических убытков. карманные расходы (т. е. расходы, связанные с участием в этом Конкурсе), и вы отказываетесь от всех прав на умножение или увеличение убытков. Все вопросы и вопросы, касающиеся конструкции, действительности, толкования и применимости настоящих Официальных правил, или ваших прав и обязанностей или прав и обязанностей Спонсора в связи с этим Конкурсом, регулируются и толкуются в соответствии с законами штата. Нью-Йорка, U.S.A. без применения его правил коллизионного права, и все судебные разбирательства должны проходить в этом штате в городе и округе Нью-Йорк. В случае возникновения спора относительно личности победителя на основании адреса электронной почты, победившая заявка будет объявлена ​​авторизованным владельцем учетной записи на адрес электронной почты, указанный во время подачи заявки. «Уполномоченный владелец учетной записи определяется как физическое лицо, которому адрес электронной почты назначается поставщиком доступа в Интернет, поставщиком онлайн-услуг или другой организацией (e.g., бизнес, образование, учреждение и т. д.), который отвечает за назначение адресов электронной почты для домена, связанного с отправленным адресом электронной почты

Как с нами связаться

Чтобы связаться с нами с любыми вопросами или проблемами в связи с этим Соглашения или Сайта, или чтобы предоставить нам какое-либо уведомление в соответствии с настоящим Соглашением, перейдите в раздел «Контакты» или напишите нам по адресу:

Artspace LLC
65 Bleecker St. 8th Floor
New York, NY, 10012
Электронная почта: service @ artspace .com
Факс: 646-365-3350

Общая информация

Условия представляют собой полное соглашение между вами и Artspace и регулируют использование вами Сайта, заменяя любые предыдущие соглашения между вами и Artspace.Вы также можете подпадать под действие дополнительных положений и условий, применимых к определенным частям Сайта.

Вы соглашаетесь с тем, что между Artspace и вами не существует совместных предприятий, партнерских, трудовых или агентских отношений в результате настоящего Соглашения или использования вами Сайта.

Любые претензии или основания для иска, которые могут возникнуть у вас в отношении Artspace или Сайта, должны быть предъявлены в течение одного (1) года после возникновения претензии или основания для иска.

Наша неспособность реализовать или обеспечить соблюдение какого-либо права или положения Условий не означает отказ от такого права или положения.Если какое-либо положение Условий будет признано судом компетентной юрисдикции недействительным, стороны, тем не менее, соглашаются, что суд должен попытаться реализовать намерения сторон, отраженные в этом положении, а другие положения Условий остаются в полная сила и эффект.

Вы не можете переуступать Условия или какие-либо свои права или обязанности в соответствии с Условиями без нашего явного письменного согласия.

Условия действуют в пользу правопреемников, правопреемников и лицензиатов Artspace.Названия разделов Условий приведены только для удобства и не имеют юридической или договорной силы.

© Copyright 2021, Artspace LLC. Все права защищены.

Я подтверждаю, что ознакомился с условиями использования Artspace.

IPv4 против IPv6 — в чем разница между двумя протоколами?

Смущает разница между IPv4 и IPv6?

IP, сокращение от I nternet P rotocol, — это протокол, который помогает компьютерам / устройствам обмениваться данными друг с другом по сети.Как следует из буквы «v» в названии, существуют разные версии Интернет-протокола: IPv4 и IPv6.

В этом посте мы рассмотрим все, что вам нужно знать, чтобы понять разницу между IPv4 и IPv6. Вот что мы расскажем:

Хотите посмотреть видео версию?

Что такое Интернет-протокол (IP)?

Интернет-протокол

(IP) — это набор правил, которые помогают с маршрутизацией пакетов данных, чтобы данные могли перемещаться по сети и доставляться в нужное место назначения.

Когда компьютер пытается отправить информацию, она разбивается на более мелкие фрагменты, называемые пакетами. Чтобы убедиться, что все эти пакеты попадают в нужное место, каждый пакет включает IP-информацию.

Другая часть загадки состоит в том, что каждому устройству или домену в Интернете назначается IP-адрес, который однозначно идентифицирует его среди других устройств.

Сюда входит и ваш собственный компьютер, с которым вы, вероятно, сталкивались раньше. Если вы перейдете на один из многих вопросов «Какой у меня IP-адрес?» инструменты, они покажут вам IP-адрес вашего компьютера и приблизительную оценку вашего местоположения (, что должно быть точным, если вы не используете VPN ).

Вероятно, наиболее знакомый вам IP-адрес выглядит примерно так:

32.253.431.175

Назначая каждому устройству IP-адрес, сети могут эффективно маршрутизировать все эти пакеты данных и обеспечивать их попадание в нужное место.

Что такое IPv4?

Несмотря на цифру «4» в названии, IPv4 фактически является первой используемой версией IP. Он был запущен еще в 1983 году и даже сегодня остается самой известной версией для идентификации устройств в сети.

IPv4 использует 32-битный адрес, это формат, с которым вы, вероятно, наиболее знакомы при обсуждении «IP-адреса». Это 32-битное адресное пространство обеспечивает почти 4,3 миллиарда уникальных адресов, хотя некоторые IP-блоки зарезервированы для специальных целей.

Вот пример IPv4-адреса:

32.253.431.175

Что такое IPv6?

IPv6 — это более новая версия IP, которая использует 128-битный формат адреса и включает в себя как цифры, так и буквы.Вот пример IPv6-адреса:

3002: 0bd6: 0000: 0000: 0000: ee00: 0033: 6778

Зачем нам понадобилась новая версия IP?

На этом этапе вам может быть интересно, почему IPv6 вообще существует.

Что ж, хотя 4,3 миллиарда потенциальных IP-адресов в IPv4 могут показаться большим количеством, нам нужно намного больше IP-адресов!

В мире много людей с большим количеством устройств. Это еще более серьезная проблема с ростом количества устройств IoT (Интернет вещей) и датчиков, поскольку они значительно расширяют пул подключенных устройств.

Проще говоря, в мире заканчиваются уникальные адреса IPv4, и это главная причина, по которой нам нужен IPv6.

Но есть и другие более мелкие технические причины — давайте их обсудим.

💡 IP, сокращение от Internet Protocol, помогает компьютерам / устройствам обмениваться данными по сети. В этом руководстве рассматриваются различия между версиями IPv4 и IPv6 👇Нажмите, чтобы твитнуть

В чем разница между IPv4 и IPv6?

Теперь давайте рассмотрим разницу между IPv4 и IPv6.

Самая очевидная разница и наиболее применима для обычных людей — это разница в форматах:

• IPv4 использует 32-битный адрес
• IPv6 использует 128-адресный

Не вдаваясь в математику (мы сохраним это для следующего раздела), это означает, что IPv6 предлагает в 1028 раз больше адресов, чем IPv4, что по существу решает проблему «исчерпания адресов» (по крайней мере, в обозримом будущем) .

Подпишитесь на информационный бюллетень

Хотите узнать, как мы увеличили наш трафик более чем на 1000%?

Присоединяйтесь к 20 000+ других, которые получают нашу еженедельную рассылку с инсайдерскими советами WordPress!

Подпишитесь сейчас

IPv6 также является буквенно-цифровым адресом, разделенным двоеточиями, тогда как IPv4 является только числовым и разделен точками.Опять же, вот пример каждого:

• IPv4 — 32.253.431.175
• IPv6 — 3002: 0bd6: 0000: 0000: 0000: ee00: 0033: 6778

Есть также некоторые технические различия между IPv4 и IPv6, хотя разработчикам не обязательно их знать. Вот некоторые из наиболее заметных технических отличий:

• IPv6 включает встроенное качество обслуживания (QoS).
• IPv6 имеет встроенный уровень сетевой безопасности (IPsec).
• IPv6 исключает трансляцию сетевых адресов (NAT) и обеспечивает сквозное соединение на уровне IP. 128 разных адресов.Если вас интересует точное число, вот сколько уникальных адресов предлагает IPv6: 340 282 366 920 938 463 463 374 607 431 768 211 456

  Это означает, что нам предстоит пройти долгий путь, прежде чем у нас закончатся адреса IPv6!

  Есть ли разница между скоростью IPv4 и IPv6? Что быстрее?

  В целом, нет большой разницы между скоростями IPv4 и IPv6, хотя некоторые данные свидетельствуют о том, что IPv6 может быть немного быстрее в некоторых ситуациях.

  Что касается «отсутствия разницы», Sucuri провел серию тестов на сайтах, поддерживающих как IPv4, так и IPv6, и обнаружил, что на большинстве сайтов, которые они тестировали, разницы практически не было.

  Однако вы также можете найти некоторые свидетельства того, что IPv6 работает быстрее. Например, в блоге инженеров Facebook говорится: «Мы заметили, что доступ к Facebook может быть на 10-15 процентов быстрее по IPv6».

  Аналогичным образом, Akamai протестировал один URL-адрес в сети iPhone / мобильной связи и обнаружил, что среднее время загрузки сайта было на 5% быстрее с IPv6 по сравнению с IPv4.

  Однако существует множество переменных, поэтому сложно сравнивать производительность без проведения строго контролируемых экспериментов.

  Одна из причин, по которой IPv6 может быть быстрее, заключается в том, что он не тратит время на преобразование сетевых адресов (NAT). Однако IPv6 также имеет более крупные заголовки пакетов, поэтому в некоторых случаях он может быть медленнее.

  Насколько популярнее IPv4 или IPv6?

  Хотя цифры меняются по мере того, как IPv6 расширяется, IPv4 по-прежнему остается наиболее широко используемым интернет-протоколом.

  Принятие IPv6 во всем мире

  Google ведет общедоступную статистику доступности IPv6 для пользователей Google по странам по всему миру.Эти числа представляют собой процент всего трафика на сайты Google, который проходит через IPv6, а не IPv4.

  Во всем мире доступность IPv6 составляет около 32%, но она сильно различается в зависимости от страны. Например, в США принято более 41% IPv6, в Великобритании — около 30%, а в Испании — всего 2,5%.

  Принятие IPv6 в каждой стране

  Какую версию интернет-протокола использует Kinsta?

  Если вы размещаете свой сайт WordPress в Kinsta, вам может быть интересно, использует ли Kinsta IPv4 или IPv6.Kinsta в настоящее время использует IPv4.

  Почему? Поскольку Kinsta работает на премиум-уровне Google Cloud, и в настоящее время Google Cloud не полностью поддерживает IPv6.

  С учетом сказанного, поддержка IPv6 входит в план развития Google Cloud, поэтому в будущем это может измениться. Однако нет официального графика, когда Google Cloud добавит поддержку IPv6.

  Смущает IPv4 и IPv6? 🥴 Нажмите, чтобы узнать, чем отличаются эти две версии интернет-протокола.

  Сводка

  Интернет-протокол (IP) помогает маршрутизировать данные по сети.Для этого каждому устройству назначается IP-адрес.

  IPv4 — это исходная версия, которая была запущена еще в 1983 году. Однако его 32-битный формат позволяет использовать только ~ 4,3 миллиарда уникальных адресов, что не может удовлетворить потребности современного мира.

  Чтобы решить проблему отсутствия уникальных адресов IPv4 (и внести некоторые другие технические изменения), был создан IPv6. IPv6 использует 128-битный формат адреса, который предлагает в 1028 раз больше уникальных адресов, чем IPv4.

  Для большинства людей это все, что вам нужно знать — IPv6 использует другой формат и предлагает гораздо больше уникальных адресов, чем IPv4.

  Kinsta использует IPv4, потому что GCP, лежащая в основе инфраструктуры Kinsta, еще не развернула поддержку IPv6. IPv6 входит в план развития Google Cloud, поэтому в будущем ситуация может измениться.

  ---

  Если вам понравилась эта статья, то вам понравится хостинговая платформа Kinsta WordPress. Ускорьте свой сайт и получите круглосуточную поддержку от нашей опытной команды WordPress. Наша инфраструктура на базе Google Cloud ориентирована на масштабируемость, производительность и безопасность. Позвольте нам показать вам разницу в Kinsta! Ознакомьтесь с нашими тарифами

  Что такое ООО?

  ООО (на русском языке «Общество с Ограниченной Ответственностью») — это компания с ограниченной ответственностью, уставный капитал которой разделен на акции.Это форма коммерческого юридического лица, учрежденного в России, которое приобретает правоспособность после регистрации в соответствующих государственных органах.

  ООО создается на учредительном собрании одним или несколькими учредителями. На этом собрании учредители утверждают решение о создании компании, органы управления и устав компании.

  Устав (учредительный документ компании в России) содержит все необходимые данные о компании, особенно ее название и головной офис, структуру и возможности органа управления, а также права и обязанности партнеров.

  Высшим органом управления является общее собрание учредителей, которое проводится один раз в год. Общее собрание учредителей несет исключительную ответственность за все ключевые решения компании и осуществляет права управления и контроля. Количество учредителей в компании может быть до 50. В противном случае компания должна быть преобразована в акционерное общество в течение года. Уставный капитал состоит из суммы вкладов партнеров в размере не менее 10 000 рублей.

  ООО несет полную ответственность по своим обязательствам всеми активами.Однако он не несет ответственности по обязательствам своих партнеров. Точно так же партнеры не несут ответственности по обязательствам компании и несут риски только в размере своих долей.

  Основное различие между ООО и российским акционерным обществом состоит в том, что уставный капитал ООО разделен на акции, распределение которых указано в учредительных документах, а уставный капитал акционерного общества распределяется в соответствии с номерами выпущенные акции.Фундаментные процессы аналогичны. Существенное отличие состоит в том, что для акционерных обществ процесс выпуска акций должен быть зарегистрирован Центральным банком Российской Федерации.

  Анализируйте записи данных межсетевого экрана Firepower для эффективного устранения сетевых проблем

  Введение

  В этом документе описываются различные методы анализа перехвата пакетов, направленные на эффективное устранение неполадок в сети. Все сценарии, представленные в этом документе, основаны на реальных пользовательских случаях, замеченных в Центре технической поддержки Cisco (TAC).Документ охватывает захват пакетов с точки зрения межсетевого экрана Cisco следующего поколения (NGFW), но те же концепции применимы и к другим типам устройств.

