В прошлом году мы писали гайд по подготовке к прохождению проверок защиты персональных данных со стороны разных регуляторов. В одном из комментариев один из хабравчан (Vadiara50 это про тебя) заинтересовался тем, как происходят реальные проверки. Я обратил внимание на этот комментарий и решил рассказать о своем опыте прохождения проверки ФСТЭК в одном из госорганов. Поделюсь нюансами и тем, на какие моменты нужно обращать внимание, если регулятор заинтересуется вашей компанией.

В чем заключалась моя ФСТЭК-проверка

До того, как устроиться специалистом по защите персональных данных в «Бастион» я работал в отделе по защите ПДн в структуре министерства одного из регионов. На тот момент ФСТЭК проверяла целый субъект РФ, и под список проверяемых организаций попали многие — по линиям персональных данных (ПДн) и государственной тайны (ГТ). Мое подразделение оказывало госуслуги в области Гостехнадзора — это похоже на работу ГИБДД, только в сельском хозяйстве: регистрация самоходных машин, прием экзаменов и выдача прав на управление.

К госорганам, требований даже больше, чем к коммерческим компаниям, что, конечно, пугало. В частности, проблема в том, что у госорганов есть государственная информационная система (ГИС), в которой надо обязательно согласовывать модель угроз со ФСТЭК.

Проверка была плановая. Для нее выделили куратора по региону, а компаниям дали чуть больше года на подготовку. Непрохождение проверки в нашем случае грозило административной ответственностью.

К нам едет ревизор! Что нужно сделать в первую очередь?

Во-первых: не паниковать. Люди зачастую волнуются и боятся больше, чем стоит — отсюда ошибки. А в госорганах «любят» пугать, поэтому многие наши сотрудники боялись. Я — нет, но не потому, что супер-герой, а потому что подготовился.

Отсюда во-вторых: подготовиться самим и подготовить место. После объявления о начале подготовки к проверке я пошел на курсы повышения квалификации в области персональных данных. Они дают +100 к спокойствию, если вы будете заниматься всем этим сами. На сайте той же ФСТЭК есть список лицензированных учебных заведений, среди которых можно выбрать подходящее.

Обучение в среднем длится недели 2 по вечерам. Но лучше, конечно, иметь профильное образование. При выборе учебных программ можно ориентироваться, например на недавно утвержденный профстандарт «Специалист по информационной безопасности в кредитно-финансовой сфере», вступающий в силу с сентября.

Непосредственно перед самой проверкой я подготовил место для встречи проверяющих. Лучше, чтобы это был отдельный кабинет с коньяком и конфетами. Главное, чтобы там лежал комплект необходимых документов. В нашем случае он был подготовлен на базе независимого аудита. Я проводил его силами сторонней частной компании, поскольку считаю, что именно такая проверка будет более объективной.

Как обычно происходят проверки у ФСТЭК

Как верно отметили коллеги в прошлой статье, есть два варианта: когда проверяющий — молодой специалист, и когда уже опытный. Молодой может досконально проверять все подряд, а вот опытный, загруженный работой инспектор выберет самые показательные (а иногда и каверзные) моменты, но вряд ли будет закапываться в детали.

В нашем случае проверкой занимался инспектор из второй категории. Мы поняли это, когда показывали эталонное рабочее место сотрудника, где были установлены все нужные защитные системы. Далеко не все рабочие места были в таком образцовом состоянии, но, смотреть дальше он не стал.

Как правило, регуляторы общаются друг с другом и хорошо понимают, у какой компании что надо проверять, особенно, если проверки идут одна за другой. И, как правило, повод поставить вас в план проверок известен, часто он общий у многих проверяемых. Планы регуляторов — это официальные открытые региональные документы. Можно посмотреть их, а затем попробовать связаться с компаниями (их безопасниками, юристами, кадровиками), прошедшими проверку, и поинтересоваться, на что инспекторы обращают повышенное внимание в этом году.

Обычно ФСТЭК обращает больше внимания на реализацию информационных систем персональных данных: какие ИСПДн используются в организации, как они защищены и документированы. В том числе:

• Какой уровень защищенности определен для ИСПДн?
• Какое моделирование угроз проведено?
• Какие реализованы меры по предотвращению угроз?
• Проводилась ли оценка эффективности этих мер?
• Какие СЗИ установлены? Порядок их эксплуатации и учета.

Цели проверки: в теории — дать понимание, что вас в принципе могут проверить; если это простой запрос комплекта документов, как делает Роскомнадзор, то им нужно понимать, стоит ли вас включить в план проверки; на практике же — они хотят проверить соблюдение требований по защите информации.

