Сравнение ооо и ип таблица: чем отличается, плюсы и минусы, сравнительная таблица в 2020 году

Содержание

Калькулятор УСН 2021 | Расчет УСН 6% и УСН 15% онлайн — Контур.Бухгалтерия

4,8 средняя
из 1768 оценок


Как пользоваться калькулятором УСН?

При помощи калькулятора вы можете рассчитать налог по упрощенной системе налогообложения к уплате за конкретный налоговый период, узнаете КБК, чтобы сделать платеж, и и крайний срок, когда налог нужно платить в налоговый орган.

В онлайн-сервисе Контур.Бухгалтерия после расчета вы сможете заполнить декларацию по УСН и отправить ее через интернет. Первый месяц сможете пользоаться сервисом бесплатно!

Как заполнить таблицу для расчета?

После того, как вы выбрали процент по налогу на УСН (6% или 15%), вам нужно заполнить таблицу для расчета. Само налогообложение вы выбрать не можете — этот калькулятор предназначен для упрощенцев, однако он единый для УСН «доход» и «доход минус расход».

  • Шаг 1. Выберите кто вы: ИП с работниками, ИП без работников или ООО, у которого упрощенка. От этого зависят расчеты.
  • Шаг 2. Правильно выбираем расчетный период: квартал, полгода, 9 месяцев или год.
  • Шаг 3. Если вы являетесь плательщиком торгового сбора на момент расчета, поставьте галочку.
  • Шаг 4. Если вы выбрали “Доходы”, вам нужно внести сами доходы (это не прибыль!), уплаченные страховые взносы за ИП и за сотрудников, а также суммы по больничным за счет работодателя. Помните, что взносы уплачиваются в налоговый период, за который вы считаете налог. К примеру, для уменьшения налога за первую половину 2017 года, взносы за полугодие нужно выплатить в бюджет до 30 июня 2017 года включительно.

Если вы выбрали “Доходы минус расходы”, вам нужно внести сумму доходов и сумму понесенных расходов.

В обоих случаях калькулятор рассчитает сколько вам нужно платить в качестве налога по УСН.

Как изменился расчет налога УСН в 2021 году?

Разница в расчете налога УСН c 2015 по 2021 год заключается в том, что в 3 квартале 2015 года был введен в Москве и Севастополе, а впоследствии и в Санкт-Петербурге торговый сбор, который стали учитывать ежеквартально в расчетах.

Расчет УСН на видео


Вы можете воспользоваться другими нашими сервисами

Расчет НДС без ошибок

Расчет отпускных по нормам законодательства

Расчет НДС без ошибок

Таблица отличий ИП и ООО. Что лучше открыть? – TvoeDelo 24-7

ИПООО
Свобода распоряжения денежными средствамиИндивидуальный предприниматель волен свободно распоряжаться денежными средствами, поступающими на его лицевой счет, в том числе тратить их на личные нужды.Деньги, заработанные ООО вывести из оборота компании существенно сложений – только путем выплаты дивидендов, выплаты ЗП, либо иными путями. Однако каждый из этих путей предполагает существенные налоговые и трансакционные издержки
Имущественная ответственностьОтвечает по своим обязательствам всем имуществом, принадлежащим ему на праве собственностиИмущественная ответственность установлена только для учредителей в пределах вклада в уставной капитал ООО
Бухгалтерский учетВ большинстве случаев при микро и малых размерах бизнеса ИП не требуется ведение бухгалтерии.Обязательное ведение бухгалтерского учета, как правило, с привлечение бухгалтера либо аутсорсинговых фирм
Ежегодные обязательные платежиДля ИП установлены обязательные ежегодные взносы в ПФР и ФСС, которые при определенных условиях могут составлять до 150 тысяч в год. При этом, даже если ИП фактически не вел деятельность он обязан оплачивать данные взносы.Для ООО не установлен обязательных ежегодных платежей. Таким образом, если ООО не ведет фактическую деятельность, то содержание обходится дешевле.
РепутацияТрадиции делового общения таковы, что ИП пользуется сравнительно меньшим доверием чем ОООООО выглядит более предпочтительней чем ИП
Место работы и регистрацииИП должен осуществить регистрационный учет по адресу прописки, при этом вести деятельность он может где угодно.Регистрации ООО производится по юридическому адресу компании, при этом для осуществления деятельности в ином регионе необходимо открывать филиал.
Виды деятельностьДля ИП существуют ограничения по выбору деятельности.Ограничений по выбору деятельности нет.
КредитованиеБанки относятся к ИП насторожено, кредиты выдают не охотно.ООО пользуется большим доверием у банков.
Суммы штрафовШтрафы существенно меньшем, по сравнению с ОООСуммы штрафов существенно больше, чем для индивидуальных предпринимателей.
Продажа бизнесаИП невозможное продать.ООО можно как купить, так и продать.
Совместное ведение бизнесаИП может вести бизнес только самостоятельно, привлекая наемных сотрудниковООО предполагает наличие складочного капитала и совместное ведение бизнеса
Системы налогообложенияИП имеет право выбрать патентную систему налогообложения.Выбор систем налогообложения для ООО ограничен.

Фирменное наименование и товарный знак

В деятельности любой организации важную роль играет его название: оно является главным характерным признаком компании и позволяет отличить ее от предприятий-конкурентов. При этом различают имя самой компании и название, которое размещается на производимых ею товарах или под которым предприятие оказывает услуги.

Эти два средства индивидуализации являются двумя разными объектами интеллектуальной собственности и несут разные функции: фирменное наименование обозначает саму организацию, а товарный знак – производимую ею продукцию или предоставляемые услуги.

Отличия фирменного наименования и товарного знака

С целью удобства основные различия названия фирмы и торговой марки приведены в формате таблицы.

Параметры сравнения

Фирменное наименование

Товарный знак

Определение согласно ГК РФ
Ст. 1473: Фирменное наименование – обозначение, под которым юридическое лицо, являющееся коммерческой организацией, выступает в гражданском обороте.
Ст. 1477: Товарный знак – обозначение, которое используется для индивидуализации товаров юридических лиц или индивидуальных предпринимателей.
Правообладатель Юридическое лицо Юридическое лицо и индивидуальные предприниматели
Вид обозначения Указание на организационно-правовую форму организации и ее имя. Например: ООО «УК «Галерея Архитектор» Слово, словосочетание, изображение, голограмма, объемный предмет, звук, запах, цвет, цветовое сочетание и т.д. Например:
Способы использования В гражданском обороте, в ЕГРЮЛ, на вывесках, продукции, в договорах, счетах и иных официальных документах, на рекламных материалах, на сайтах в сети Интернет. На товарах, этикетках, упаковках, вывесках на товарах, на вывесках, в рекламных объявлениях, сети Интернет, различных объявлениях.
Регистрация Регистрация юр. лица и включение в ЕГРЮЛ.
Государственная регистрация в Роспатенте.
Возникновение исключительного права В момент включения юр. лица в ЕГРЮЛ. В момент получения свидетельства в Роспатенте.
Срок функционирования исключительного права До момента ликвидации юр. лица или изменения имени. 10 лет, считая с даты подачи заявки на регистрацию в Роспатент с возможностью продления на 10 лет неограниченное количество раз.
Территория функционирования исключительного права Российская Федерация Российская Федерация
Распоряжение исключительным правом Не допускается. Отчуждение, передача права.

Использование товарного знака в фирменном наименовании

При этом, название фирмы и торговая марка тесно связаны. Зачастую имя компании или ее отдельные элементы регистрируются в качестве торговой марки.

ООО «СЕНКРУС»

ООО «СкайДНС»

ООО «АлеВи»

ООО «Арт-Класс»

ООО «Арт Паула»

АО «ИКМЗ»

Фирменное наименование против товарного знака

Стоит отметить, что согласно статье 1474 ГК РФ нельзя зарегистрировать обозначение в качестве названия фирмы, если уже существует организация, ведущая аналогичную деятельность, с точно таким же или крайне похожим именем.  Аналогичное требование предъявляется в пункте 6 статьи 1483 того же Кодекса и к торговым маркам, которые используются для индивидуализации одинаковой продукции или услуг. Пункт 8 вышеупомянутой статьи также запрещает регистрацию обозначений, которые частью или полностью воспроизводят фирменное наименование компании, появившейся еще до подачи заявки на товарный знак. При этом, в статье 1484 сказано, что никто не вправе использовать зарегистрированную торговую марку без дозволения правообладателя, из этого следует, что и регистрация идентичного названия в качестве наименования фирмы также невозможна.

Регистрация товарного знака и фирменного наименования

Регистрация данных средств индивидуализации также происходит разными путями. Исключительное право на название фирмы возникает вместе с внесением организации в ЕГРЮЛ и дополнительного оформления не требует.

Торговая марка же регистрируется в Роспатенте, процесс состоит из нескольких этапов:

  1. Убедиться в возможности оформления прав на название и/или логотип. Причины, по котором оформление прав может оказаться невозможным, перечислены в статье 1483 ГК РФ, среди них – указание на вид продукта или услуги, несоответствие нормам морали и гуманности, наличие идентичной или похожей зарегистрированной торговой марки и другие.
  2. Заполнить заявление, указав данные о заявителе и приложив изображение торговой марки, а также список товаров или услуг, для которых она используется. Существует специальная классификация (МКТУ), в которой все возможными позиции распределены по группам, например, музыкальные инструменты сосредоточены в одном классе, продукты питания – в другом, услуги строительства – в третьем и т.д.
  3. Подать заявление в Роспатент лично, почтой или через электронные сервисы.
  4. Оплатить государственную пошлину.
  5. Ожидать результатов экспертизы.
  6. После вынесения решения о выдаче свидетельства оплатить еще одну пошлину и получить свидетельство.

Компания IP-GROUP занимается оформлением прав на торговые марки уже 6 лет, в штате имеются два патентных поверенных по товарным знакам, поэтому клиенты могут безбоязненно довериться в этом вопросе профессионалам своего дела.

Рейтинг NEMA и таблица эквивалентности IP

1 IP10 Корпуса, предназначенные для использования внутри помещений; обеспечить определенную степень защиты персонала от случайного контакта с закрытым оборудованием и обеспечить определенную степень защиты от падающей грязи 1 = Защита от твердых посторонних предметов диаметром 5 см (2 дюйма) и более 0 = Не защищен
2 IP11 Корпуса, предназначенные для использования внутри помещений; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; для обеспечения степени защиты от падающей грязи и для обеспечения степени защиты от капания и легкого разбрызгивания жидкостей 1 = Защита от твердых посторонних предметов диаметром 5 см (2 дюйма) и более 1 = Защита от вертикально падающих капель воды
3 IP54 Корпуса, предназначенные для внутреннего или наружного использования; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи, дождя, мокрого снега, снега и переносимой ветром пыли; и который не будет поврежден внешним образованием льда на корпусе 5 = Защита от пыли; с ограничением проникновения внутрь (без вредных отложений) 4 = Защита от брызг воды со всех сторон; вход ограничен
IP14 Корпуса, предназначенные для внутреннего или наружного использования; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи, дождя, мокрого снега и снега; и который не будет поврежден внешним образованием льда на корпусе 1 = Защита от твердых посторонних предметов диаметром 5 см (2 дюйма) и более 4 = Защита от брызг воды со всех сторон; вход ограничен
IP54 Корпуса, предназначенные для внутреннего или наружного использования; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи, дождя, мокрого снега, снега и переносимой ветром пыли; и в которых внешний(е) механизм(ы) остается работоспособным при обледенении 5 = Защита от пыли; с ограничением проникновения внутрь (без вредных отложений) 4 = Защита от брызг воды со всех сторон; вход ограничен
4 IP56 Корпуса, предназначенные для внутреннего или наружного использования; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи, дождя, мокрого снега, снега, переносимой ветром пыли, водяных брызг и воды, направляемой из шланга; и который не будет поврежден внешним образованием льда на корпусе 5 = Защита от пыли; с ограничением проникновения внутрь (без вредных отложений) 6 = Защита от сильных струй воды со всех сторон; вход ограничен
4X IP56 Корпуса, предназначенные для внутреннего или наружного использования; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи, дождя, мокрого снега, снега, переносимой ветром пыли, брызг воды и воды из шланга, а также от коррозии; и который не будет поврежден внешним образованием льда на корпусе 5 = Защита от пыли; с ограничением проникновения внутрь (без вредных отложений) 6 = Защита от сильных струй воды со всех сторон; вход ограничен
5 IP52 Корпуса, предназначенные для использования внутри помещений; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи; от оседания переносимой по воздуху пыли, ворсинок, волокон и летучих частиц: и для обеспечения определенной степени защиты от капания и легкого разбрызгивания жидкостей 5 = Защита от пыли; с ограничением проникновения внутрь (без вредных отложений) 2 = Защита от прямых брызг воды под углом до 15° от вертикали
6 IP67 Корпуса, предназначенные для внутреннего или наружного использования; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи; от направленной из шланга воды и попадания воды при периодическом временном погружении на ограниченную глубину; и который не будет поврежден внешним образованием льда на корпусе 6 = Полная защита от проникновения пыли 7 = Защита от последствий погружения на глубину от 15 см (6 дюймов) до 1 м (3 фута)
IP68 Корпуса, предназначенные для внутреннего или наружного использования; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи; от направленной из шланга воды и попадания воды при периодическом длительном погружении на ограниченную глубину; и который не будет поврежден внешним образованием льда на корпусе 6 = Полная защита от проникновения пыли 8 = Защита от случайного погружения в воду на глубину до 10 м (33 фута)
12 IP52 Корпуса, сконструированные (без выбивных отверстий) для использования внутри помещений; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи; от циркулирующей пыли, ворса, волокон и летучих частиц: и для обеспечения определенной степени защиты от капель и легких брызг жидкостей 5 = Защита от пыли; с ограничением проникновения внутрь (без вредных отложений) 2 = Защита от прямых брызг воды под углом до 15° от вертикали
12К IP52 Корпуса с выбивными отверстиями для использования внутри помещений; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи; от циркулирующей пыли, ворса, волокон и летучих частиц: и для обеспечения определенной степени защиты от капель и легких брызг жидкостей 5 = Защита от пыли; с ограничением проникновения внутрь (без вредных отложений) 2 = Защита от прямых брызг воды под углом до 15° от вертикали
13 IP54 Корпуса, предназначенные для использования внутри помещений; обеспечить степень защиты персонала от случайного контакта с закрытым оборудованием; обеспечить степень защиты от падающей грязи; от циркулирующей пыли, ворсинок, волокон и летучих частиц; а также от разбрызгивания, разбрызгивания и просачивания воды, масла и неагрессивных охлаждающих жидкостей. 5 = Защита от пыли; с ограничением проникновения внутрь (без вредных отложений) 4 = Защита от брызг воды со всех сторон; вход ограничен

NEMA в сравнении с IP: таблица рейтингов NEMA и таблица преобразования эквивалентов IP Вы можете прочитать первый пост здесь и второй пост здесь.

 

Мы сделали это! Мы официально добрались до финальной части нашей серии из трех частей о NEMA vs.IP-рейтинги. В этом третьем и последнем посте мы собираемся обсудить возможность преобразования типов корпусов NEMA в рейтинги IP и наоборот, так что будьте в восторге!

Корпуса IP и NEMA обеспечивают защиту электрических компонентов. Однако две разные системы различаются используемой терминологией и типами предлагаемой защиты. Таблица преобразования, которую мы составили ниже, прекрасно иллюстрирует этот факт.

NEMA и корпуса

с классом защиты IP

Прежде чем мы перейдем к таблице преобразования, давайте быстро рассмотрим из наших двух предыдущих постов различия между типами корпусов NEMA и рейтингами IP.

Обзор рейтингов IP

Степень защиты IP определяется стандартом IEC 60529 и охватывает три типа защиты. Он предотвращает доступ людей к опасным частям внутри корпуса, предотвращает попадание твердых предметов и защищает от проникновения воды. Несмотря на то, что в спецификациях указаны эти три вида защиты, коды IP не определяют защиту от масел, охлаждающих жидкостей, коррозионно-активных веществ или льда.

Обзор типов корпусов NEMA

Переходя к типам корпусов NEMA, они указаны в NEMA 250.Спецификации NEMA менее подробны, чем рейтинги IP, но охватывают больше типов защиты. Сюда входят требования к конструкции, крепление двери и крышки, коррозионная стойкость, воздействие обледенения, старение прокладок и маслостойкость, а также охлаждающие эффекты.

Рейтинги NEMA и IP: преобразование между двумя

Как указывалось в предыдущих сообщениях, нет простого способа преобразовать рейтинги IP в NEMA или наоборот. Их словарный запас просто другой. Каждый из них более специфичен в разных областях, что делает невозможным точное преобразование.

Однако, хорошо разбираясь в своем приложении, вы можете успешно выполнить преобразование без отрицательного влияния на производительность корпуса. Как и во всем, это зависит от приложения и причин, лежащих в основе спецификации рейтинга. Чтобы помочь, мы выделили полужирным шрифтом те части корпусов NEMA, которые не указаны в коде IP. Эта таблица также не включает определения кода IP в отношении доступа человека к электрическим частям внутри корпуса.

Определения в следующей таблице были перефразированы.Конверсии являются оценочными и должны использоваться только в качестве ориентира.

Тип корпуса NEMA IP-код

Определения NEMA

Определения IP

Защита от твердых частиц Защита от жидкостей
1 IP10 Для использования в помещении. Защищает персонал от случайного контакта с закрытым оборудованием. Защищает от падающей грязи. 1 = диаметр 50 мм и больше 0 = не защищено
2 IP11 Для использования в помещении. Защищает персонал от случайного контакта с закрытым оборудованием. Защищает от падающей грязи и капель/легких брызг жидкостей. 1 = диаметр 50 мм и больше 1 = Вертикально падающие капли воды
3 IP54 Для внутреннего или наружного использования.Защищает персонал от случайного контакта с закрытым оборудованием. Защищает от падающей грязи, дождя, мокрого снега, снега и переносимой ветром пыли, а также внешнего образования льда . 5 = Защита от пыли — Допускается ограниченный доступ. 4 = Вода разбрызгивается со всех сторон — Допускается ограниченный доступ.
IP14 Для внутреннего или наружного использования. Защищает персонал от случайного контакта с закрытым оборудованием.Защищает от падающей грязи, дождя, мокрого снега, снега и внешнего образования льда . 1 = диаметр 50 мм и больше 4 = Вода разбрызгивается со всех сторон — Допускается ограниченный доступ.
IP54 Для внутреннего или наружного использования. Защищает персонал от случайного контакта с закрытым оборудованием. Защищает от падающей грязи, дождя, мокрого снега, снега и переносимой ветром пыли. Внешние механизмы остаются работоспособными при обледенении . 5 = Защита от пыли — Допускается ограниченный доступ. 4 = Вода разбрызгивается со всех сторон — Допускается ограниченный доступ.
4 ИП 66 Для внутреннего или наружного использования. Защищает персонал от случайного контакта с закрытым оборудованием. Защищает от попадания грязи, переносимой ветром пыли; дождь, мокрый снег, снег, брызги воды, вода из шланга; & внешнее образование льда . 6 = Полная защита от пыли. 6 = Сильные струи воды со всех сторон — Допускается ограниченный доступ.
4X IP66 Для внутреннего или наружного использования. Защищает персонал от случайного контакта с закрытым оборудованием. Защищает от попадания грязи, переносимой ветром пыли; дождь, мокрый снег, снег, брызги воды, вода из шланга; коррозия ; & внешнее образование льда . 6 = Полная защита от пыли. 6 = Сильные струи воды со всех сторон — Допускается ограниченный доступ.
5 IP52 Для использования в помещении. Защищает персонал от случайного контакта с закрытым оборудованием. Защищает от попадания грязи; оседание воздушной пыли, ворса, волокон, летучих веществ; капание/легкие брызги жидкости. 5 = Защита от пыли — Допускается ограниченный доступ. 2 = Прямые струи воды под углом до 15° от вертикали.
6 IP67 Для внутреннего или наружного использования.Защищает персонал от случайного контакта с закрытым оборудованием. Защищает от попадания грязи; подача воды из шланга, периодическое временное погружение на ограниченную глубину; & внешнее образование льда . 6 = Полная защита от пыли 7 = временное погружение на глубину от 15 см до 1 м. Продолжительность теста: 30 минут.
IP68 Для внутреннего или наружного использования. Защищает персонал от случайного контакта с закрытым оборудованием.Защищает от попадания грязи; от направленной из шланга воды и длительного погружения на ограниченную глубину; & внешнее образование льда . 6 = Полная защита от пыли 8 = Длительное погружение на глубину более 1 м.
12 и 12К IP52 Корпуса без выбивных отверстий для использования внутри помещений. Защищает персонал от случайного контакта с закрытым оборудованием; Защищает от падающей грязи, циркулирующей пыли, пуха, волокон и летающих частиц; капание/легкие брызги жидкости. 5 = Защита от пыли — Допускается ограниченный доступ. 2 = Прямые струи воды под углом до 15° от вертикали.
13 IP54 Для использования в помещении. Защищает персонал от случайного контакта с закрытым оборудованием. Защищает от падающей грязи, циркулирующей пыли, пуха, волокон и летающих частиц; и распыление, разбрызгивание, просачивание воды, масло , и неагрессивные охлаждающие жидкости . 5 = Защита от пыли — Допускается ограниченный доступ. 4 = Вода разбрызгивается со всех сторон — Допускается ограниченный доступ.

Итак, у вас есть таблица преобразования корпусов IP и NEMA. Если у вас есть какие-либо вопросы по этой таблице, спецификациям NEMA или рейтингам IP, свяжитесь с нами сегодня. Наши инженеры будут рады помочь ответить на любые ваши вопросы о NEMA и IP и помочь вам понять, как эта таблица может относиться к вашему конкретному приложению.




Источник диаграммы: siemon.com

В чем разница между HTTP и HTTPS? Полная форма

В этом руководстве по HTTPS и HTTP мы узнаем, в чем разница между HTTP и HTTPS.

Что такое HTTP?

Полная форма HTTP — протокол передачи гипертекста. HTTP предлагает набор правил и стандартов, которые определяют, как любая информация может быть передана в World Wide Web. HTTP предоставляет стандартные правила для взаимодействия веб-браузеров и серверов.

HTTP — это сетевой протокол прикладного уровня, построенный поверх TCP.HTTP использует гипертекстовый структурированный текст, который устанавливает логическую связь между узлами, содержащими текст. Он также известен как «протокол без сохранения состояния», поскольку каждая команда выполняется отдельно, без использования ссылки на предыдущую команду запуска.

Что такое HTTPS?

HTTPS расшифровывается как безопасный протокол передачи гипертекста. Это очень продвинутая и безопасная версия HTTP. Он использует номер порта. 443 для передачи данных. Это позволяет проводить безопасные транзакции, шифруя всю связь с помощью SSL.Это комбинация протокола SSL/TLS и HTTP. Он обеспечивает зашифрованную и безопасную идентификацию сетевого сервера.

HTTP также позволяет создать безопасное зашифрованное соединение между сервером и браузером. Он предлагает двунаправленную безопасность данных. Это поможет вам защитить потенциально конфиденциальную информацию от кражи.

В протоколе HTTPS SSL-транзакции согласовываются с помощью алгоритма шифрования на основе ключей. Этот ключ обычно имеет длину 40 или 128 бит.