  Предварительные требования

  Требования

  Cisco рекомендует ознакомиться со следующими темами:

  • Архитектура платформы огневой мощи
  • Журналы NGFW
  • Трассировщик пакетов NGFW

  Кроме того, перед началом анализа перехвата пакетов настоятельно рекомендуется выполнить следующие требования:

  • Знать работу протокола — Бесполезно начинать проверку захвата пакета, если вы не понимаете, как работает захваченный протокол
  • Знать топологию — Вы должны знать транзитные устройства.В идеале сквозной. Если это невозможно, вы должны, по крайней мере, знать восходящие и нисходящие устройства
  .
  • Знать устройство — Вы должны знать, как ваше устройство обрабатывает пакеты, каковы задействованные интерфейсы (например, вход / выход), какова архитектура устройства и каковы различные точки захвата
  • Знать конфигурацию — Вы должны знать, как устройство должно обрабатывать поток пакетов с точки зрения:
    • Интерфейс маршрутизации / выхода
    • Применяемые политики
    • Трансляция сетевых адресов (NAT)
  • Знайте доступные инструменты — Наряду с захватами рекомендуется также быть готовым к применению других инструментов и методов устранения неполадок, таких как ведение журнала и трассировщики, и, при необходимости, сопоставить их с захваченными пакетами

  Используемые компоненты

  Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

  • Большинство сценариев основано на FP4140 с программным обеспечением FTD 6.5.x.
  • FMC с программным обеспечением 6.5.x.

  Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

  Справочная информация

  Захват пакетов — один из наиболее часто игнорируемых инструментов устранения неполадок, доступных сегодня. Центр технической поддержки Cisco TAC ежедневно решает множество проблем клиентов путем анализа собранных данных.Цель этого документа — помочь сетевым инженерам и специалистам по безопасности выявлять и устранять распространенные сетевые проблемы, в основном на основе анализа перехвата пакетов.

  Как собирать и экспортировать снимки по семейству продуктов NGFW?

  В случае устройства Firepower (1xxx, 21xx, 41xx, 93xx) и приложения Firepower Threat Defense (FTD) обработка пакетов может быть визуализирована, как показано на изображении.

  1. Пакет поступает на входной интерфейс и обрабатывается внутренним коммутатором шасси.
  2. Пакет поступает в движок FTD Lina, который в основном выполняет проверки L3 / L4.
  3. Если политика требует, пакет проверяется механизмом Snort (в основном проверка L7).
  4. Механизм Snort возвращает вердикт для пакета.
  5. Механизм LINA отбрасывает или пересылает пакет на основе вердикта Snort.
  6. Пакет выходит из шасси через внутренний коммутатор шасси.

  В зависимости от показанной архитектуры захваты FTD могут выполняться в 3 разных местах:

  • FXOS
  • Двигатель FTD Lina
  • Двигатель FTD Snort
  Сбор снимков FXOS

  Процесс описан в этом документе:

  https: // www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos271/web-guide/b_GUI_FXOS_ConfigGuide_271/troubleshooting.html#concept_E8823CC63C934A909BBC0DF12F301DED 9000

  захвата FXOS могут быть сделаны только во входном направлении с точки зрения внутреннего коммутатора, как показано на изображении здесь.

  Как показано на изображении, это две точки захвата в каждом направлении (из-за внутренней архитектуры коммутатора).

  Перехваченные пакеты в точках 2, 3 и 4 имеют виртуальный сетевой тег (VNTag).

  Примечание : Захваты на уровне шасси FXOS доступны только на платформах FP41xx и FP93xx. FP1xxx и FP21xx не предоставляют такой возможности.

  Включение и сбор снимков FTD Lina

  Основные точки захвата:

  • Входящий интерфейс
  • Выходной интерфейс
  • Ускоренный путь безопасности (ASP)

  Вы можете использовать пользовательский интерфейс Центра управления огневой мощью (FMC UI) или FTD CLI, чтобы включить и собрать захваты FTD Lina.

  Включить захват из CLI на интерфейсе INSIDE:

   firepower #  захват интерфейса CAPI ВНУТРИ соответствие хосту icmp 192.168.103.1 хост 192.168.101.1  

  Этот захват соответствует трафику между IP-адресами 192.168.103.1 и 192.168.101.1 в обоих направлениях.

  Включите захват ASP, чтобы увидеть все пакеты, отброшенные механизмом FTD Lina:

   огневая мощь #  захват ASP тип asp-drop all  

  Экспорт захвата FTD Lina на FTP-сервер:

   firepower #  copy / pcap capture: CAPI ftp: // ftp_username: ftp_password @ 192.168.78.73 / CAPI.pcap  

  Экспорт захвата FTD Lina на сервер TFTP:

   firepower #  copy / pcap capture: CAPI tftp: //192.168.78.73  

  Начиная с версии FMC 6.2.x, вы можете включать и собирать захваты FTD Lina из пользовательского интерфейса FMC.

  Другой способ сбора данных FTD от межсетевого экрана, управляемого FMC, — это.

  Шаг 1

  В случае захвата LINA или ASP скопируйте захват на диск FTD, например.

   firepower #  copy / pcap capture: capin disk0: capin.pcap 
  
  Имя захвата источника [capin]?
  
  Целевое имя файла [capin.pcap]?
  !!!!
   

  Шаг 2

  Перейдите в экспертный режим, найдите сохраненный снимок и скопируйте его в / ngfw / var / common location:

   огневая мощь #
  
  Консольное соединение отключено.
  
  >  экспертов
    admin @ firepower: ~  долларов sudo su 
  Пароль:
  корень @ огневая мощь: / home / admin #  cd / mnt / disk0 
  root @ firepower: / mnt / disk0 #  ls -al | grep pcap 
  -rwxr-xr-x 1 корень root 24 апр 26 18:19 CAPI.pcap
  -rwxr-xr-x 1 корневой корень 30110 8 апреля 14:10  capin.pcap 
  -rwxr-xr-x 1 корневой корень 6123 8 апр, 14:11 capin2.pcap
  корень @ firepower: / mnt / disk0 #  cp capin.pcap / ngfw / var / common
    

  Шаг 3
  

  Войдите в FMC, который управляет FTD, и перейдите к Devices> Device Management. Найдите устройство FTD и выберите значок Устранение неполадок :

  Шаг 4
  

  Выберите Расширенный поиск неисправностей:

  Укажите имя файла захвата и выберите Загрузить:
  
  

  Дополнительные примеры включения / сбора снимков из пользовательского интерфейса FMC см. В этом документе:

  https: // www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

  Включение и сбор данных FTD Snort Capture

  Точка захвата показана на изображении здесь.

  Включить захват уровня Snort:

  >  захват трафика 
  
  Выберите домен для захвата трафика:
    0 - br1
    1 - Маршрутизатор
  
  Выбор?  1 
  
  Укажите желаемые параметры tcpdump.
  (или введите "?" для получения списка поддерживаемых опций)
  Опции:  -n хост 192.168.101.1
    

  Чтобы записать захват в файл с именем capture.pcap и скопировать его через FTP на удаленный сервер:

  >  захват трафика 
  
  Выберите домен для захвата трафика:
    0 - br1
    1 - Маршрутизатор
  
  Выбор?  1 
  
  Укажите желаемые параметры tcpdump.
  (или введите "?" для получения списка поддерживаемых опций)
  Параметры:  -w capture.pcap host 192.168.101.1 
     CTRL + C <- для остановки захвата  
   
  >  копия файла 10.229.22.136 ftp / capture.pcap 
  Введите пароль для [email protected]:
  Копирование capture.pcap
  Копирование выполнено успешно.
  
  > 

  Для получения дополнительных примеров захвата уровня Snort, которые включают различные фильтры захвата, проверьте этот документ:

  https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

  Устранение неполадок
  Случай 1. Нет TCP SYN на исходящем интерфейсе

  Топология показана на изображении здесь:

  Описание проблемы: HTTP не работает

  Затронутый поток:

  Src IP: 192.168.0.100

  Dst IP: 10.10.1.100

  Протокол: TCP 80

  Анализ захвата

  Включить захват на движке FTD LINA:

   firepower #  захват CAPI int INSIDE match ip host 192.168.0.100 host 10.10.1.100 
  firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
    

  Захваты — Функциональный сценарий:

  В качестве основы всегда очень полезно иметь захваты из функционального сценария.

  Захват, сделанный на интерфейсе NGFW INSIDE, как показано на изображении:

  Ключевые точки:

  1. TCP 3-стороннее рукопожатие.
  2. Двунаправленный обмен данными.
  3. Нет задержек между пакетами (исходя из разницы во времени между пакетами)
  4. MAC-адрес источника — это правильное нисходящее устройство.

  Захват, сделанный на ВНЕШНЕМ интерфейсе NGFW, показан на изображении здесь:

  Ключевые точки:

  1. Те же данные, что и в захвате CAPI.
  2. MAC-адрес назначения — это правильное восходящее устройство.

  Захваты — нефункциональный сценарий

  Из интерфейса командной строки устройства снимки выглядят следующим образом:

   огневая мощь #  показать захват 
  захват интерфейса необработанных данных типа CAPI INSIDE  [захват - 484 байта] 
    сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
  захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ  [захват - 0 байт] 
    сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
   

  Содержимое CAPI:

   огневая мощь #  показать захват CAPI 
  
  Захвачено 6 пакетов
  
     1: 11:47:46.

2 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192 2: 11: 47: 47.161902 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192 3: 11: 47: 49.
3 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192 4: 11: 47: 50.162757 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192 5: 11: 47: 55.0 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192 6: 11: 47: 56.164710 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192

 огневая мощь #  показать захват CAPO 

  0 пакетов захвачено 

Показано 0 пакетов
 

Это образ захвата CAPI в Wireshark:

Ключевые точки:

1. Видны только TCP SYN-пакеты (без трехстороннего подтверждения TCP).
2. Невозможно установить 2 сеанса TCP (порт источника 3171 и 3172). Исходный клиент повторно отправляет пакеты TCP SYN. Эти повторно переданные пакеты идентифицируются Wireshark как повторные передачи TCP.
3. Повторные передачи TCP происходят каждые ~ 3, затем 6 и т. Д. Секунд
4. MAC-адрес источника получен от правильного нисходящего устройства.

На основании 2 отловов можно сделать вывод, что:

• Пакет из определенного набора из 5 кортежей (src / dst IP, src / dst порт, протокол) поступает на межсетевой экран на ожидаемом интерфейсе (INSIDE).
• Пакет не покидает межсетевой экран на ожидаемом интерфейсе (ВНЕШНИЙ).

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте трассировку эмулируемого пакета.

Используйте средство отслеживания пакетов, чтобы увидеть, как пакет должен обрабатываться межсетевым экраном. В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка эмулированного пакета выглядит примерно так:

 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 11111 10.10.1.100 80 

Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: МАРШРУТ-ПРОСМОТР
Подтип: Resolve Egress Interface 
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA
  

Действие 2.Проверьте следы живых пакетов.

Включите трассировку пакетов, чтобы проверить, как настоящие пакеты TCP SYN обрабатываются межсетевым экраном. По умолчанию отслеживаются только первые 50 входящих пакетов:

 огневая мощь #  захват трассировки CAPI  

Очистить буфер захвата:

 firepower #  чистый захват / все  


В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка выглядит примерно так:

 firepower #  показать трассировку номер 1 пакета CAPI захвата
 
Захвачено 6 пакетов

   1: 12:45:36.279740 192.168.0.100.3630> 10.10.1.100.80: S 2322685377: 2322685377 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA 

Показан 1 пакет
 

Действие 3.Проверьте логи FTD Lina.

Чтобы настроить системный журнал на FTD через FMC, проверьте этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200479-Configure-Logging-on-FTD-via-FMC.html

Настоятельно рекомендуется настроить внешний сервер системного журнала для журналов FTD Lina. Если удаленный сервер системного журнала не настроен, включите локальные буферные журналы на брандмауэре во время устранения неполадок. Конфигурация журнала, показанная в этом примере, является хорошей отправной точкой:

 огневая мощь #  журнал показа пробега 
…
ведение журнала включить
отметка времени регистрации
размер буфера регистрации 1000000
логирование буферизованной информации
 


Установите пейджер терминала на 24 линии для управления пейджером терминала:

 firepower #  терминал пейджер 24  


Очистить буфер захвата:

 firepower #  очистить буфер регистрации  

Протестируйте соединение и проверьте логи с помощью фильтра синтаксического анализатора.В этом примере пакеты отбрасываются политикой доступа брандмауэра:

 firepower #  показать лесозаготовку | включает 10.10.1.100 
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3696 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100 / 3696 dst ВНЕШНИЙ: 10.10.1.100/80 по группе доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
 

Действие 4. Проверьте отбрасывание ASP межсетевого экрана.

Если вы подозреваете, что пакет отброшен брандмауэром, вы можете увидеть счетчики всех пакетов, отброшенных брандмауэром на программном уровне:

 огневая мощь #  показать asp drop 

Падение кадра:
  Нет маршрута к хосту (нет маршрута) 234
  Поток запрещен настроенным правилом (acl-drop) 71

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15

Падение потока:

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15
 

Вы можете включить записи, чтобы увидеть все падения уровня программного обеспечения ASP:

 firepower #  захват ASP тип asp-drop весь буфер 33554432 только заголовки  

Совет : Если вас не интересует содержимое пакета, вы можете захватывать только заголовки пакетов (опция только заголовков).Это позволяет захватывать гораздо больше пакетов в буфер захвата. Кроме того, вы можете увеличить размер буфера захвата (по умолчанию 500 Кбайт) до 32 Мбайт (опция буфера). Наконец, начиная с FTD версии 6.3, опция размера файла позволяет вам конфигурировать файл захвата размером до 10 ГБ. В этом случае вы можете видеть только захваченное содержимое в формате pcap.

Чтобы проверить содержимое захвата, вы можете использовать фильтр, чтобы сузить область поиска:

 огневой мощи #  показать захват ASP | включить 10.10.1.100 
  18: 07: 51: 57.823672 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  19: 07: 51: 58.074291 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  26: 07: 52: 00.830370 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  29: 07: 52: 01.080394 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  45: 07: 52: 06.824282 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  46: 07: 52: 07.074230 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
 

В этом случае, поскольку пакеты уже отслеживаются на уровне интерфейса, причина отбрасывания не упоминается в захвате ASP.Помните, что пакет можно отследить только в одном месте (входящий интерфейс или отбрасывание ASP). В этом случае рекомендуется выполнить несколько сбросов ASP и установить конкретную причину сброса ASP. Вот рекомендуемый подход:

1. Очистить текущие счетчики сбросов ASP:

 firepower #  чистый asp drop  

2. Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

3. Еще раз проверьте счетчики сбросов ASP и отметьте увеличившиеся значения, например.г.