Лайфхаки для подготовки

• Мой главный секрет — это коммуникация. Проверяющие — тоже люди, и надо просто найти с ними общий язык. Я рекомендую не стесняться, а общаться с позиции эксперта, разговаривать с проверяющими, так сказать, в их информационном поле.
• Самое сложное, с чем мы столкнулись в процессе подготовки — модель угроз и частное техническое задание (ЧТЗ). Составление таких документов обязательно, если имеется ГИС. Они требуют согласования со ФСТЭК и это означает, что будут долгие переписки с кучей замечаний. К этому надо быть готовыми.
• Есть и такие аспекты подготовки, которыми можно пренебречь на практике. Тут главное — правильно расставить приоритеты. Например, если мало времени, то допустимо оставить без внимание то, что легко исправить в процессе проверки. Как правило, инспекторы дают такую возможность. Похоже даже они не хотят писать громоздкие отчеты с описанием мелких, незначительных нарушений.
• В случае массовых, плановых проверок у вас будет достаточно много времени на их устранение, по крайней мере, если вы заранее понимаете, где ваши слабые места. Так, я получил акт с нарушениями спустя 3 месяца. Немного проактивности и к этому моменту у вас уже будет все хорошо.
• Подтвердить устранение нарушений легко: вы просто составляете соответствующее письмо и отправляете его от организации во ФСТЭК. В нашем случае этого хватило, но проверяющие не всегда верят на слово, так что рекомендую не лукавить. Лучше действительно все исправить.
• Стоит регулярно проводить постоянно инструктаж с коллегами, непосредственно ведущими обработку ПДн.
• Законодательство о проверках меняется очень часто, буквально ежеквартально. Поэтому есть смысл его мониторить. Советую безопаснику тратить примерно 300 часов в год на изучение законодательства и закладывать это время в годовой план. Обязательно посещать сайты регуляторов, читать профильные материалы, пользоваться консультациями той же ФСТЭК, они их охотно дают.
• Аккуратность и собранность я тоже отнесу к лайфхакам. Когда вы знаете, где лежат нужные бумаги и достаете их сразу, как только их попросят, а не ищете три часа, к вам сразу как то лучше относятся. Пусть будет видно, что вы реально готовились: все аккуратно прошито, пронумеровано и разложено по полочкам.
• Главный же лайфхак в общении с проверяющими: доброжелательность и чай. И постараться не волноваться. Но вообще, обязательно нужно ответственно подойти к проверке, не допускать работы «спустя рукава».

Как проходила проверка у нас и какие проблемы нашла ФСТЭК

Проверка состояла из следующих этапов:

1. представление;
2. проверка должностных регламентов (чтобы им понимать, с кем общаться);
3. техническая проверка по ГТ;
4. бумажная безопасность по ПДн.

От ФСТЭК приехало четыре человека. Сотрудники вели себя крайне культурно, общались легко и первым же делом направились к руководителю и попросили принести документы.

Далее они пошли в отдел кадров, чтобы проверить должностные регламенты специалиста, ответственного за организацию обработки персональных данных и безопасника. Последнего могут еще проверить на соответствие стандартам. У безопасника сегодня должно быть профильное образование или профпереподготовка не менее 512 часов (так что, повторю: идите учиться), при этом не должно быть лишних обязанностей, например, системного администратора, как часто бывает. Оно и логично: безопасник проверяет сисадмина.

Начиная примерно с 2020 года ситуация такая: если безопасник, ответственный за проверку, не соответствует должностным регламентам, проверяющие с ним не будут общаться. Разговор продолжится с руководителем, а он может не все знать. В результате проблемы возникают на пустом месте.

Напомню, у меня проверяли два направления: ГТ и ПДн. Так как ГТ проверяло еще и ФСБ, ее ФСТЭК проверила первым делом. Их интересовали технические вопросы и сетевой экран. Это был первый этап, после которого они ушли.

Вернулись они через день, чтобы проверить линию ПДн. Чаще всего, проверяющие загружены и могут отобрать для проверки только какую-то часть направления. В моем случае это была бумажная безопасность. Я предоставил только комплект документов, которые приготовил заранее.

Проверка длилась примерно 3 часа. Резюмируя, можно сказать, что в первую очередь это была проверка правильного распределения и назначений ответственных. Что касается документов, то проверяли наличие «самых толстых» папок, типа модели угроз.

Проблемы, которые у нас нашли

В основном проблемы были с организационно-распорядительными документами (ОРД). Они не были актуализированы по причине человеческого фактора. Честно говоря, я забыл их актуализировать. Также не на всех рабочих местах, где происходила обработка персональных данных были установлены сертифицированные ФСТЭК средства защиты от несанкционированного доступа (НСД).

ФСТЭК сообщает о проблемах не сразу. При мне представители службы ничего не говорили, а предложили исправления позже, в письменном виде и через куратора. Это был отчет в виде перечислений нарушений с вежливой просьбой их исправить. Я был согласен с найденными проблемами, так как они действительно были и ничего не обжаловал. А вообще-то можно и обжаловать — такая процедура предусмотрена законом.