Далее в этом руководстве мы узнаем об основных различиях HTTP и HTTPS.

КЛЮЧЕВОЕ ОТЛИЧИЕ

  • В HTTP отсутствует механизм безопасности для шифрования данных, тогда как HTTPS предоставляет цифровой сертификат SSL или TLS для защиты связи между сервером и клиентом.
  • HTTP работает на прикладном уровне, тогда как HTTPS работает на транспортном уровне.
  • HTTP по умолчанию работает через порт 80, тогда как HTTPS по умолчанию работает через порт 443.
  • HTTP передает данные в виде обычного текста, а HTTPS передает данные в зашифрованном виде (зашифрованный текст).
  • HTTP быстрее по сравнению с HTTPS, потому что HTTPS потребляет вычислительную мощность для шифрования канала связи.

Преимущества HTTP:

  • HTTP может быть реализован с другим протоколом в Интернете или в других сетях
  • HTTP-страницы хранятся в компьютерных и интернет-кэшах, поэтому к ним можно быстро получить доступ
  • Не зависит от платформы, что позволяет кросс-платформенное портирование
  • Не требует поддержки во время выполнения
  • Можно использовать через брандмауэры! Возможны глобальные приложения
  • Не ориентирован на соединение; поэтому нет дополнительных сетевых затрат для создания и поддержания состояния сеанса и информации

Преимущества HTTPS

  • В большинстве случаев сайты, работающие по протоколу HTTPS, имеют переадресацию. Поэтому, даже если вы введете HTTP://, он будет перенаправлен на https через защищенное соединение
  • .
  • Это позволяет пользователям выполнять безопасные транзакции электронной коммерции, такие как онлайн-банкинг.
  • Технология SSL защищает любых пользователей и укрепляет доверие
  • Независимый центр проверяет личность владельца сертификата. Таким образом, каждый SSL-сертификат содержит уникальную аутентифицированную информацию о владельце сертификата.

Ограничения HTTP

  • Конфиденциальность отсутствует, так как любой может видеть содержимое
  • Целостность данных является большой проблемой, поскольку кто-то может изменить содержимое.Вот почему протокол HTTP является небезопасным методом, поскольку не используются методы шифрования.
  • Непонятно, о ком вы говорите. Любой, кто перехватит запрос, может получить имя пользователя и пароль.

Ограничения HTTPS

  • Протокол HTTPS не может остановить кражу конфиденциальной информации со страниц, кэшированных в браузере
  • Данные SSL могут быть зашифрованы только во время передачи по сети. Так что не может очистить текст в памяти браузера
  • HTTPS может увеличить вычислительные затраты, а также сетевые затраты организации

Разница между протоколами HTTP и HTTPS

Разница между HTTP и HTTPS

В таблице ниже показано, в чем разница между HTTP и HTTPS:

Веб-сайт Веб-сайты
Параметр HTTP HTTPS
Протокол Это протокол передачи гипертекста. Это защищенный протокол передачи гипертекста.
Безопасность Это менее безопасно, так как данные могут быть уязвимы для хакеров. Он предназначен для предотвращения доступа хакеров к важной информации. Он защищен от таких атак.
Порт По умолчанию используется порт 80 По умолчанию использовался порт 443.
Начинается с URL-адреса HTTP начинаются с http:// URL-адреса HTTP начинаются с https://
Используется для Хорошо подходит для веб-сайтов, предназначенных для потребления информации, таких как блоги. Если веб-сайту необходимо собирать личную информацию, такую ​​как номер кредитной карты, то это более безопасный протокол.
Скремблирование HTTP не шифрует передаваемые данные. Поэтому выше вероятность того, что передаваемая информация станет доступной для хакеров. HTTPS шифрует данные перед передачей. На стороне получателя происходит дескремблирование для восстановления исходных данных. Таким образом, передаваемая информация защищена и не может быть взломана.
Протокол Работает на уровне TCP/IP. HTTPS не имеет отдельного протокола. Он работает с использованием HTTP, но использует зашифрованное соединение TLS/SSL.
Проверка доменного имени Веб-сайт HTTP не нуждается в SSL. HTTPS требует сертификат SSL.
Шифрование данных HTTP не использует шифрование. HTTPS используют шифрование данных.
Рейтинг поиска HTTP не улучшает рейтинг поиска. HTTPS помогает улучшить поисковый рейтинг.
Скорость Быстро Медленнее, чем HTTP
Уязвимость Уязвим для хакеров Это очень безопасно, так как данные шифруются до того, как они будут видны по сети.

Типы сертификатов SSL/TLS, используемые с HTTPS

Теперь в этом руководстве по различиям HTTPS и HTTP мы рассмотрим типы сертификатов SSL/TLS, используемых с HTTPS:

Проверка домена:

Проверка домена подтверждает, что лицо, которое подает заявку на сертификат, является владельцем доменного имени.Этот тип проверки обычно занимает от нескольких минут до нескольких часов.

Проверка организации:

Центр сертификации не только подтверждает право собственности на домен, но и идентифицирует владельцев. Это означает, что владельца могут попросить предоставить документ, удостоверяющий личность, для подтверждения своей личности.

Расширенная проверка:

Расширенная проверка — это самый верхний уровень проверки. Он включает в себя подтверждение права собственности на домен, личность владельца, а также подтверждение регистрации бизнеса.

Анализ снимков брандмауэра Firepower для эффективного устранения сетевых проблем

Введение

В этом документе описываются различные методы анализа перехвата пакетов, направленные на эффективное устранение неполадок в сети. Все сценарии, представленные в этом документе, основаны на реальных пользовательских случаях, наблюдаемых в Центре технической поддержки Cisco (TAC). В документе рассматриваются захваты пакетов с точки зрения брандмауэра следующего поколения Cisco (NGFW), но те же концепции применимы и к другим типам устройств.

Предпосылки

Требования

Cisco рекомендует ознакомиться со следующими темами:

  • Архитектура огневой платформы
  • Журналы NGFW
  • Трассировщик пакетов NGFW

Кроме того, прежде чем приступить к анализу перехваченных пакетов, настоятельно рекомендуется выполнить следующие требования:

  • Знать работу протокола — Бесполезно начинать проверку захвата пакета, если вы не понимаете, как работает захваченный протокол
  • Знать топологию — Вы должны знать транзитные устройства. В идеале до конца. Если это невозможно, вы должны, по крайней мере, знать вышестоящие и нижестоящие устройства
  • .
  • Знайте устройство . Вы должны знать, как ваше устройство обрабатывает пакеты, какие интерфейсы задействованы (например, вход/выход), какова архитектура устройства и каковы различные точки захвата
  • Знать конфигурацию — Вы должны знать, как устройство должно обрабатывать поток пакетов с точки зрения:
    • Интерфейс маршрутизации/выхода
    • Примененные политики
    • Преобразование сетевых адресов (NAT)
  • Знать доступные инструменты . Наряду с захватами рекомендуется также быть готовым применять другие инструменты и методы устранения неполадок, такие как ведение журнала и трассировщики, и при необходимости сопоставлять их с захваченными пакетами

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

  • Большинство сценариев основаны на FP4140 с программным обеспечением FTD 6. 5.х.
  • FMC с установленным программным обеспечением 6.5.x.

Информация в этом документе была создана на основе устройств в специальной лабораторной среде. Все устройства, используемые в этом документе, запускались с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Справочная информация

Захват пакетов — один из самых недооцененных инструментов устранения неполадок, доступных сегодня. Ежедневно Центр технической поддержки Cisco решает множество проблем клиентов, анализируя собранные данные.Цель этого документа — помочь сетевым инженерам и специалистам по безопасности выявлять и устранять распространенные сетевые проблемы, главным образом, на основе анализа перехвата пакетов.

Как собирать и экспортировать снимки в семействе продуктов NGFW?

В случае устройства Firepower (1xxx, 21xx, 41xx, 93xx) и приложения Firepower Threat Defense (FTD) обработка пакетов может быть визуализирована, как показано на рисунке.

  1. Пакет поступает на входной интерфейс и обрабатывается внутренним коммутатором корпуса.
  2. Пакет поступает в механизм FTD Lina, который в основном выполняет проверки L3/L4.
  3. Если политика требует, пакет проверяется механизмом Snort (в основном проверка L7).
  4. Движок Snort возвращает вердикт для пакета.
  5. Механизм LINA отбрасывает или пересылает пакет на основании вердикта Snort.
  6. Пакет выходит из корпуса через внутренний коммутатор корпуса.

В соответствии с показанной архитектурой захваты FTD можно делать в 3 разных местах:

  • FXOS
  • Двигатель FTD Lina
  • Двигатель FTD Snort

Сбор снимков FXOS

Процесс описан в этом документе:

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos271/web-guide/b_GUI_FXOS_ConfigGuide_271/troubleshooting.html#concept_E8823CC63C934A909BBC0DF12F301DED

Захваты

FXOS могут быть сделаны только в направлении входа с точки зрения внутреннего коммутатора, как показано на изображении здесь.

Как показано на изображении, это две точки захвата в каждом направлении (из-за внутренней архитектуры коммутатора).

Захваченные пакеты в точках 2, 3 и 4 имеют тег виртуальной сети (VNTag).

Примечание : захваты на уровне корпуса FXOS доступны только на платформах FP41xx и FP93xx. FP1xxx и FP21xx не предоставляют эту возможность.

Включение и сбор FTD Lina Capture

Основные точки захвата:

  • Входной интерфейс
  • Выходной интерфейс
  • Ускоренный путь безопасности (ASP)

Вы можете использовать пользовательский интерфейс Firepower Management Center (FMC UI) или интерфейс командной строки FTD для включения и сбора захватов FTD Lina.

Включить захват из CLI на ВНУТРЕННЕМ интерфейсе:

 firepower#  захват интерфейса CAPI ВНУТРИ соответствие icmp host 192.168.103.1 host 192.168.101.1  

Этот захват сопоставляет трафик между IP-адресами 192. 168.103.1 и 192.168.101.1 в обоих направлениях.

Включить захват ASP, чтобы увидеть все пакеты, отброшенные механизмом FTD Lina:

 firepower#  захват ASP типа asp-drop all  

Экспорт захвата FTD Lina на FTP-сервер:

 firepower#  копия /pcap захват:CAPI ftp://ftp_username:[email protected]/CAPI.pcap  

Экспорт захвата FTD Lina на TFTP-сервер:

 firepower#  копия /pcap захват:CAPI tftp://192.168.78.73  

Начиная с версии FMC 6.2.x вы можете включать и собирать захваты FTD Lina из пользовательского интерфейса FMC.

Еще один способ собрать записи FTD из брандмауэра, управляемого FMC, заключается в следующем.

Этап 1

В случае захвата LINA или ASP скопируйте захват на диск FTD, т.е.

 firepower#  копия /pcap захват:capin disk0:capin.пакет 

Имя исходного захвата [capin]?

Имя файла назначения [capin. pcap]?
!!!!
 

Этап 2

Перейдите в экспертный режим, найдите сохраненный снимок и скопируйте его в папку /ngfw/var/common:

 огневая мощь#

Соединение с консолью отключено.

>  эксперт
  admin@firepower:~$  sudo su 
Пароль:
root@firepower:/home/admin#  cd /mnt/disk0 
root@firepower:/mnt/disk0#  ls -al | grep pcap 
-rwxr-xr-x 1 root root 24 апр 26 18:19 CAPI.pcap
-rwxr-xr-x 1 root root 30110 8 апреля 14:10  capin.pcap 
-rwxr-xr-x 1 root root 6123 8 апреля 14:11 capin2.pcap
root@firepower:/mnt/disk0#  cp capin.pcap /ngfw/var/common
  

Этап 3

Войдите в FMC, который управляет FTD, и перейдите к Устройства > Управление устройствами. Найдите устройство FTD и выберите значок Устранение неполадок :

Этап 4

Выберите Расширенное устранение неполадок:

Укажите имя файла захвата и выберите  Загрузка:

Дополнительные примеры того, как включить/собрать снимки из пользовательского интерфейса FMC, см. в этом документе:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Включение и сбор FTD Snort Capture

Здесь на изображении показана точка захвата.

Включить захват на уровне Snort:

 >  захват-трафик 

Пожалуйста, выберите домен для захвата трафика из:
  0 - бр1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите '?' для списка поддерживаемых опций)
Опции:  -n хост 192.168.101.1
  

Чтобы записать захват в файл с именем capture.pcap и скопировать его по FTP на удаленный сервер:

 >  захват-трафик 

Пожалуйста, выберите домен для захвата трафика из:
  0 - бр1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите '?' для списка поддерживаемых опций)
Опции:  -w Capture. pcap хост 192.168.101.1 
   CTRL + C <- для остановки захвата  
 
> копия файла 10.229.22.136 ftp/capture.pcap Введите пароль для [email protected]: Копирование Capture.pcap Копировать успешно. >

Дополнительные примеры захвата на уровне Snort, включающие различные фильтры захвата, см. в этом документе:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Устранение неполадок

Случай 1. Нет TCP SYN на выходном интерфейсе

Топология показана на изображении здесь:

Описание проблемы: HTTP не работает

Затронутый поток:

Исходный IP-адрес: 192.168.0.100

Точный IP-адрес: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на ядре FTD LINA:

 firepower#  Capture CAPI int INSIDE match ip host 192. 168.0.100 host 10.10.1.100 
firepower#  захват CAPO int OUTSIDE совпадение IP хоста 192.168.0.100 хоста 10.10.1.100
  

Захват — Функциональный сценарий:

В качестве основы всегда очень полезно иметь записи из функционального сценария.

Захват, сделанный на интерфейсе NGFW INSIDE, как показано на рисунке:

Ключевые точки:

  1. Трёхстороннее рукопожатие TCP.
  2. Двунаправленный обмен данными.
  3. Нет задержек между пакетами (исходя из разницы во времени между пакетами)
  4. Исходный MAC-адрес является правильным нисходящим устройством.

Захват, сделанный на интерфейсе NGFW OUTSIDE, показан на изображении здесь:

Ключевые точки:

  1. Те же данные, что и при захвате CAPI.
  2. MAC-адрес назначения является правильным восходящим устройством.

Захват — Нефункциональный сценарий

Из интерфейса командной строки устройства захваты выглядят следующим образом:

 огневая мощь#  показать захват 
захват интерфейса необработанных данных типа CAPI INSIDE  [Захват — 484 байта] 
  соответствует ip хоста 192. 168.0.100 хосту 10.10.1.100
захват интерфейса необработанных данных типа CAPO OUTSIDE  [Захват — 0 байт] 
  соответствует ip хоста 192.168.0.100 хосту 10.10.1.100
 

Содержимое CAPI:

 firepower#  показать захват CAPI 

захвачено 6 пакетов

   1:11:47:46.2 192.168.0.100.3171 > 10.10.1.100.80:  S  1089825363:1089825363(0) win 8192 
   2: 11:47:47.161902 192.168.0.100.3172 > 10.10.1.100.80:  S  3981048763:3981048763(0) win 8192 
   3: 11:47:49.3 192.168.0.100.3171 > 10.10.1.100.80:  S  1089825363:1089825363(0) win 8192 
   4: 11:47:50.162757 192.168.0.100.3172 > 10.10.1.100.80:  S  3981048763:3981048763(0) win 8192 
   5: 11:47:55.0 192.168.0.100.3171 > 10.10.1.100.80:  S  1089825363:1089825363(0) win 8192 
   6: 11:47:56. 164710 192.168.0.100.3172 > 10.10.1.100.80:  S  3981048763:3981048763(0) win 8192 
 
 огневая мощь#  показать захват CAPO 

  0 пакет захвачен 

показано 0 пакетов
 

Это изображение захвата CAPI в Wireshark:

Ключевые точки:

  1. Видны только TCP-пакеты SYN (трехстороннее рукопожатие TCP отсутствует).
  2. Невозможно установить 2 сеанса TCP (исходный порт 3171 и 3172). Исходный клиент повторно отправляет пакеты TCP SYN. Эти повторно переданные пакеты идентифицируются Wireshark как повторные передачи TCP.
  3. Повторные передачи TCP происходят каждые ~3, затем 6 и т. д. секунд
  4. Исходный MAC-адрес принадлежит правильному нисходящему устройству.

На основании 2 захватов можно сделать вывод, что:

  • Пакет определенного 5-кортежа (IP-адрес src/dst, порт src/dst, протокол) поступает на брандмауэр на ожидаемом интерфейсе (ВНУТРИ).
  • Пакет не покидает брандмауэр на ожидаемом интерфейсе (ВНЕШНЕМ).
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте трассировку эмулируемого пакета.

Используйте инструмент трассировки пакетов, чтобы увидеть, как пакет должен обрабатываться брандмауэром. В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка эмулируемого пакета выглядит примерно так:

.
 firepower#  трассировщик пакетов ВНУТРИ tcp 192.168.0.100 11111 10.10.1.100 80 

Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
Список доступа по MAC-адресу

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Неявное правило
Дополнительная информация:
Список доступа по MAC-адресу

Фаза: 3
  Тип: МАРШРУТ-ПРОСМОТР
Подтип: разрешить исходящий интерфейс 
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
найден следующий переход 192. 168.2.72 с использованием  выхода ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфигурация:
группа доступа CSM_FW_ACL_ глобальная
список доступа CSM_FW_ACL_ расширенный запретить IP-адрес любой любой идентификатор правила 268439946 запуск потока журнала событий
список доступа CSM_FW_ACL_ замечание идентификатор правила 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy — по умолчанию
список доступа CSM_FW_ACL_ замечание идентификатор правила 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
статус ввода: вверх
статус строки ввода: вверх
выходной интерфейс: ВНЕШНИЙ
выходной статус: вверх
статус выходной строки: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен сконфигурированным правилом, Место отбрасывания: кадр 0x00005647a4f4b120 поток (NA)/NA
  

Действие 2.Проверьте следы живых пакетов.

Включите трассировку пакетов, чтобы проверить, как брандмауэр обрабатывает настоящие пакеты TCP SYN. По умолчанию отслеживаются только первые 50 входящих пакетов:

.
 firepower#  захват трассировки CAPI  

Очистить буфер захвата:

 огневая мощь#  полный захват /все  


В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка выглядит примерно так:

 firepower#  показать трассировку захвата пакета CAPI номер 1
 
захвачено 6 пакетов

   1:12:45:36.279740 192.168.0.100.3630 > 10.10.1.100.80: S 2322685377:2322685377(0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
Список доступа по MAC-адресу

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Неявное правило
Дополнительная информация:
Список доступа по MAC-адресу

Фаза: 3
Тип: МАРШРУТ-ПОИСК
Подтип: разрешение выходного интерфейса
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
найден следующий переход 192. 168.2.72 с использованием  выхода ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфигурация:
группа доступа CSM_FW_ACL_ глобальная
список доступа CSM_FW_ACL_ расширенный запретить IP-адрес любой любой идентификатор правила 268439946 запуск потока журнала событий
список доступа CSM_FW_ACL_ замечание идентификатор правила 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy — по умолчанию
список доступа CSM_FW_ACL_ замечание идентификатор правила 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
статус ввода: вверх
статус строки ввода: вверх
выходной интерфейс: ВНЕШНИЙ
выходной статус: вверх
статус выходной строки: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, Место отбрасывания: кадр 0x00005647a4f4b120 поток (NA)/NA 

показан 1 пакет
 

Действие 3.Проверьте журналы FTD Lina.

Чтобы настроить системный журнал на FTD через FMC, см. этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200479-Configure-Logging-on-FTD-via-FMC.html

Настоятельно рекомендуется настроить внешний сервер системного журнала для журналов FTD Lina. Если удаленный сервер системного журнала не настроен, включите журналы локального буфера в брандмауэре на время устранения неполадок. Конфигурация журнала, показанная в этом примере, является хорошей отправной точкой:

.
 огневая мощь#  показать журнал запуска 
…
включить ведение журнала
временная метка регистрации
размер буфера ведения журнала 1000000
журналирование буферизованной информации
 


Установите терминальный пейджер на 24 строки, чтобы управлять терминальным пейджером:

 firepower#  терминальный пейджер 24  


Очистить буфер захвата:

 firepower#  очистить буфер регистрации  

Проверьте соединение и проверьте журналы с помощью фильтра анализатора. В этом примере пакеты отбрасываются политикой доступа брандмауэра:

.
 огневая мощь#  показать регистрацию | включить 10.10.1.100 
09 октября 2019 г., 12:55:51: %FTD-4-106023: запретить tcp src INSIDE:192.168.0.100/3696 dst OUTSIDE:10.10.1.100/80 группой доступа «CSM_FW_ACL_» [0x97aa021a, 0x0]
09 октября 2019 г., 12:55:51: %FTD-4-106023: запретить tcp src INSIDE:192.168.0.100/3697 dst OUTSIDE:10.10.1.100/80 группой доступа «CSM_FW_ACL_» [0x97aa021a, 0x0]
09 октября 2019 г., 12:55:54: %FTD-4-106023: Запретить tcp src INSIDE:192.168.0.100/3696 dst OUTSIDE:10.10.1.100/80 по группе доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 г., 12:55:54: %FTD-4-106023: запретить tcp src INSIDE:192.168.0.100/3697 dst OUTSIDE:10.10.1.100/80 группой доступа «CSM_FW_ACL_» [0x97aa021a, 0x0]
 

Действие 4. Проверьте сбросы ASP брандмауэра.

Если вы подозреваете, что пакет отбрасывается брандмауэром, вы можете увидеть счетчики всех пакетов, отброшенных брандмауэром на программном уровне:

 firepower#  show asp drop 

Падение кадров:
  Нет маршрута к хосту (без маршрута) 234
  Поток запрещен настроенным правилом (acl-drop) 71

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г. , автор: enable_15

Падение потока:

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., автор: enable_15
 

Вы можете включить захват, чтобы увидеть все капли на уровне программного обеспечения ASP:

 firepower#  захват типа ASP asp-drop весь буфер 33554432 только заголовки  

Совет : Если вас не интересует содержимое пакета, вы можете захватывать только заголовки пакетов (опция только для заголовков).Это позволяет захватывать гораздо больше пакетов в буфер захвата. Кроме того, вы можете увеличить размер буфера захвата (по умолчанию 500 Кбайт) до значения до 32 Мбайт (опция буфера). Наконец, начиная с FTD версии 6.3, параметр размера файла позволяет настроить размер файла захвата до 10 ГБ. В этом случае вы можете видеть содержимое захвата только в формате pcap.