 огневая мощь #  показать asp drop 
Падение кадра:
  Нет маршрута к хосту ( нет маршрута ) 234
  Поток запрещен настроенным правилом ( acl-drop ) 71
 


4. Включите захват ASP для определенных видимых отбрасываний:

 firepower #  захват ASP_NO_ROUTE тип asp-drop no-route 
firepower #  захват ASP_ACL_DROP тип asp-drop acl-drop
  

5.Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

6. Проверьте захваты ASP. В этом случае пакеты были сброшены из-за отсутствия маршрута:

 firepower #  показать захват ASP_NO_ROUTE | включают 192.168.0.100. * 10.10.1.100 
  93: 07: 53: 52.381663 192.168.0.100.12417> 10.10.1.100.80: S 3451
5: 3451
5 (0) win 8192 
  95: 07: 53: 52.632337 192.168.0.100.12418> 10.10.1.100.80: S 16
448: 16
448 (0) win 8192 
 101: 07:53:55.375392 192.168.0.100.12417> 10.10.1.100.80: S 3451
5: 3451
5 (0) win 8192 
 102: 07: 53: 55.626386 192.168.0.100.12418> 10.10.1.100.80: S 16
448: 16
448 (0) win 8192 
 116: 07: 54: 01.376231 192.168.0.100.12417> 10.10.1.100.80: S 3451
5: 3451
5 (0) выигрыш 8192 
 117: 07: 54: 01.626310 192.168.0.100.12418> 10.10.1.100.80: S 16
448: 16
448 (0) win 8192 
 

Действие 5.Проверьте таблицу соединений FTD Lina.

Могут быть случаи, когда вы ожидаете, что пакет будет исходить из интерфейса «X», но по каким-либо причинам он выходит за пределы интерфейса «Y». Определение выходного интерфейса межсетевого экрана основано на следующем порядке работы:

1. Поиск установленного соединения
2. Поиск преобразования сетевых адресов (NAT) — этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
3. Маршрутизация на основе политик (PBR)
4. Поиск в таблице маршрутизации

Для проверки таблицы соединений FTD:

 firepower #  показать conn 
2 используются, 4 наиболее часто используются
Осмотрите Snort:
        preserve-connection: 2 включено, 0 активно, 4 наиболее активно, 0 наиболее активно

TCP  DMZ  10.10.1.100:  80   INSIDE  192.168.0.100:  11694 , простоя 0:00:01, байты 0, флаги  aA N1 
TCP  DMZ  10.10.1.100:80  INSIDE  192.168.0.100:  11693 , режим ожидания 0:00:01, байты 0, флаги  aA N1
  

Ключевые точки:

• На основании флагов (Aa) соединение находится в зачаточном состоянии (полуоткрытое — межсетевой экран видел только TCP SYN).
• В зависимости от портов источника / назначения входной интерфейс — ВНУТРЕННИЙ, а выходной интерфейс — DMZ.

Это можно визуализировать на изображении здесь:

Примечание : Поскольку все интерфейсы FTD имеют уровень безопасности 0, порядок интерфейсов в выводе show conn основан на номере интерфейса. В частности, интерфейс с более высоким vpif-num (номер интерфейса виртуальной платформы) выбирается как внутренний, а интерфейс с меньшим vpif-num выбирается как внешний. Вы можете увидеть значение vpif интерфейса с помощью команды show interface detail .Связанное усовершенствование, CSCvi15290 ENH: FTD должен показывать направленность соединения в выводе FTD ‘show conn’

 огневая мощь #  показать детали интерфейса | i Номер интерфейса | Интерфейс [P | E]. * is up 
...
Интерфейс Ethernet1 / 2 "INSIDE", включен, протокол линии включен
        Номер интерфейса  19 
Интерфейс Ethernet1 / 3.202 "OUTSIDE", включен, протокол линии включен
        Номер интерфейса  20 
Интерфейс Ethernet1 / 3.203 "DMZ", включен, протокол линии включен
        Номер интерфейса  22  

Примечание : Начиная с версии программного обеспечения Firepower 6.5, выпуск 9.13.x ASA, выходные данные команд show conn long и show conn detail предоставляют информацию об инициаторе соединения и ответчике

Выход 1:

 firepower #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 (192.168.2.200/80) ВНУТРИ: 192.168.1.100/46050 (192.168.1.100/46050), флаги aA N1, простоя 3 секунды, время безотказной работы 6 секунд, таймаут 30 секунд, байты 0
    Инициатор: 192.168.1.100, ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 

Выход 2:

 firepower #  показать деталь коннектора 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 ВНУТРИ: 192.168.1.100/46050,
    флаги aA N1, простоя 4 с, время безотказной работы 11 с, тайм-аут 30 с, байты 0
    Инициатор: 192.168.1.100, ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 

Кроме того, show conn long отображает IP-адреса с NAT в круглых скобках в случае преобразования сетевых адресов:

 firepower #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.222/80 (192.168.2.222/80) ВНУТРИ: 192.168.1.100/34792 ( 192.168.2.150 /34792), флаги aA N1, idle 0s, uptime 0s, timeout 30s, байты 0, xlate id 0x2b5a8a4314c0
  Инициатор: 192.168.1.100, Ответчик: 192.168.2.222
  Идентификатор ключа поиска соединения: 262895
 

Действие 6. Проверьте кэш протокола разрешения адресов (ARP) межсетевого экрана.

Если межсетевой экран не может разрешить следующий переход, межсетевой экран автоматически отбрасывает исходный пакет (в данном случае TCP SYN) и непрерывно отправляет запросы ARP, пока не разрешит следующий переход.

Чтобы увидеть кеш ARP брандмауэра, используйте команду:

 огневая мощь #  показать arp  

Дополнительно, чтобы проверить наличие неразрешенных хостов, вы можете использовать команду:

 firepower #  показать статистику arp 
        Количество записей ARP в ASA: 0

        Выпало блоков в ARP: 84
        Максимальное количество блоков в очереди: 3
        Блоки в очереди: 0
        Получено ARP-сообщений о конфликте интерфейсов: 0
        ARP-защита Отправлено бесплатных ARPS: 0
        Общее количество попыток ARP:  182 <указывает на возможную проблему для некоторых хостов 
        Неразрешенные хосты:  1   <это текущий статус 
        Максимальное количество неразрешенных хостов: 2
 

Если вы хотите дополнительно проверить работу ARP, вы можете включить захват, специфичный для ARP:

 firepower #  захват ARP интерфейс ARP Ethernet-типа ВНЕШНИЙ 
огневая мощь #  показать захват ARP 
...
   4: 07: 15: 16.877914 802.1Q vlan # 202 P0 arp  у кого есть 192.168.2.72 сказать 192.168.2.50 
   5: 07: 15: 18.020033 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 сказать 192.168.2.50
 

В этих выходных данных межсетевой экран (192.168.2.50) пытается разрешить следующий переход (192.168.2.72), но нет ответа ARP

Выходные данные здесь показывают функциональный сценарий с правильным разрешением ARP:

 огневая мощь #  показать захват ARP 

2 пакета захвачены

   1: 07:17:19.495595 802.1Q vlan # 202 P0  arp у кого есть 192.168.2.72 скажите 192.168.2.50 
   2: 07: 17: 19.495946 802.1Q vlan # 202 P0  ответ arp 192.168.2.72 is-at 4c: 4e: 35: fc: fc: d8 
Показано 2 пакета
 

 firepower #  показать arp 
        ВНУТРИ 192.168.1.71 4c4e.35fc.fcd8 9
        ВНЕШНИЙ 192.168.2.72 4c4e.35fc.fcd8 9
 

В случае отсутствия записи ARP, трассировка активного пакета TCP SYN показывает:

 firepower #  показать трассировку номер 1 пакета CAPI захвата 

Захвачено 6 пакетов

   1: 07:03:43.270585  192.168.0.100.11997> 10.10.1.100.80 : S 4023707145: 4023707145 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: ROUTE-LOOKUP 
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  найдено следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE 
…
Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4814, пакет отправлен в следующий модуль
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  обнаружил следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE 

Результат:
  интерфейс ввода: INSIDE 
вход-статус: вверх
вход-линия-статус: вверх
  выходной интерфейс: ВНЕШНИЙ 
статус вывода: вверх
статус строки вывода: вверх
  Действие: разрешить
  

Как видно из выходных данных, трассировка показывает действие : разрешить , даже если следующий прыжок недоступен и пакет автоматически отбрасывается брандмауэром! В этом случае необходимо также проверить средство отслеживания пакетов, поскольку оно обеспечивает более точный вывод:

 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 1111 10.10.1.100 80
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE
…

Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4816, пакет отправлен следующему модулю
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (no-v4-смежность) Недопустимая смежность V4, Расположение отбрасывания: кадр 0x00005647a4e86109 поток (NA) / NA
  

В последних версиях ASA / Firepower приведенное выше сообщение было оптимизировано до:

 Причина отбрасывания: (no-v4-смежность) Нет допустимой смежности V4.  Проверить таблицу ARP (показать arp) имеет запись для nexthop ., Место сброса: f 

Сводка возможных причин и рекомендуемых действий

Если вы видите только пакет TCP SYN на входных интерфейсах, но не пакет TCP SYN, отправленный из ожидаемого выходного интерфейса, возможны следующие причины:

Возможная причина	Рекомендуемые действия
Пакет отброшен политикой доступа межсетевого экрана.	Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет. Проверьте журналы брандмауэра. Проверьте брандмауэр, отбрасывает ASP (покажите asp drop или захват типа asp-drop). Проверить события подключения FMC. Это предполагает, что в правиле включено ведение журнала.
Неправильный фильтр захвата.	Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, есть ли трансляция NAT, которая изменяет исходный или целевой IP.В этом случае настройте фильтр захвата. В выходных данных команды show conn long отображаются IP-адреса с NAT.
Пакет отправляется на другой выходной интерфейс.	Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет. Помните порядок операций, касающихся определения выходного интерфейса, существующего соединения, UN-NAT, PBR и поиска в таблице маршрутизации. Проверьте журналы брандмауэра. Проверьте таблицу соединений межсетевого экрана ( show conn ). Если пакет отправлен на неправильный интерфейс, потому что он соответствует существующему соединению, используйте команду clear conn address и укажите 5-кортеж соединения, которое вы хотите очистить.
Нет маршрута к пункту назначения.	Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет. Проверьте, что брандмауэр отбрасывает ASP (показать asp drop) для no-route причина отбрасывания.
На исходящем интерфейсе нет записи ARP.	Проверьте кэш ARP брандмауэра ( покажите arp ). Используйте трассировщик пакетов , чтобы проверить, есть ли допустимая смежность.
Выходной интерфейс не работает.	Проверьте выходные данные команды show interface iprief на брандмауэре и проверьте состояние интерфейса.

Случай 2. TCP SYN от клиента, TCP RST от сервера

На этом изображении показана топология:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включите захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хост 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты — нефункциональный сценарий:

Из интерфейса командной строки устройства захваты выглядят следующим образом:

 огневая мощь #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват -  834 байта ]
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват -  878 байт ]
  сопоставьте ip host 192.168.0.100 хост 10.10.1.100
 

Содержимое CAPI:

 огневая мощь #  показать захват CAPI 
   1: 05: 20: 36.654217 192.168.0.100.22195> 10.10.1.100.80:  S  1397289928: 1397289928 (0) win 8192 
   2: 05: 20: 36. 
1 192.168.0.100.22196> 10.10.1.100.80: 
  S  2171673258: 2171673258 (0) win 8192 
   3: 05: 20: 36.
3 10.10.1.100.80> 192.168.0.100.22196:  R  1850052503: 1850052503 (0) ack 2171673259 win 0
   4: 05:20:37.414132 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
   5: 05: 20: 37.414803 10.10.1.100.80> 192.168.0.100.22196:  R  31997177: 31997177 (0) ack 2171673259 win 0
   6: 05: 20: 37.3 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
...
 

Содержание CAPO:

 огневая мощь #  показать захват CAPO 
   1: 05:20:36.654507 802.1Q vlan # 202 P0 192.168.0.100.22195> 10.10.1.100.80:  S  2866789268: 2866789268 (0) win 8192 
   2: 05: 20: 36.8 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4785344: 4785344 (0) win 8192 
   3: 05: 20: 36.
7 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4785345 win 0
   4: 05: 20: 37.414269 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4235354730: 4235354730 (0) win 8192 
   5: 05: 20: 37.414758 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4235354731 win 0
   6: 05: 20: 37.
5 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4118617832: 4118617832 (0) win 8192 
 

На этом изображении показан захват CAPI в Wireshark.

Ключевые точки:

1. Источник отправляет пакет TCP SYN.
2. Источнику отправляется TCP RST.
3. Источник повторно передает пакеты TCP SYN.
4. MAC-адреса верны (для входящих пакетов MAC-адрес источника принадлежит нисходящему маршрутизатору, MAC-адрес назначения принадлежит интерфейсу INSIDE межсетевого экрана).

На этом изображении показан захват CAPO в Wireshark:

Ключевые точки:

1. Источник отправляет пакет TCP SYN.
2. TCP RST поступает на ВНЕШНИЙ интерфейс.
3. Источник повторно передает пакеты TCP SYN.
4. MAC-адреса верны (для исходящих пакетов ВНЕШНИЙ межсетевой экран является MAC-адресом источника, восходящий маршрутизатор — MAC-адресом назначения).

На основании 2 отловов можно сделать вывод, что:

• Трехстороннее установление связи TCP между клиентом и сервером не завершается
• Имеется TCP RST, который поступает на выходной интерфейс межсетевого экрана.
• Межсетевой экран «разговаривает» с соответствующими устройствами восходящего и нисходящего потоков (на основе MAC-адресов)
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте исходный MAC-адрес, который отправляет TCP RST.

Убедитесь, что MAC-адрес назначения в пакете TCP SYN совпадает с MAC-адресом источника в пакете TCP RST.

Эта проверка имеет целью подтвердить 2 вещи:

• Убедитесь, что нет асимметричного потока.
• Убедитесь, что MAC принадлежит ожидаемому восходящему устройству.