Обжалование может быть основано как на несогласии с указанными нарушениями, так и на неправомерных действиях проверяющих (не были предоставлены документы, предписывающие проверку или процесс длился дольше, чем это регламентировано и т. д). Такие формальные нарушения в регламенте, в теории могут спасти от негативных результатов проверки даже в безнадежных случаях, но это средство последней надежды. Чтобы разыграть эту карту, нужно очень хорошо знать, что именно представители ФСТЭК должны и не должны делать.

Вы спросите, можно ли пройти такую проверку вообще без замечаний со стороны государственных органов? Я думаю нет. Во-первых, идеально тут все равно не подготовиться, и это в некотором роде снижает градус тревожности, однако не отменяет серьезного отношения к подготовке. А во-вторых, система так устроена, что проверяющим нужно что-то найти. Да-да. Как однажды мне сказал один профессор: «Законодательство написано так, чтобы было место для маневра — как со стороны проверяющих, так и со стороны проверяемого. Каждый понимает это по-своему, а с проверяющими лучше сильно не спорить».

Какие ошибки мы допустили и что сделали бы иначе

Особенных ошибок у нас не было. Единственное — это некоторые неактуализированные ОРД и небольшая хитрость с тем эталонным удаленным рабочим местом, которое мы выдали за типовое.

Что я сделал бы иначе, проходи я такую проверку снова? Воспользовался бы аутсорсингом — это экономит время. На подготовку уходит очень много времени, а если не готовиться, то можно ее не пройти и потратить еще больше на исправление найденных проблем. Оптимизировать подготовку к проверкам можно, обратившись к профессиональной компании либо к опытным коллегам из своей или из другой организации.

И в качестве заключения дам совет о том, что нужно делать компании, чтобы проверка прошла безболезненно. Я считаю, что важно вкладывать деньги в защиту информации и относится к данному направлению серьезно. Если же таким подходом пренебречь, последствия могут быть плачевные: от удара по репутации при утечках информации до постоянно растущих штрафов, в том числе и персональных. Также безопаснику сегодня важно быть профпригодным. Если руководитель может отнестись к этому вопросу лояльно, то ФСТЭК — нет. Времена изменились.

Уже больше 30 лет для мониторинга оборудования и сервисов используют протокол SNMP. За это время он прошел закономерную эволюцию, получив несколько версий протокола с особенностями безопасной передачи данных.

В рамках статьи попробуем погрузиться в практические аспекты безопасности передаваемых по SNMP данных. И понять, какие угрозы может нести небезопасная настройка и как это исправить.

Используйте навигацию, если не хотите читать текст полностью:

→ Знакомство с SNMP
→ Примеры реализации проблем безопасности
→ Как повысить безопасность

Знакомство с SNMP

SNMP — это стандартизированный протокол управления устройствами, которые находятся в IP-сетях — маршрутизаторами, коммутаторами, серверами, источниками бесперебойного питания и другими. С помощью SNMP можно отслеживать текущее состояние оборудования, управлять сетевыми устройствами, описывая различные сценарии. Про работу протокола читайте по ссылке.

Что нужно учитывать во время обзора проблем безопасности

Менеджер-агентная архитектура протокола. В SNMP есть два участника взаимодействия:

1. Менеджер, Network Management Station (NMS) — занимается отправкой запросов агентам, получением «ловушек» (trap) от агентов, анализирует полученную информацию и может реагировать на полученные значения, например, отправляя команды по изменению параметров сетевых устройств.
2. Агент — отвечает на запросы менеджера, отправляя необходимые сведения об устройстве, направляет менеджеру «ловушки» в соответствии с заданным расписанием.

Стоит отметить, что отправка «ловушек» агентом и направление менеджером запроса к нему могут происходить одновременно, потому что они не зависят друг от друга. Обычно взаимодействие реализуется так, что менеджер опрашивает агенты по определенному состоянию, а на агентах настроена отправка «ловушек» менеджеру в случае критических событий. То есть агент может уведомить менеджера о критическом событии до того, как на менеджере наступит время отправки запроса.

SNMP-протокол использует UDP в качестве транспортного протокола. Это позволяет не нагружать сеть TCP-соединениями. Стоит упомянуть, что при обращении мастера к клиенту происходит ожидание ответа и повторный запрос, если его время превышено. В случае же отправки «ловушки» клиентом и потери пакетов по пути, сам клиент не узнает, что она не дошла, а мастер — что что-то должно было прийти.

В различных версиях SNMP используются различные подходы к безопасности. Так в SNMPv1 и SNMPv2 используется аутентификация по community string — в SNMPv3 есть три уровня безопасности:

• noAuthNoPriv — без аутентификации и шифрования, при использовании этого режима все равно требуется securityName,
• authNoPriv — с аутентификацией, но без шифрования,
• authPriv — с аутентификацией и шифрованием.