Чтобы проверить содержимое захвата, вы можете использовать фильтр, чтобы сузить область поиска:

 firepower#  показать захват ASP | включить 10. 10.1.100 
  18: 07:51:57.823672 192.168.0.100.12410 > 10.10.1.100.80: S 1870382552:1870382552(0) win 8192 
  19: 07:51:58.074291 192.168.0.100.12411 > 10.10.1.100.80: S 2006489005:2006489005(0) win 8192 
  26: 07:52:00.830370 192.168.0.100.12410 > 10.10.1.100.80: S 1870382552:1870382552(0) win 8192 
  29:07:52:01.080394 192.168.0.100.12411 > 10.10.1.100.80: S 2006489005:2006489005(0) win 8192 
  45: 07:52:06.824282 192.168.0.100.12410 > 10.10.1.100.80: S 1870382552:1870382552(0) win 8192 
  46: 07:52:07.074230 192.168.0.100.12411 > 10.10.1.100.80: S 2006489005:2006489005(0) win 8192 
 

В этом случае, поскольку пакеты уже отслеживаются на уровне интерфейса, причина отбрасывания не упоминается в захвате ASP.Помните, что пакет можно отследить только в одном месте (входной интерфейс или узел ASP). В этом случае рекомендуется выполнить несколько сбросов ASP и задать конкретную причину сброса ASP. Вот рекомендуемый подход:

1. Очистить текущие счетчики сброса ASP:

 firepower#  прозрачный жерех  

2. Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

3. Снова проверьте счетчики отбрасывания ASP и запишите те, которые увеличились, например.г.

 firepower#  show asp drop 
Падение кадров:
  Нет маршрута к хосту (  нет маршрута  ) 234
  Поток запрещен настроенным правилом (  acl-drop  ) 71
 


4. Включите захват(ы) ASP для конкретных наблюдаемых дропов:

 firepower#  захват типа ASP_NO_ROUTE asp-drop no-route 
firepower#  захват типа ASP_ACL_DROP asp-drop acl-drop
  

5.Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

6. Проверьте захваты ASP. В данном случае пакеты были отброшены из-за отсутствия маршрута:

 firepower#  показать захват ASP_NO_ROUTE | включить 192.168.0.100.*10.10.1.100 
  93: 07:53:52.381663 192.168.0.100.12417 > 10.10.1.100.80: S 3451
    5:3451
      5(0) win 8192 95: 07:53:52.632337 192.168.0.100.12418 > 10.10.1.100.80: S 16

      448:16

      448(0) win 8192 101:07:53:55.375392 192.168.0.100.12417 > 10.10.1.100.80: S 3451

        5:3451
          5(0) win 8192 102: 07:53:55.626386 192.168.0.100.12418 > 10.10.1.100.80: S 16

          448:16

          448(0) win 8192 116: 07:54:01.376231 192.168.0.100.12417 > 10.10.1.100.80: S 3451

            5:3451
              5(0) win 8192 117: 07:54:01.626310 192.168.0.100.12418 > 10.10.1.100.80: S 16

              448:16

              448(0) win 8192

Действие 5.Проверьте таблицу подключения FTD Lina.

Могут быть случаи, когда вы ожидаете, что пакет выйдет из интерфейса «X», но по каким-то причинам он выходит через интерфейс «Y». Определение выходного интерфейса брандмауэра основано на следующем порядке операций:

.
  1. Поиск установленного соединения
  2. Поиск преобразования сетевых адресов (NAT) — фаза UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
  3. Маршрутизация на основе политик (PBR)
  4. Поиск таблицы маршрутизации

Для проверки таблицы подключения FTD:

 огневая мощь#  показать соединение 
2 в использовании, 4 наиболее часто используемых
Осмотрите Снорта:
        save-connection: 2 включено, 0 действует, 4 наиболее активно, 0 наиболее активно

TCP  ДМЗ  10.10.1.100:  80   ВНУТРИ  192.168.0.100:  11694  , бездействие 0:00:01, байт 0, флаги  aA N1 
TCP  DMZ  10.10.1.100:80  ВНУТРИ  192. 168.0.100:  11693  , бездействие 0:00:01, байты 0, флаги  aA N1
  

Ключевые точки:

  • Судя по флагам (Aa), соединение находится в зачаточном состоянии (полуоткрыто — брандмауэр видел только TCP SYN).
  • В зависимости от портов источника/назначения входной интерфейс находится ВНУТРИ, а выходной интерфейс — DMZ.

Это можно увидеть на изображении здесь:

Примечание : Поскольку все интерфейсы FTD имеют уровень безопасности 0, порядок интерфейсов в выходных данных show conn основан на номере интерфейса. В частности, интерфейс с более высоким номером vpif (номер интерфейса виртуальной платформы) выбирается как внутренний, а интерфейс с меньшим номером vpif выбирается как внешний. Вы можете увидеть значение интерфейса vpif с помощью команды show interface detail .Связанное усовершенствование, CSCvi15290 ENH: FTD должен отображать направленность соединения в выводе

‘show conn’ FTD.
 firepower#  показать детали интерфейса | i Номер интерфейса|Интерфейс [P|E].*до 
...
Интерфейс Ethernet1/2 "ВНУТРИ", включен, линейный протокол включен
        Номер интерфейса  19 
Интерфейс Ethernet1/3.202 "ВНЕШНИЙ", работает, линейный протокол работает
        Номер интерфейса  20 
Интерфейс Ethernet1/3.203 "DMZ", работает, линейный протокол работает
        Номер интерфейса  22  

Примечание : Начиная с версии 6 программного обеспечения Firepower.5, выпуск ASA 9.13.x выходные данные команд show conn long и show conn details предоставляют информацию об инициаторе соединения и ответчике

.

Выход 1:

 огневая мощь#  показать соединение длинное 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 (192.168.2.200/80) ВНУТРЕННИЙ: 192.168.1.100/46050 (192.168.1.100/46050), флаги aA N1, бездействие 3 с, время безотказной работы 6 с, время ожидания 30 с, байт 0
    Инициатор: 192. 168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска соединения: 228982375 

Выход 2:

 firepower#  показать детали соединения 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 ВНУТРИ: 192.168.1.100/46050,
    флаги aA N1, бездействие 4 с, время безотказной работы 11 с, время ожидания 30 с, байт 0
    Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска соединения: 228982375 

Кроме того, show conn long отображает IP-адреса NAT в скобках в случае преобразования сетевых адресов:

 огневая мощь#  показать соединение длинное 
...
TCP ВНЕШНИЙ: 192.168.2.222/80 (192.168.2.222/80) ВНУТРЕННИЙ: 192.168.1.100/34792 (  192.168.2.150 /34792), флаги aA N1, бездействие 0 с, время безотказной работы 0 с, время ожидания 30 с, байты 0, xlate id 0x2b5a8a4314c0
  Инициатор: 192.168.1.100, Ответчик: 192.168.2.222
  Идентификатор ключа поиска подключения: 262895
 

Действие 6. Проверьте кэш протокола разрешения адресов (ARP) брандмауэра.

Если брандмауэр не может разрешить следующий переход, он молча отбрасывает исходный пакет (в данном случае TCP SYN) и постоянно отправляет запросы ARP, пока не разрешит следующий переход.

Чтобы увидеть кэш ARP брандмауэра, используйте команду:

 огневая мощь#  показать arp  

Кроме того, чтобы проверить наличие неразрешенных хостов, вы можете использовать команду:

 firepower#  показать статистику arp 
        Количество записей ARP в ASA: 0

        Отброшено блоков в ARP: 84
        Максимальное количество блоков в очереди: 3
        Блоки в очереди: 0
        Получено ARP-сообщений о конфликте интерфейсов: 0
        ARP-защита Отправлено бесплатных ARPS: 0
        Всего попыток ARP:  182 < указывает на возможную проблему для некоторых хостов 
        Неразрешенные хосты:  1   < это текущий статус 
        Максимальное количество неразрешенных хостов: 2
 

Если вы хотите дополнительно проверить работу ARP, вы можете включить захват для конкретного ARP:

 firepower#  захват ARP-интерфейса Ethernet-типа arp-интерфейс ВНЕШНИЙ 
firepower#  показать захват ARP 
. ..
   4: 07:15:16.877914 802.1Q vlan#202 P0 arp  у кого есть 192.168.2.72 скажите 192.168.2.50 
   5: 07:15:18.020033 802.1Q vlan#202 P0 arp у кого есть 192.168.2.72 скажите 192.168.2.50
 

В этом выводе брандмауэр (192.168.2.50) пытается разрешить следующий переход (192.168.2.72), но нет ответа ARP

В выходных данных показан функциональный сценарий с правильным разрешением ARP:

 firepower#  показать захват ARP 

захвачено 2 пакета

   1:07:17:19.495595 802.1Q vlan # 202 P0  arp кто имеет 192.168.2.72 скажите 192.168.2.50 
   2: 07:17:19.495946 802.1Q vlan#202 P0  ответ arp 192.168.2.72 is-at 4c:4e:35:fc:fc:d8 
показано 2 пакета
 
 огневая мощь#  показать арп 
        ВНУТРИ 192.168.1.71 4c4e.35fc.fcd8 9
        ВНЕШНИЙ 192.168.2.72 4c4e.35fc.fcd8 9
 

В случае отсутствия записи ARP трассировка активного пакета TCP SYN показывает:

 firepower#  показать трассировку пакета CAPI номер 1 

захвачено 6 пакетов

   1:07:03:43. 270585  192.168.0.100.11997 > 10.10.1.100.80  : S 4023707145:4023707145(0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
Список доступа по MAC-адресу

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Неявное правило
Дополнительная информация:
Список доступа по MAC-адресу

Фаза: 3
  Тип: МАРШРУТ-ПРОСМОТР 
Подтип: разрешение выходного интерфейса
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
  нашел следующий переход 192.168.2.72 с использованием выхода ifc OUTSIDE 
…
Фаза: 14
Тип: СОЗДАНИЕ ПОТОКА
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
Создан новый поток с идентификатором 4814, пакет отправлен следующему модулю.
…
Фаза: 17
Тип: МАРШРУТ-ПОИСК
Подтип: разрешение выходного интерфейса
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
  найден следующий переход 192.168. 2.72 с использованием выхода ifc OUTSIDE 

Результат:
  интерфейс ввода: ВНУТРИ 
статус ввода: вверх
статус строки ввода: вверх
  интерфейс вывода: ВНЕШНИЙ 
выходной статус: вверх
статус выходной строки: вверх
  Действие: разрешить
  

Как видно из выходных данных, трассировка показывает Действие: разрешить  даже если следующий переход недоступен и пакет автоматически отбрасывается брандмауэром! В этом случае также необходимо проверить средство трассировки пакетов, так как оно дает более точные результаты:

.
 firepower#  трассировщик пакетов ВНУТРИ tcp 192.168.0.100 1111 10.10.1.100 80
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
Список доступа по MAC-адресу

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Неявное правило
Дополнительная информация:
Список доступа по MAC-адресу

Фаза: 3
Тип: МАРШРУТ-ПОИСК
Подтип: разрешение выходного интерфейса
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
найден следующий переход 192. 168.2.72 с использованием выхода ifc OUTSIDE
…

Фаза: 14
Тип: СОЗДАНИЕ ПОТОКА
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
Создан новый поток с идентификатором 4816, пакет отправлен следующему модулю.
…
Фаза: 17
Тип: МАРШРУТ-ПОИСК
Подтип: разрешение выходного интерфейса
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием выхода ifc OUTSIDE

Результат:
интерфейс ввода: ВНУТРИ
статус ввода: вверх
статус строки ввода: вверх
выходной интерфейс: ВНЕШНИЙ
выходной статус: вверх
статус выходной строки: вверх
Действие: падение
  Причина отбрасывания: (no-v4-adjacency) Недействительная смежность V4, место отбрасывания: кадр 0x00005647a4e86109 поток (NA)/NA
  

В последних версиях ASA/Firepower приведенное выше сообщение было оптимизировано до:

.
 Причина удаления: (no-v4-adjacency) Нет действительной смежности V4.  Проверьте, есть ли в таблице ARP (show arp) запись для nexthop  . , Место падения: f 
Сводка возможных причин и рекомендуемых действий

Если вы видите только пакет TCP SYN на входных интерфейсах, но пакет TCP SYN не отправляется из ожидаемого выходного интерфейса, некоторые возможные причины:

Возможная причина

Рекомендуемые действия

Пакет отбрасывается политикой доступа брандмауэра.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы узнать, как брандмауэр обрабатывает пакет.
  • Проверьте журналы брандмауэра.
  • Проверьте сброс ASP брандмауэра (покажите сброс asp или тип захвата asp-drop).
  • Проверьте события соединения FMC. Это предполагает, что для правила включено ведение журнала.

Неверный фильтр захвата.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы узнать, есть ли трансляция NAT, которая изменяет исходный или целевой IP-адрес.В этом случае настройте фильтр захвата.
  • show conn long Выходные данные команды показывают IP-адреса, прошедшие через NAT.

Пакет отправлен на другой выходной интерфейс.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы узнать, как брандмауэр обрабатывает пакет. Запомните порядок операций, касающихся определения исходящего интерфейса, существующего подключения, UN-NAT, PBR и поиска в таблице маршрутизации.
  • Проверьте журналы брандмауэра.
  • Проверьте таблицу соединений брандмауэра ( show conn ).

Если пакет отправлен на неправильный интерфейс, потому что он соответствует существующему соединению, используйте команду clear conn адрес и укажите 5-кортеж соединения, которое вы хотите очистить.

Маршрут к месту назначения отсутствует.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы узнать, как брандмауэр обрабатывает пакет.
  • Проверьте сброс ASP брандмауэра (показать сброс ASP) на причину сброса без маршрута .

На выходном интерфейсе нет записи ARP.

  • Проверьте кэш ARP брандмауэра ( показать arp ).
  • Используйте трассировщик пакетов  , чтобы проверить, существует ли допустимая смежность.

Выходной интерфейс не работает.

Проверьте выходные данные команды show interface ip Brief на брандмауэре и проверьте состояние интерфейса.

Случай 2. TCP SYN от клиента, TCP RST от сервера

На этом изображении показана топология:

Описание проблемы: HTTP не работает

Затронутый поток:

Исходный IP-адрес: 192. 168.0.100

Точный IP-адрес: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA.

 firepower#  Capture CAPI int INSIDE соответствует IP-адресу хоста 192.168.0.100 хост 10.10.1.100 
firepower#  захват CAPO int OUTSIDE совпадение IP хоста 192.168.0.100 хоста 10.10.1.100
  

Захват — Нефункциональный сценарий:

Из CLI устройства захваты выглядят следующим образом:

 огневая мощь#  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [Захват —  834 байта ]
  соответствует ip хоста 192.168.0.100 хосту 10.10.1.100
захват интерфейса необработанных данных типа CAPO OUTSIDE [Захват —  878 байт ]
  соответствует ip хоста 192.168.0.100 хост 10.10.1.100
 

Содержимое CAPI:

 firepower#  показать захват CAPI 
   1: 05:20:36. 654217 192.168.0.100.22195 > 10.10.1.100.80:  S  1397289928:1397289928(0) win 8192 
   2: 05:20:36.1 192.168.0.100.22196 > 10.10.1.100.80:  S  2171673258:2171673258(0) win 8192 
   3: 05:20:36.3 10.10.1.100.80 > 192.168.0.100.22196:  R  1850052503:1850052503(0) ack 2171673259 выигрыш 0
   4:05:20:37.414132 192.168.0.100.22196 > 10.10.1.100.80:  S  2171673258:2171673258(0) win 8192 
   5: 05:20:37.414803 10.10.1.100.80 > 192.168.0.100.22196:  R  31997177:31997177(0) подтверждение 2171673259 победа 0
   6: 05:20:37.3 192.168.0.100.22196 > 10.10.1.100.80:  S  2171673258:2171673258(0) win 8192 
...
 

КАПО содержимое:

 огневая мощь#  показать захват CAPO 
   1:05:20:36.654507 802.1Q vlan#202 P0 192.168. 0.100.22195 > 10.10.1.100.80:  S  2866789268:2866789268(0) win 8192 8 802.1Q vlan#202 P0 192.168.0.100.22196 > 10.10.1.100.80:  S  4785344:4785344(0) win 8192 
   3: 05:20:36.7 802.1Q vlan#202 P0 10.10.1.100.80 > 192.168.0.100.22196:  R  0:0(0) ack 4785345 победа 0
   4: 05:20:37.414269 802.1Q vlan#202 P0 192.168.0.100.22196 > 10.10.1.100.80:  S  4235354730:4235354730(0) win 8192 
   5: 05:20:37.414758 802.1Q vlan#202 P0 10.10.1.100.80 > 192.168.0.100.22196:  R  0:0(0) ack 4235354731 выигрыш 0
   6: 05:20:37.5 802.1Q vlan#202 P0 192.168.0.100.22196 > 10.10.1.100.80:  S  4118617832:4118617832(0) win 8192 

На этом изображении показан захват CAPI в Wireshark.

Ключевые точки:

  1. Источник отправляет пакет TCP SYN.
  2. : Источнику отправлен TCP RST.
  3. Источник повторно передает пакеты TCP SYN.
  4. MAC-адреса указаны правильно (во входящих пакетах MAC-адрес источника принадлежит нижестоящему маршрутизатору, MAC-адрес назначения принадлежит интерфейсу брандмауэра ВНУТРИ).

На этом изображении показан захват CAPO в Wireshark:

Ключевые точки:

  1. Источник отправляет пакет TCP SYN.
  2. TCP RST поступает на ВНЕШНИЙ интерфейс.
  3. Источник повторно передает пакеты TCP SYN.
  4. MAC-адреса указаны правильно (в исходящих пакетах брандмауэр ВНЕШНИЙ является исходным MAC-адресом, восходящий маршрутизатор является MAC-адресом назначения).

На основании 2 захватов можно сделать вывод, что:

  • Трехстороннее рукопожатие TCP между клиентом и сервером не завершено
  • На выходной интерфейс брандмауэра поступает TCP RST
  • Брандмауэр «разговаривает» с соответствующими восходящими и нисходящими устройствами (на основе MAC-адресов)
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте исходный MAC-адрес, который отправляет TCP RST.

Убедитесь, что MAC-адрес назначения, указанный в пакете TCP SYN, совпадает с MAC-адресом источника, который указан в пакете TCP RST.

Целью этой проверки является подтверждение двух вещей:

  • Убедитесь в отсутствии асимметричного потока.
  • Убедитесь, что MAC принадлежит ожидаемому восходящему устройству.

Действие 2. Сравните входящие и исходящие пакеты.

Визуально сравните 2 пакета в Wireshark, чтобы убедиться, что брандмауэр не изменяет/не повреждает пакеты.Подчеркнуты некоторые ожидаемые различия.

Ключевые точки:

  1. Временные метки отличаются. С другой стороны, разница должна быть небольшой и разумной. Это зависит от функций и политик, применяемых к пакету, а также от нагрузки на устройство.
  2. Длина пакетов может отличаться, особенно если брандмауэр добавляет/удаляет заголовок dot1Q только с одной стороны.
  3. MAC-адреса отличаются.
  4. Заголовок dot1Q может иметь место, если захват был выполнен на субинтерфейсе.
  5. IP-адреса различаются, если к пакету применяется NAT или преобразование адресов портов (PAT).
  6. Порты источника и получателя различаются, если к пакету применяется NAT или PAT.
  7. Если вы отключите параметр Wireshark Относительный порядковый номер , вы увидите, что порядковые номера TCP/номера подтверждения изменяются брандмауэром из-за рандомизации начальных порядковых номеров (ISN).
  8. Некоторые параметры TCP могут быть перезаписаны.Например, брандмауэр по умолчанию изменяет максимальный размер сегмента TCP (MSS) на 1380, чтобы избежать фрагментации пакетов на транзитном пути.

Действие 3. Сделайте захват в пункте назначения.

Если возможно, захватите сам пункт назначения. Если это невозможно, сделайте снимок как можно ближе к месту назначения. Цель здесь — проверить, кто отправляет TCP RST (это сервер назначения или какое-то другое устройство на пути?).

Корпус 3.Трехстороннее рукопожатие TCP + RST с одной конечной точки

На этом изображении показана топология:

Описание проблемы: HTTP не работает

Затронутый поток:

Исходный IP-адрес: 192.168.0.100

Точный IP-адрес: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA.

 firepower#  Capture CAPI int INSIDE соответствует ip host 192.168.0.100 host 10.10.1.100
  firepower#  захват CAPO int OUTSIDE совпадение IP хоста 192.168.0.100 хоста 10.10.1.100
  

Захват - Нефункциональный сценарий:

Существует несколько способов, которыми эта проблема может проявляться при захвате.

3.1 — Трехстороннее рукопожатие TCP + отложенный RST от клиента

Оба брандмауэра перехватывают CAPI и CAPO, содержащие одни и те же пакеты, как показано на рисунке.

Ключевые точки:

  1. Трехстороннее рукопожатие TCP проходит через брандмауэр.
  2. Сервер повторно передает SYN/ACK.
  3. Клиент повторно передает ACK.
  4. Через ~20 секунд клиент сдается и отправляет TCP RST.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте захваты как можно ближе к двум конечным точкам.

Захваты брандмауэра показывают, что клиентский ACK не был обработан сервером. Это основано на следующих фактах:

  • Сервер повторно передает SYN/ACK.
  • Клиент повторно передает ACK.
  • Клиент отправляет TCP RST или FIN/ACK перед любыми данными.

Захват на сервере показывает проблему. Клиентский ACK от трехэтапного рукопожатия TCP так и не поступил:

3.2 — Трёхстороннее рукопожатие TCP + отложенный FIN/ACK от клиента + отложенный RST от сервера

Оба брандмауэра перехватывают CAPI и CAPO, содержащие одни и те же пакеты, как показано на рисунке.

Ключевые точки:

  1. Трехстороннее рукопожатие TCP проходит через брандмауэр.
  2. Через ~5 секунд клиент отправляет FIN/ACK.
  3. Через ~20 секунд сервер сдается и отправляет TCP RST.

На основании этого перехвата можно сделать вывод, что, несмотря на трехстороннее рукопожатие TCP через брандмауэр, кажется, что оно никогда не завершается на одной конечной точке (на это указывают повторные передачи).

Рекомендуемые действия

То же, что и в случае 3.1

3.3 - Трехстороннее рукопожатие TCP + отложенный RST от клиента

Оба брандмауэра перехватывают CAPI и CAPO, содержащие одни и те же пакеты, как показано на рисунке.

Ключевые точки:

  1. Трехстороннее рукопожатие TCP проходит через брандмауэр.
  2. Через ~20 секунд клиент сдается и отправляет TCP RST.

На основании этих захватов можно сделать вывод, что:

  • Через 5-20 секунд одна конечная точка сдается и решает разорвать соединение.
Рекомендуемые действия

То же, что и в случае 3.1

3.4 — трехстороннее рукопожатие TCP + немедленный RST с сервера

Оба брандмауэра перехватывают CAPI и CAPO, содержащие эти пакеты, как показано на рисунке.

Ключевые точки:

  1. Трехстороннее рукопожатие TCP проходит через брандмауэр.
  2. TCP RST от сервера через несколько миллисекунд после пакета ACK.
Рекомендуемые действия

Действие: Делайте снимки как можно ближе к серверу.

Немедленный TCP RST от сервера может указывать на неисправный сервер или устройство на пути, который отправляет TCP RST. Сделайте снимок на самом сервере и определите источник TCP RST.

Случай 4. TCP RST от клиента

На этом изображении показана топология:

Описание проблемы: HTTP не работает.