Действие 2. Сравните входящие и исходящие пакеты.

Визуально сравните 2 пакета в Wireshark, чтобы убедиться, что брандмауэр не изменяет / не повреждает пакеты.Выделены некоторые ожидаемые различия.

Ключевые точки:

1. Временные метки разные. С другой стороны, разница должна быть небольшой и разумной. Это зависит от функций и проверок политики, применяемых к пакету, а также от нагрузки на устройство.
2. Длина пакетов может отличаться, особенно если брандмауэр добавляет / удаляет заголовок dot1Q только с одной стороны.
3. MAC-адреса разные.
4. Заголовок dot1Q может быть на месте, если захват был сделан на субинтерфейсе.
5. IP-адрес (а) различаются, если к пакету применяется NAT или преобразование адресов порта (PAT).
6. Порты источника или назначения различаются, если к пакету применяется NAT или PAT.
7. Если вы отключите параметр Wireshark Relative Sequence Number , вы увидите, что порядковые номера TCP / номера подтверждения изменяются брандмауэром из-за рандомизации начального порядкового номера (ISN).
8. Некоторые параметры TCP могут быть перезаписаны.Например, межсетевой экран по умолчанию изменяет максимальный размер сегмента TCP (MSS) на 1380, чтобы избежать фрагментации пакетов на пути передачи.

Действие 3. Сделайте снимок в пункте назначения.

Если возможно, сделайте снимок в самом пункте назначения. Если это невозможно, сделайте снимок как можно ближе к месту назначения. Цель здесь — проверить, кто отправляет TCP RST (целевой сервер или какое-то другое устройство на пути?).

Корпус 3.Трехстороннее подтверждение TCP + RST от одной конечной точки

На этом изображении показана топология:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включите захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100
  firepower #  capture CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты — нефункциональный сценарий:

Эта проблема может проявляться в захватах несколькими способами.

3.1 — Трехстороннее установление связи TCP + отложенный RST от клиента

Как межсетевой экран перехватывает, так и CAPI, и CAPO содержат одни и те же пакеты, как показано на изображении.

Ключевые точки:

1. Трехстороннее подтверждение TCP проходит через брандмауэр.
2. Сервер повторно передает SYN / ACK.
3. Клиент повторно передает ACK.
4. Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте снимки как можно ближе к двум конечным точкам.

Записи брандмауэра показывают, что клиентский ACK не был обработан сервером. Это основано на следующих фактах:

• Сервер повторно передает SYN / ACK.
• Клиент повторно передает ACK.
• Клиент отправляет TCP RST или FIN / ACK перед любыми данными.

Захват на сервере показывает проблему. Клиентский ACK из трехстороннего подтверждения TCP так и не поступил:

3.2 — Трехстороннее квитирование TCP + отложенный FIN / ACK от клиента + отложенный RST от сервера

Как межсетевой экран перехватывает, так и CAPI, и CAPO содержат одни и те же пакеты, как показано на изображении.

Ключевые точки:

1. Трехстороннее подтверждение TCP проходит через брандмауэр.
2. Через ~ 5 секунд клиент отправляет FIN / ACK.
3. Через ~ 20 секунд сервер отказывается и отправляет TCP RST.

На основании этого захвата можно сделать вывод, что, несмотря на трехстороннее квитирование TCP через брандмауэр, кажется, что оно никогда не завершается на одной конечной точке (повторные передачи указывают на это).

Рекомендуемые действия

То же, что и в случае 3.1

3.3 — Трехстороннее квитирование TCP + отложенный RST от клиента

Как межсетевой экран перехватывает, так и CAPI, и CAPO содержат одни и те же пакеты, как показано на изображении.

Ключевые точки:

1. Трехстороннее подтверждение TCP проходит через брандмауэр.
2. Через ~ 20 секунд клиент отказывается и отправляет TCP RST.

На основании этих снимков можно сделать вывод, что:

• Через 5-20 секунд одна конечная точка отказывается и решает разорвать соединение.
Рекомендуемые действия

То же, что и в случае 3.1

3.4 — Трехстороннее установление связи TCP + немедленное RST с сервера

Оба брандмауэра перехватывают эти пакеты, CAPI и CAPO содержат эти пакеты, как показано на изображении.

Ключевые точки:

1. Трехстороннее подтверждение TCP проходит через брандмауэр.
2. Через несколько миллисекунд после пакета ACK от сервера идет TCP RST.
Рекомендуемые действия

Действие: Делайте снимки как можно ближе к серверу.

Немедленное TCP RST от сервера может указывать на неисправный сервер или устройство на пути, которое отправляет TCP RST. Сделайте снимок на самом сервере и определите источник TCP RST.

Случай 4. TCP RST от клиента

На этом изображении показана топология:

Описание проблемы: HTTP не работает.

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты — нефункциональный сценарий:

Это содержимое CAPI.

 огневая мощь #  показать захват CAPI 

14 пакетов захвачено

   1: 12: 32: 22.860627 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   2: 12: 32: 23.111307 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   3: 12: 32: 23.112390 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   4: 12: 32: 25.858109 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   5: 12: 32: 25.868698 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
   6: 12: 32: 26.108118 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   7: 12:32:26.109079 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэндов: 3000518858 (0) выигрыш 0
   8: 12: 32: 26.118295 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   9: 12: 32: 31.859925 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
  10: 12: 32: 31.860902 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  11: 12: 32: 31.875229 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  12: 12:32:32.140632 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
  13: 12: 32: 32.159995 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
  14: 12: 32: 32.160956 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
Показано 14 пакетов
 

Это содержимое CAPO:

 огневая мощь #  показать захват CAPO 

Захвачено 11 пакетов

   1: 12: 32: 22.860780 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
   2: 12: 32: 23.111429 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3000518857: 3000518857 (0) win 8192 
   3: 12: 32: 23.112405 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 35140: 35140 (0) выигрыш 0
   4: 12: 32: 25.858125 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
   5: 12:32:25.868729 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 29688
: 29688
 (0) выигрыш 0
   6: 12: 32: 26.108240 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3822259745: 3822259745 (0) win 8192 
   7: 12: 32: 26.109094 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 40865466: 40865466 (0) выигрыш 0
   8: 12: 32: 31.860062 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 4294058752: 4294058752 (0) win 8192 
   9: 12:32:31.860917 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 1581733941: 1581733941 (0) выигрыш 0
  10: 12: 32: 32.160102 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 4284301197: 4284301197 (0) win 8192 
  11: 12: 32: 32.160971 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 502
8: 502
8 (0) выигрыш 0
Показано 11 пакетов
 

Журналы брандмауэра показывают:

 firepower #  журнал событий | я 47741 
13 октября 2019 13:57:36:% FTD-6-302013: Построено входящее TCP-соединение 4869 для INSIDE: 192.168.0.100 / 47741 (192.168.0.100/47741) ВНЕШНИЙ: 10.10.1.100/80 (10.10.1.100/80)
13 октября 2019 13:57:36:% FTD-6-302014: Разрыв TCP-соединения 4869 для ВНУТРИ: 192.168.0.100/47741 к ВНЕШНЕМУ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O от ВНУТРИ 
13 октября 2019 13:57:39:% FTD-6-302013: Построено входящее TCP-соединение 4870 для INSIDE: 192.168.0.100/47741 (192.168.0.100/47741) для OUTSIDE: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:39:% FTD-6-302014: Разрыв TCP-соединения 4870 для INSIDE: 192.168.0.100 / 47741 к ВНЕШНЕМУ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O из ВНУТРИ 
13 октября 2019 г. 13:57:45:% FTD-6-302013: Построено входящее TCP-соединение 4871 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:45:% FTD-6-302014: Разрыв TCP-соединения 4871 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИ
 

Эти журналы показывают, что существует TCP RST, который поступает на ВНУТРЕННИЙ интерфейс межсетевого экрана

Захват CAPI в Wireshark:

Следуйте первому потоку TCP, как показано на изображении.

В Wireshark перейдите к Edit> Preferences> Protocols> TCP и отмените выбор параметра Relative sequence numbers , как показано на изображении.

На этом изображении показано содержимое первого потока в захвате CAPI:

Ключевые точки:

1. Клиент отправляет пакет TCP SYN.
2. Клиент отправляет пакет TCP RST.
3. Пакет TCP SYN имеет значение порядкового номера, равное 4098574664.

Тот же поток в захвате CAPO содержит:

Ключевые точки:

1. Клиент отправляет пакет TCP SYN. Брандмауэр рандомизирует ISN.
2. Клиент отправляет пакет TCP RST.

На основании двух отловов можно сделать вывод, что:

• Нет трехстороннего установления связи TCP между клиентом и сервером.
• Существует TCP RST, который исходит от клиента. Значение порядкового номера TCP RST в захвате CAPI — 1386249853.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте снимок на клиенте.

На основе захватов, собранных на межсетевом экране, есть явное указание на асимметричный поток. Это основано на том факте, что клиент отправляет TCP RST со значением 1386249853 (рандомизированный ISN):

Ключевые точки:

1. Клиент отправляет пакет TCP SYN.Порядковый номер 4098574664 и такой же, как на ВНУТРЕННЕМ интерфейсе межсетевого экрана (CAPI)
.
2. Имеется TCP SYN / ACK с номером ACK 1386249853 (что ожидается из-за рандомизации ISN). Этот пакет не был замечен в захватах брандмауэра
3. Клиент отправляет TCP RST, поскольку он ожидал SYN / ACK со значением номера ACK 4098574665, но получил значение 1386249853

Это можно представить как:

Действие 2. Проверьте маршрутизацию между клиентом и межсетевым экраном.

Подтвердите, что:

• MAC-адреса, отображаемые в захватах, являются ожидаемыми.
• Убедитесь, что маршрутизация между брандмауэром и клиентом симметрична.

Существуют сценарии, в которых RST исходит от устройства, которое находится между брандмауэром и клиентом, в то время как во внутренней сети существует асимметричная маршрутизация. Типичный случай показан на изображении:

В этом случае захват имеет это содержимое. Обратите внимание на разницу между MAC-адресом источника пакета TCP SYN и MAC-адресом источника TCP RST и MAC-адресом назначения пакета TCP SYN / ACK:

 огневая мощь #  показать захват CAPI деталь 
   1: 13:57:36.730217  4c4e.35fc.fcd8  00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47740> 10.10.1.100.80: S [tcp sum ok] 3045001876: 3045001876 (0) win 8192  (DF) (ttl 127, id 25661 )
   2: 13: 57: 36.981104 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47741> 10.10.1.100.80: S [tcp sum ok] 38040: 38040 (0) win 8192  (DF) (ttl 127, id 25662 )
   3: 13: 57: 36.981776 00be.75f6.1dae  a023.9f92.2a4d  0x0800 Длина: 66
      10.10.1.100.80> 192.168.0.100.47741: S [tcp sum ok] 1304153587: 1304153587 (0) ack 38041 win 8192  (DF) (ttl 127, id 23339)
   4: 13: 57: 36.982126  a023.9f92.2a4d  00be.75f6.1dae 0x0800 Длина: 54
      192.168.0.100.47741> 10.10.1.100.80:  R  [tcp sum ok] 38041: 38041 (0) ack 1304153588 win 8192 (ttl 255, id 48501)
...
 

Случай 5. Медленная передача TCP (сценарий 1)

Описание проблемы:

Передача SFTP между хостами 10.11.4.171 и 10.77.19.11 медленные. Хотя минимальная пропускная способность (BW) между двумя хостами составляет 100 Мбит / с, скорость передачи не превышает 5 Мбит / с.

При этом скорость передачи между хостами 10.11.2.124 и 172.25.18.134 значительно выше.

Теория предыстории:

Максимальная скорость передачи для одного потока TCP определяется продуктом задержки полосы пропускания (BDP). Используемая формула показана на изображении:

Более подробную информацию о BDP можно найти здесь:

Сценарий 1.Медленная передача

На этом изображении показана топология:

Затронутый поток:

IP-адрес источника: 10.11.4.171

Dst IP: 10.77.19.11

Протокол: SFTP (FTP через SSH)

Анализ захвата

Включить захваты на движке FTD LINA:

 firepower #  Capture CAPI int INSIDE buffer 33554432 match ip host 10.11.4.171 host 10.77.19.11 
firepower #  захват CAPO int OUTSIDE buffer 33554432 match ip host 10.11.4.171 хост 10.77.19.11
  

Предупреждение : Захваты LINA на захватах FP1xxx и FP21xx влияют на скорость передачи трафика, проходящего через FTD. Не включайте перехваты LINA на платформах FP1xxx и FP21xxx при устранении проблем с производительностью (медленная передача через FTD). Вместо этого используйте SPAN или устройство HW Tap в дополнение к захватам на исходном и целевом хостах. Проблема задокументирована в CSCvo30697.

 firepower #  захват интерфейса трассировки необработанных данных типа CAPI внутри соответствует icmp любой любой 
ПРЕДУПРЕЖДЕНИЕ. Выполнение захвата пакетов может отрицательно сказаться на производительности.

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Расчет времени туда и обратно (RTT)

Сначала определите поток передачи и следуйте ему:

Измените представление Wireshark, чтобы отобразить секунд с момента предыдущего отображаемого пакета . Это упрощает расчет RTT:

.

RTT можно рассчитать, сложив значения времени между двумя пакетами обмена (один в направлении источника, а другой в направлении пункта назначения).В этом случае пакет № 2 показывает RTT между межсетевым экраном и устройством, которое отправило пакет SYN / ACK (сервер). Пакет № 3 показывает RTT между межсетевым экраном и устройством, отправившим пакет ACK (клиентом). Сложение двух чисел дает хорошую оценку сквозного RTT:

RTT ≈ 80 мс

Расчет размера окна TCP

Разверните пакет TCP, разверните заголовок TCP, выберите Расчетный размер окна и выберите Применить как столбец:

Проверьте столбец Расчетное значение размера окна , чтобы узнать, какое максимальное значение размера окна было во время сеанса TCP.Вы также можете выбрать имя столбца и отсортировать значения.

Если вы тестируете загрузку файла (сервер > клиент ), вы должны проверить значения, объявленные сервером. Максимальное значение размера окна, объявленное сервером, определяет максимальную достигнутую скорость передачи.