В настоящее время SNMPv3 поддерживает алгоритмы MD5 и SHA для вычисления хэшей при аутентификации и алгоритмы DES и AES для шифрования полезной нагрузки.

SNMP подвержен брутфорсу учетных данных. По умолчанию в SNMP не предусмотрено ограничение по запросам от мастера к клиенту. Это значит, что community string (SNMPv1, SNMPv2), логин, пароль и ключ шифрования (SNMPv3) можно подобрать

Какие данные можно получить по SNMP

В рамках SNMP можно получить самую разнообразную информацию — о состоянии подсистем устройств, системных пользователях, об установленном ПО и открытых портах и другом.

Например, на сайтах производителей или систем мониторинга можно найти списки с описанием устройств, доступных к запросу и передаче данных по SNMP.

Какие изменения можно произвести на оборудовании с помощью SNMP

В зависимости от конкретного решения можно изменять параметры устройств (например, IP-адреса на сетевых интерфейсах), сбрасывать пароли пользователей до дефолтных значений, перезагружать и выключать устройства.

Эксплуатация уязвимостей

Сам по себе агент SNMP — это такая же служба (приложение), которая может содержать уязвимости. На сайте Mitre можно увидеть количество зарегистрированных и подтвержденных уязвимостей для протоколов SNMP разных версий. Тот же CVE-2022-20924 позволяет перезагружать устройства, а уязвимость CVE-2022-45315 — исполнять произвольный код на устройствах MikroTik c прошивками определенных версий.

Проблема эксплуатации уязвимостей решается своевременными обновлениями прошивок и ограничением доступа к SNMP-агенту.

Примеры реализации проблем безопасности

Соберем следующий стенд для демонстрации проблема безопасности:

SNMP-агенты устройств — Router, Server, UPS — будем эмулировать с помощью решения Verax SNMP Simulator. Как видим, на схеме есть несколько различных устройств в одной локальной сети:

• SNMP-agent — эмулированные устройства,
• NMS — легитимный SNMP-сервер, выполняющий роль менеджера (в реальной схеме может быть тот же Zabbix-сервер),
• attacker — хост, с которого будут проводиться тестовые попытки доступа к данным протокола SNMP.

Подбор community string

Как было сказано ранее, по умолчанию SNMP-агент не ограничивает количество обращений и позволяет перебирать community string в версиях SNMPv1-v2 и логин-пароль в SNMPv3. Проверим это на практике.

Будем использовать patator с модулем snmp_login для подбора community string для SNMPv2, заранее подготовив файл community со словарем для перебора:

root@attc:~# patator snmp_login host=192.168.100.20 version=2 community=FILE0 0=community 

host – IP-адрес цели, version — версия протокола SNMP; community — ссылка на файл со словарем, 0 — сам файл со словарем.

В результате получим вывод:

16:07:48 patator INFO - code size time | candidate | num | mesg … 16:08:30 patator INFO - 0-0 40 3.931 | yellow | 116 | No SNMP response received before timeout 16:08:30 patatorINFO - 0-0 576 0.520 | public | 117 | [ObjectType(ObjectIdentity(<ObjectName value object at 0x7fc019d3e190 tagSet <TagSet object at 0x7fc01b5fedf0 tags 0:0:6> payload [1.3.6.1.2.1.1.1.0]>), <DisplayString value object at 0x7fc01994a670 tagSet <TagSet object at 0x7fc01b5fe7f0 tags 0:0:4> subtypeSpec <ConstraintsIntersection object at 0x7fc019708370 consts <ValueSizeConstraint object at 0x7fc01b69bf40 consts 0, 65535>, <ValueSizeConstraint object at 0x7fc019708670 consts 0, 255>, <ValueSizeConstraint object at 0x7fc019708250 consts 0, 255>> encoding iso-8859-1 payload [Linux nmsworker-... EDT 2009 x86_64]>)] 16:08:30 patator INFO - 0-0 450 0.509 | private | 118 | [ObjectType(ObjectIdentity(<ObjectName value object at 0x7fc019cf8520 tagSet <TagSet object at 0x7fc01b5fedf0 tags 0:0:6> payload [1.3.6.1.2.1.1.1.0]>), <NoSuchObject value object at 0x7fc019cf8670 tagSet <TagSet object at 0x7fc01b5c43a0 tags 128:0:0> subtypeSpec <ConstraintsIntersection object at 0x7fc01b5fecd0 consts <SingleValueConstraint object at 0x7fc01b5febe0 consts b''>> encoding iso-8859-1 payload [No Such Object c...ists at this OID]>)] 16:08:32 patator INFO - 0-0 40 3.111 | write | 114 | No SNMP response received before timeout 16:08:33 patator INFO - 0-0 40 3.514 | world | 113 | No SNMP response received before timeout 16:08:33 patator INFO - 0-0 40 3.502 | xyzzy | 115 | No SNMP response received before timeout 16:08:34 patator INFO - Hits/Done/Skip/Fail/Size: 118/118/0/0/118, Avg: 2 r/s, Time: 0h 0m 45s 