Затронутый поток:

Исходный IP-адрес: 192.168.0.100

Точный IP-адрес: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA.

 firepower#  Capture CAPI int INSIDE соответствует ip host 192.168.0.100 host 10.10.1.100 
firepower#  захват CAPO int OUTSIDE совпадение IP хоста 192.168.0.100 хоста 10.10.1.100
  

Захват - Нефункциональный сценарий:

Это содержимое CAPI.

 firepower#  показать захват CAPI 

захвачено 14 пакетов

   1: 12:32:22.860627 192.168.0.100.47078 > 10.10.1.100.80: S 4098574664:4098574664(0) win 8192 
   2: 12:32:23.111307 192.168.0.100.47079 > 10.10.1.100.80: S 2486945841:2486945841(0) win 8192 
   3: 12:32:23.112390 192.168.0.100.47079 > 10.10.1.100.80: R 3000518858:3000518858(0) выигрыш 0
   4: 12:32:25.858109 192.168.0.100.47078 > 10.10.1.100.80: S 4098574664:4098574664(0) win 8192 
   5: 12:32:25.868698 192.168.0.100.47078 > 10.10.1.100.80: R 1386249853:1386249853(0) выигрыш 0
   6: 12:32:26.108118 192.168.0.100.47079 > 10.10.1.100.80: S 2486945841:2486945841(0) win 8192 
   7:12:32:26.109079 192.168.0.100.47079 > 10.10.1.100.80: R 3000518858:3000518858(0) выигрыш 0
   8: 12:32:26.118295 192.168.0.100.47079 > 10.10.1.100.80: R 3000518858:3000518858(0) выигрыш 0
   9: 12:32:31.859925 192.168.0.100.47078 > 10.10.1.100.80: S 4098574664:4098574664(0) win 8192 
  10: 12:32:31.860902 192.168.0.100.47078 > 10.10.1.100.80: R 1386249853:1386249853(0) выигрыш 0
  11: 12:32:31.875229 192.168.0.100.47078 > 10.10.1.100.80: R 1386249853:1386249853(0) выигрыш 0
  12:12:32:32.140632 192.168.0.100.47079 > 10.10.1.100.80: R 3000518858:3000518858(0) выигрыш 0
  13: 12:32:32.159995 192.168.0.100.47079 > 10.10.1.100.80: S 2486945841:2486945841(0) win 8192 
  14: 12:32:32.160956 192.168.0.100.47079 > 10.10.1.100.80: R 3000518858:3000518858(0) выигрыш 0
показано 14 пакетов
 

Это содержимое CAPO:

 огневая мощь#  показать захват CAPO 

захвачено 11 пакетов

   1: 12:32:22.860780 802.1Q vlan#202 P0 192.168.0.100.47078 > 10.10.1.100.80: S 1386249852:1386249852(0) win 8192 
   2: 12:32:23.111429 802.1Q vlan#202 P0 192.168.0.100.47079 > 10.10.1.100.80: S 3000518857:3000518857(0) win 8192  10.10.1.100.80: R 35140

:35140

(0) выигрыш 0 4: 12:32:25.858125 802.1Q vlan#202 P0 192.168.0.100.47078 > 10.10.1.100.80: S 1386249852:1386249852(0) win 8192 10.10.1.100.80: R 29688

:29688

(0) выигрыш 0 6: 12:32:26.108240 802.1Q vlan#202 P0 192.168.0.100.47079 > 10.10.1.100.80: S 3822259745:3822259745(0) win 8192 10.10.1.100.80: R 40865466:40865466(0) выигрыш 0 8: 12:32:31.860062 802.1Q vlan#202 P0 192.168.0.100.47078 > 10.10.1.100.80: S 42752:42752(0) win 8192 9:12:32:31.860917 802.1Q vlan # 202 P0 192.168.0.100.47078 > 10.10.1.100.80: R 1581733941:1581733941(0) выигрыш 0 10: 12:32:32.160102 802.1Q vlan#202 P0 192.168.0.100.47079 > 10.10.1.100.80: S 4284301197:4284301197(0) win 8192 11: 12:32:32.160971 802.1Q vlan#202 P0 192.168.0.100.47079 > 10.10.1.100.80: R 502

8:502

8(0) выигрыш 0 показано 11 пакетов

Журналы брандмауэра показывают:

 firepower#  показать журнал | я 47741 
13 октября 2019 г., 13:57:36: %FTD-6-302013: создано входящее TCP-соединение 4869 для INSIDE:192.168.0.100/47741 (192.168.0.100/47741) на СНАРУЖИ: 10.10.1.100/80 (10.10.1.100/80)
13 октября 2019 г., 13:57:36: %FTD-6-302014: Разорвать TCP-соединение 4869 для ВНУТРИ: 192.168.0.100/47741 на ВНЕШНЮЮ: 10.10.1.100/80 длительность 0:00:00 байт 0  TCP Reset-O from ВНУТРИ 
13 октября 2019 г., 13:57:39: %FTD-6-302013: построено входящее TCP-соединение 4870 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) с ВНЕШНИМ: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 г., 13:57:39: %FTD-6-302014: разрыв TCP-соединения 4870 для INSIDE:192.168.0.100/47741 на СНАРУЖИ:10.10.1.100/80 длительность 0:00:00 байт 0  Сброс TCP-O из ВНУТРИ 
13 октября 2019 г., 13:57:45: %FTD-6-302013: построено входящее TCP-соединение 4871 для ВНУТРЕННЕГО: 192.168.0.100/47741 (192.168.0.100/47741) с ВНЕШНИМ: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 г., 13:57:45: %FTD-6-302014: Разорвать TCP-соединение 4871 для ВНУТРИ: 192.168.0.100/47741 на СНАРУЖИ: 10.10.1.100/80, продолжительность 0:00:00 байт 0 Сброс TCP-O изнутри
 

Эти журналы указывают на наличие TCP RST, который поступает на ВНУТРЕННИЙ интерфейс брандмауэра

Захват CAPI в Wireshark:

Следуйте первому потоку TCP, как показано на рисунке.

В разделе Wireshark перейдите к Правка > Настройки > Протоколы > TCP и снимите флажок Относительные порядковые номера , как показано на рисунке.

На этом изображении показано содержимое первого потока в захвате CAPI:

Ключевые точки:

  1. Клиент отправляет пакет TCP SYN.
  2. Клиент отправляет пакет TCP RST.
  3. Пакет TCP SYN имеет значение порядкового номера, равное 4098574664.

Тот же поток в захвате CAPO содержит:

Ключевые точки:

  1. Клиент отправляет пакет TCP SYN. Брандмауэр рандомизирует ISN.
  2. Клиент отправляет пакет TCP RST.

На основании двух захватов можно сделать вывод, что:

  • Трехстороннее рукопожатие TCP между клиентом и сервером отсутствует.
  • От клиента получен TCP RST. Значение порядкового номера TCP RST в захвате CAPI — 1386249853.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте снимок клиента.

Судя по перехватам, собранным на брандмауэре, есть явные признаки асимметричного потока. Это основано на том факте, что клиент отправляет TCP RST со значением 1386249853 (рандомизированный ISN):

.

Ключевые точки:

  1. Клиент отправляет пакет TCP SYN.Порядковый номер — 4098574664, он совпадает с номером, который отображается на интерфейсе ВНУТРЕННЕГО брандмауэра (CAPI)
  2. .
  3. Имеется TCP SYN/ACK с номером ACK 1386249853 (что ожидается из-за рандомизации ISN). Этот пакет не был замечен в захватах брандмауэра
  4. Клиент отправляет TCP RST, так как ожидал SYN/ACK со значением номера ACK 4098574665, но получил значение 1386249853

Это можно представить как:

Действие 2. Проверьте маршрутизацию между клиентом и брандмауэром.

Подтвердите, что:

  • MAC-адреса, обнаруженные в перехватах, являются ожидаемыми.
  • Убедитесь, что маршрутизация между брандмауэром и клиентом симметрична.

Существуют сценарии, в которых RST поступает с устройства, расположенного между брандмауэром и клиентом, в то время как во внутренней сети существует асимметричная маршрутизация. Типичный случай показан на изображении:

В этом случае захват имеет это содержимое. Обратите внимание на разницу между MAC-адресом источника пакета TCP SYN и MAC-адресом источника TCP RST и MAC-адресом назначения пакета TCP SYN/ACK:

.
 firepower#  показать деталь CAPI захвата 
   1:13:57:36.730217  4c4e.35fc.fcd8  00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47740 > 10.10.1.100.80: S [tcp sum ok] 3045001876:3045001876(0) win 8192  (DF) (ttl 127, id 25661 )
   2: 13:57:36.981104 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47741 > 10.10.1.100.80: S [tcp sum ok] 38040:38040(0) win 8192  (DF) (ttl 127, id 25662 )
   3:13:57:36.981776 00be.75f6.1dae  a023.9f92.2a4d  0x0800 Длина: 66
      10.10.1.100.80 > 192.168.0.100.47741: S [tcp sum ok] 1304153587:1304153587(0) ack 38041 win 8192  (DF), (ttl 127 идентификатор 23339)
   4: 13:57:36.982126  a023.9f92.2a4d  00be.75f6.1dae 0x0800 Длина: 54
      192.168.0.100.47741 > 10.10.1.100.80:  R  [tcp sum ok] 38041:38041(0) ack 1304153588 win 8192 (ttl 255, id 48501)
...
 

Случай 5. Медленная передача TCP (сценарий 1)

Описание проблемы:

Передача SFTP между хостами 10.11.4.171 и 10.77.19.11 работают медленно. Хотя минимальная пропускная способность (BW) между двумя хостами составляет 100 Мбит/с, скорость передачи не превышает 5 Мбит/с.

При этом скорость передачи между хостами 10.11.2.124 и 172.25.18.134 значительно выше.

Базовая теория:

Максимальная скорость передачи для одного потока TCP определяется произведением задержки на пропускную способность (BDP). Используемая формула показана на изображении:

Для получения более подробной информации о BDP см. ресурсы здесь:

Сценарий 1.Медленная передача

На этом изображении показана топология:

Затронутый поток:

Исходный IP-адрес: 10.11.4.171

Точный IP-адрес: 10.77.19.11

Протокол: SFTP (FTP через SSH)

Анализ захвата

Включить захват на движке FTD LINA:

 firepower#  захват CAPI int ВНУТРИ буфера 33554432 совпадение IP хоста 10.11.4.171 хоста 10.77.19.11 
firepower#  захват CAPO int OUTSIDE buffer 33554432 соответствует ip хоста 10.11.4.171 хост 10.77.19.11
  

Предупреждение : Захват LINA на FP1xxx и FP21xx влияет на скорость передачи трафика, проходящего через FTD. Не включайте захват LINA на платформах FP1xxx и FP21xxx при устранении проблем с производительностью (медленная передача через FTD). Вместо этого используйте SPAN или устройство HW Tap в дополнение к захвату на исходном и целевом хостах. Проблема задокументирована в CSCvo30697.

 firepower#  захват интерфейса трассировки необработанных данных типа CAPI внутри сопоставления icmp любой любой 
ПРЕДУПРЕЖДЕНИЕ. Запуск захвата пакетов может отрицательно сказаться на производительности.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Расчет времени приема-передачи (RTT)

Сначала определите поток передачи и следуйте ему:

Измените представление Wireshark, чтобы показать секунды с момента предыдущего отображаемого пакета . Это упрощает расчет RTT: 90 165

RTT можно рассчитать путем сложения значений времени между двумя обменами пакетами (один в направлении источника и один в направлении назначения).В этом случае пакет № 2 показывает RTT между брандмауэром и устройством, отправившим пакет SYN/ACK (сервер). Пакет № 3 показывает RTT между брандмауэром и устройством, отправившим пакет ACK (клиент). Сложение двух чисел дает хорошую оценку сквозного RTT: 90 165.

RTT ≈ 80 мс

Расчет размера окна TCP

Разверните пакет TCP, разверните заголовок TCP, выберите Расчетный размер окна и выберите Применить как столбец:

Проверьте столбец Расчетное значение размера окна  , чтобы узнать, каким было максимальное значение размера окна во время сеанса TCP.Вы также можете выбрать имя столбца и отсортировать значения.

Если вы тестируете загрузку файла (сервер > клиент ), вы должны проверить значения, объявленные сервером. Максимальное значение размера окна, объявленное сервером, определяет максимальную скорость передачи.

В этом случае размер окна TCP составляет ≈ 50000 байт

На основе этих значений и с использованием формулы произведения задержки на пропускную способность вы получаете максимальную теоретическую пропускную способность, которая может быть достигнута в данных условиях: 50000*8/0.0 = 1 (без масштабирования окон). Это негативно влияет на скорость передачи:

В этот момент необходимо сделать захват на сервере, подтвердить, что это тот, кто объявляет масштаб окна = 0, и перенастроить его (возможно, вам потребуется проверить документацию сервера, как это сделать).

Сценарий 2. Быстрый перевод

Теперь рассмотрим хороший сценарий (быстрая передача по той же сети):

Топология:

Поток процентов:

Исходный IP-адрес: 10.11.2.124

Точный IP-адрес: 172.25.18.134

Протокол: SFTP (FTP через SSH)

Включить захваты на ядре FTD LINA

 firepower#  Capture CAPI int INSIDE buffer 33554432 совпадение IP хоста 10.11.2.124 хоста 172.25.18.134 
firepower#  захват CAPO int ВНЕШНИЙ буфер 33554432 совпадение IP хоста 10.11.2.124 хоста 172.25.18.134
  

Расчет времени приема-передачи (RTT): В этом случае RTT составляет ≈ 300 мс.

Расчет размера окна TCP: сервер объявляет коэффициент масштабирования окна TCP, равный 7.

Размер окна TCP сервера составляет ≈ 1600000 байт:

На основе этих значений формула произведения задержки полосы пропускания дает:

1600000*8/0,3 = максимальная теоретическая скорость передачи 43 Мбит/с

Случай 6. Медленная передача TCP (сценарий 2)

Описание проблемы: Передача файлов FTP (загрузка) через брандмауэр выполняется медленно.

На этом изображении показана топология:

Затронутый поток:

Исходный IP-адрес: 192.168.2.220

Точный IP-адрес: 192.168.1.220

Протокол: FTP

Анализ захвата

Включить захват на движке FTD LINA.

 firepower#  захват буфера сырых данных типа CAPI 33554432 интерфейс ВНУТРИ соответствие tcp host 192.168.2.220 host 192.168.1.220 
firepower#  cap CAPO type буфер необработанных данных 33554432 interface OUTSIDE match tcp host 192.168.2.220 host 192.168.1.220
  

Выберите пакет FTP-DATA и следуйте каналу данных FTP при захвате FTD INSIDE (CAPI):

Содержимое потока FTP-DATA:

Содержимое захвата CAPO:

Ключевые точки:

  1. Имеются TCP-пакеты с нарушением порядка (OOO).
  2. Повторная передача TCP.
  3. Индикация потери пакетов (отброшенные пакеты).

Совет : Сохраняйте снимки при переходе к Файл > Экспорт указанных пакетов . Затем сохраните только Отображаемый диапазон пакетов

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Определите место потери пакетов.

В подобных случаях необходимо выполнять одновременные захваты и использовать методологию «разделяй и властвуй», чтобы определить сегмент(ы) сети, которые вызывают потерю пакетов. С точки зрения брандмауэра есть 3 основных сценария:

  1. Потеря пакетов вызвана самим брандмауэром.
  2. Потеря пакета вызвана нисходящим потоком к устройству брандмауэра (направление от сервера к клиенту).
  3. Потеря пакета вызвана восходящим потоком к устройству брандмауэра (направление от клиента к серверу).

Потеря пакетов, вызванная брандмауэром: Чтобы определить, вызвана ли потеря пакетов брандмауэром, необходимо сравнить захват входящего и исходящего трафика. Есть довольно много способов сравнить 2 разных захвата. В этом разделе демонстрируется один из способов выполнения этой задачи.

Процедура сравнения двух захватов для определения потери пакетов

Шаг 1. Убедитесь, что 2 захвата содержат пакеты из одного и того же временного окна. Это означает, что в одном захвате не должно быть пакетов, которые были захвачены до или после другого захвата.Есть несколько способов сделать это:

  • Проверьте значения идентификатора IP (ID) первого и последнего пакета.
  • Проверьте значения временной метки первого и последнего пакета.

В этом примере видно, что первые пакеты каждого захвата имеют одинаковые значения IP ID:

Если они не совпадают, то:

  1. Сравните метки времени с первого пакета каждого захвата.
  2. Из захвата с последней меткой времени получите фильтр, из него измените фильтр метки времени с == на >=  (первый пакет) и <=  (последний пакет), т.е.г:

 (frame.time >= "16 октября 2019 г. 16:13:43.2446

") &&(frame.time <= "16 октября 2019 г. 16:20:21.785130000")

  3. Экспортируйте указанные пакеты в новый захват, выберите Файл > Экспорт указанных пакетов , а затем сохраните Отображенные пакеты . На этом этапе оба захвата должны содержать пакеты, охватывающие одно и то же временное окно. Теперь вы можете начать сравнение двух снимков.

Шаг 2. Укажите, какое поле пакета используется для сравнения двух захватов.Пример полей, которые можно использовать:

  • IP-идентификация
  • Порядковый номер RTP
  • Порядковый номер ICMP

Создайте текстовую версию каждого захвата, содержащую поле для каждого пакета, указанного на шаге 1. Для этого оставьте только интересующий столбец, например, если вы хотите сравнить пакеты на основе IP-идентификации, измените захват, как показано на изображении.

Результат:

Шаг 3.Создайте текстовую версию захвата ( File > Export Packet Dissections > As Plain Text ...), как показано на изображении:

Снимите флажки I nclude заголовки столбцов и Сведения о пакете , чтобы экспортировать только значения отображаемого поля, как показано на рисунке:

Шаг 4. Отсортируйте пакеты в файлах. Вы можете использовать команду Linux sort для этого:

 #  сортировать CAPI_ID > файл1.отсортировано 
#  сортировать CAPO_ID > file2.sorted
  


Шаг 5. Используйте инструмент сравнения текстов (например, WinMerge) или команду Linux diff , чтобы найти различия между двумя снимками.

В этом случае захват CAPI и CAPO для трафика данных FTP идентичны. Это доказывает, что потеря пакетов не была вызвана брандмауэром.

Определите потерю пакетов восходящего/нисходящего потока.

Ключевые точки:

1.Этот пакет представляет собой повторную передачу TCP. В частности, это пакет TCP SYN, отправляемый клиентом на сервер для данных FTP в пассивном режиме. Поскольку клиент повторно отправляет пакет, и вы можете видеть исходный SYN (пакет №1), пакет был потерян в восходящем направлении к брандмауэру.

В этом случае может быть даже вероятность того, что SYN-пакет дошел до сервера, но SYN/ACK-пакет был потерян на обратном пути:

2. Есть пакет с сервера, и Wireshark определил, что предыдущий сегмент не был виден/захвачен.Поскольку незахваченный пакет был отправлен с сервера клиенту и не был замечен в захвате брандмауэра, это означает, что пакет был потерян между сервером и брандмауэром.

Это указывает на потерю пакетов между FTP-сервером и брандмауэром.

Действие 2. Сделайте дополнительные захваты.

Сделайте дополнительные захваты вместе с захватами на конечных точках. Попробуйте применить метод "разделяй и властвуй", чтобы дополнительно изолировать проблемный сегмент, вызывающий потерю пакетов.

Ключевые точки:

  1. Получатель (в данном случае FTP-клиент) отслеживает входящие порядковые номера TCP. Если он обнаруживает, что пакет был пропущен (пропущен ожидаемый порядковый номер), он генерирует пакет ACK с ACK='ожидаемый порядковый номер, который был пропущен'. В этом примере Ack=2224386800.
  2. Двойной ACK запускает быструю повторную передачу TCP (повторная передача в течение 20 мс после получения дубликата ACK).

Что означают повторяющиеся подтверждения ACK?

  • Несколько повторяющихся ACK, но отсутствие фактических повторных передач указывает на то, что, скорее всего, есть пакеты, которые приходят не по порядку.
  • Дубликаты ACK, за которыми следуют фактические повторные передачи, указывают на некоторую потерю пакетов.

Действие 3. Рассчитайте время обработки брандмауэром транзитных пакетов.

Применить один и тот же захват к 2 разным интерфейсам:

 firepower#  захват буфера CAPI 33554432 интерфейс ВНУТРИ соответствует tcp host 192.168.2.220 host 192.168.1.220 
firepower#  захват интерфейса CAPI OUTSIDE  

Экспортируйте захват, проверьте разницу во времени между входящими и исходящими пакетами

Случай 7.Проблема подключения TCP (повреждение пакета)

Описание проблемы:

Беспроводной клиент (192.168.21.193) пытается подключиться к целевому серверу (192.168.14.250 — HTTP), и возможны 2 разных сценария:

  • Когда клиент подключается к точке доступа (AP) «A», HTTP-соединение не работает.
  • Когда клиент подключается к точке доступа (AP) "B", HTTP-соединение работает.

На этом изображении показана топология:

Затронутый поток:

Исходный IP-адрес: 192.168.21.193

Точный IP-адрес: 192.168.14.250

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA:

 firepower#  Capture CAPI int INSIDE match ip host 192.168.21.193 host 192.168.14.250 
firepower#  захват CAPO int OUTSIDE совпадение IP хоста 192.168.21.193 хоста 192.168.14.250
  

Захват - Функциональный сценарий:

В качестве основы всегда очень полезно иметь записи из рабочего сценария.

На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE

.

На этом изображении показан захват, сделанный на интерфейсе NGFW OUTSIDE.

Ключевые точки:

  1. Два захвата почти идентичны (учитывайте рандомизацию ISN).
  2. Нет признаков потери пакетов.
  3. Нет ошибочных пакетов (OOO)
  4. Есть 3 запроса HTTP GET. Первый получает 404 «Не найдено», второй получает 200 «ОК», а третий получает сообщение о перенаправлении 304 «Не изменено».

Захват - Нерабочий сценарий:

Содержимое входящего захвата (CAPI).

Ключевые точки:

  1. Трехстороннее рукопожатие TCP.
  2. Повторные передачи TCP и признаки потери пакетов.
  3. Существует пакет (TCP ACK), который идентифицируется Wireshark как Malformed .

На этом изображении показано содержимое исходящего захвата (CAPO).

Ключевые точки:

2 захвата почти идентичны (учитывайте рандомизацию ISN):

  1. Трехстороннее рукопожатие TCP.
  2. Повторные передачи TCP и признаки потери пакетов.
  3. Существует пакет (TCP ACK), который идентифицируется Wireshark как Malformed .

Проверьте неправильно сформированный пакет:

Ключевые точки:

  1. Пакет определяется программой Wireshark как искаженный.
  2. Имеет длину 2 байта.
  3. Полезная нагрузка TCP составляет 2 байта.
  4. Полезная нагрузка — 4 дополнительных нуля (00 00).
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные захваты, включая захваты на конечных точках, и, если возможно, попытайтесь применить метод «разделяй и властвуй», чтобы изолировать источник повреждения пакета, т.е.

В этом случае 2 дополнительных байта были добавлены драйвером интерфейса коммутатора «A», и решение состояло в том, чтобы заменить коммутатор, вызвавший повреждение.

Случай 8. Проблема подключения UDP (отсутствующие пакеты)

Описание проблемы: сообщения системного журнала (UDP 514) не отображаются на целевом сервере системного журнала.

На этом изображении показана топология:

Затронутый поток:

Исходный IP-адрес: 192.168.1.81

Точный IP-адрес: 10.10.1.73

Протокол: UDP 514

Анализ захвата

Включить захват на движке FTD LINA:

 firepower#  Capture CAPI int INSIDE trace match udp host 192.168.1.81 host 10.10.1.73 eq 514 
firepower#  Capture CAPO int OUTSIDE match udp host 192.168.1.81 host 10.10.1.73 eq 514
  

Захваты FTD не показывают пакетов:

 огневая мощь#  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [Захват — 0 байт]
  совпадать с UDP-хостом 192.168.1.81 хост 10.10.1.73 eq системный журнал
захват интерфейса необработанных данных типа CAPO OUTSIDE [Захват — 0 байт]
  соответствие udp host 192.168.1.81 host 10.10.1.73 eq syslog
 
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте таблицу соединений FTD.