В данном случае размер окна TCP составляет ≈ 50000 байт

На основе этих значений и с использованием формулы произведения на задержку полосы пропускания вы получаете максимальную теоретическую полосу пропускания, которая может быть достигнута в этих условиях: 50000 * 8/0.0 = 1 (без масштабирования окон). Это отрицательно сказывается на скорости передачи:

На этом этапе необходимо выполнить захват на сервере, подтвердить, что это тот, кто объявляет масштаб окна = 0, и перенастроить его (вам может потребоваться проверить документацию сервера, как это сделать).

Сценарий 2. Быстрая передача

Теперь рассмотрим хороший сценарий (быстрая передача через ту же сеть):

Топология:

Поток интересов:

Src IP: 10.11.2.124

Dst IP: 172.25.18.134

Протокол: SFTP (FTP через SSH)

Включить захват на движке FTD LINA

 firepower #  захват CAPI int INSIDE buffer 33554432 сопоставление IP-хоста 10.11.2.124 хост 172.25.18.134 
firepower #  захват CAPO int ВНЕШНИЙ буфер 33554432 сопоставление IP-хоста 10.11.2.124 хост 172.25.18.134
  

Расчет времени кругового обхода (RTT): В этом случае RTT составляет ≈ 300 мсек.

Расчет размера окна TCP: сервер объявляет коэффициент масштабирования окна TCP равный 7.

Размер окна TCP сервера ≈ 1600000 Байт:

На основе этих значений формула произведения на задержку полосы пропускания дает:

1600000 * 8 / 0,3 = максимальная теоретическая скорость передачи 43 Мбит / с

Случай 6. Медленная передача TCP (сценарий 2)

Описание проблемы: Передача (загрузка) файлов по FTP через брандмауэр происходит медленно.

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.2.220

Dst IP: 192.168.1.220

Протокол: FTP

Анализ захвата

Включите захват на движке FTD LINA.

 firepower #  захват буфера необработанных данных типа CAPI 33554432 интерфейс INSIDE соответствие хоста tcp 192.168.2.220 хост 192.168.1.220 
firepower #  cap Буфер необработанных данных типа CAPO 33554432 интерфейс ВНЕШНЕЕ соответствие хоста tcp 192.168.2.220 хост 192.168.1.220
  

Выберите пакет FTP-DATA и следуйте каналу данных FTP при захвате FTD INSIDE (CAPI):

Содержимое потока FTP-DATA:

Содержимое захвата CAPO:

Ключевые точки:

1. Имеются пакеты TCP Out-Of-Order (OOO).
2. Идет повторная передача TCP.
3. Указывается на потерю пакета (отброшенные пакеты).

Совет : Сохраните захваченные изображения при переходе к Файл> Экспортировать указанные пакеты . Затем сохраните только диапазон пакетов Displayed

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Определите место потери пакета.

В подобных случаях необходимо выполнять одновременный захват и использовать методологию «разделяй и властвуй» для определения сегмента (ов) сети, вызывающего потерю пакетов. С точки зрения межсетевого экрана существует 3 основных сценария:

1. Потеря пакета вызвана самим межсетевым экраном.
2. Потеря пакета вызвана нисходящим потоком к устройству межсетевого экрана (направление от сервера к клиенту).
3. Потеря пакета вызвана восходящим потоком к устройству межсетевого экрана (направление от клиента к серверу).

Потеря пакетов, вызванная межсетевым экраном: Чтобы определить, вызвана ли потеря пакетов межсетевым экраном, необходимо сравнить входящий захват с исходящим захватом. Есть довольно много способов сравнить 2 разных снимка. В этом разделе показан один из способов решения этой задачи.

Процедура сравнения 2 захватов для определения потери пакетов

Шаг 1. Убедитесь, что 2 захвата содержат пакеты из одного и того же временного окна. Это означает, что в одном захвате не должно быть пакетов, которые были захвачены до или после другого захвата.Есть несколько способов сделать это:

• Проверьте значения IP-идентификатора (ID) первого и последнего пакета.
• Проверить значения отметок времени первого и последнего пакета.

В этом примере вы можете видеть, что первые пакеты каждого захвата имеют одинаковые значения IP ID:

Если они не совпадают, то:

1. Сравните временные метки первого пакета каждого захвата.
2. Из захвата с последней отметкой времени получите фильтр, изменив фильтр отметки времени с == на > = (первый пакет) и <= (последний пакет), т.е.г:

(frame.time> = «16 октября 2019 г. 16: 13: 43.2446

«) && (frame.time <= "16 октября 2019 г. 16: 20: 21.785130000")

3. Экспортируйте указанные пакеты в новый захват, выберите Файл> Экспортировать указанные пакеты и затем сохраните Отображенные пакеты . На этом этапе оба захвата должны содержать пакеты, охватывающие одно и то же временное окно. Теперь вы можете начать сравнение двух снимков.

Шаг 2. Укажите, какое поле пакета используется для сравнения двух захватов.Пример полей, которые можно использовать:

• IP-идентификация
• Порядковый номер RTP
• Порядковый номер ICMP

Создайте текстовую версию каждого захвата, содержащую поле для каждого пакета, указанного на шаге 1. Для этого оставьте только интересующий столбец, например если вы хотите сравнить пакеты на основе IP-идентификации, измените захват, как показано на изображении.

Результат:

Шаг 3.Создайте текстовую версию захвата ( File> Export Packet Dissections> As Plain Text …), как показано на изображении:

Снимите отметку с I nclude заголовков столбцов и Параметры пакета , чтобы экспортировать только значения отображаемого поля, как показано на изображении:

Шаг 4. Отсортируйте пакеты в файлах. Для этого можно использовать команду Linux sort :

 #  сортировать CAPI_IDs> file1.отсортировано 
#  sort CAPO_IDs> file2.sorted
  


Шаг 5. Используйте инструмент сравнения текста (например, WinMerge) или команду Linux diff , чтобы найти различия между двумя захватами.

В этом случае захват CAPI и CAPO для трафика данных FTP идентичен. Это доказывает, что потеря пакетов не была вызвана межсетевым экраном.

Определение потери пакетов в восходящем / нисходящем направлениях.

Ключевые точки:

1.Этот пакет является повторной передачей TCP. В частности, это пакет TCP SYN, отправленный от клиента к серверу для данных FTP в пассивном режиме. Поскольку клиент повторно отправляет пакет, и вы можете увидеть начальный SYN (пакет №1), пакет был потерян в восходящем направлении к межсетевому экрану.

В этом случае может быть даже вероятность того, что пакет SYN добрался до сервера, но пакет SYN / ACK был потерян на обратном пути:

2. Есть пакет от сервера, и Wireshark определил, что предыдущий сегмент не был замечен / захвачен.Поскольку незахваченный пакет был отправлен с сервера на клиент и не был замечен в захвате брандмауэра, это означает, что пакет был потерян между сервером и брандмауэром.

Это указывает на потерю пакетов между FTP-сервером и межсетевым экраном.

Действие 2. Сделайте дополнительные захваты.

Делайте дополнительные захваты вместе с захватами на конечных точках. Попробуйте применить метод «разделяй и властвуй», чтобы изолировать проблемный сегмент, вызывающий потерю пакетов.

Ключевые точки:

1. Получатель (в данном случае FTP-клиент) отслеживает входящие порядковые номера TCP. Если он обнаруживает, что пакет был пропущен (ожидаемый порядковый номер был пропущен), он генерирует пакет ACK с ACK = «ожидаемый порядковый номер, который был пропущен». В этом примере Ack = 2224386800.
2. Dup ACK запускает быструю повторную передачу TCP (повторная передача в течение 20 мс после получения дублирующего ACK).

Что означают повторяющиеся ACK?

• Несколько дублированных ACK, но нет фактических повторных передач, указывают на то, что, скорее всего, есть пакеты, которые прибывают не по порядку.
• Дублирующиеся ACK, за которыми следуют фактические повторные передачи, указывают на то, что произошла некоторая потеря пакетов.

Действие 3. Рассчитайте время обработки межсетевым экраном транзитных пакетов.


Примените один и тот же захват к 2 разным интерфейсам:

 firepower #  захват буфера CAPI 33554432 интерфейс INSIDE соответствует хосту tcp 192.168.2.220 хосту 192.168.1.220 
firepower #  захват интерфейса CAPI СНАРУЖИ  

Экспорт захвата, проверка разницы во времени между входящими и исходящими пакетами

Корпус 7.Проблема подключения TCP (повреждение пакета)

Описание проблемы:

Беспроводной клиент (192.168.21.193) пытается подключиться к целевому серверу (192.168.14.250 — HTTP), и существует 2 разных сценария:

• Когда клиент подключается к точке доступа «A», HTTP-соединение не работает.
• Когда клиент подключается к точке доступа «B», HTTP-соединение работает.

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.21.193

Dst IP: 192.168.14.250

Протокол: TCP 80

Анализ захвата

Включить захваты на движке FTD LINA:

 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.21.193 хосту 192.168.14.250 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.21.193 host 192.168.14.250
  

Захваты — Функциональный сценарий:

В качестве основы всегда очень полезно иметь захваты из рабочего сценария.

На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE

.

На этом изображении показан снимок, сделанный на ВНЕШНЕМ интерфейсе NGFW.

Ключевые точки:

1. 2 захвата почти идентичны (учитывайте рандомизацию ISN).
2. Нет признаков потери пакета.
3. Пакеты без заказа (ООО)
4. Имеется 3 запроса HTTP GET. Первый получает сообщение 404 «Не найдено», второй — 200 «ОК», а третий получает сообщение перенаправления 304 «Не изменено».

Захваты — Нерабочий сценарий:

Содержимое входящего захвата (CAPI).

Ключевые точки:

1. Имеется трехстороннее установление связи TCP.
2. Есть повторные передачи TCP и признаки потери пакета.
3. Имеется пакет (TCP ACK), который Wireshark идентифицирует как Malformed .

На этом изображении показано содержимое исходящего захвата (CAPO).

Ключевые точки:

2 захвата почти идентичны (учитывайте рандомизацию ISN):

1. Имеется трехстороннее подтверждение TCP.
2. Есть повторные передачи TCP и признаки потери пакета.
3. Имеется пакет (TCP ACK), который Wireshark идентифицирует как Malformed .

Проверить неверно сформированный пакет:

Ключевые точки:

1. Пакет идентифицирован как неверно сформированный программой Wireshark.
2. Имеет длину 2 байта.
3. Имеется полезная нагрузка TCP размером 2 байта.
4. Полезная нагрузка — 4 дополнительных нуля (00 00).
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные перехваты, включая перехваты на конечных точках, и, если возможно, попробуйте применить метод «разделяй и властвуй», чтобы изолировать источник повреждения пакета, например

В этом случае 2 дополнительных байта были добавлены драйвером интерфейса коммутатора «A», и было решено заменить коммутатор, вызывающий повреждение.

Случай 8. Проблема с подключением UDP (отсутствующие пакеты)

Описание проблемы: сообщения системного журнала (UDP 514) не отображаются на целевом сервере системного журнала.

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.1.81

Dst IP: 10.10.1.73

Протокол: UDP 514

Анализ захвата

Включить захваты на движке FTD LINA:

 firepower #  захват CAPI int INSIDE trace match udp host 192.168.1.81 host 10.10.1.73 eq 514 
firepower #  захват CAPO int OUTSIDE match udp host 192.168.1.81 host 10.10.1.73 eq 514
  

захватов FTD не показывают пакетов:

 огневая мощь #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 0 байт]
  соответствовать хосту udp 192.168.1.81 хост 10.10.1.73 eq syslog
захват интерфейса необработанных данных типа CAPO СНАРУЖИ [захват - 0 байт]
  сопоставить хост udp 192.168.1.81 хост 10.10.1.73 eq syslog
 

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте таблицу соединений FTD.

Чтобы проверить конкретное соединение, вы можете использовать этот синтаксис:

 firepower #  показать адрес соединения 192.168.1.81 порт 514 
10 в использовании, 3627189 наиболее часто используемых
Осмотрите Snort:
        preserve-connection: 6 включено, 0 активно, 74 наиболее активно, 0 наиболее активно

UDP  ВНУТРИ  10.10.1.73: 514  INSIDE  192.168.1.81:514, idle 0:00:00, байты  480379697 , флаги -  o  N1
 

Ключевые точки:

1. Входящий и выходной интерфейсы одинаковы (разворот).
2. Количество байтов имеет очень большое значение (~ 5 ГБ).
3. Флаг «o» обозначает разгрузку потока (HW ускоренный поток). Это причина, по которой захваты FTD не показывают никаких пакетов. Разгрузка потока поддерживается только на платформах 41xx и 93xx.В данном случае это устройство 41xx.

Действие 2. Сделайте снимки на уровне шасси.

Подключитесь к диспетчеру шасси Firepower и включите захват на входном интерфейсе (в данном случае E1 / 2) и интерфейсах объединительной платы (E1 / 9 и E1 / 10), как показано на изображении:

Через несколько секунд:

Совет : В Wireshark исключите пакеты с тегами VN, чтобы исключить дублирование пакетов на уровне физического интерфейса

Раньше:

После:

Ключевые точки:

1. Фильтр отображения применяется для удаления дубликатов пакетов и отображения только системных журналов.
2. Разница между пакетами находится на уровне микросекунд. Это указывает на очень высокую скорость передачи пакетов.
3. Время жизни (TTL) постоянно уменьшается. Это указывает на пакетную петлю.

Действие 3. Используйте средство отслеживания пакетов.

Поскольку пакеты не проходят через механизм LINA брандмауэра, вы не можете выполнять трассировку в реальном времени (захват с трассировкой), но вы можете отслеживать эмулируемый пакет с помощью средства отслеживания пакетов:

 firepower #  вход для трассировщика пакетов ВНУТРИ udp 10.10.1.73 514 192.168.1.81 514
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: ПОТОК-ПРОСМОТР
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  Найден поток с идентификатором 25350892 с использованием существующего потока 

Фаза: 4
Тип: SNORT
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку

Фаза: 5
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.1.81 с использованием egress ifc INSIDE

Фаза: 6
Тип: ADJACENCY-LOOKUP
Подтип: следующий переход и смежность
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
смежность активна
MAC-адрес следующего перехода a023.9f92.2a4d попадает в 1 ссылку 1

Фаза: 7
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Результат:
  интерфейс ввода: INSIDE 
вход-статус: вверх
вход-линия-статус: вверх
  выходной интерфейс: ВНУТРИ 
статус вывода: вверх
статус строки вывода: вверх
Действие: разрешить
 

Действие 4.Подтвердите маршрутизацию FTD.