Обратите внимание: за 45 секунд patator перебрал 118 слов, с каждым из них в качестве community string обратился к цели и для двух получил значения с public и private. Зная их, мы можем взаимодействовать с SNMP-агентом, получая и отправляя данные. Для SNMPv1 и SNMPv2 знания community string достаточно для аутентификации на агенте.

Обход white-list с помощью IP-spoofing

Некоторые SNMP-агенты позволяют задавать access-list и указывать IP, с которых есть доступ к агенту — на запросы с таких адресов он будет отвечать. Это опасно, потому что SNMP работает по UDP и можно использовать spoofing — подмену адреса отправителя. Рассмотрим две ситуации.

Первая ситуация. На агенте SNMP задана дефолтная community string и разрешено менять некоторые параметры через команду SET. С хоста 192.168.100.10 с помощью утилиты snmpwalk поменяем значение одного из интерфейсов UPS на агенте.

user@snmp:~# snmpwalk -v2c -c public 192.168.100.20 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 = IpAddress: 192.168.104.1 

Исходное значение.

Меняем значение параметра:

user@snmp:~# snmpset -v2c -c private 192.168.100.20 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 a 192.168.104.2  iso.3.6.1.2.1.4.21.1.7.0.0.0.0 = IpAddress: 192.168.104.2 

Запросим текущее значение:

usert@snmp:~# snmpwalk -v2c -c public 192.168.100.20 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 = IpAddress: 192.168.104.2 

Как видно, значение успешно изменено. Переходим ко второму сценарию.

Вторая ситуация. На агенте SNMP задана дефолтная community string, разрешено менять некоторые параметры через команду SET, но теперь на стороне агента включен ACL, а в white list добавлен адрес NMS 192.168.100.10.

Для выполнения действий из прошлого сценарию необходимо узнать адрес NMS и подставить его в пакетах при обращении с 192.168.100.5. Способов (в случае локальной сети) может быть несколько — от скана портов, перехвата и анализа трафика до социальной инженерии. В случае с публичными IP-адресами дело обстоит иначе: сканирование не даст результата, если заранее неизвестен диапазон белых адресов и NMS не опубликован на белом IP.

Рассмотрим ситуацию, когда нам известен адрес NMS.

user@snmp:~# snmpwalk -v2c -c public 192.168.100.20 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 = IpAddress: 192.168.104.1 

С хоста NMS: 192.168.100.10

root@attc:~# snmpwalk -v2c -c public 192.168.100.20 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 Timeout: No Response from 192.168.100.20 

С хоста NMS: 192.168.100.5

Зная NMS-адрес в локальной сети, можно указать его на интерфейсе или сформировать UDP-datagram и отправить с помощью инструментов для IP-spoofing, указав в src-ip адрес NMS.

root@attc:~# snmpset -v2c -c private 192.168.100.20 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 a 192.168.104.5 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 = IpAddress: 192.168.104.5 

Запросим текущее значение с NMS:

user@snmp:~# snmpwalk -v2c -c public 192.168.100.20 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 iso.3.6.1.2.1.4.21.1.7.0.0.0.0 = IpAddress: 192.168.104.5 

Как видно, значение успешно изменено. Таким образом, достаточно знать SNMP-community, чтобы аутентифицироваться на агенте и изменить значение.

Незащищенные каналы (MITM)

В случае, если SNMP-агент и NMS находятся не в одной сети, трафик проходит маршрутизаторы, FW, прокси (при наличии) и другие узлы. На каждом из устройств может быть включено логирование трафика. По аналогии с передачей паролей по HTTP в SNMPv1 и SNMPv2, значение community string может быть перехвачено. Рассмотрим схему, где есть NMS, router и SNMP-агент:

NMS опрашивает агента по SNMPv2c и отправляет значение community string «SecretCommunityString»:

user@snmp:~# snmpwalk -v2c -c SecretCommunityString 192.168.100.20 

На роутере включено логирование всех пакетов. В итоге видим следующий результат перехвата трафика:

root@attc:~# tcpdump -pni  enp0s6 -vv -X tcpdump: listening on enp0s6, link-type EN10MB (Ethernet), capture size 262144 bytes 12:18:06.427236 IP (tos 0x0, ttl 63, id 4300, offset 0, flags [DF], proto UDP (17), length 83) 192.168.200.10.34125 > 192.168.100.20.161: [udp sum ok]  { SNMPv2c C="SecretCommunityString" { GetNextRequest(25) R=216409089  .1.3.6.1.2.1 } }  0x0000:  4500 0053 10cc 4000 3f11 7d5e c0a8 c80a  E..S..@.?.}^.... 0x0010:  c0a8 6414 854d 00a1 003f d93e 3035 0201  ..d..M...?.>05.. 0x0020:  0104 1553 6563 7265 7443 6f6d 6d75 6e69  ...SecretCommuni 0x0030:  7479 5374 7269 6e67 a119 0204 0ce6 2401  tyString......$. 0x0040:  0201 0002 0100 300b 3009 0605 2b06 0102  ......0.0...+... 0x0050:  0105 00                                                        ... 12:18:07.427592 IP (tos 0x0, ttl 63, id 4542, offset 0, flags [DF], proto UDP (17), length 83) 

Как видим, community string передалось открытом виде. Зная его значение, IP-адреса NMS и SNMP-агента, с последним можно взаимодействовать.

В случае с SNMPv3 ситуация другая. Отправим запрос агенту по протоколу SNMPv3:

user@snmp:~# snmpwalk -v3  -l authPriv -u snmp -a SHA -A "Password1" -x AES -X "Password2" 192.168.100.20 

Видно, что в перехваченных дампах нет аутетификатора и пароля шифрования в открытом виде, потому что передается хэш. А приватные ключи прописываются непосредственно на NMS и SNMP-агенте до начала передачи информации. Единственное, что передается в открытом виде — это логин пользователя:

192.168.200.10.44328 > 192.168.100.20.161: [udp sum ok]  { SNMPv3 { F=r } { USM B=0 T=0 U="" } { ScopedPDU E= C="" { GetRequest(14) R=1173627123  } } }  0x0000:  4500 005b 3426 4000 3f11 59fc c0a8 c80a  E..[4&@.?.Y.....         0x0010:  c0a8 6414 ad28 00a1 0047 88c0 303d 0201  ..d..(...G..0=..         0x0020:  0330 1002 045e 43cb 9302 0205 c004 0104  .0...^C.........         0x0030:  0201 0304 1030 0e04 0002 0100 0201 0004  .....0..........         0x0040:  0004 0004 0030 1404 0004 00a0 0e02 0445  .....0.........E         0x0050:  f420 f302 0100 0201 0030 00              .........0. 13:18:12.325339 IP (tos 0x0, ttl 128, id 11282, offset 0, flags [none], proto UDP (17), length 123) 192.168.100.20.161 > 192.168.200.10.44328: [udp sum ok]  { SNMPv3 { F= } { USM B=0 T=0 U="" } { ScopedPDU E=_80_00_13_70_01_c0_a8_64_14 C="" { Report(28) R=0  .1.3.6.1.6.3.15.1.1.4.0=9 } } }          0x0000:  4500 007b 2c12 0000 8011 60f0 c0a8 6414  E..{,.....`...d.         0x0010:  c0a8 c80a 00a1 ad28 0067 36d0 305d 0201  .......(.g6.0]..         0x0020:  0330 1002 045e 43cb 9302 0205 dc04 0100  .0...^C.........         0x0030:  0201 0304 1930 1704 0980 0013 7001 c0a8  .....0......p...         0x0040:  6414 0201 0002 0100 0400 0400 0400 302b  d.............0+         0x0050:  0409 8000 1370 01c0 a864 1404 00a8 1c02  .....p...d......         0x0060:  0100 0201 0002 0100 3011 300f 060a 2b06  ........0.0...+.         0x0070:  0106 030f 0101 0400 4101 09              ........A.. 13:18:12.325605 IP (tos 0x0, ttl 63, id 13351, offset 0, flags [DF], proto UDP (17), length 146) 192.168.200.10.44328 > 192.168.100.20.161: [udp sum ok]  { SNMPv3 { F=apr } { USM B=0 T=0 U="snmp" } { ScopedPDU [!scoped PDU]7e_09_5f_c2_51_6c_f0_89_b1_99_42_81_0c_63_9c_6d_97_ed_1e_df_89_f0_a1_7f_34_1a_e6_da_de_ac_62_02_ef_90_a9_4f_a5_d6_b1_78_de_3b} }          0x0000:  4500 0092 3427 4000 3f11 59c4 c0a8 c80a  E...4'@.?.Y.....         0x0010:  c0a8 6414 ad28 00a1 007e dc2c 3074 0201  ..d..(...~.,0t..         0x0020:  0330 1002 045e 43cb 9202 0205 c004 0107  .0...^C.........         0x0030:  0201 0304 3130 2f04 0980 0013 7001 c0a8  ....10/.....p...         0x0040:  6414 0201 0002 0100 0404 736e 6d70 040c  d.........snmp..         0x0050:  4980 30f2 7794 2a38 c306 adfb 0408 6670  I.0.w.*8......fp         0x0060:  60c8 63ad 6bd6 042a 7e09 5fc2 516c f089  `.c.k..*~._.Ql..         0x0070:  b199 4281 0c63 9c6d 97ed 1edf 89f0 a17f  ..B..c.m........         0x0080:  341a e6da deac 6202 ef90 a94f a5d6 b178  4.....b....O...x         0x0090:  de3b                                     .; 13:18:12.326013 IP (tos 0x0, ttl 128, id 11283, offset 0, flags [none], proto UDP (17), length 127) 192.168.100.20.161 > 192.168.200.10.44328: [udp sum ok]  { SNMPv3 { F= } { USM B=0 T=0 U="snmp" } { ScopedPDU E=_80_00_13_70_01_c0_a8_64_14 C="" { Report(28) R=0  .1.3.6.1.6.3.15.1.1.3.0=9 } } }          0x0000:  4500 007f 2c13 0000 8011 60eb c0a8 6414  E...,.....`...d.         0x0010:  c0a8 c80a 00a1 ad28 006b 4fe1 3061 0201  .......(.kO.0a..         0x0020:  0330 1002 045e 43cb 9202 0205 dc04 0100  .0...^C.........         0x0030:  0201 0304 1d30 1b04 0980 0013 7001 c0a8  .....0......p...         0x0040:  6414 0201 0002 0100 0404 736e 6d70 0400  d.........snmp..         0x0050:  0400 302b 0409 8000 1370 01c0 a864 1404  ..0+.....p...d..         0x0060:  00a8 1c02 0100 0201 0002 0100 3011 300f  ............0.0.         0x0070:  060a 2b06 0106 030f 0101 0300 4101 09    ..+.........A.. 