Чтобы проверить определенное соединение, вы можете использовать этот синтаксис:

 firepower#  показать адрес соединения 192.168.1.81 порт 514 
10 в использовании, 3627189 наиболее часто используемых
Осмотрите Снорта:
        save-connection: 6 включено, 0 действует, 74 наиболее активно, 0 наиболее активно

УДП  ВНУТРИ  10.10.1.73:514  INSIDE  192.168.1.81:514, простоя 0:00:00, байт  480379697  , флаги -  или  N1
 

Ключевые точки:

  1. Входной и выходной интерфейсы одинаковые (разворот).
  2. Количество байтов имеет значительно большое значение (~ 5 ГБ).
  3. Флаг «o» обозначает разгрузку потока (ускоренный поток HW). По этой причине захваты FTD не показывают никаких пакетов. Разгрузка потока поддерживается только на платформах 41xx и 93xx.В данном случае это устройство 41xx.

Действие 2. Сделайте захват на уровне шасси.

Подключитесь к диспетчеру шасси Firepower и включите захват на входном интерфейсе (в данном случае E1/2) и интерфейсах объединительной платы (E1/9 и E1/10), как показано на рисунке:

Через несколько секунд:

Совет : В Wireshark исключайте пакеты с тегами VN, чтобы исключить дублирование пакетов на уровне физического интерфейса

До:

После:

Ключевые точки:

  1. Фильтр отображения применяется для удаления дубликатов пакетов и отображения только системных журналов.
  2. Разница между пакетами составляет микросекунды. Это указывает на очень высокую скорость передачи пакетов.
  3. Значение времени жизни (TTL) постоянно уменьшается. Это указывает на пакетную петлю.

Действие 3. Используйте средство трассировки пакетов.

Поскольку пакеты не проходят через механизм брандмауэра LINA, вы не можете выполнять динамическую трассировку (захват с трассировкой), но вы можете отслеживать эмулируемый пакет с помощью трассировщика пакетов:

 firepower#  трассировщик пакетов ВНУТРИ udp 10.10.1.73 514 192.168.1.81 514
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
Список доступа по MAC-адресу

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Неявное правило
Дополнительная информация:
Список доступа по MAC-адресу

Фаза: 3
Тип: FLOW-LOOKUP
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
  Найден поток с идентификатором 25350892, используя существующий поток 

Фаза: 4
Тип: СНОРТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
Вердикт Snort: (быстрая перемотка вперед) перемотать этот поток вперед

Фаза: 5
Тип: МАРШРУТ-ПОИСК
Подтип: разрешение выходного интерфейса
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
найден следующий переход 192.168.1.81 с использованием выхода ifc INSIDE

Фаза: 6
Тип: Смежный-ПРОСМОТР
Подтип: следующий переход и смежность
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
соседство Активный
MAC-адрес следующего перехода a023.9f92.2a4d попадает в 1 ссылку 1

Фаза: 7
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфигурация:
Дополнительная информация:
Список доступа по MAC-адресу

Результат:
  интерфейс ввода: ВНУТРИ 
статус ввода: вверх
статус строки ввода: вверх
  интерфейс вывода: ВНУТРИ 
выходной статус: вверх
статус выходной строки: вверх
Действие: разрешить
 

Действие 4.Подтвердите маршрутизацию FTD.

Проверьте таблицу маршрутизации брандмауэра на наличие проблем с маршрутизацией:

 firepower#  показать маршрут 10.10.1.73 

Запись маршрутизации для 10.10.1.0 255.255.255.0
  Известно через "eigrp 1", расстояние 90, метрика 3072, тип внутренний
  Раздача через eigrp 1
  Последнее обновление от 192.168.2.72 на  OUTSIDE, 0:03:37 назад 
  Блоки дескриптора маршрутизации:
  * 192.168.2.72, от 192.168.2.72,  0:02:37 назад, через ВНЕШНИЙ 
      Метрика маршрута – 3072, доля трафика – 1.
      Общая задержка 20 мкс, минимальная пропускная способность 1000000 Кбит
      Надежность 255/255, минимум MTU 1500 байт
      Загрузка 29/255, хмель 1
 

Ключевые точки:

  1. Маршрут указывает на правильный исходящий интерфейс.
  2. Маршрут был изучен несколько минут назад (0:02:37).

Действие 5. Подтвердите работоспособность соединения.

Проверьте время работы соединения, чтобы увидеть, когда это соединение было установлено:

 firepower#  показать адрес подключения 192.168.1.81 порт 514 подробно 
21 в использовании, 3627189 наиболее часто используемых
Осмотрите Снорта:
        save-connection: 19 включено, 0 действует, 74 наиболее активно, 0 наиболее активно
Флаги: A - ожидание ACK ответчика на SYN, a - ожидание ACK инициатора на SYN,
       б - TCP state-bypass или nailed,
       C - среда CTIQBE, c - кластер централизованный,
       D - DNS, d - дамп, E - внешнее обратное соединение, e - полураспределенное,
       F - FIN инициатора, f - FIN ответчика,
       G - группа, g - MGCP, H - H.323, h - H.225.0, I - данные инициатора,
       i - неполный, J - GTP, j - данные GTP, K - t3-ответ GTP
       k - тощий носитель, L - декап-туннель, M - данные SMTP, m - носитель SIP
       N — проверено Snort (1 — сохранение соединения включено, 2 — сохранение соединения действует)
       n - GUP, O - данные ответчика, o - выгружено,
       P - внутреннее заднее соединение, p - пассажиропоток
       q - данные SQL*Net, R - подтвержденный инициатором FIN,
       R - UDP SUNRPC, r - ответчик подтвердил FIN,
       T - SIP, t - переходный SIP, U - up,
       V - потерянный VPN, v - M3UA W - WAAS,
       w - резервная копия вторичного домена,
       X - проверен сервисным модулем,
       x - за сессию, Y - направляющий тупиковый поток, y - резервный тупиковый поток,
       Z - перенаправление Scansafe, z - переадресация тупиковых потоков

УДП ВНУТРИ: 10.10.1.73/514 ВНУТРИ: 192.168.1.81/514,
    флаги -oN1, бездействие 0 с,  время безотказной работы 3 м 49 с 90 164 , время ожидания 2 м 0 с, байт 4801148711
 

Ключевой момент:

  1. Соединение было установлено ~4 минуты назад (это до установки маршрута EIGRP в таблице маршрутизации)

Действие 6. Очистите существующее подключение.

В этом случае пакеты соответствуют установленному соединению и направляются на неправильный выходной интерфейс, что приводит к возникновению петли. Это из-за порядка операций брандмауэра:

  1. Поиск установленного соединения (имеет приоритет над поиском в глобальной таблице маршрутизации).
  2. Поиск преобразования сетевых адресов (NAT) — фаза UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
  3. Маршрутизация на основе политик (PBR)
  4. Поиск глобальной таблицы маршрутизации

Поскольку время ожидания соединения никогда не истекает (клиент Syslog постоянно отправляет пакеты, в то время как время простоя соединения UDP составляет 2 минуты), необходимо вручную очистить соединение:

 firepower#  очистить адрес подключения 10.10.1.73 адрес 192.168.1.81 протокол udp порт 514 
1 подключение(я) удалено.


Убедитесь, что новое соединение установлено:

 firepower#  показать адрес соединения 192.168.1.81 подробно о порте 514 | б 10.10.1.73.*192.168.1.81 
UDP  СНАРУЖИ : 10.10.1.73/514  ВНУТРИ : 192.168.1.81/514,
    флаги -oN1, бездействие 1 мин 15 с, время безотказной работы 1 мин 15 с, время ожидания 2 мин 0 с, байт 408
 

Действие 7. Настройте время ожидания плавающего соединения.

Это правильное решение для решения проблемы и предотвращения неоптимальной маршрутизации, особенно для потоков UDP.Перейдите к Устройствам > Настройки платформы > Время ожидания и установите значение:

.

Дополнительные сведения о тайм-ауте плавающего подключения см. в справочнике по командам:

.

https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1649892

Случай 9. Проблема подключения HTTPS (сценарий 1)

Описание проблемы: HTTPS-связь между клиентом 192.168.201.105 и сервером 192.168.202.101 невозможно установить

На этом изображении показана топология:

Затронутый поток:

Исходный IP-адрес: 192.168.201.111

Точный IP-адрес: 192.168.202.111

Протокол: TCP 443 (HTTPS)

Анализ захвата

Включить захват на движке FTD LINA:

IP-адрес, используемый при ВНЕШНЕМ захвате, отличается из-за конфигурации преобразования портов и адресов.

 firepower#  Capture CAPI int INSIDE соответствует IP-адресу хоста 192.168.201.111 хост 192.168.202.111 
firepower#  захват CAPO int OUTSIDE совпадение IP хоста 192.168.202.11 хоста 192.168.202.111
  


На этом изображении показан захват, сделанный на интерфейсе NGFW INSIDE:

Ключевые точки:

  1. Трехстороннее рукопожатие TCP.
  2. Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
  3. Клиенту отправлен TCP ACK.
  4. Клиенту отправлен TCP RST.

На этом изображении показан захват, сделанный на интерфейсе NGFW OUTSIDE.

Ключевые точки:

  1. Трехстороннее рукопожатие TCP.
  2. Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
  3. От брандмауэра к серверу отправлены повторные передачи TCP.
  4. На сервер отправлен TCP RST.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные захваты.

Захват, сделанный на сервере, показывает, что сервер получил приветствия клиента TLS с поврежденной контрольной суммой TCP и молча отбрасывает их (отсутствует TCP RST или любой другой ответный пакет для клиента):

Когда соберешь все вместе:

В этом случае, чтобы понять, что происходит, необходимо включить на Wireshark параметр Проверить контрольную сумму TCP, если возможно . Перейдите к Edit > Preferences > Protocols > TCP , как показано на рисунке.

В этом случае полезно расположить снимки рядом, чтобы получить полную картину:

Ключевые точки:

  1. Трехстороннее рукопожатие TCP. Идентификаторы IP одинаковы. Это означает, что поток не был проксирован брандмауэром.
  2. Приветствие клиента TLS поступает от клиента с IP-идентификатором 12083. Пакет проксируется брандмауэром (в данном случае брандмауэр был настроен с помощью политики расшифровки TLS), а IP-идентификатор изменяется на 52534.Кроме того, контрольная сумма пакета TCP повреждается (из-за программного дефекта, который позже был устранен).
  3. Брандмауэр находится в режиме прокси-сервера TCP и отправляет ACK клиенту (подделывая сервер).

  4. Брандмауэр не получает никаких пакетов TCP ACK от сервера и повторно передает приветственное сообщение клиента TLS. Это снова связано с режимом TCP Proxy, активированным брандмауэром.
  5. Примерно через 30 секунд брандмауэр отключается и отправляет клиенту TCP RST.
  6. Брандмауэр отправляет TCP RST на сервер.

Для справки:

Обработка рукопожатий Firepower TLS/SSL

Случай 10. Проблема подключения HTTPS (сценарий 2)

Описание проблемы: Сбой при регистрации лицензии FMC Smart.

На этом изображении показана топология:

Затронутый поток:

Исходный IP-адрес: 192.168.0.100

Дата-дата: tools.cisco.com

Протокол: TCP 443 (HTTPS)

Анализ захвата

Включить захват на интерфейсе управления FMC:

Попробуйте зарегистрироваться еще раз.C 264 пакета захвачено <- CTRL-C 264 пакета получены фильтром 0 пакетов отброшено ядром root@firepower:/Volume/home/admin#


Соберите захват из FMC ( System > Health > Monitor, выберите устройство и выберите Advanced Troubleshooting ), как показано на рисунке:

На изображении показан захват FMC на Wireshark:

Совет : Чтобы проверить все новые захваченные сеансы TCP, используйте файл tcp.flags==0x2 фильтр отображения на Wireshark. Это отфильтровывает все захваченные пакеты TCP SYN.

Совет : Примените в качестве столбца поле Имя сервера из приветствия клиента SSL.

Совет : Примените этот фильтр отображения, чтобы видеть только приветственные сообщения клиента ssl.handshake.type == 1

Примечание : на момент написания этой статьи портал Smart Licensing (tools.cisco.ком) использует эти IP-адреса: 72.163.4.38, 173.37.145.8

Следуйте одному из потоков TCP ( Follow > TCP Stream) , как показано на рисунке.

Ключевые точки:

  1. Трехстороннее рукопожатие TCP.
  2. Клиент (FMC) отправляет приветственное сообщение SSL Client на портал Smart Licensing.
  3. Идентификатор сеанса SSL равен 0. Это означает, что сеанс не возобновлен.
  4. Сервер назначения отвечает сообщением Server Hello, Certificate и Server Hello Done.
  5. Клиент отправляет фатальное предупреждение SSL с жалобой на «Неизвестный ЦС».
  6. Клиент отправляет TCP RST для закрытия сеанса.
  7. Продолжительность всего сеанса TCP (от установления до закрытия) составляла ~0,5 с.

Выберите сертификат сервера и разверните поле эмитента , чтобы увидеть общее имя. В этом случае общее имя указывает на устройство, выполняющее функцию «Человек посередине» (MITM).

Это показано на этом изображении:

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные захваты.

Сделать снимки на устройстве транзитного брандмауэра:

CAPI показывает:

КАПО показывает:

Эти захваты доказывают, что транзитный брандмауэр изменяет сертификат сервера (MITM)

Действие 2. Проверьте журналы устройства.

Вы можете собрать комплект FMC TS, как описано в этом документе:

https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

В этом случае в файле /dir-archives/var-log/process_stdout.log отображаются такие сообщения:

 SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla[10068]: *Среда .967 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494], 
не удалось выполнить, ошибка код 60, строка ошибки «Сертификат однорангового узла SSL или удаленный ключ SSH не в порядке» ...
SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla[10068]: *Wed .967 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue[514],
выдача сертификата проверка, рет 60, url "https://tools.cisco.com/it/

Рекомендуемое решение

Отключите MITM для определенного потока, чтобы FMC мог успешно зарегистрироваться в облаке Smart Licensing.

Случай 11. Проблема подключения IPv6

Описание проблемы: внутренние узлы (расположенные за ВНУТРЕННИМ интерфейсом брандмауэра) не могут взаимодействовать с внешними узлами (узлы, расположенные за ВНЕШНИМ интерфейсом брандмауэра).

На этом изображении показана топология:

Затронутый поток:

Исходный IP-адрес: fc00:1:1:1::100

Точный IP-адрес: fc00:1:1:2::2

Протокол: любой

Анализ захвата

Включить захват на движке FTD LINA.

 firepower#  Capture CAPI int INSIDE match ip any6 any6 
firepower#  захват CAPO int OUTSIDE match ip any6 any6
  

Захваты — Нефункциональный сценарий

Эти захваты были сделаны параллельно с тестом подключения ICMP от IP fc00:1:1:1::100 (внутренний маршрутизатор) к IP fc00:1:1:2::2 (вышестоящий маршрутизатор).

Захват интерфейса брандмауэра ВНУТРИ содержит:

Ключевые точки:

  1. Маршрутизатор отправляет сообщение запроса соседей IPv6 с запросом MAC-адреса вышестоящего устройства (IP fc00:1:1:1::1).
  2. Брандмауэр отвечает объявлением соседа IPv6.
  3. Маршрутизатор отправляет эхо-запрос ICMP.
  4. Брандмауэр отправляет сообщение запроса соседей IPv6 с запросом MAC-адреса нижестоящего устройства (fc00:1:1:1::100).
  5. Маршрутизатор отвечает объявлением соседнего IPv6.
  6. Маршрутизатор отправляет дополнительные эхо-запросы IPv6 ICMP.

Захват интерфейса брандмауэра OUTSIDE содержит:

Ключевые точки:

  1. Брандмауэр отправляет сообщение запроса соседей IPv6 с запросом MAC-адреса вышестоящего устройства (IP fc00:1:1:2::2).
  2. Маршрутизатор отвечает объявлением соседнего IPv6.
  3. Брандмауэр отправляет эхо-запрос IPv6 ICMP.
  4. Восходящее устройство (маршрутизатор fc00:1:1:2::2) отправляет сообщение запроса соседей IPv6 с запросом MAC-адреса IPv6-адреса fc00:1:1:1::100.
  5. Брандмауэр отправляет дополнительный эхо-запрос IPv6 ICMP.
  6. Вышестоящий маршрутизатор отправляет дополнительное сообщение запроса соседей IPv6, запрашивая MAC-адрес IPv6-адреса fc00:1:1:1::100.

Пункт 4 очень интересный. Обычно восходящий маршрутизатор запрашивает MAC-адрес интерфейса брандмауэра OUTSIDE (fc00:1:1:2::2), но вместо этого он запрашивает fc00:1:1:1::100. Это признак неправильной настройки.

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте таблицу соседей IPv6.

Таблица соседей IPv6 брандмауэра правильно заполнена.

 firepower#  показать соседа ipv6 | я fc00 
fc00:1:1:2::2 58 4c4e.35fc.fcd8 СТАРЫЙ СНАРУЖИ
fc00:1:1:1::100 58 4c4e.35fc.fcd8 УСТАРЕВШИЙ ВНУТРИ
 

Действие 2. Проверьте конфигурацию IPv6.

Это конфигурация брандмауэра.

 межсетевой экран №  show run int e1/2 
!
интерфейс Ethernet1/2
 nameif ВНУТРИ
 кт руководство
  распространять sgt save-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 айпи адрес 192.168.0.1 255.255.255.0
 адрес ipv6  fc00:1:1:1::1/64 
 IPv6 включить

брандмауэр #  show run int e1/3.202 
!
интерфейс Ethernet1/3.202
 влан 202
 nameif СНАРУЖИ
 кт руководство
  распространять sgt save-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 IP-адрес 192.168.103.96 255.255.255.0
 адрес ipv6  fc00:1:1:2::1/64 
 IPv6 включить
 


Конфигурация восходящего устройства показывает неправильную конфигурацию:

 Router#  show run interface g0/0.202 
!
интерфейс GigabitEthernet0/0.202
 инкапсуляция dot1Q 202
 переадресация vrf VRF202
 IP-адрес 192.168.2.72 255.255.255.0
 IPv6-адрес FC00:1:1:2::2 /48
  

Захват — функциональный сценарий

Изменение маски подсети (с /48 на /64) устранило проблему. Это захват CAPI в функциональном сценарии.

Ключевой момент:

  1. Маршрутизатор отправляет сообщение запроса соседей IPv6 с запросом MAC-адреса вышестоящего устройства (IP fc00:1:1:1::1).
  2. Брандмауэр отвечает объявлением соседа IPv6.
  3. Маршрутизатор отправляет эхо-запросы ICMP и получает эхо-ответы.

Комплектация CAPO:

Ключевые точки:

  1. Брандмауэр отправляет сообщение запроса соседей IPv6 с запросом MAC-адреса вышестоящего устройства (IP fc00:1:1:2::2).
  2. Брандмауэр отвечает объявлением соседа IPv6.
  3. Брандмауэр отправляет эхо-запрос ICMP.
  4. Маршрутизатор отправляет сообщение запроса соседей IPv6 с запросом MAC-адреса нижестоящего устройства (IP fc00:1:1:1::1).
  5. Брандмауэр отвечает объявлением соседа IPv6.
  6. Брандмауэр отправляет эхо-запросы ICMP и получает эхо-ответы.

Случай 12. Прерывистая проблема с подключением (отравление ARP)

Описание проблемы: внутренние узлы (192.168.0.x/24) имеют периодические проблемы с подключением к узлам в той же подсети

На этом изображении показана топология:

Затронутый поток:

Исходный IP-адрес: 192.168.1.0.х/24

Точный IP-адрес: 192.168.0.x/24

Протокол: любой

Кэш ARP внутреннего хоста кажется отравленным:

Анализ захвата

Включить захват на движке FTD LINA

Этот захват захватывает только пакеты ARP на ВНУТРЕННЕМ интерфейсе:

 firepower#  захват интерфейса CAPI_ARP ВНУТРИ Ethernet-типа arp  

Захваты — Неработоспособный Сценарий:

Захват на интерфейсе брандмауэра ВНУТРИ содержит.

Ключевые точки:

  1. Брандмауэр получает различные запросы ARP для IP-адресов в сети 192.168.0.x/24
  2. Брандмауэр отвечает на все из них (прокси-ARP) со своим MAC-адресом
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте конфигурацию NAT.

В зависимости от конфигурации NAT в некоторых случаях ключевое слово no-proxy-arp может предотвратить описанное выше поведение:

 огневая мощь#  show run nat 
nat (ВНУТРИ, СНАРУЖИ) источник статический NET_1.1.1.0 NET_2.2.2.0 статическая цель NET_192.168.0.0 NET_4.4.4.0  без прокси-arp
  

Действие 2. Отключите функцию proxy-arp в интерфейсе брандмауэра.

Если ключевое слово no-proxy-arp не решает проблему, рассмотрите возможность отключения прокси-ARP на самом интерфейсе. В случае с FTD на момент написания этой статьи вам придется использовать FlexConfig и развернуть следующую команду (указать соответствующее имя интерфейса).

 sysopt noproxyarp ВНУТРИ 

Корпус 13.Выявление идентификаторов объектов SNMP (OID), вызывающих перегрузку ЦП

Этот случай демонстрирует, как определенные OID SNMP для опроса памяти были идентифицированы как основная причина перегрузки ЦП (проблемы с производительностью) на основе анализа перехватов пакетов SNMP версии 3 (SNMPv3).

Описание проблемы: количество переполнений интерфейсов данных постоянно увеличивается. Дальнейшее устранение неполадок показало, что существуют также перегрузки ЦП (вызванные процессом SNMP), которые являются основной причиной переполнения интерфейса.

Следующим шагом в процессе устранения неполадок было определение основной причины перегрузки ЦП, вызванной процессом SNMP, и, в частности, сужение области проблемы для определения идентификаторов объектов SNMP (OID), опрос которых потенциально может привести к в процессоре свиней.

В настоящее время ядро ​​FTD LINA не предоставляет команду «показать» для SNMP OID, которые опрашиваются в режиме реального времени. Список SNMP OID для опроса можно получить из инструмента мониторинга SNMP, однако в данном случае были следующие ограничивающие факторы:

  • Администратор FTD не имел доступа к средству мониторинга SNMP
  • SNMP версии 3 с аутентификацией и шифрованием данных для конфиденциальности был настроен на FTD
Анализ захвата

Поскольку администратор FTD имел учетные данные для проверки подлинности SNMP версии 3 и шифрования данных, был предложен следующий план действий:

  1. Захват пакетов SNMP
  2. Сохраните снимки и используйте настройки протокола SNMP Wireshark, чтобы указать учетные данные SNMP версии 3 для расшифровки пакетов SNMP версии 3.Расшифрованные записи используются для анализа и извлечения SNMP OID
  3. .