Проверьте таблицу маршрутизации межсетевого экрана на наличие проблем с маршрутизацией:

 firepower #  показать маршрут 10.10.1.73 

Запись маршрутизации для 10.10.1.0 255.255.255.0
  Известен через "eigrp 1", расстояние 90, метрическая система 3072, тип внутренний
  Распространение через eigrp 1
  Последнее обновление от 192.168.2.72 на  OUTSIDE, 0:03:37 назад 
  Блоки дескриптора маршрутизации:
  * 192.168.2.72, из 192.168.2.72,  0:02:37 назад, через OUTSIDE 
      Метрика маршрута - 3072, доля трафика - 1.
      Общая задержка 20 микросекунд, минимальная пропускная способность 1000000 Кбит
      Надежность 255/255, минимальный MTU 1500 байт
      Загрузка 29/255, хмель 1
 

Ключевые точки:

1. Маршрут указывает на правильный выходной интерфейс.
2. Маршрут был изучен несколько минут назад (0:02:37).

Действие 5. Подтвердите время работы соединения.

Проверьте время работы соединения, чтобы узнать, когда оно было установлено:

 firepower #  показать адрес соединения 192.168.1.81 порт 514 деталь 
21 используется, 3627189 наиболее часто используется
Осмотрите Snort:
        preserve-connection: 19 включено, 0 активно, 74 наиболее активно, 0 наиболее активно
Флаги: A - ожидает ACK ответчика на SYN, a - ожидает ACK инициатора на SYN,
       b - TCP state-bypass или прибитый,
       C - CTIQBE media, c - кластер централизованный,
       D - DNS, d - дамп, E - внешнее обратное соединение, e - полураспределенное,
       F - инициатор FIN, f - ответчик FIN,
       G - группа, g - MGCP, H - H.323, h - H.225.0, I - данные инициатора,
       i - неполный, J - GTP, j - данные GTP, K - t3-ответ GTP
       k - тощий носитель, L - туннель без крышки, M - данные SMTP, m - носитель SIP
       N - проверено Snort (1 - сохранение соединения включено, 2 - сохранение соединения действует)
       n - GUP, O - данные респондента, o - выгружены,
       P - внутреннее заднее соединение, p - пассажирский поток
       q - данные SQL * Net, R - инициатор подтвердил FIN,
       R - UDP SUNRPC, r - ответчик подтвердил FIN,
       T - SIP, t - SIP переходный, U - вверх,
       V - сирота VPN, v - M3UA W - WAAS,
       w - резервная копия вторичного домена,
       X - проверяется сервисным модулем,
       x - на сеанс, Y - поток заглушки директора, y - поток заглушки резервного копирования,
       Z - Scansafe redirection, z - прямой поток пересылки

UDP ВНУТРИ: 10.10.1.73 / 514 ВНУТРИ: 192.168.1.81/514,
    флаги -oN1, простоя 0 с,  время безотказной работы 3 мин 49 с , тайм-аут 2 мин 0 с, байты 4801148711
 

Ключевой момент:

1. Соединение было установлено ~ 4 минуты назад (это до установки маршрута EIGRP в таблице маршрутизации)

Действие 6. Удалите существующее соединение.

В этом случае пакеты соответствуют установленному соединению и направляются на неправильный выходной интерфейс, вызывая петлю. Это связано с порядком работы брандмауэра:

1. Поиск установленного соединения (имеет приоритет над поиском в глобальной таблице маршрутизации).
2. Поиск преобразования сетевых адресов (NAT) — этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
3. Маршрутизация на основе политик (PBR)
4. Поиск в глобальной таблице маршрутизации

Поскольку соединение никогда не истекает (клиент системного журнала непрерывно отправляет пакеты, в то время как тайм-аут простоя соединения UDP составляет 2 минуты), необходимо вручную очистить соединение:

 firepower #  очистить адрес соединения 10.10.1.73 адрес 192.168.1.81 протокол UDP порт 514 
1 соединение (а) удалено.


Убедитесь, что установлено новое соединение:

 firepower #  показать адрес соединения 192.168.1.81 детали порта 514 | б 10.10.1.73. * 192.168.1.81 
UDP  СНАРУЖИ : 10.10.1.73/514  ВНУТРИ : 192.168.1.81/514,
    флаги -oN1, простоя 1 мин. 15 сек., время безотказной работы 1 мин. 15 сек., тайм-аут 2 мин. 0 сек., байты 408
 

Действие 7. Настройте тайм-аут плавающего соединения.

Это правильное решение для решения проблемы и предотвращения неоптимальной маршрутизации, особенно для потоков UDP.Перейдите к Devices> Platform Settings> Timeouts и установите значение:

Более подробную информацию о тайм-ауте плавающего соединения можно найти в Справочнике по командам:

https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1649892

Случай 9. Проблема подключения HTTPS (сценарий 1)

Описание проблемы: HTTPS-связь между клиентом 192.168.201.105 и сервером 192.168.202.101 невозможно установить

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.201.111

Dst IP: 192.168.202.111

Протокол: TCP 443 (HTTPS)

Анализ захвата

Включить захваты на движке FTD LINA:

IP, используемый во ВНЕШНЕМ захвате, отличается из-за конфигурации преобразования адреса порта.

 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.201.111 хост 192.168.202.111 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.202.11 host 192.168.202.111
  


На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE:

Ключевые точки:

1. Имеется трехстороннее подтверждение TCP.
2. Начало согласования SSL. Клиент отправляет сообщение Client Hello.
3. Клиенту отправлено TCP ACK.
4. Клиенту отправлено TCP RST.

На этом изображении показан снимок, сделанный на интерфейсе NGFW OUTSIDE.

Ключевые точки:

1. Имеется трехстороннее подтверждение TCP.
2. Начало согласования SSL. Клиент отправляет сообщение Client Hello.
3. Брандмауэр отправляет на сервер повторные передачи TCP.
4. На сервер отправлено TCP RST.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные снимки.

Захват, сделанный на сервере, показывает, что сервер получил TLS Client Hellos с поврежденной контрольной суммой TCP и молча отбрасывает их (нет TCP RST или любого другого пакета ответа для клиента):

Если собрать все вместе:

В этом случае, чтобы понять, что происходит, необходимо включить в Wireshark опцию Проверить контрольную сумму TCP, если возможно, . Перейдите к Edit> Preferences> Protocols> TCP , как показано на изображении.

В этом случае полезно расположить снимки рядом, чтобы получить полную картину:

Ключевые точки:

1. Имеется трехстороннее подтверждение TCP. Идентификаторы IP такие же. Это означает, что брандмауэр не проксировал поток.
2. Приветствие клиента TLS исходит от клиента с IP-идентификатором 12083. Пакет передается через прокси-сервер межсетевым экраном (в данном случае межсетевой экран был настроен с использованием политики расшифровки TLS), а IP-идентификатор изменен на 52534.Кроме того, контрольная сумма TCP пакета повреждена (из-за дефекта программного обеспечения, который позже был исправлен).
3. Брандмауэр находится в режиме TCP Proxy и отправляет ACK клиенту (подменяя сервер).

4. Межсетевой экран не получает никаких пакетов TCP ACK от сервера и повторно передает сообщение приветствия клиента TLS. Это опять же из-за режима TCP Proxy, который активировал брандмауэр.
5. Через ~ 30 секунд брандмауэр отказывается и отправляет клиенту TCP RST.
6. Межсетевой экран отправляет серверу TCP RST.

Для справки:

Firepower TLS / SSL Обработка квитирования

Случай 10. Проблема подключения HTTPS (сценарий 2)

Описание проблемы: Ошибка регистрации лицензии FMC Smart.

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.0.100

Dst: tools.cisco.com

Протокол: TCP 443 (HTTPS)

Анализ захвата

Включить захват в интерфейсе управления FMC:

Попробуйте зарегистрироваться еще раз.C 264 захвачено пакетов <- CTRL-C 264 пакета, полученных фильтром 0 пакетов отброшено ядром корень @ огневая мощь: / Том / главная / админ #


Соберите снимок из FMC ( System> Health> Monitor, выберите устройство и выберите Advanced Troubleshooting ), как показано на изображении:

На изображении показан захват FMC на Wireshark:

Совет : Чтобы проверить все новые захваченные сеансы TCP, используйте tcp.flags == 0x2 фильтр отображения в Wireshark. Это фильтрует все захваченные TCP SYN-пакеты.

Совет : примените в качестве столбца поле Server Name из сообщения SSL Client Hello.

Совет : примените этот фильтр отображения, чтобы видеть только сообщения Client Hello ssl.handshake.type == 1

Примечание : На момент написания этой статьи портал интеллектуального лицензирования (tools.cisco.com) использует эти IP-адреса: 72.163.4.38, 173.37.145.8

Следуйте одному из потоков TCP ( Follow> TCP Stream) , как показано на изображении.

Ключевые точки:

1. Имеется трехстороннее подтверждение TCP.
2. Клиент (FMC) отправляет сообщение SSL Client Hello на портал Smart Licensing.
3. Идентификатор сеанса SSL равен 0. Это означает, что сеанс не возобновлен.
4. Целевой сервер отвечает сообщениями «Приветствие сервера», «Сертификат» и «Приветствие сервера выполнено».
5. Клиент отправляет SSL Fatal Alert с жалобой на «Неизвестный ЦС».
6. Клиент отправляет TCP RST, чтобы закрыть сеанс.
7. Полная продолжительность сеанса TCP (от установления до закрытия) составляла ~ 0,5 секунды.

Выберите сертификат сервера и разверните поле эмитента , чтобы увидеть commonName. В этом случае Общее имя показывает устройство, которое выполняет функцию «Человек посередине» (MITM).

Это показано на этом изображении:

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные снимки.

Сделать снимки на транзитном брандмауэре:

CAPI показывает:

CAPO показывает:

Эти записи доказывают, что транзитный межсетевой экран изменяет сертификат сервера (MITM)

Действие 2. Проверьте журналы устройства.

Вы можете получить комплект FMC TS, как описано в этом документе:

https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

В этом случае файл /dir-archives/var-log/process_stdout.log показывает такие сообщения:

 SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * среда .967 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg [494], 
  не удалось выполнить, ошибка код 60, строка ошибки "Сертификат узла SSL или удаленный ключ SSH не в порядке" 
... 
 SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * Ср. 967 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue [514], 
  проблема с сертификатом проверка, ret 60, url "https: // tools.cisco.com/its/
  

Рекомендуемое решение

Отключите MITM для определенного потока, чтобы FMC мог успешно зарегистрироваться в облаке Smart Licensing.

Случай 11. Проблема подключения IPv6

Описание проблемы: внутренние узлы (расположенные за ВНУТРЕННИМ интерфейсом межсетевого экрана) не могут взаимодействовать с внешними узлами (узлами, расположенными за ВНЕШНИМ интерфейсом межсетевого экрана).

На этом изображении показана топология:

Затронутый поток:

Src IP: fc00: 1: 1: 1 :: 100

Dst IP: fc00: 1: 1: 2 :: 2

Протокол: любой

Анализ захвата

Включить захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE match ip any6 any6 
firepower #  захват CAPO int OUTSIDE match ip any6 any6
  

Захваты — нефункциональный сценарий

Эти записи были сделаны параллельно с тестом подключения ICMP с IP fc00: 1: 1: 1 :: 100 (внутренний маршрутизатор) на IP fc00: 1: 1: 2 :: 2 (восходящий маршрутизатор).

Захват на межсетевом экране ВНУТРИ интерфейс содержит:

Ключевые точки:

1. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
2. Брандмауэр отвечает объявлением о соседстве IPv6.
3. Маршрутизатор отправляет эхо-запрос ICMP.
4. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (fc00: 1: 1: 1 :: 100).
5. Маршрутизатор отвечает объявлением о соседстве IPv6.
6. Маршрутизатор отправляет дополнительные эхо-запросы IPv6 ICMP.

Запись на ВНЕШНИЙ интерфейс межсетевого экрана содержит:

Ключевые точки:

1. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
2. Маршрутизатор отвечает объявлением о соседстве IPv6.
3. Межсетевой экран отправляет эхо-запрос IPv6 ICMP.
4. Устройство восходящего потока (маршрутизатор fc00: 1: 1: 2 :: 2) отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
5. Межсетевой экран отправляет дополнительный эхо-запрос IPv6 ICMP.
6. Восходящий маршрутизатор отправляет дополнительное сообщение запроса соседа IPv6 с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.

Пункт 4 очень интересен. Обычно восходящий маршрутизатор запрашивает MAC-адрес ВНЕШНЕГО интерфейса межсетевого экрана (fc00: 1: 1: 2 :: 2), но вместо этого он запрашивает fc00: 1: 1: 1 :: 100. Это признак неправильной конфигурации.

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте таблицу соседей IPv6.

Таблица IPv6-соседей межсетевого экрана заполнена правильно.

 firepower #  показать соседа по ipv6 | я fc00 
fc00: 1: 1: 2 :: 2 58 4c4e.35fc.fcd8 СТАЛО СНАРУЖИ
fc00: 1: 1: 1 :: 100 58 4c4e.35fc.fcd8 СТАЛО ВНУТРИ
 

Действие 2. Проверьте конфигурацию IPv6.

Это конфигурация брандмауэра.

 firewall #  show run int e1 / 2 
!
интерфейс Ethernet1 / 2
 nameif ВНУТРИ
 cts руководство
  распространять sgt preserve-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 IP-адрес 192.168.0.1 255.255.255.0
 IPv6-адрес  fc00: 1: 1: 1 :: 1/64 
 ipv6 включить

firewall #  show run int e1 / 3.202 
!
интерфейс Ethernet1 / 3.202
 vlan 202
 nameif СНАРУЖИ
 cts руководство
  распространять sgt preserve-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 IP-адрес 192.168.103.96 255.255.255.0
 IPv6-адрес  fc00: 1: 1: 2 :: 1/64 
 ipv6 включить
 


Конфигурация восходящего устройства обнаруживает неправильную конфигурацию:

 Маршрутизатор №  показывает интерфейс запуска g0 / 0.202 
!
интерфейс GigabitEthernet0 / 0.202
 инкапсуляция dot1Q 202
 VRF переадресация VRF202
 IP-адрес 192.168.2.72 255.255.255.0
 IPv6-адрес FC00: 1: 1: 2 :: 2 /48
  

Захваты — Функциональный сценарий

Исправлена ​​проблема с изменением маски подсети (с / 48 на / 64). Это запись CAPI в функциональном сценарии.