В заголовках SNMPv3 видим, что пользователь SNMP в открытом виде. Он будет использован на стороне агента фактически для авторизации. Зная только имя пользователя, мы не сможем аутентифицироваться на SNMP-агенте, соответственно, не сможем получить доступ к SNMP-агенту и придется брутить пароль.

Как повысить безопасность

Давайте разберемся, как не допустить рассмотренных ситуаций и обезопасить свои устройства. Я постарался выделить основные рекомендации.

Сегментируйте сети

Необходимо планировать сети так, чтобы сервисные и технологические хосты — в том числе SNMP-агенты — были вынесены в отдельные сети. Так, чтобы к ним не было доступа из гостевых и пользовательских WiFi, сетей с данными и другого.

Используйте последнюю версию протокола — SNMPv3

Если оборудование и NMS поддерживают SNMPv3, то стоит отдать предпочтение последней версии.

Меняйте дефолтные значения community

Относитесь к community string как к паролю — беспокойтесь о её сложности, если используете SNMPv1, SNMPv2 и длинные наборы символов в качестве паролей и ключей шифрования для SNMPv3.

Следите за доступом к портам SNMP

В рамках межсетевого взаимодействия со спуфингом подойдут роутер или firewall. Используйте межсетевые экраны, разрешайте SNMP только в локальных сетях или в VPN-туннелях. При публикации SNMP-агента в интернет, настраивайте фильтрацию по source IP-адресу, меняйте стандартные порты, включайте SNMPv3. А также устанавливайте сложные community string, если используете SNMPv2.

Ограничьте список включенных OIDs

При включении SNMP-агентов определите список параметров (OID), которые отдает агент. По возможности отключите все остальные OIDs.

Отключите режим записи для SNMP-агентов

Если нет необходимости изменять настройки устройств при помощи SNMP, отключите режим записи и оставьте SNMP-агента в режиме read only.

Обновляйте версии прошивок при появлении уязвимости

Необходимо четко понимать, оборудование каких вендоров используется в вашей инфраструктуре, и отслеживать информацию об уязвимостях в прошивках устройств. Делать это можно как на ресурсах вендоров, так и в базах данных уязвимостей.

Возможно, эти тексты тоже вас заинтересуют:

→ Дизайн, производительность и миниатюрность: 5 мини-ПК февраля 2023 года для офиса и дома
→ Почему ARM? Перспективы платформы в серверном применении
→ Музыкальные инструменты, клюшки для гольфа, PS2 и много Nintendo: новые покупки на испанской барахолке

Вы как-то спросили, готовы ли мы подписаться под тем, что, если вовремя делать профилактику, кариес не возникнет. Мы некоторое время чесали голову и решили, что готовы.

Логика простая: если вы ходили на приёмы регулярно, а кариес возник — лечение полностью за наш счёт.

То есть те пациенты, которые и так делают всё правильно и не забивают на профилактику, получают бесплатный бонус. Те же, кто ходил нерегулярно, лечить, когда уже сильно заболело, — остаются при своих.