Настройка захвата пакетов SNMP на интерфейсе, который используется в конфигурации узла snmp-сервера:

 firepower#  show run snmp-server | включить хост 
snmp-server host management 192.168.10.10 версия 3 netmonv3


firepower #  показать управление IP-адресами 
IP-адрес системы:
Имя интерфейса IP-адрес Маска подсети Метод
Менеджмент0/0 менеджмент 192.168.5.254 255.255.255.0 КОНФИГ
Текущий IP-адрес:
Имя интерфейса IP-адрес Маска подсети Метод
Управление0/0 управление 192.168.5.254 255.255.255.0 КОНФИГ

firepower#  захват буфера управления интерфейсом capsnmp 10000000 соответствие udp host 192.168.10.10 host 192.168.5.254 eq snmp 

firepower#  показать capsnmp  захвата

захватывать буфер необработанных данных типа capsnmp 10000000 интерфейс снаружи [Захват -  9512  байт]
  совпадать с UDP-хостом 192.168.10.10 хост 192.168.5.254 экв.SNMP
 

Ключевые точки:

  1. Адреса/порты источника и получателя SNMP.
  2. PDU протокола SNMP не может быть декодирован, так как privKey неизвестен Wireshark.
  3. Значение примитива зашифрованного PDU.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Расшифруйте захваты SNMP.

Сохраните снимки и измените настройки протокола SNMP Wireshark, чтобы указать учетные данные SNMP версии 3 для расшифровки пакетов.

 firepower#  копия /pcap захват: tftp: 
Имя исходного захвата [capsnmp]?

Адрес или имя удаленного хоста []? 192.168.10.253

Имя файла назначения [capsnmp]? capsnmp.pcap
  !!!!!!
64 пакета скопировано за 0,40 сек.
  

Откройте файл захвата в Wireshark, выберите пакет SNMP и перейдите к Настройки протокола > Таблица пользователей , как показано на рисунке:

В таблице «Пользователи SNMP» были указаны имя пользователя SNMP версии 3, модель аутентификации, пароль аутентификации, протокол конфиденциальности и пароль конфиденциальности (фактические учетные данные ниже не показаны):

После применения настроек пользователей SNMP Wireshark показал расшифрованные PDU SNMP:

Ключевые точки:

  1. Средства мониторинга SNMP использовали SNMP getBulkRequest для запроса и обхода родительского OID 1.3.6.1.4.1.9.9.221.1 и соответствующие OID.
  2. : FTD ответил на каждый запрос getBulkRequest с помощью get-response, содержащего OID, относящиеся к 1.3.6.1.4.1.9.9.221.1.

Действие 2. Определите OID SNMP.

SNMP Object Navigator показал, что OID 1.3.6.1.4.1.9.9.221.1 принадлежит базе управляющей информации (MIB) с именем CISCO-ENHANCED-MEMPOOL-MIB , как показано на рисунке:

Чтобы отобразить OID в удобочитаемом формате в Wireshark, выполните следующие действия:

  1. Загрузите MIB CISCO-ENHANCED-MEMPOOL-MIB и его зависимости, как показано на рисунке:

2.В Wireshark в окне Edit > Preferences > Name Resolution установлен флажок Enable OID Resolution . В окне SMI (MIB и PIB пути) укажите папку со скачанными MIB и в SMI (MIB и PIB модули). CISCO-ENHANCED-MEMPOOL-MIB автоматически добавляется в список модулей:

 3. После перезапуска Wireshark активируется разрешение OID:

.

На основе расшифрованных выходных данных файла захвата средство мониторинга SNMP периодически (с интервалом 10 секунд) опрашивало данные об использовании пулов памяти на FTD.Как объяснено в статье TechNote Опрос ASA SNMP для статистики, связанной с памятью, опрос использования глобального общего пула (GSP) с использованием SNMP приводит к перегрузке ЦП. В этом случае из перехватов было ясно, что использование глобального общего пула периодически опрашивалось как часть примитива SNMP getBulkRequest.

Чтобы свести к минимуму загрузку ЦП, вызванную процессом SNMP, было рекомендовано выполнить действия по смягчению последствий перегрузки ЦП для SNMP, упомянутые в статье, и избегать опроса OID, связанных с GSP.Без опроса SNMP для идентификаторов OID, связанных с GSP, не наблюдалось перегрузок ЦП, вызванных процессом SNMP, и частота перегрузок значительно снизилась.

Связанная информация

В чем разница между DNS через TLS и DNS через HTTPS?

Хотя это звучит как одно и то же, есть одно существенное отличие, которое вызывает жаркие споры.

DNS через TLS (DoT) и DNS через HTTPS (DoH) звучат так, как будто это взаимозаменяемые термины для одного и того же.И на самом деле они выполняют одно и то же — шифруют DNS-запросы, — но есть одно большое отличие: порт, который они используют.

И хотя для чего-то, что звучит так просто, может показаться глупым создание двух полностью разделенных лагерей с глубоко укоренившимися представлениями о том, что лучше, ставки высоки. Одна сторона более социально сознательна, более ориентирована на пользователя, их основной интерес — неприкосновенность частной жизни и права человека. С другой стороны, есть более прагматичная группа, в которую входит даже один из архитекторов DNS, доказывающий, что сетевые администраторы должны иметь возможность видеть и анализировать активность DNS.

Здесь многое предстоит раскрыть, но стоит углубиться в детали, чтобы лучше понять разницу между DNS через TLS и DNS через HTTPS и почему это важное обсуждение.

Итак, без лишних слов, давайте разберемся…

Что такое DNS? Зачем ему TLS или HTTPS?

DNS означает систему доменных имен. Лучшее сравнение, а также самое клише — это сравнение с телефонной книгой. Когда большинство людей просматривают веб-страницы, они не вводят фактический IP-адрес — они вводят унифицированный указатель ресурсов (URL).DNS-сервер берет этот URL-адрес и находит IP-адрес, который он разрешает.

Например, когда вы хотите посетить магазин SSL, вы вводите thesslstore.com, DNS-сервер возьмет этот URL-адрес и найдет связанный с ним IP-адрес, в нашем случае это 107.23.230.173. Но просить людей запомнить это было бы бессмысленно, отсюда и вездесущность URL (которую Google пытается убить).

Если вам когда-нибудь понадобится узнать IP-адрес посещаемого веб-сайта, это легко сделать как на Windows, так и на Mac.Пользователям Windows просто нужно ввести «cmd» в строку поиска и открыть командную строку, а затем ввести:

 tracert anydomain.com 

Для пользователей Apple это немного проще и немного элегантнее. В строке поиска вашего Mac введите «Сетевая утилита» и нажмите, чтобы открыть ее. Затем перейдите на вкладку Traceroute и введите имя домена в поле трассировки. Легкий.

Исторически DNS-запросы выполнялись с использованием протоколов UDP или TCP, то есть они отправлялись в виде открытого текста.

И как мы обсудим, это может быть проблемой.

Зачем нам нужно шифровать DNS-запросы?

Если вы живете в США, Великобритании или Австралии, как и большинство наших читателей, легко принять как должное права и свободы, которыми мы пользуемся. По большому счету, наши проблемы с конфиденциальностью довольно тривиальны. На прошлой неделе я узнал, что я был одним из тех 50 миллионов или около того счастливчиков, чьи данные Facebook были скомпрометированы.

И хотя это в высшей степени раздражает, мы бы насмешливо назвали это проблемой первого мира.Хотя есть несколько ужасающих исключений, худшее, что может случиться с большинством из нас, — это кража личных данных. И это не шутка, но и не угроза вашей жизни или свободе. Кроме детского порно и нюхательного табака, нет ничего, к чему вы не могли бы получить доступ в США, Великобритании и большей части западного мира.

Это не может быть менее верно для других частей мира. В Китае общеизвестно ограниченный доступ к Интернету (для которого Google в настоящее время разрабатывает подпольную поисковую систему с цензурой).

Россия, Северная Корея, Иран, Саудовская Аравия — и это лишь некоторые из крупных стран — входят в число десятков стран, которые ограничивают использование Интернета для своих граждан.

По данным Freedom House, менее четверти пользователей Интернета в мире проживают в странах, где доступ в Интернет обозначен как бесплатный. Это бесплатно с точки зрения прав и свобод, а не цены. 36% процентов интернет-пользователей живут в стране, где интернет полностью ограничен, а еще 28% живут в стране, где интернет ограничен частично.

Черт возьми, пару недель назад вся страна Эфиопия отключила доступ в Интернет, чтобы попытаться подавить то, что в то время выглядело как потенциальный военный переворот.

И когда ваша интернет-история может привести к вашему внесудебному задержанию, причинению вреда или даже убийству, возможность запутать эти DNS-запросы может быть вопросом жизни или смерти. Это может показаться преувеличением, но не требуется много исследований, чтобы выяснить, что может случиться с обычными людьми, которых называют диссидентами на основании их использования Интернета.

Вот почему для некоторых сторон, участвующих в этих дебатах, это вопрос прав человека, который может вызвать сильные эмоции.

Никто не спорит, что DNS-запросы не должны шифроваться, спор идет о том, как лучше это сделать.

Итак, в чем разница между DNS через TLS и DNS через HTTPS?

Хотя оба эти стандарта шифруют DNS-запросы, между DNS поверх TLS и DNS поверх HTTPS есть некоторые важные различия. IETF определил DNS через HTTPS как RFC 8484, а DNS через TLS — как RFC 7858 и RFC 8310.

DNS через TLS использует TCP в качестве основного протокола подключения и уровни шифрования и аутентификации TLS. DNS через HTTPS использует HTTPS и HTTP/2 для установления соединения.

Это важное различие, поскольку оно влияет на используемый порт. DNS через TLS имеет собственный порт, порт 853. DNS через HTTPS использует порт 443, который является стандартным портом для трафика HTTPS.

Хотя наличие выделенного порта звучит так, как будто это преимущество, в некоторых контекстах на самом деле все наоборот.В то время как запросы DNS через HTTPS могут скрываться в остальной части зашифрованного трафика, все запросы DNS через TLS используют отдельный порт, где любой на сетевом уровне может легко их увидеть и даже заблокировать.

Конечно, сам запрос — его содержимое или ответ — зашифрован. Таким образом, вы не будете знать, что запрашивается, но они будут знать, что вы используете DNS поверх TLS. И это как минимум вызовет подозрения. Это как взять пятое место в США. Это просто создает впечатление, что вам есть что скрывать, а во многих странах такое мнение о вас не очень хорошее.

Обоснование использования DNS через TLS

Пол Викси — один из разработчиков DNS. И учитывая тему, его мнение имеет значительный вес. На выходных он ответил Нику Салливану, главе криптоотдела Cloudflare, на объявление в Твиттере о RFC 8484 (DNS через HTTPS), выразив свое несогласие:

.

RFC 8484 — это кластерная утка для интернет-безопасности. Извините, что дождь на вашем параде. Заключенные захватили приют.

Лично я в отделе уток неравнодушен к Крякве, но, во всяком случае, оппозиция Викси делается не столько с точки зрения добросовестного правозащитника, сколько с точки зрения опытного ветерана службы безопасности.Те же самые недостатки прав человека, возможность идентифицировать запросы DoT — также благо для безопасности.

Это мало чем отличается от проверки HTTPS. На первый взгляд, идея прерывания HTTPS-соединения звучит как плохая идея, и, безусловно, есть сегмент сообщества информационной безопасности, который уделяет особое внимание безопасности и утверждает, что такая практика ослабляет шифрование. Но есть также администраторы корпоративных сетей и сотрудники службы безопасности, которые не хотят отказываться от возможности проверять свой трафик.Потеря этой видимости является частью того, что привело к взлому Equifax. Злоумышленники любят прятаться в зашифрованном трафике, что подтверждается недавними атаками Magecart.

DNS через TLS имеет больше нюансов, что полезно с точки зрения работоспособности сети. С другой стороны, DNS через HTTPS…

DoH — это превосходный обход корпоративных и других частных сетей. Но DNS является частью уровня управления, и сетевые операторы должны иметь возможность отслеживать и фильтровать его. Используйте DoT, а не DoH», — написала Викси в Твиттере.

Викси утверждает, что DNS поверх HTTPS удаляет ключевой отличительный признак, помогающий в проверке трафика. Это также усложняет блокировку других веб-сайтов, потому что вместо того, чтобы просто отключать DNS-запросы, поступающие через определенный порт, вы должны блокировать весь HTTPS-трафик, что может привести к всевозможным головным болям.

Это хорошо с точки зрения прав человека и плохо с точки зрения сетевой безопасности.

Какой стандарт лучше: DNS через HTTPS или DNS через TLS?

Вот что пытаются решить все эти дебаты! У обеих сторон есть законные аргументы.Что бесполезно, так это нападки ad hominem, которые отвлекают от достойного разговора.

Учитывая тот факт, что это проблема прав человека, эмоции неизбежно вспыхнут, но важно помнить, что сторона, выступающая за использование DNS вместо TLS, которая отдает предпочтение подходу сетевой безопасности, но потенциально вызывает некоторые проблемы с конфиденциальностью, не придерживается этой позиции, потому что она холодны или им не хватает сочувствия, они просто смотрят на это с другой точки зрения.

Иногда лучшее с качественной точки зрения и лучшее с точки зрения прав человека или даже с точки зрения морали не совпадают.Для многих в лагере DNS через TLS это не имеет ничего общего с реальными проблемами конфиденциальности, а связано с тем фактом, что они считают DNS через HTTPS более низким стандартом, чем DNS через TLS.

Речь идет не о том, чтобы работать из уважения к социальной совести, а о разработке стандарта, который является наиболее эффективным.

Никто не борется с конфиденциальностью, даже если не все борются за одно и то же.

Мы будем сообщать вам об этом по мере развития событий.

Как всегда, оставляйте любые комментарии или вопросы ниже…

Оценка потребления витамина D3 до 15 000 МЕ/день и концентрации 25-гидроксивитамина D в сыворотке до 300 нмоль/л на метаболизм кальция в общественных условиях

Дерматоэндокринол.2017; 9(1): e1300213.

SM Kimball

Pure North S’Energy Foundation, Calgary, AB, CANADA

N. MIRHOSSEINA

A Pure North S’Energy Foundation, Calgary, AB, Canada

MF Holick

b Медицинский центр Бостонского университета, Бостон, Массачусетс, США

a Pure North S’Energy Foundation, Калгари, AB, Канада

b Медицинский центр Бостонского университета, Бостон, Массачусетс, США

КОНТАКТЫ M.F. Holick ude.UB@kciloHFM, Медицинский центр Бостонского университета, 85 East Newton St. M-1013, Boston, MA 02118, USA

Поступила в редакцию 19 декабря 2016 г.; Принято 23 февраля 2017 г.

Copyright © 2017 Автор(ы). Публикуется по лицензии Taylor & Francis. Эта статья находится в открытом доступе и распространяется в соответствии с условиями лицензии Creative Commons Attribution-NonCommercial-NoDerivatives (http://creativecommons.org/licenses/by-nc-nd/4.0/), которая разрешает — коммерческое повторное использование, распространение и воспроизведение на любом носителе при условии, что оригинальная работа правильно процитирована и не изменена, не трансформирована и не дополнена каким-либо образом.Эта статья была процитирована другими статьями в PMC.

РЕФЕРАТ

Широкое распространение получает добавка витамина D в дозах выше допустимого верхнего уровня потребления (UL). Цель настоящего анализа состояла в том, чтобы охарактеризовать влияние добавок витамина D в дозах до 15 000 МЕ/сут в рамках программы на уровне сообщества на статус витамина D, гомеостаз кальция, а также на функцию почек, печени и иммунной системы. Мы оценили данные, собранные для 3882 участников общественной программы, у которых были проведены измерения крови при включении в программу и при последующем наблюдении в течение 6–18 месяцев в период с 2013 по 2015 год.Участникам был назначен широкий диапазон доз витамина D (1000–15 000 МЕ/сут), направленных на достижение уровня 25-гидроксивитамина D [25(OH)D] в сыворотке не менее 100 нмоль/л. Концентрации 25(OH)D в сыворотке до 300 нмоль/л были достигнуты без нарушения гомеостаза кальция или проявления токсичности. Гиперкальциемия и гиперкальциурия не были связаны с увеличением концентрации 25(OH)D или дозы витамина D. Для достижения уровня 25(OH)D в сыворотке >100 нмоль/л в среднем требуется прием витамина D в количестве 6000 МЕ/сут при нормальном индексе массы тела (ИМТ), 7000 МЕ/сут при избыточном весе и 8000 МЕ/сут при ожирении.Дозы витамина D, превышающие 6000 МЕ/сутки, требовались для достижения концентрации 25(OH)D в сыворотке выше 100 нмоль/л, особенно у лиц с избыточным весом или ожирением без каких-либо признаков токсичности. Было обнаружено, что концентрации 25(OH)D в сыворотке до 300 нмоль/л безопасны.

КЛЮЧЕВЫЕ СЛОВА: 25-гидроксивитамин D, С-реактивный белок, гиперкальциемия, гипервитаминоз D, воспаление, сывороточный кальций, добавки, токсичность, витамин D, ISRCTN: 18397898

Введение

Имеющиеся данные свидетельствуют о том, что оптимальное содержание витамина D снижает риск длинный список хронических заболеваний.Тем не менее сводная литература часто противоречива и запутана, что приводит к горячим дебатам об оптимальном статусе витамина D. Чтобы еще больше запутать ситуацию, существует множество мнений экспертов, поддерживающих обе стороны аргумента. 1-4

Почти каждая клетка в организме имеет рецептор витамина D, а витамин D необходим для множества клеточных функций. 5 Фактически, низкий статус витамина D снижает способность большинства тканей выполнять нормальные физиологические функции.Витамин D необходим для скелета, здоровья, иммунитета, развития и сердечно-сосудистой системы, а также для защиты от рака. В результате низкий уровень витамина D увеличивает риск ряда заболеваний, включая аутоиммунные заболевания, диабет, сердечно-сосудистые заболевания и рак. 6

По логике, критерии определения потребности в потреблении питательных веществ должны основываться на фактической функции питательных веществ, а не на профилактике заболеваний. Проблемы, связанные с установлением потребности в витамине D, связаны с физиологией.Три отдельных линии доказательств, охватывающих i) компенсаторный механизм роли витамина D в гомеостазе кальция, ii) естественные предковые уровни, которые могут быть получены при беспрепятственном воздействии солнца, и iii) уровни, необходимые для того, чтобы грудное молоко содержало адекватное количество витамина D для грудного ребенка, сходятся, чтобы установить оптимальный статус витамина D. 7,8 Хини пришел к выводу, что уровень 25(OH)D от 100 до 130 нмоль/л лучше всего подходит для нормальной физиологии. 4 О безопасности уровней 25(OH)D в сыворотке до 500 нмоль/л сообщалось 9-11 , и это недавно было подтверждено в больших выборках, взятых из сообществ. 12,13

Взрослый человек в купальном костюме подвергается воздействию солнечного света в количестве, вызывающем легкое покраснение кожи через 24 часа (1 минимальная эритемная доза; МЭД), что эквивалентно приему примерно 15 000 МЕ витамина D. 14-16 Однако врачи по-прежнему обеспокоены потреблением свыше 4000 МЕ/сут. Институт медицины (IOM) установил 4000 МЕ/сут в качестве допустимого верхнего уровня потребления (уровень, который вряд ли причинит вред почти всем взрослым). Недавние исследования показывают, что использование добавок с витамином D увеличилось, будь то из-за самостоятельного выбора дозировки или по указанию врача, а уровни 25(OH)D выше 150 нмоль/л увеличились на 200 % за 10 лет. 12–13 Кроме того, количество витамина D 3 , необходимое для достижения уровня 25(OH)D в сыворотке выше 100 нмоль/л, составляет в среднем 5000 МЕ/сут 9,17–19 и 2–3 раз больше для лиц с избыточным весом и ожирением. 11,18

Естественные уровни 25(OH)D, достигаемые при воздействии солнца на пастухов масаи и находящиеся в диапазоне 100–150 нмоль/л, также могут быть достигнуты при пероральном приеме в дозе 5 000–10 000 МЕ/сут. 4,17 Практическое руководство эндокринного общества рекомендует, чтобы до 10 000 МЕ в день были безопасны для взрослых. 8,14 Это отличается от рекомендованной IOM UL на уровне 4000 МЕ/сут. Таким образом, профиль безопасности дополнительного приема выше 4000 МЕ/сут остается неопределенным. Для человека с высоким индексом массы тела (ИМТ) могут потребоваться дозы более 10 000 МЕ/сутки для достижения уровня 25(OH)D не менее 100 нмоль/л. В настоящем анализе оценивалось потребление витамина D в дозе до 15 000 МЕ/сут в общественных условиях по различным параметрам метаболизма кальция и потенциальной токсичности.

Результаты

Анонимные данные от 3882 новых участников были доступны с последующим наблюдением, в среднем через год, между 2012 и 2015 годами, и включены в этот анализ.Средний возраст участников составил 59,6 ± 14,8 лет, 59,5% были женщинами. Менее 1% участников имели ИМТ в диапазоне недостаточной массы тела, 35,5% имели нормальный ИМТ, 37,0% имели избыточную массу тела и 27,5% страдали ожирением (18,2% с ожирением I, 5,8% с ожирением II, 3,5% с экстремальным ожирением).

При включении в программу (исходный уровень) 55% участников сообщили о том, что они принимали некоторое количество витамина D. Средняя доза пищевых добавок с витамином D увеличилась с 2 106 ± 2 471 МЕ/сут на исходном уровне до 6 767 ± 3 588 МЕ/сут при последующем наблюдении (n = 2339). В целом средние концентрации 25(OH)D в сыворотке увеличились с 87 ± 28 нмоль/л до 126 ± 39 нмоль/л (парный t, p <0.001).

Концентрации 25(OH)D в сыворотке зависели от дозы витамина D в зависимости от ИМТ. У участников с нормальным ИМТ и средним потреблением витамина D 6100 МЕ/сутки наблюдалось среднее повышение уровня 25(OH)D в сыворотке с 92 ± 29 до 131 ± 40 нмоль/л (p < 0,001). На дозозависимую реакцию также влияли исходные концентрации 25(OH)D для всех групп ИМТ, так что у людей с более высокими исходными концентрациями 25(OH)D наблюдался притупленный ответ на ту же дозу витамина D по сравнению с людьми с более низким исходным уровнем 25(OH)D. )D концентрации ().У участников с нормальным весом, у которых на исходном уровне был дефицит витамина D, <50 нмоль/л, ответ на среднее потребление 7 670 МЕ/сут был значительно выше, при этом концентрации 25(OH)D в сыворотке увеличились с 38 ± 8 нмоль/л до 103 ± 37 нмоль/л (p < 0,001). Реакция на добавление витамина D была меньше при ступенчатом увеличении ИМТ, так что у людей с ожирением средние концентрации 25(OH)D были ниже (118 ± 38 нмоль/л), чем у лиц с избыточным весом (126 ± 38 нмоль/л), у которых более низкие уровни, чем нормальный ИМТ (131 ± 40 нмоль/л) при последующем наблюдении, несмотря на более высокое потребление витамина D ().

Ответ на добавление витамина D на основе исходных концентраций 25(OH)D и ИМТ (a) нормальный ИМТ, (b) избыточный вес; и с) ожирение.

Таблица 1.

Сравнение измерений между исходным и последующим наблюдением в категориях индекса массы тела (ИМТ).