Ключевой момент:

1. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
2. Брандмауэр отвечает объявлением о соседстве IPv6.
3. Маршрутизатор отправляет эхо-запросы ICMP и получает эхо-ответы.

Состав CAPO:

Ключевые точки:

1. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
2. Брандмауэр отвечает объявлением о соседстве IPv6.
3. Межсетевой экран отправляет эхо-запрос ICMP.
4. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (IP fc00: 1: 1: 1 :: 1).
5. Брандмауэр отвечает объявлением о соседстве IPv6.
6. Межсетевой экран отправляет эхо-запросы ICMP и получает эхо-ответы.
Случай 12. Непостоянная проблема подключения (отравление ARP)

Описание проблемы: внутренние узлы (192.168.0.x / 24) периодически имеют проблемы с подключением к узлам в той же подсети

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.0.x / 24

Dst IP: 192.168.0.x / 24

Протокол: любой

Кажется, что кеш ARP внутреннего хоста отравлен:

Анализ захвата

Включить захват на движке FTD LINA

Этот захват захватывает только пакеты ARP на интерфейсе INSIDE:

 firepower #  захват интерфейса CAPI_ARP INSIDE ethernet-type arp  

Захваты — нефункциональный сценарий:

Захват на межсетевом экране ВНУТРИ интерфейса содержит.

Ключевые точки:

1. Межсетевой экран принимает различные запросы ARP для IP-адресов в сети 192.168.0.x / 24
2. Межсетевой экран отвечает всем им (proxy-ARP) своим собственным MAC-адресом
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте конфигурацию NAT.

В зависимости от конфигурации NAT бывают случаи, когда ключевое слово no-proxy-arp может предотвратить вышеуказанное поведение:

 firepower #  демонстрационный пробег nat 
nat (INSIDE, OUTSIDE) исходный статический NET_1.1.1.0 NET_2.2.2.0 назначения статический NET_192.168.0.0 NET_4.4.4.0  no-proxy-arp
  

Действие 2. Отключите функцию proxy-arp в интерфейсе межсетевого экрана.

Если ключевое слово «no-proxy-arp» не решает проблему, рассмотрите возможность отключения прокси-ARP на самом интерфейсе. В случае FTD на момент написания этой статьи вам нужно будет использовать FlexConfig и развернуть следующую команду (укажите соответствующее имя интерфейса).

 sysopt noproxyarp ВНУТРИ 

Корпус 13.Определите идентификаторы объектов SNMP (OID), которые вызывают сбои ЦП

Этот случай демонстрирует, как определенные идентификаторы SNMP OID для опроса памяти были определены как основная причина перегрузки ЦП (проблемы с производительностью) на основе анализа перехвата пакетов SNMP версии 3 (SNMPv3).

Описание проблемы: Переполнение на интерфейсах данных постоянно увеличивается. Дальнейшее устранение неполадок показало, что есть также проблемы с ЦП (вызванные процессом SNMP), которые являются основной причиной переполнения интерфейса.

Следующим шагом в процессе устранения неполадок было определение основной причины перегрузки ЦП, вызванной процессом SNMP, и, в частности, сужение области действия проблемы до определения идентификаторов объектов SNMP (OID), которые при опросе потенциально могут привести к в свиньях ЦП.

В настоящее время механизм FTD LINA не предоставляет команду show для идентификаторов SNMP OID, которые опрашиваются в реальном времени. Список SNMP OID для опроса можно получить из инструмента мониторинга SNMP, однако в этом случае были следующие ограничивающие факторы:

• Администратор FTD не имел доступа к инструменту мониторинга SNMP
• SNMP версии 3 с аутентификацией и шифрованием данных для конфиденциальности был настроен на FTD
Анализ захвата

Поскольку администратор FTD имел учетные данные для аутентификации и шифрования данных SNMP версии 3, был предложен следующий план действий:

1. Захват пакетов SNMP
2. Сохраните записи и используйте настройки протокола Wireshark SNMP, чтобы указать учетные данные SNMP версии 3 для расшифровки пакетов SNMP версии 3.Расшифрованные записи используются для анализа и получения идентификаторов SNMP OID
.

Настроить захват пакетов SNMP на интерфейсе, который используется в конфигурации хоста snmp-server:

 firepower #  show run snmp-server | включить хост 
управление хостом snmp-сервера 192.168.10.10 версия 3 netmonv3


firepower #  показать управление IP-адресами 
Системный IP-адрес:
Имя интерфейса IP-адрес Маска подсети Метод
Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ
Текущий IP-адрес:
Имя интерфейса IP-адрес Маска подсети Метод
Управление 0/0 Управление 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ

firepower #  захват capsnmp интерфейс управления буфер 10000000 матч udp host 192.168.10.10 host 192.168.5.254 eq snmp 

firepower #  показать захват capsnmp 

захватить тип capsnmp буфер необработанных данных 10000000 интерфейс вне интерфейса [захват -  9512  байт]
  соответствовать хосту udp 192.168.10.10 хост 192.168.5.254 eq snmp
 

Ключевые точки:

1. Адреса / порты источника и назначения SNMP.
2. PDU протокола SNMP не может быть декодирован, потому что PrivKey неизвестен Wireshark.
3. Значение примитива encryptedPDU.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Расшифруйте записи SNMP.

Сохраните записи и отредактируйте предпочтения протокола Wireshark SNMP, указав учетные данные SNMP версии 3 для расшифровки пакетов.

 firepower #  копия / захват pcap: tftp: 
Имя захвата источника [capsnmp]?

Адрес или имя удаленного хоста []? 192.168.10.253

Целевое имя файла [capsnmp]? capsnmp.pcap
  !!!!!!
64 пакета скопировано за 0,40 секунды
  

Откройте файл захвата в Wireshark, выберите пакет SNMP и перейдите к Protocol Preferences> Users Table , как показано на изображении:

В таблице пользователей SNMP были указаны имя пользователя SNMP версии 3, модель аутентификации, пароль аутентификации, протокол конфиденциальности и пароль конфиденциальности (фактические учетные данные не показаны ниже):

После применения настроек пользователей SNMP Wireshark показал расшифрованные PDU SNMP:

Ключевые точки:

1. Инструменты мониторинга SNMP использовали SNMP getBulkRequest для запроса и обхода родительского OID 1.3.6.1.4.1.9.9.221.1 и связанные с ним OID.
2. FTD отвечал на каждый запрос getBulkRequest получением ответа, содержащего OID, относящиеся к 1.3.6.1.4.1.9.9.221.1.

Действие 2. Определите идентификаторы SNMP OID.

Навигатор объектов SNMP показал, что OID 1.3.6.1.4.1.9.9.221.1 принадлежит базе управляющей информации (MIB) с именем CISCO-ENHANCED-MEMPOOL-MIB , как показано на изображении:

Чтобы отобразить OID в удобочитаемом формате в Wireshark, выполните следующие действия:

1. Загрузите MIB CISCO-ENHANCED-MEMPOOL-MIB и ее зависимости, как показано на изображении:

2.В Wireshark в окне Edit> Preferences> Name Resolution установлен флажок Enable OID Resolution . В окне SMI (пути MIB и PIB) укажите папку с загруженными MIB, а в SMI (модули MIB и PIB). CISCO-ENHANCED-MEMPOOL-MIB автоматически добавляется в список модулей:

3. После перезапуска Wireshark активируется разрешение OID:

На основе расшифрованных выходных данных файла захвата инструмент мониторинга SNMP периодически (с интервалом 10 секунд) опрашивал данные об использовании пулов памяти на FTD.Как объяснено в статье TechNote, опрос ASA SNMP для статистики, связанной с памятью, при опросе использования глобального общего пула (GSP) с использованием SNMP приводит к загрузке ЦП. В этом случае из захватов было ясно, что использование глобального общего пула периодически опрашивалось как часть примитива SNMP getBulkRequest.

Чтобы свести к минимуму нагрузку на ЦП, вызванную процессом SNMP, было рекомендовано выполнить шаги по уменьшению нагрузки на ЦП для SNMP, упомянутые в статье, и избегать опроса OID, связанных с GSP.Без опроса SNMP для идентификаторов OID, которые относятся к GSP, не наблюдалось никаких перегрузок ЦП, вызванных процессом SNMP, и частота переполнений значительно снизилась.

Связанная информация

Понимание и устранение неполадок ответов об отсутствии на работе (OOF) — Exchange

• 09.07.2021
• Читать 10 минут

• Применимо к:

  Exchange Online

В этой статье

ответов OOF могут быть загадкой.Как они работают? Почему они иногда не доставляются другим пользователям и что вы делаете, если они этого не делают? В этой статье обсуждаются фрагменты ответов OOF с точки зрения конфигурации Exchange Online. Однако большая часть этого обсуждения также применима к локальной конфигурации.

(Если вы когда-нибудь задумывались, почему «Out of Office» сокращается как «OOF», а не как «OOO», см. это сообщение в блоге).

Что такое ответы «Нет на рабочем месте»?

OOF, или автоматические ответы — это правила для папки «Входящие», которые устанавливаются в почтовом ящике пользователя клиентом.Правила OOF — это правила на стороне сервера. Следовательно, они запускаются независимо от того, запущен ли клиент.

Автоматические ответы можно настроить следующим образом:

Администраторы могут настроить OOF-ответы на портале администрирования Microsoft 365 от имени пользователей.

Если включены автоматические ответы, каждому отправителю отправляется только один ответ, даже если получатель получает несколько сообщений от отправителя.

Помимо использования встроенных функций OOF в своем клиенте, люди иногда используют правила для создания сообщения «Нет на работе», пока они отсутствуют.

По умолчанию Exchange Online Protection использует пул доставки с высоким риском (HRDP) для отправки ответов OOF, поскольку ответы OOF являются сообщениями с более низким приоритетом.

Виды правил ООФ

Существует три типа правил OOF:

• Внутренний
• Внешний
• Известные отправители (список контактов)

Эти правила устанавливаются индивидуально в почтовом ящике пользователя. Каждое правило имеет связанный класс сообщения и имя. Имя правила хранится в свойстве PR_RULE_MSG_NAME .В следующей таблице перечислены класс и имя сообщения, связанные с каждым правилом OOF.

Тип	Класс сообщений	PR_RULE_MSG_NAME
Внутренний	IPM.Rule.Version2.Message	Microsoft.Exchange.OOF.KnownExternalSenders.Global
Внешний	IPM.Rule.Version2.Message	Microsoft.Exchange.OOF.AllExternalSenders.Global
Известные отправители	IPM.ExtendedRule.Message	Microsoft.Exchange.OOF.KnownExternalSenders.Global

Примечание

Помимо правил OOF, другие правила (например, правило нежелательной почты) также имеют класс сообщения IPM.ExtendedRule.Message . Переменная MSG_NAME определяет, как используется правило.

Сведения о правиле OOF

Все правила папки «Входящие» можно просмотреть с помощью инструмента MFCMapi:

1. Войдите в инструмент.
2. Выберите профиль, связанный с почтовым ящиком, имеющим правила OOF.
3. В верхней части хранилища информации выберите Входящие , а затем щелкните правой кнопкой мыши Открыть связанную таблицу содержимого .

Правила OOF в MFCMapi:

шаблонов правил OOF в MFCMapi:

История ответов OOF

Ответ OOF отправляется один раз каждому получателю. Список получателей, которым отправляется ответ OOF, хранится в истории OOF, которая очищается либо при изменении состояния OOF (включено или отключено), либо при изменении правила OOF.История OOF хранится в почтовом ящике пользователя и может быть просмотрена с помощью инструмента MFCMapi по адресу: Freebusy Data > PR_DELEGATED_BY_RULE .

Примечание

Если вы хотите отправлять ответ отправителю каждый раз, а не только один раз, вы можете применить правило серверной стороны почтового ящика «иметь ответ сервера с использованием определенного сообщения» вместо использования правила OOF. Это альтернативное правило отправляет ответ каждый раз при получении сообщения.

Устранение проблем с OOF

В следующих разделах обсуждаются некоторые сценарии, в которых ответы OOF не отправляются отправителю.Они включают в себя возможные исправления и некоторые наиболее часто встречающиеся проблемы конфигурации OOF, с которыми вы могли столкнуться.

OOF вопросы, связанные с правилами перевозки

Если кажется, что ответ OOF не был отправлен для всех пользователей в арендаторе, обычно виновато правило транспорта. Проверьте все правила транспорта, которые могут применяться к затронутому почтовому ящику, выполнив шаг 2 этой статьи.

Если вы подозреваете проблему с доставкой, запустите трассировку сообщений от клиента Office 365. Для сообщений OOF отправитель исходного сообщения становится получателем во время отслеживания.Вы должны иметь возможность определить, был ли инициирован ответ OOF и отправлен внешнему или внутреннему получателю. Трассировка сообщения четко укажет, блокирует ли правило транспорта ответ OOF.

Есть один сценарий, который стоит выделить, когда речь идет о правилах транспорта, блокирующих ответы OOF. Предположим, вы переместили запись MX в стороннюю программу защиты от спама. Вы создали правило транспорта, чтобы отклонять любое сообщение электронной почты, отправленное с любого IP-адреса, кроме сторонней программы защиты от спама.

Правило транспорта будет выглядеть следующим образом:

Описание:
Если сообщение: Получено от «За пределами организации» Выполните следующие действия: отклоните сообщение и включите пояснение «Вам не разрешено обходить запись MX!» с кодом состояния: ‘5.7.1’ За исключением случаев, когда IP-адреса отправителя сообщения принадлежат одному из следующих диапазонов: ‘1xx.1xx.7x.3x’
Изменено вручную: Ложь
SenderAddressLocation: Envelope

Поскольку правила OOF имеют пустой (<>) путь возврата, правило OOF неожиданно совпадает с правилом транспорта, и ответы OOF блокируются.

Чтобы устранить эту проблему, измените свойство правила транспорта «Сопоставить адрес отправителя в сообщении» на «Заголовок или конверт», чтобы проверки также выполнялись по От (также известному как «Заголовок от»), Отправитель. или Ответить на поля. Дополнительные сведения об условиях правила потока почты см. В разделе «Отправители» Эта статья.