3 сывороточный креатинин (μMol / l) 97,6 ± 18.7 9005
Нормальный (BMI <25)
Избыточный вес (BMI = 25-30)
ожирение (BMI ≥ 30)
N Базовый уровень Исходный уровень по сравнению сПоследующие N BaseLeine Base-Enline Базовая линия по сравнению с BaseLine VS. Последующие N Базовый уровень Base-Up Базовая линия по сравнению с
BMI (кг / M 2 ) 1398 1398 22,4 ± 1,9 22,9 ± 2.5 <0,001 1437 27,3 ± 1,4 27,6 ± 1,9 <0,001 1047 34,4 ± 4 34.5 ± 4.4 0.02 0.02
Витамин D Доза (IU / D) 1225 12225 2232 ± 2463 6090 ± 3221 <0,001 1246 211 ± 2391 6751 ± 3520 <0.001 928 928 1932 ± 2578 7652 ± 4026 <0,001 <0,001
Сыворотка 25 (OH) D (NMOL / L) 1366 91,5 ± 29 131 ± 40 0,001 1446 87.2 ± 28 126 ± 38 <0.001 1053 8053 80 ± 26 118 ± 38 ± <0,001 <0,001
сывороточный кальций (ммоль / л) 1350 2,40 ± 0,08 2.39 ± 0.08 0.08 1413 1413 1413 2,40 ± 0,09 2,39 ± 0,09 0.3 1045 2,39 ± 0,09 2,39 ± 0,09 0,2 0,2
Срубка PTH (NG / L) 453 35.7 ± 14 35 35.2 ± 14 0,4 494 37,8 ± 14 37,8 ± 14 36,6-6 ± 14,5 0,06 327 41.9 ± 16.4 39,3 ± 15 39,3 ± 15 0.001
Срум HS- CRP (мг / л) 1122 1122 1,10 ± 1,4 1.33 ± 1,4 <0,001 1155 1,63 ± 1,7 1,86 ± 1,6 <0,001 773 2,68 ± 2.2 2,86 ± 2.2 <0,001
1193 77,6 ± 18.7 78.2 ± 16.7 <0,001 1243 82 ± 19 ± 200005 82,8 ± 20 0,01 915 915 82,5 ± 32 81,9 ± 23 0,8 0,8
Оценочный GFR (ML / MIN) 1193 78,5 ± 20 76,5 ± 20 76,7 ± 18 <0.001 1243 75.6 ± 16.7 74,5 ± 17.0 <0,001 915 75 ± 170005 75 ± 17.59 74,7 ± 17.59 0,1
Срум ALT (U / L) 1191 20,6 ± 16.6 18,3 ± 11 <0.001 1246 24,7 ± 19.3 22,2 ± 15.8 <0,001 907 27,3 ± 22 24,5 ± 16 <0,001
Сюрические GGT (U / L) 1191 24.7 ± 37,6 20,6 ± 20.8 <0.001 1246 30,7 ± 36 27,5 ± 31,6 <0.001 907 35,4 ± 29 31.6 ± 29 <0.001
Моча кальций: коэффициент креатинина (мг / мг) 190 0,124 ± 0,08 0,131 ± 0,08 0,2 193 0.108 ± 0,07 0,129 ± 0,07 <0,01 135 0.096 ± 0,07 0,111 ± 0,07 0,01

Целью общественной программы было достижение концентрации 25(OH)D не менее 100 нмоль/л. На исходном уровне 18,4% участников достигли этой цели, а при последующем наблюдении 76,3% участников с нормальным ИМТ, 74,5% участников с избыточным весом и 65,5% участников с ожирением достигли уровней выше 100 нмоль/л. Витамин D 3 прием не менее 6000 МЕ/сут требовался для лиц с нормальным ИМТ для достижения концентрации 25(OH)D в сыворотке выше 100 нмоль/л или 7000 МЕ/сут и 8000 МЕ/сут для лиц с избыточным весом и ожирением , соответственно.Семьдесят процентов участников достигли уровня 25(OH)D в сыворотке выше 100 нмоль/л при последующем наблюдении и у 45 % — выше 125 нмоль/л.

Была подгруппа участников (n = 285), сообщивших о значительном приеме добавок витамина D (> 4000 МЕ/сут), у которых не наблюдалось повышения концентрации 25(OH)D в сыворотке. Мы исследовали, был ли ИМТ фактором: 36,5% были в пределах нормального ИМТ, 34,0% имели избыточный вес и 27,9% страдали ожирением. Состояния, которые могли вызвать кишечную абсорбцию [включая болезнь Крона, глютеновую болезнь, воспалительное заболевание кишечника (ВЗК), синдром раздраженного кишечника (СРК), язвенный колит, гастроэзофагеальную рефлюксную болезнь (ГЭРБ)], присутствовали у 38% этих участников, что увеличило до 60% из 285 участников, когда мы включали, сообщали ли участники о проблемах с желудком (включая вздутие живота, боль в животе, расстройство желудка, расстройство желудка).

Средние концентрации кальция в сыворотке не отличались между исходным и последующим наблюдением (). У 47 участников (1,2%) была гиперкальциемия в начале исследования и у 41 участника (1,3%) при последующем наблюдении. Из них у 20 участников были новые случаи гиперкальциемии при последующем наблюдении (дополнительная таблица 1). Большинство участников, у которых был обнаружен слегка повышенный уровень кальция в сыворотке, были теми, у кого концентрация 25(OH)D в сыворотке составляла 50–100 нмоль/л (). Кроме того, было обнаружено, что гиперкальциемия или гиперкальциурия чаще наблюдались у участников с уровнем 25(OH)D в сыворотке (<100 нмоль/л) ().

Таблица 2.

Показатели кальция, сывороточный паратгормон и доза витамина D при последующем наблюдении на основе категорий концентрации 25(OH)D в сыворотке.

9310 ± 3505 * *
Serum 25 (OH) D (NMOL / L)
50-150 100-150 150-200 200-250 250-300
N (Кровь) 973 1744 6744 673 98 98 14 14
Витамин D Доза (IU / D) 6086 ± 4002 7016 ± 3670 7228 ± 3315 8310 ± 3505 7533 ± 3136
25 (OH) D (NMOL / L) 80 ± 13 123 ± 14 169 ± 14 169 ± 14 218 ± 14 264 ± 12
ПТГ (нг/л) 40.8 ± 16 37,7-15 37,7-15 34,9 ± 14 31,5 ± 12 31,5 ± 12 31,5 ± 12 33,3 ± 13 33,3 ± 13
Альбумин Корректировка кальция (ммоль / л) 2,32 ± 0,08 2,34 ± 0,08 2,34 ± 0.08 2.33 ± 0,08 2.36 ± 0,06
1.7 1.4 1 0
N гиперкальцемии 12 20 5 5 1 0
n (мочи) 97 97 257 117 23 23 3
Мочевидский кальций: коэффициент креатинина (мг / мг) 0.099 ± 0,06 0,132 ± 0,07 0,129 ± 0,07 0,133 ± 0,08 0,106 ± 0,02
Гиперкальциурия (%) * 1,2 10,9 4,4 1,2 0
N гиперкальциурия 6 54 22 22 22 6 0
0
0
0

Анализ регрессии показал, что когда были учтены другие переменные (включая возраст, секс, ИМТ и базовые уровни) сыворотки 25 (OH)D и доза витамина D были отрицательными предикторами уровня кальция в сыворотке (13).

Таблица 3.

Предикторы содержания кальция в сыворотке и моче: коэффициент креатинина с использованием модели множественной линейной регрессии.

9357 95% 9.001

4

Зависимая переменная при последующей деятельности предикторов B стандартизированные коэффициенты (β) P-значение 95% доверительный интервал
Serum Caltium (MMOL / L) Модель (R 2 = 0,35)        
  Возраст 0.11 0.11 <0.001 * 0-0.001
Gender -0.006 -0.04 -0,01 * -0,011—0,001
Базовый уровень кальция 0,49 0.53 0.53 <0.001 * 0.458-0.517
сыворотка 25 (OH) D (NMOL / L) -9.07E-5 -0,03 0,04 * 0.04 * 0.04 * 0.04 0,000
  Доза витамина D (МЕ/сут) −8.36E-7 -0.04 0.02 * 0.02 * 0.0.000-0.000
BMI (кг / м 2 ) 0.001 0,04 0,01 * 0-0.001
Моча кальций: коэффициент креатинина (мг / мг) модели (R 2 = 0.16)
Age 0 0,09 0,05 * 0-05 * 0 0.001
гендер -0.01 -0.08 -0,07 -0.024-0.001
Базовый уровень кальция (MMOL / L) 0,06 0,07 0,1 — 0.013-0.135
Serum 25 (OH) D (NMOL / L) 0 0,07 0,09 0,000-0.000
Витамин D Доза (IU / D) 1.35E-7 0.006 0,8 0,000-0.000
-0.001 -0.001 -0.07 0,1 -0.002-0.000
Моча кальций: базовый уровень креатинина 0.35 0.34 <0.001 * 0.261-0433 0.261-0433

в каждом конкретном случае развивалась гиперкальциемия.Из 20 случаев в 6 после повторного тестирования гиперкальциемия отсутствовала. Было 2 случая гиперпаратиреоза, один из которых лечился у эндокринолога, а другой был направлен к своему терапевту для лечения. В четырех случаях участвовали участники с субоптимальными значениями 25(OH)D на исходном уровне, которые значительно увеличились при последующем наблюдении (с 55 ± 26 до 135 ± 52 нмоль/л), у которых уровни ПТГ были снижены. У одного участника концентрации 25(OH)D в сыворотке выросли со 115 нмоль/л в начале исследования до 185 нмоль/л при последующем наблюдении с уровнем кальция в сыворотке, равным 2.56 или 0,01 ммоль/л вне референтного диапазона. У этого участника значения ПТГ не изменились между исходным уровнем и последующим наблюдением и находились в пределах референтных диапазонов (41 и 42 нг/л соответственно). У одного участника концентрации 25(OH)D в сыворотке увеличились со 125 до 258 нмоль/л, при этом уровни кальция в сыворотке увеличились с 2,48 до 2,59 ммоль/л, а уровни ПТГ снизились с 54 до 47 нг/л. У двух участников, у которых исходный уровень кальция в сыворотке был в пределах референтного диапазона, наблюдалось снижение концентрации 25(OH)D (с 85 и 150 нмоль/л до 73 и 108 нмоль/л соответственно), и у обоих последующее наблюдение имело уровень кальция в сыворотке 2.67 ммоль/л. У оставшихся 4 участников уровни ПТГ не были получены во время обоих посещений, и участники не возвращались в клинику для дальнейшего наблюдения к моменту проведения этого анализа. В целом, концентрации 25(OH)D в сыворотке незначительно увеличились (с 94 ± 4 до 119 ± 18 нмоль/л) с повышением уровня кальция в сыворотке (с 2,48 ± 0,04 до 2,58 ± 0,02 ммоль/л).

Измерения кальция и креатинина в моче были доступны для 521 участника. Гиперкальциурия (кальций в моче: креатинин ≥ 0.2 мг/мг) был обнаружен у 17,6 % участников на исходном уровне. Прироста распространенности гиперкальциурии при последующем наблюдении практически не было (17,7%). Регрессионный анализ не выявил влияния дозы 25(OH)D или витамина D в сыворотке на соотношение кальция и креатинина в моче при учете возраста, пола, ИМТ и исходных уровней ().

Мы подробно изучили 52 новых случая гиперкальциурии при последующем наблюдении (дополнительная таблица 2). Было 9 случаев, когда концентрация 25(OH)D в сыворотке снизилась между исходным уровнем и последующим наблюдением.Ни один из случаев не был связан с гиперкальциемией или снижением значений ПТГ.

Мы также исследовали участников с гиперкальциурией на исходном уровне и у которых последующее измерение мочи (n = 67) определяли влияние добавок витамина D на частоту возникновения гиперкальциурии. Соотношение кальция и креатинина в моче снизилось после приема витамина D (с 0,255 ± 0,54 до 0,175 ± 0,077). При последующем наблюдении 67% пациентов больше не имели гиперкальциурии во время приема витамина D.

Ни у одного из участников не было обнаружено никаких биохимических доказательств токсичности витамина D, т.е. гиперкальциемии, связанной со сниженным уровнем ПТГ.

Биохимические маркеры функции почек (сывороточный креатинин и рСКФ) и функции печени (АЛТ и ГГТ) оставались в пределах нормы (). На тесты функции почек и печени не влияли концентрации 25(OH)D в сыворотке (дополнительная таблица 3). Между 25(OH)D и hs-CRP была слабая отрицательная корреляция (R 2 = 0.003, у = -0,002х + 2,29, р = 0,001).

Обсуждение

Витамин D, получаемый естественным путем в результате пребывания на солнце всего тела (1 МЭД), эквивалентен приему внутрь ∼15 000 МЕ витамина D. 14,16 Экваториальные племена, подвергающиеся ежедневному воздействию солнечного света на экваторе, достигают среднего уровня 25(OH)D 115 нмоль/л 8 . IOM заявляет, что профиль безопасности для дополнительного приема выше 4000 МЕ в день и уровня 25(OH)D в крови выше 75 нмоль/л является неопределенным, а уровень выше 125 нмоль/л может увеличить смертность. 1 Эндокринное общество пришло к выводу, что прием внутрь до 10 000 МЕ в день не был связан с каким-либо значительным изменением метаболизма кальция, и рекомендовало, чтобы уровни 25(OH)D в крови составляли не менее 75 нмоль/л с предпочтительным диапазоном 100 нмоль/л. –150 нмоль/л для максимального здоровья костей и мышц. Мы заметили, что количество витамина D, необходимое для достижения концентрации 25(OH)D в сыворотке не менее 100 нмоль/л, особенно у лиц с избыточным весом и ожирением, составляло в среднем 6 000–8 000 МЕ/сут.Некоторые из участников ежедневно принимали до 15 000 МЕ витамина D без какой-либо неблагоприятной токсичности.

Эндокринное общество рекомендовало, чтобы уровень 25(OH)D в крови до 250 нмоль/л не был связан с токсичностью и что токсичность витамина D обычно наблюдается при уровне в крови выше 375 нмоль/л. 11 Наши данные согласуются с этой рекомендацией. Некоторые из участников достигли уровня 25(OH)D в сыворотке до 300 нмоль/л без каких-либо признаков гиперкальциурии или гиперкальциемии.Подавление концентрации ПТГ в сыворотке крови является наиболее чувствительным индикатором нарушения гомеостаза кальция и, таким образом, указывает на неблагоприятное воздействие добавок витамина D. Не было значительного снижения уровней ПТГ у тех участников, которые потребляли наибольшее количество витамина D и достигли уровня 25(OH)D в крови выше 250 нмоль/л.

Более высокий уровень 25(OH)D в сыворотке крови был обнаружен в 2 других исследованиях на уровне местных сообществ. 12,13 Дуденков и соавт. сообщают об увеличении частоты случаев концентрации 25(OH)D в сыворотке выше 125 нмоль/л (50 нг/мл) в Рочестере за 10 лет с 9 до 233 случаев на 100 000 человеко-лет.Они обнаружили, что из 20 308 измерений 8,4% превышали 125 нмоль/л. 12 Точно так же мы обнаружили, что только у 45% участников уровень 25(OH)D в сыворотке крови превышал 125 нмоль/л, несмотря на среднее потребление витамина D на уровне 7 000 МЕ/сут. Концентрации 25(OH)D в сыворотке не были связаны с кальцием в сыворотке или повышенным риском гиперкальциемии, 12 аналогично тому, что мы наблюдали. Перес-Барриос и соавт. сообщают, что в 11,1% из 25 567 измерений, сделанных в течение 6 лет из больничных образцов, было обнаружено, что концентрации 25(OH)D превышают 160 нмоль/л, и что менее 4 % этих случаев были связаны с гиперкальциемией.К сожалению, авторы не сообщили о распространенности гиперкальциемии в образцах с сывороточным уровнем 25(OH)D ниже 160 нмоль/л 13 .

Как и ожидалось, 20 , когда исходные уровни 25(OH)D в сыворотке были ниже 50 нмоль/л, увеличение 25(OH)D было намного более устойчивым со средним увеличением на 60 нмоль/л для тех участников, которые принимали 4000 –8000 МЕ/сутки витамина D. У участников с более высокими исходными значениями повышение уровня 25(OH)D было намного ниже (в среднем на 8–15 нмоль/л) у участников, принимавших такое же количество витамина D.Увеличение также зависело от ИМТ, как сообщалось ранее. 18,21 ИМТ оказался наиболее значимым фактором зависимости дозы витамина D от дозы. Более высокие дозы витамина D, необходимые при избыточной массе тела и ожирении для достижения тех же концентраций 25(OH)D в сыворотке, что и при нормальном ИМТ, могут быть обусловлены несколькими факторами в дополнение к возможности распределения витамина D в жировой ткани.

Ожирение связано с хроническим воспалением метаболических тканей. 22 Витамин D является мощным иммуномодулятором и противовоспалительным средством.Постоянное состояние слабовыраженного воспаления, характерное для ожирения, может увеличить потребность в витамине D. Еще одним соображением является роль микробиоты кишечника. Было обнаружено, что витамин D модулирует микробиом кишечника в верхних отделах желудочно-кишечного тракта. Было высказано предположение, что нарушения в микробиоме играют роль в патогенезе метаболических нарушений, а на состав микробов кишечника сильно влияет диета. 23 Кроме того, кишечные микробы влияют на перистальтику кишечника и всасывание питательных веществ, поэтому несбалансированный микробиом может привести к снижению всасывания витамина D.Существует также роль микробиома в развитии и поддержании иммунной системы. 24 Нарушение микробиома, которое изменяет иммунную функцию, может также изменить потребности иммунных клеток или использование витамина D. увеличение концентрации 25(OH)D; 90% из них принимали > 4000 МЕ/сут и до 16 000 МЕ/сут. Этому есть несколько возможных причин. Наиболее очевидным является несоблюдение.Однако следует учитывать влияние ожирения, поскольку 62% этих участников имеют избыточный вес и страдают ожирением. Было обнаружено, что реакция на данную дозу витамина D у лиц с избыточным весом и ожирением в 2–3 раза меньше, чем у лиц с нормальным ИМТ. 18 Кроме того, значительную роль может играть мальабсорбция. Шестьдесят процентов этих участников сообщили о проблемах с желудком, таких как ВЗК и болезнь Крона в настоящем анализе. Двадцать миллионов канадцев страдают расстройствами пищеварения. 25 Недавний метаанализ показал, что у пациентов с ВЗК вероятность дефицита витамина D на 64% выше. 26 Кроме того, заболевание костей присутствует почти у половины пациентов с глютеновой болезнью 27 и ВЗК. 28 У пациентов с болезнью Крона способность усваивать дозу витамина D оказалась на 30% ниже, чем у здоровых людей. 29 Роль желудочно-кишечного тракта в усвоении витаминов и минералов вызывает беспокойство.

Это исследование имеет несколько ограничений, включая ретроспективный дизайн, погрешность, вызванную самооценкой потребления витамина D, и отсутствие полных данных для всех участников (например, соотношение кальция в моче: креатинин было доступно для половины участников). Еще одно ограничение включает возможность систематической ошибки при отборе: мы смогли оценить только тех участников, которые остались в программе и посещали нас повторно. Тем не менее, мы ожидаем, что те, кто останется в программе, будут иметь более высокие значения 25(OH)D в сыворотке из-за приверженности программе и, таким образом, позволят нам лучше обнаруживать гиперкальциемию, связанную с потреблением витамина D.Среди сильных сторон текущих анализов — большая популяция на уровне сообщества, почти 4000 участников и доступ ко всем последующим оценкам, которые были выполнены, включая любые, связанные с возможной токсичностью витамина D.

Витамин D может играть ключевую роль в оптимизации здоровья и профилактике хронических заболеваний. Значительное количество литературы предполагает, что концентрации 25(OH)D в сыворотке около 100–150 нмоль/л идеальны для физиологии 4 и профилактики заболеваний. 30 Статистическая ошибка была зарегистрирована и подтверждена независимо, что предполагает, что правильная рекомендуемая суточная доза (RDA) составляет ~ 7000 МЕ/день 4,19 .Тем не менее, среди экспертов по-прежнему ведутся серьезные публичные дебаты. В конечном счете, решение о приеме добавок с витамином D зависит от человека. Хотя в настоящем исследовании не рассматривается оптимальный статус витамина D, оно подтверждает безопасность концентраций 25(OH)D в сыворотке до 300 нмоль/л и потребления витамина D до 15 000 МЕ/сут. Кроме того, представленные здесь результаты демонстрируют различную реакцию на потребление витамина D и предполагают, что для достижения уровня 25(OH)D в сыворотке выше 100 нмоль/л требуется прием 6 000–8 000 МЕ/сут.

Методы и материалы

Вмешательство

Это исследование представляло собой анализ базы данных оздоровительной программы, направленной на профилактику хронических заболеваний. Программа предоставляет советы по образу жизни, обучение и оптимизацию питания за счет использования пищевых добавок, основанных на исследованиях, с акцентом на достижение уровней 25(OH)D выше 100 нмоль/л. Дополнительные рекомендации основаны на анализе биометрических измерений каждого участника, результатов крови и данных клинического приема.Медицинские работники рассматривают и объясняют результаты анализа крови вместе с участником и, основываясь на своих клинических знаниях и опыте в области питательных веществ, дают соответствующие рекомендации. К каждому участнику относятся как к личности, и план лечения разрабатывается для удовлетворения потребностей этого человека в питательных веществах. Всем участникам было предложено достичь уровня 25(OH)D не менее 100 нмоль/л, и индивидуальные дозы витамина D были скорректированы соответствующим образом. Эта клиническая программа зарегистрирована в ISRCTN18397898.ISRCTN — это реестр и база данных, содержащая важную информацию для описания исследования, признанного важным Всемирной организацией здравоохранения (ВОЗ), Международной платформой реестра клинических испытаний (ICTRP) и Международным комитетом редакторов медицинских журналов (ICMJE).

База данных

Анонимные данные из программы были оценены для всех новых участников, которые вошли в программу в период с 2012 по 2015 год и дали согласие на использование своих анонимных данных для исследований и которые прошли последующее наблюдение в течение 6–18 месяцев после их первого посещения (n = 3882).Мы выбрали период, когда все биохимические результаты были получены из одной лаборатории Doctors’ Data (Сент-Чарльз, Иллинойс). Большинство участников программы были здоровыми взрослыми людьми, не имевшими в анамнезе гиперпаратиреоза, гранулематозных заболеваний, гиперкальциемии и хронических заболеваний почек, а также не принимавших какие-либо лекарства, которые могли бы повлиять на метаболизм кальция и витамина D. Концентрации паратиреоидного гормона (ПТГ) оценивали до января 2014 года, после чего ПТГ оценивали только участники с высокими значениями кальция в сыворотке.Все участники предоставили письменное информированное согласие на анонимный анализ их данных для исследования.

Измерения

Демографические данные были получены для всех участников. Индекс массы тела (ИМТ) рассчитывали путем деления массы тела (кг) на рост в квадрате (м 2 ). Вся подготовка образцов и биохимические измерения проводились лабораторией данных Doctor’s Data (Сент-Чарльз, Иллинойс), полностью аккредитованной лабораторией. Были оценены четыре различные категории биохимических параметров, связанных с безопасностью витамина D, в том числе; гомеостаз кальция [кальций в сыворотке, 25(OH)D, ПТГ и отношение кальция к креатинину в моче], воспаление [высокочувствительный С-реактивный белок (hs-CRP)], функция печени [аланинаминотрансфераза (АЛТ), гамма-глутамил Трансфераза (ГГТ)] и функция почек [расчетная скорость клубочковой фильтрации (рСКФ), креатинин сыворотки].Уровень 25(OH)D в сыворотке измеряли с помощью жидкостной хроматографии и тандемной масс-спектрометрии (ЖХ/МС-МС) с коэффициентом вариации между анализами 2,4%. Концентрации кальция и альбумина в сыворотке измеряли спектрофотометрическим методом. Чтобы избежать какого-либо влияния, связанного с гемоконцентрацией, все измерения кальция выполняли с использованием первой пробирки с кровью, собранной при каждом заборе крови. Вч-СРБ и ПТГ в сыворотке измеряли с помощью иммунотурбидиметрического метода и метода ELISA, соответственно (коэффициент вариации между анализами составлял 2,5%). АЛТ и ГГТ в сыворотке измеряли на приборе Beckman Coulter с использованием ферментативного метода с CV между анализами, равным 4.3% и 2,9% соответственно. Креатинин сыворотки измеряли по методу Яффе с коэффициентом вариации между анализами 1,1%. Расчетную СКФ рассчитывали по следующему уравнению: рСКФ = 186 × (креатинин/88,4) –1,154 × (возраст) –0,203 × (0,742 для женщин) × (1,21 для чернокожих). 31 Все лабораторные испытания были подтверждены в соответствии с текущими внешними образцами для аккредитации. Значения представлены как среднее ± стандартное отклонение.

Категории

Участники были разделены на категории в соответствии с их полом, возрастом, ИМТ и статусом 25(OH)D в сыворотке.Категории 25(OH)D в сыворотке были определены априори с шагом 50 нмоль/л: < 50, 51–100, 101–150, 151–200, 201–250, 251–300, > 300 нмоль/л. Категории потребления витамина D были определены как: <1000 МЕ/сутки, 1000-<4000 МЕ/сутки, 4000-<8000 МЕ/сутки, 8000-<12000 МЕ/сутки и ≥ 12000 МЕ/сутки. Референтный диапазон для кальция в сыворотке, 2,10–2,55 ммоль/л (8,4–10,3 мг/дл), был установлен лабораторией с использованием стандартных процедур. 32 Гиперкальциемия определялась как концентрация кальция в сыворотке ≥ 2.55 ммоль/л (10,3 мг/дл). Гиперкальциурия определялась как отношение кальция к креатинину в моче выше 0,2. Референтный интервал для соотношения кальция и креатинина в моче был < 0,14, а между 0,14 и 0,2 считался пограничным. 33

Статистический анализ

Данные были проанализированы с использованием SPSS версии 23 (SPSS Inc., Чикаго, Иллинойс). Для установления распределения категорийных данных был проведен описательный анализ. Поскольку данные не были нормально распределены, были применены непараметрические тесты.Знаковый ранговый критерий Уилкоксона был проведен для оценки изменений различных переменных в течение периода наблюдения. U-критерий Манна-Уитни и критерий Крускала-Уоллиса были проведены для сравнения средних значений в соответствии с различными категориальными группами, включая возраст, пол, ИМТ и статус 25(OH)D в сыворотке. Множественная линейная регрессия была выполнена для определения предикторов статуса витамина D, уровней ПТГ, гиперкальциемии, гиперкальциурии, воспаления, функции печени и почек. Значимость определяли как p < 0,05.

Этика

Это исследование проводилось с использованием вторичных данных, которые были анонимизированы (участники идентифицировались только случайно сгенерированным 36-значным числовым кодом) и не требовало одобрения совета по этике.

Дополнительные материалы

1300213_Supplemental_Material.docx:

Раскрытие потенциальных конфликтов интересов

Авторы сообщают об отсутствии конфликта интересов. Никакого финансового интереса или выгоды от прямого применения нашего исследования не возникло. С.М.К. и NM используются фондом Pure North S’Energy Foundation.

Благодарности

Авторы хотели бы поблагодарить г-на Кена Файе за его работу по созданию набора данных и д-ра Пола Вейгелерса за его комментарии к рукописи.

Финансирование

Непосредственное финансирование этой работы не предоставлялось. Наемные сотрудники некоммерческой организации Pure North S’Energy Foundation разработали исследование, провели анализ данных и написали рукопись в сотрудничестве с доктором Майклом Ф. Холиком из Медицинского центра Бостонского университета, который участвовал в анализе и написании исследования. рукопись.

Ссылки

[1] Мэнсон Дж.Э., Шари С., Бассук С.С. Исследования витамина D и клиническая практика на распутье.ДЖАМА 2015 г.; 313(13):1311-2 [PubMed] [Google Scholar][2] Meyer HE, Holvik K, Lips P. Следует ли рекомендовать добавки витамина D для предотвращения хронических заболеваний? БМЖ 2015 г.; 350:h421. [PubMed] [Google Scholar][3] Holick MF. Витамин D не так токсичен, как считалось раньше: исторический и современный взгляд. Майо Клин Прок 2015 г.; 90(5):561-4; PMID: 253; http://dx.doi.org/10.1016/j.mayocp.2015.03.015 [PubMed] [CrossRef] [Google Scholar][4] Heaney RP. К физиологическому ориентиру потребности в витамине D.Джей Эндокринол Инвест 2014; 37(11):1127-30; PMID: 25308199; http://dx.doi.org/10.1007/s40618-014-0190-6 [PubMed] [CrossRef] [Google Scholar][5] Хоссейн-нежад А., Спира А., Холик М.Ф. Влияние статуса витамина D и добавок витамина D3 на широкогеномную экспрессию лейкоцитов: рандомизированное двойное слепое клиническое исследование. Плос Один 2013; 8(3):е58725; PMID: 23527013; http://dx.doi.org/10.1371/journal.pone.0058725 [бесплатная статья PMC] [PubMed] [CrossRef] [Google Scholar][6] Holick MF. Витамин D: важность в профилактике рака, диабета 1 типа, сердечных заболеваний и остеопороза.Am J Clin Nutr 2004 г.; 79(3):362-71; PMID:14985208 [PubMed] [Google Scholar][7] Холлис Б.В., Джонсон Д., Халси Т.К., Эбелинг М., Вагнер К.Л. Добавление витамина D во время беременности: двойное слепое рандомизированное клиническое исследование безопасности и эффективности. Джей Боун Шахтер Рес 2011 г.; 26(12):3001; http://dx.doi.org/10.1002/jbmr.537 [Бесплатная статья PMC] [PubMed] [CrossRef] [Google Scholar][8] Luxwolda MF, Kuipers RS, Kema IP, van der Veer E, Dijck-Brouwer Д.А., Маскиет Ф.А. Показатели статуса витамина D у коренного населения Восточной Африки.Евр Дж Нутр 2013; 52(3):1115-25; PMID: 22878781; http://dx.doi.org/10.1007/s00394-012-0421-6 [PubMed] [CrossRef] [Google Scholar][9] Vieth R. Добавки витамина D, концентрации 25-гидроксивитамина D и безопасность. Am J Clin Nutr 1999 г.; 69(5):842-56; PMID:10232622 [PubMed] [Google Scholar][10] Хэткок Дж. Н., Шао А., Вит Р., Хини Р. Оценка риска для витамина D. Am J Clin Nutr 2007 г.; 85:6-18; PMID:17209171 [PubMed] [Google Scholar][11] Холик М.Ф., Бинкли Н.К., Бишофф-Феррари Х.А., Гордон К.М., Хэнли Д.А., Хини Р.П., Мурад М.Х., Уивер К.М. и Эндокринное общество.Оценка, лечение и профилактика дефицита витамина D: руководство по клинической практике Эндокринологического общества. J Clin Эндокринол Метаб 2011 г.; 96(7):1911-30; PMID: 21646368; http://dx.doi.org/10.1210/jc.2011-0385 [PubMed] [CrossRef] [Google Scholar][12] Дуденков Д.В., Зев Б.П., Оберхелман С.С., Ф.Р. Фишер, Сингх Р.Дж., Ча С.С., Мэксон Дж.А. , Куигг С.М., Тэчер Т.Д. Изменение частоты значений 25-гидроксивитамина D в сыворотке выше 50 нг/мл: 10-летнее популяционное исследование. Майо Клин Прок 2015 г.; 90(5):577-86; PMID: 255; http://дх.doi.org/10.1016/j.mayocp.2015.02.012 [Бесплатная статья PMC] [PubMed] [CrossRef] [Google Scholar][13] Перес-Барриос С., Эрнандес-Альварес Э., Бланко-Наварро I, Перес-Сакристан Б. , Гранадо-Лоренсио Ф. Распространенность гиперкальциемии, связанной с гипервитаминозом D, в клинической практике. Клин Нутр 2016; 35(6):1354-8; PMID: 26995293; http://dx.doi.org/10.1016/j.clnu.2016.02.017 [PubMed] [CrossRef] [Google Scholar][15] Stamp TC, Haddad JG, Twigg CA. Сравнение перорального приема 25-гидроксихолекальциферола, витамина D и ультрафиолетового излучения как определяющих факторов циркулирующего 25-гидроксивитамина D.Ланцет 1977 год; 1(8026):1341-3; PMID:69059; http://dx.doi.org/10.1016/S0140-6736(77)

-3 [PubMed] [CrossRef] [Google Scholar][16] Краузе Р., Бюринг М., Шарма А.М., Хопфенмюллер В., Чен Т.С., Холик МФ. УФ-облучение и артериальное давление — роль витамина D в развитии эссенциальной гипертензии. Биологическое действие света; Springer Science plus Business Media, Нью-Йорк; 1998: 249-55 [Google Scholar][17] Хини Р.П., Доуэлл М.С., Хейл К.А., Бендич А. Поглощение кальция варьируется в пределах референтного диапазона для сывороточного 25-гидроксивитамина D.Am J Clin Nutr 2003 г.; 22(2):142-6 [PubMed] [Google Scholar][18] Эквару Дж. П., Охинмаа А., Вейгелерс П. Дж. Эффективность профилактической программы здоровья и статуса витамина D в улучшении связанного со здоровьем качества жизни пожилых канадцев. Качество жизни 2015 г.; 25(3):661-8; PMID: 26282006; http://dx.doi.org/10.1007/s11136-015-1103-7 [бесплатная статья PMC] [PubMed] [CrossRef] [Google Scholar][19] Veugelers PJ, Pham TM, Ekwaru JP. Оптимальные дозы добавок витамина D, которые минимизируют риск как низких, так и высоких концентраций 25-гидроксивитамина D в сыворотке у населения в целом.Питательные вещества 2015 г.; 7(12):10189-208; PMID: 266

; http://dx.doi.org/10.3390/nu7125527 [бесплатная статья PMC] [PubMed] [CrossRef] [Google Scholar][20] Holick MF, Chen TC. Дефицит витамина D: всемирная проблема с последствиями для здоровья. Am J Clin Nutr 2008 г.; 87(4):1080S-86S; PMID: 18400738 [PubMed] [Google Scholar][21] Wortsman J, Matsuoka LY, Chen TC, Lu Z, Holick MF. Снижение биодоступности витамина D при ожирении. Am J Clin Nutr 2000 г.; 72(3):690-3; PMID:10966885 [PubMed] [Google Scholar][23] Башир М., Приетл Б., Таушманн М., Маутнер С.И., Камп П.К., Трейбер Г., Вурм П., Горкевич Г., Хегенауэр С., Пибер Т.Р.Влияние высоких доз витамина D3 на микробиом кишечника, связанный со слизистой оболочкой, варьируется в зависимости от региона желудочно-кишечного тракта человека. Евр Дж Нутр 2016; 55(4):1479-89; PMID: 26130323; http://dx.doi.org/10.1007/s00394-015-0966-2 [бесплатная статья PMC] [PubMed] [CrossRef] [Google Scholar][24] Charles JF, Ermann J, Aliprantis AO. Кишечный микробиом и скелетная пригодность: соединение жуков и костей. Джей Клин Иммунол 2015 г.; 159(2):163-9; http://dx.doi.org/10.1016/j.clim.2015.03.019 [Бесплатная статья PMC] [PubMed] [CrossRef] [Google Scholar][26] Дель Пинто Р., Пьетропаоли Д., Чандар А.К., Ферри С., Коминелли Ф.Связь между воспалительным заболеванием кишечника и дефицитом витамина D: систематический обзор и метаанализ. Воспаление кишечника Dis 2015 г.; 21(11):2708-17; http://dx.doi.org/10.1097/MIB.0000000000000546 [бесплатная статья PMC] [PubMed] [CrossRef] [Google Scholar][27] Zanchetta MB, Longobardi V, Bai JC. Кости и целиакия. Curr Osteoporos Rep 2016; 14(2):43-8; PMID: 26875096; http://dx.doi.org/10.1007/s11914-016-0304-5 [PubMed] [CrossRef] [Google Scholar][28] Хейккила К., Пирс Дж., Маки М., Каукинен К.Целиакия и переломы костей: систематический обзор и метаанализ. J Clin Эндокринол Метаб 2015 г.; 100(1):25-34; PMID: 25279497; http://dx.doi.org/10.1210/jc.2014-1858 [PubMed] [CrossRef] [Google Scholar][29] Farraye FA, Nimitphong H, Stucchi A, Dendrinos K, Boulanger AB, Vijjeswarapu A, Tanennbaum A , Бьянкуццо Р., Чен Т.С., Холик М.Ф. Использование нового теста биодоступности витамина D показывает, что абсорбция витамина D снижается у пациентов с болезнью Крона в состоянии покоя. Воспаление кишечника Dis 2011 г.; 17(10):2116-21; PMID: 21

    3; http://дх.doi.org/10.1002/ibd.21595 [PubMed] [CrossRef] [Google Scholar][30] McDonnell SL, Baggerly C, French CB, Baggerly LL, Garland CF, Gorham ED, Lappe JM, Heaney RP. Концентрации 25-гидроксивитамина D в сыворотке ≥ 40 нг/мл связаны с более чем 65% снижением риска развития рака: объединенный анализ рандомизированного исследования и проспективного когортного исследования. Плос Один 2016; 11(4):e0152441; PMID: 27049526; http://dx.doi.org/10.1371/journal.pone.0152441 [бесплатная статья PMC] [PubMed] [CrossRef] [Google Scholar][31] Taal M, Tomson CH. Клинические рекомендации по уходу за пациентами с хронической болезнью почек.Руководство по клинической практике Британской почечной ассоциации: 2007 г., 4-е издание. www.renal.org/guidelines [Google Scholar][32] Уэйн П. определение, установление и проверка контрольных интервалов в клинической лаборатории; утвержденное руководство. Институт клинических и лабораторных стандартов: 2008. C28-A3. Третье издание документа CLSI 3ed [Google Scholar][33] Foley K, Boccuzzi L. Кальций в моче: лабораторные измерения и клиническая польза. Лаборатория Мед J 2010 г.; 41:683-6; http://dx.doi.org/10.1309/LM9SO94ZNBHEDNTM [CrossRef] [Google Scholar]

    %PDF-1.6 % 5781 0 объект > эндообъект внешняя ссылка 5781 300 0000000017 00000 н 0000006941 00000 н 0000007151 00000 н 0000008873 00000 н 0000009192 00000 н 0000009344 00000 н 0000009502 00000 н 0000009660 00000 н 0000009819 00000 н 0000009979 00000 н 0000010221 00000 н 0000011105 00000 н 0000011621 00000 н 0000011665 00000 н 0000011730 00000 н 0000012480 00000 н 0000013020 00000 н 0000013801 00000 н 0000014529 00000 н 0000015255 00000 н 0000015994 00000 н 0000016750 00000 н 0000017323 00000 н 0000017947 00000 н 0000018459 00000 н 0000018507 00000 н 0000018577 00000 н 0000018656 00000 н 0000019487 00000 н 0000019775 00000 н 0000020292 00000 н 0000020813 00000 н 0000021240 00000 н 0000021354 00000 н 0000021965 00000 н 0000022020 00000 н 0000022083 00000 н 0000022312 00000 н 0000022906 00000 н 0000023109 00000 н 0000023760 00000 н 0000024417 00000 н 0000024508 00000 н 0000024661 00000 н 0000024764 00000 н 0000025583 00000 н 0000026159 00000 н 0000026222 00000 н 0000028930 00000 н 0000034732 00000 н 0000039414 00000 н 0000051285 00000 н 0000051573 00000 н 0000051741 00000 н 0000051892 00000 н 0000051994 00000 н 0000052104 00000 н 0000052282 00000 н 0000052442 00000 н 0000052552 00000 н 0000052721 00000 н 0000052841 00000 н 0000052951 00000 н 0000053072 00000 н 0000053237 00000 н 0000053356 00000 н 0000053475 00000 н 0000053646 00000 н 0000053752 00000 н 0000053894 00000 н 0000054054 00000 н 0000054176 00000 н 0000054304 00000 н 0000054462 00000 н 0000054560 00000 н 0000054687 00000 н 0000054856 00000 н 0000054958 00000 н 0000055070 00000 н 0000055247 00000 н 0000055380 00000 н 0000055523 00000 н 0000055690 00000 н 0000055789 00000 н 0000055911 00000 н 0000056066 00000 н 0000056188 00000 н 0000056303 00000 н 0000056502 00000 н 0000056604 00000 н 0000056709 00000 н 0000056884 00000 н 0000056986 00000 н 0000057105 00000 н 0000057222 00000 н 0000057354 00000 н 0000057472 00000 н 0000057624 00000 н 0000057806 00000 н 0000057939 00000 н 0000058058 00000 н 0000058179 00000 н 0000058315 00000 н 0000058437 00000 н 0000058567 00000 н 0000058708 00000 н 0000058827 00000 н 0000058963 00000 н 0000059100 00000 н 0000059230 00000 н 0000059405 00000 н 0000059519 00000 н 0000059614 00000 н 0000059744 00000 н 0000059870 00000 н 0000059980 00000 н 0000060100 00000 н 0000060262 00000 н 0000060351 00000 н 0000060482 00000 н 0000060604 00000 н 0000060723 00000 н 0000060844 00000 н 0000060962 00000 н 0000061078 00000 н 0000061197 00000 н 0000061349 00000 н 0000061451 00000 н 0000061565 00000 н 0000061701 00000 н 0000061839 00000 н 0000061962 00000 н 0000062082 00000 н 0000062226 00000 н 0000062352 00000 н 0000062484 00000 н 0000062613 00000 н 0000062718 00000 н 0000062884 00000 н 0000063029 00000 н 0000063144 00000 н 0000063327 00000 н 0000063429 00000 н 0000063600 00000 н 0000063726 00000 н 0000063861 00000 н 0000063974 00000 н 0000064121 00000 н 0000064259 00000 н 0000064408 00000 н 0000064570 00000 н 0000064716 00000 н 0000064848 00000 н 0000064975 00000 н 0000065106 00000 н 0000065229 00000 н 0000065346 00000 н 0000065460 00000 н 0000065575 00000 н 0000065693 00000 н 0000065861 00000 н 0000065965 00000 н 0000066063 00000 н 0000066207 00000 н 0000066362 00000 н 0000066473 00000 н 0000066626 00000 н 0000066789 00000 н 0000066900 00000 н 0000067004 00000 н 0000067169 00000 н 0000067374 00000 н 0000067485 00000 н 0000067647 00000 н 0000067814 00000 н 0000067925 00000 н 0000068034 00000 н 0000068198 00000 н 0000068309 00000 н 0000068445 00000 н 0000068652 00000 н 0000068788 00000 н 0000068932 00000 н 0000069063 00000 н 0000069201 00000 н 0000069341 00000 н 0000069467 00000 н 0000069601 00000 н 0000069720 00000 н 0000069839 00000 н 0000069974 00000 н 0000070093 00000 н 0000070253 00000 н 0000070370 00000 н 0000070489 00000 н 0000070602 00000 н 0000070733 00000 н 0000070877 00000 н 0000071040 00000 н 0000071147 00000 н 0000071283 00000 н 0000071461 00000 н 0000071584 00000 н 0000071714 00000 н 0000071835 00000 н 0000072007 00000 н 0000072126 00000 н 0000072286 00000 н 0000072425 00000 н 0000072560 00000 н 0000072742 00000 н 0000072847 00000 н 0000072961 00000 н 0000073082 00000 н 0000073221 00000 н 0000073376 00000 н 0000073520 00000 н 0000073667 00000 н 0000073832 00000 н 0000073967 00000 н 0000074082 00000 н 0000074207 00000 н 0000074349 00000 н 0000074479 00000 н 0000074638 00000 н 0000074799 00000 н 0000074930 00000 н 0000075077 00000 н 0000075226 00000 н 0000075340 00000 н 0000075456 00000 н 0000075587 00000 н 0000075722 00000 н 0000075866 00000 н 0000076011 00000 н 0000076143 00000 н 0000076264 00000 н 0000076452 00000 н 0000076554 00000 н 0000076700 00000 н 0000076888 00000 н 0000076990 00000 н 0000077136 00000 н 0000077324 00000 н 0000077426 00000 н 0000077531 00000 н 0000077725 00000 н 0000077827 00000 н 0000077932 00000 н 0000078118 00000 н 0000078220 00000 н 0000078335 00000 н 0000078519 00000 н 0000078621 00000 н 0000078726 00000 н 0000078906 00000 н 0000079008 00000 н 0000079113 00000 н 0000079302 00000 н 0000079404 00000 н 0000079509 00000 н 0000079671 00000 н 0000079795 00000 н 0000079916 00000 н 0000080071 00000 н 0000080172 00000 н 0000080297 00000 н 0000080421 00000 н 0000080557 00000 н 0000080679 00000 н 0000080815 00000 н 0000080937 00000 н 0000081073 00000 н 0000081195 00000 н 0000081324 00000 н 0000081460 00000 н 0000081582 00000 н 0000081718 00000 н 0000081840 00000 н 0000081976 00000 н 0000082098 00000 н 0000082207 00000 н 0000082368 00000 н 0000082476 00000 н 0000082612 00000 н 0000082734 00000 н 0000082843 00000 н 0000083004 00000 н 0000083112 00000 н 0000083248 00000 н 0000083370 00000 н 0000083472 00000 н 0000083582 00000 н 0000083703 00000 н 0000083869 00000 н 0000083963 00000 н 0000084083 00000 н 0000084204 00000 н 0000084322 00000 н 0000084449 00000 н трейлер ] /Информация 5762 0 Р /Предыдущая 6569681 /Корень 5782 0 Р /Размер 6081 /Источник (WeJXFxNO4fJduyUMetTcP9+oaONfINN4+d7wlPa0A0Rh71uvfWLdYekOKk9tgHxPB9khgm8VtCFmyd8gIrwOjQRAIjPsWhM4vgMCV\ 8KvVF/K8leW4+gsUMD5e3qIY040ev9cSptjvR03GEg=) >> startxref 0 %%EOF 5782 0 объект > эндообъект 5783 0 объект > ручей xylTUƿfN;i;]XEqCTjDE١hHEQ)aK n#F$A(ADJw;g_F>rxw9wιo$H-wϧk\'(6x’L.

Похожие записи

Вам будет интересно

Производство макарон как бизнес мини цех: Производство макарон как бизнес мини цех

Как возвращается ндс юридическим лицам на примере: возврат налога на добавленную стоимость юридическими лицами и ИП на ОСНО в 2019 году — Контур.НДС+ — СКБ Контур

Добавить комментарий

Комментарий добавить легко