Настройка почтового ящика JournalingReportNdrTo

Если затронутый почтовый ящик настроен под параметром JournalingReportNdrTo , ответы OOF не будут отправляться для этого почтового ящика.Кроме того, это может повлиять на ведение журнала сообщений электронной почты. Рекомендуется создать специальный почтовый ящик для параметра JournalingReportNdrTo . Кроме того, вы можете настроить выделенный почтовый ящик на внешний адрес.

Дополнительные сведения о том, как решить эту проблему, см. В разделе Правила транспорта и почтовых ящиков в Exchange Online или локальном сервере Exchange Server не работают должным образом.

В почтовом ящике включена пересылка SMTP-адреса

Если в почтовом ящике затронутого пользователя включена пересылка SMTP, ответы OOF не будут создаваться.Его можно проверить в любом из следующих мест:

• В настройках почтового ящика пользователя в клиенте (например, Outlook в Интернете):

• В PowerShell:

    Get-Mailbox -Identity Daniel | fl DeliverToMailboxAndForward, ForwardingSmtpAddress, ForwardingAddress
    

• В свойствах пользователя на портале Microsoft 365:

Сведения о том, как решить эту проблему, см. В этой статье.

Тип ответа OOF, установленный на удаленных доменах

Обратите внимание на то, какой тип ответа OOF установлен на удаленных доменах, потому что это повлияет на ответ OOF. Если конфигурация типа ответа OOF неверна, ответ OOF может вообще не сгенерироваться.

Существует четыре типа ответа OOF:

• Внешний
• ExternalLegacy
• InternalLegacy
• Нет

Дополнительные сведения об этих типах OOF см. В записи AllowedOOFType в разделе «Параметры» Set-RemoteDomain.

Вы можете проверить тип ответа OOF из Центр администрирования Exchange > Поток почты > Удаленные домены .

В качестве альтернативы можно запустить следующий командлет PowerShell:

  Get-RemoteDomain | ft -AutoSize имя, имя домена, AllowedOOFType
  

В качестве примера предположим, что у вас есть гибридная организация, которая включает почтовые ящики, размещенные как в локальном Exchange, так и в Exchange Online.По умолчанию только внешние сообщения в этом сценарии будут отправляться в локальную систему Exchange, если для параметра AllowedOOFType установлено значение External . Чтобы отправлять внутренние сообщения OOF в локальную систему Exchange в гибридной среде, установите для AllowedOOFType значение InternalLegacy .

У вас также есть возможность на уровне конфигурации почтового ящика (ExternalAudience: Known) отправлять внешние OOF-ответы только тем людям, которые указаны в качестве ваших контактов. Выполните следующую команду, чтобы проверить конфигурацию:

  Get-MailboxAutoReplyConfiguration daniel | fl ExternalAudience
  

Удаленный домен блокирует ответы OOF

Другой параметр удаленных доменов — это параметр, который вы используете для разрешения или запрета сообщений, которые являются автоматическими ответами от клиентских почтовых программ в вашей организации.

Этот параметр можно найти в Центр администрирования Exchange > Поток почты > Удаленные домены .

В качестве альтернативы можно запустить следующий командлет PowerShell:

  Get-RemoteDomain | ft -AutoSize Name, DomainName, AutoReplyEnabled
  

Примечание

Если значение параметра — false , автоматические ответы не будут отправляться пользователям в этом домене. Этот параметр имеет приоритет над автоматическими ответами, которые настраиваются на уровне почтового ящика или над типом OOF (как обсуждалось ранее).Имейте в виду, что true — это значение по умолчанию для новых удаленных доменов, которые вы создаете, и встроенного удаленного домена с именем Default в Exchange Online. И false — это значение по умолчанию для встроенного удаленного домена с именем Default в локальном Exchange.

Если сообщение электронной почты помечено как спам и отправлено в спам, автоматический ответ вообще не создается.

Это говорит само за себя.

Трассировка сообщения показывает сбой доставки

Когда вы исследуете проблему с ответом OOF, вы можете найти следующую запись об ошибке в трассировке сообщения:

«550 5.7.750 Служба недоступна. Клиент заблокирован для отправки с незарегистрированных доменов. «

Если вы найдете эту запись, обратитесь в службу поддержки Microsoft, чтобы узнать, почему была применена блокировка незарегистрированного домена.

Трассировка сообщения показывает событие Drop

В трассировке сообщения вы можете увидеть событие Drop с описанием, похожим на следующий пример:

250 2.1.5 RESOLVER.OOF.IntToExt; обработал внутренний OOF, адресованный внешнему получателю

Это обычная запись журнала.

Когда Exchange Online генерирует ответы OOF, он генерирует и отправляет как внутренние, так и внешние ответы. Когда ответы будут доставлены, неподходящие сообщения будут отброшены. Например, если тип OOF-ответов, которые могут быть отправлены получателям в удаленном домене, установлен как External или ExternalLegacy, внутренний ответ будет отброшен, а событие Drop будет зарегистрировано. Для ответов, отправляемых внутренним получателям, произойдет аналогичное событие ExtToInt .

Дополнительные выпуски OOF

При создании, настройке или управлении ответами OOF могут также возникнуть следующие проблемы.

Отправлено старое или повторяющееся сообщение OOF

Если отправляется старый или повторяющийся ответ OOF, проверьте наличие повторяющегося правила папки «Входящие» и удалите его, если найдете.

Если нет дополнительного правила для папки «Входящие», эта проблема также может возникнуть, если история OOF достигает своего предела. История OOF имеет ограничение в 10 000 записей. Если этот порог достигнут, новые пользователи не могут быть добавлены в список истории. В этой ситуации ответы OOF будут по-прежнему отправляться получателям, которых еще нет в списке — один ответ на каждое сообщение, отправленное получателями.Все пользователи, которые уже находятся в списке, не будут получать повторяющиеся ответы OOF.

Чтобы решить эту проблему, воспользуйтесь одним из следующих методов.

Метод 1

1. Удалите правила OOF и шаблоны правил OOF из почтового ящика. Чтобы найти правила, см. Раздел подробностей правила OOF.
2. Отключите, а затем снова включите функцию OOF для почтового ящика.
3. Еще раз проверьте, работает ли функция OOF должным образом и отсутствуют ли симптомы.

Метод 2

Если метод 1 не решает проблему, удалите историю ответов OOF.

1. Отключите автоматические ответы в Outlook, если они включены в данный момент, и выйдите из Outlook.

2. Войдите в инструмент MFCMapi и выберите Инструменты > Параметры .

3. Установите следующие флажки:

   • Используйте флаг MDB_ONLINE при вызове OpenMsgStore
   • Используйте флаг MAPI_NO_CACH при вызове OpenEntry

4. Выберите Session > Logon .

5. Выберите профиль Outlook для почтового ящика и дважды щелкните его, чтобы открыть.

6. Разверните Корневой контейнер , а затем выберите Freebusy Data .

7. В столбце Other Names щелкните правой кнопкой мыши свойство PR_DELEGATED_BY_RULE с тегом 0x3FE30102 , укажите на Edit as stream , а затем выберите Binary .

8. Выделите весь текст в поле Stream (Binary) и удалите его.

Отправлено два разных сообщения OOF

Если отправлено два разных сообщения OOF, и вы не найдете дополнительное правило для папки «Входящие», скорее всего, виновником является правило OOF в клиенте Outlook. Чтобы проверить и удалить такое правило, выполните следующие действия:

1. В клиенте Outlook выберите Файл > Автоматические ответы > Правила .

2. Выберите правило OOF, а затем выберите Удалить правило .

Невозможно включить автоматические ответы, получено сообщение об ошибке

При попытке доступа к автоматическим ответам из клиента Outlook появляется следующее сообщение об ошибке:

«Ваши настройки автоматического ответа не могут быть отображены, потому что сервер в данный момент недоступен. Повторите попытку позже».

Чтобы сузить эту проблему, выполните следующие действия:

• Убедитесь, что протокол EWS включен в почтовом ящике.Ответы OOF полагаются на этот протокол. (Обратите внимание, что повторное включение протокола может занять несколько часов.)

• Включите функцию OOF, запустив следующий командлет:

    Set-MailboxAutoReplyConfiguration <идентификатор> -AutoReplyState включен
    

• Проверьте, работает ли функция OOF должным образом.

• Если проблема все еще существует, проверьте квоту правил для почтового ящика:

    Get-mailbox -identity  | fl RulesQuota
    

  По умолчанию параметр RulesQuota имеет максимальное значение 256 КБ (262 144 байта).Это определяется размером правил, а не количеством правил.

• Удалите правила OOF и шаблоны правил OOF из почтового ящика. Чтобы найти правила, см. Раздел подробностей правила OOF. После удаления правил вы можете повторно включить функцию OOF, а затем снова протестировать.

Автоматический ответ отправляется, даже если OOF отключен

В некоторых сценариях сообщения OOF по-прежнему отправляются, даже если функция отключена. Это может произойти, если правило создается вручную с использованием шаблона отсутствия на работе.

O-O-O — шахматный термин | Chess24.com

Использование chess24 требует хранения некоторых личных данных, как указано ниже. Дополнительную информацию можно найти в нашей Политике в отношении файлов cookie, Политике конфиденциальности, Заявлении об отказе от ответственности и Условиях использования веб-сайта. Обратите внимание, что ваши настройки данных могут быть изменены в любое время, щелкнув ссылку Data Settings в нижнем колонтитуле внизу нашего веб-сайта.

Необходимые данные

Некоторые данные технически необходимы, чтобы вообще иметь возможность посетить страницу.Так называемые файлы cookie хранят идентификаторы, которые позволяют отвечать на ваши индивидуальные запросы. Он содержит идентификатор сеанса — уникальный идентификатор анонимного пользователя в сочетании с идентификатором аутентификации (user_data). Идентификатор безопасности (csrf) также сохраняется для предотвращения определенного типа онлайн-атак. Все эти поля являются буквенно-цифровыми и почти не имеют отношения к вашей реальной личности. Единственным исключением является то, что мы отслеживаем некоторые запросы с IP-адресом, который вы используете в настоящее время, чтобы мы могли обнаруживать злонамеренное использование или системные дефекты.Кроме того, сохраняется техническое поле (отдельная таблица), чтобы гарантировать, что некоторые взаимодействия обрабатываются только на вкладке браузера, которая в данный момент активна. Например, новая шахматная партия не будет открываться на всех ваших текущих вкладках. Мы используем ваше локальное хранилище, чтобы сохранить разницу между вашими локальными часами и временем нашего сервера (serverUserTimeOffset), чтобы мы могли правильно отображать дату и время событий для вас. Мы измеряем, как наша страница используется с помощью Google Analytics, чтобы мы могли решить, какие функции реализовать дальше и как оптимизировать наш пользовательский интерфейс.Google хранит идентификаторы ваших устройств, и мы отправляем события отслеживания (например, запросы страниц) в Google Analytics. Они не имеют прямого отношения к вашей личности, за исключением текущего используемого IP-адреса и ваших идентификаторов Google Analytics. Вы также можете включить больше полей данных, как описано в других разделах. Ваше личное решение о том, какое хранилище данных включить, также сохраняется как необходимая информация (согласие).

Данные настроек

Для вашего удобства мы предлагаем ряд индивидуальных настроек.Варианты включают в себя противников, против которых вы предпочитаете играть в паре, предпочитаемую шахматную доску и фигуры, размер доски, настройку громкости видеоплеера, предпочитаемый язык, отображение чата или шахматной записи и многое другое. Вы можете использовать нашу веб-страницу без сохранения этих данных, но если вы хотите, чтобы ваши индивидуальные настройки запомнились, мы рекомендуем включить эту функцию. Для вошедших в систему зарегистрированных пользователей этот параметр является обязательным для хранения информации о ваших настройках конфиденциальности, пользователях, которых вы заблокировали, и настройках дружбы.Как зарегистрированный пользователь мы также сохраняем ваше согласие с данными в этих настройках.

Данные социальных сетей

Мы встраиваем ленту Twitter, показывающую активность по хэштегу # c24live, а также делаем возможным делиться контентом в социальных сетях, таких как Facebook и Twitter. Если вы включите эту опцию, социальные сети смогут хранить данные в ваших файлах cookie или локальном хранилище для этих функций.

Статистические данные

Включите эту функцию, чтобы мы могли собирать больше индивидуальных измерений и статистики, чтобы мы могли принимать более обоснованные решения о том, какой контент и функции важны для вас и должны стать приоритетом для улучшения.

Маркетинговые данные

Чтобы покрыть расходы на бесплатные услуги, мы хотели бы показывать вам рекламу из наших партнерских сетей. Члены этих сетей хранят данные о показываемых вам баннерах и стараются показывать релевантную рекламу. Если вы решите не разрешать такие данные, мы должны будем показывать больше анонимных рекламных объявлений и будем более ограничены в бесплатных услугах, которые мы можем предложить. Мы используем сервисы Google для показа рекламы. Подробную информацию о том, как обрабатываются ваши данные, можно найти здесь: https: // policy.google.com/technologies/ads

Другие данные

Для зарегистрированных пользователей мы храним дополнительную информацию, такую ​​как данные профиля, сыгранные шахматные партии, ваши сеансы анализа шахмат, сообщения на форуме, чат и сообщения, сведения о ваших друзьях и заблокированных пользователях, а также приобретенные вами предметы и подписки. Вы можете найти эту информацию в личном профиле. Для использования этого приложения не требуется бесплатная регистрация. Если вы решите связаться со службой поддержки, создается тикет с информацией, включающей ваше имя и адрес электронной почты, чтобы мы могли ответить на ваш вопрос.Эти данные обрабатываются во внешнем сервисе Zendesk. Если вы подписаны на информационный бюллетень или зарегистрированы, мы хотели бы время от времени присылать вам обновления по электронной почте. Вы можете отказаться от подписки на информационные бюллетени и, как зарегистрированный пользователь, можете применить несколько настроек электронной почты, чтобы контролировать использование вашего адреса электронной почты. Для информационных бюллетеней мы переносим ваш адрес электронной почты и имя пользователя во внешний сервис MailChimp. Если вы покупаете контент или подписку на chess24, мы работаем с поставщиком платежных услуг Adyen, который собирает ваши платежные данные и обрабатывает информацию о платеже, такую ​​как данные о защите от мошенничества.