Вот главный возбудитель кариеса, Streptococcus mutans. Правда, красивый?

Сейчас расскажу, как это всё работает, и почему мы считаем, что это нормально и не разорит нас.

Краткий ликбез на тему «Что такое кариес»

Есть в мире инфекционное заболевание, от которого страдает плюс-минус 100% взрослых людей на планете. Оно известно нам испокон веков, но вакцины не изобрели до сих пор, хотя учёные разных стран работают над ней уже больше 40 лет. Ближе всех к решению проблемы, пожалуй, подошли китайские учёные (кстати, в той самой уханьской лаборатории), но и у них тоже рабочего и безопасного препарата пока так и не получилось.

Это болезнь, которая не зависит ни от пола, ни от генетики, и почти не зависит от возраста. А, в основном, от диеты и поведения человека.

Когда-то люди считали, что кариес появляется, когда зубы начинают грызть специальные невидимые черви, посланные нам, конечно же, за грехи. Но потом наука шагнула вперёд, и стало достоверно известно, что грехи тут ни при чём, а болезнь вызывают куда более мелкие «зверюшки» — бактерии. Главный спонсор стоматологов Streptococcus mutans — одна из самых распространённых бактерий, которая живёт во рту примерно у 100% людей. Хотя кариес могут вызвать и другие её «коллеги»: Streptococcus sanguis, Streptococcus mitis и Lactobacillus acidophilus. Бояться их не стоит: в ротовой полости любого, даже самого здорового, человека живёт около 700 видов микроорганизмов. Не одновременно, но тем не менее.

Для развития любой болезни нужно, чтобы «сложился пазл» из этиологии и патогенеза. А чтобы она НЕ развивалась, важно нарушить эту цепочку хотя бы в одном месте.

• Этиологический (причинный) фактор — наличие самой бактерии. Повторюсь: с этим мы ничего сделать не можем. От наследственности, кстати, зависит только тяжесть течения болезни, на восприимчивость к кариесу она не влияет.
• Патогенетических факторов много: от неправильного питания до нарушения микробного гомеостаза. Один из самых важных — наличие бактериальной бляшки, то есть зубного налёта, в котором размножаются бактерии. И это как раз тот фактор, убрать который проще всего.

Начну издалека.

Стрептококки, как и люди, любят торты, конфеты и вообще простые углеводы. Дело в том, что это анаэробные бактерии, которые боятся кислорода. В ходе гликолиза, то есть сбраживания углеводов, они получают энергию для своей жизнедеятельности, а из оставшейся сахарозы строят «панцирь», защищающий от кислорода. Это и есть зубной налёт. В среднем он успевает образоваться за три-шесть часов. А совсем уж плотная биоплёнка — за сутки. Если бактериям не мешать, разумеется.

И можно было бы вполне мирно ужиться со стрептококками, но вся их жизнедеятельность приводит к образованию кислот: пировиноградной, муравьиной, уксусной, пропионовой и т.д. Замечали кисловатый привкус во рту после поедания печенья? Вот — это оно. Кислотность во рту повышается, а, как только pH падает ниже 5.5, эмаль размягчается и начинает терять важные минералы. В течение двух часов слюна потихоньку выравнивает кислотно-щелочной баланс, и крепость эмали восстанавливается. От частых приёмов пищи участок зуба размягчается всё сильнее и сильнее, пока не появится кариозная полость.

Шоколад и сахар, кстати, как и другие легкорастворимые углеводы, в этом плане более безопасны: они быстро смываются слюной и всасываются в слизистую. Куда хуже дело обстоит с печеньем, хлебом и прочими высокомолекулярными крахмальными продуктами, которые налипают на зубы. Бактерии разбирают их «по кирпичикам» гидролазами и с удовольствием едят.

Отсюда вывод: чем чаще человек ест сладкое, тем дольше продолжается процесс закисления во рту. Так что, с точки зрения здоровья зубов, лучше съесть большой кусок торта, но один раз в день, чем пять маленьких конфеток, но каждые два часа.

Зубная эмаль — это композит из органической и минеральной части. Повернуть время вспять и «вырастить» её заново невозможно. Но, если бактерии не успели добраться до органического каркаса, кариес на стадии пятна вполне обратим. И, в любом случае, замедлить процесс образования кариеса вполне реально. Не то что на годы, даже на десятилетия — если помочь процессу реминерализации.

И ещё пару слов скажу про вакцину. Сделать прививку и навсегда забыть про кариес весьма заманчиво, конечно. И разработок самых разных хватает: от заместительной терапии до ДНК-вакцин. Но это все пока экспериментальные методы лечения, мы такие не используем — это как минимум неэтично и непрофессионально. Но и когда такие появятся в официальных медицинских протоколах — поверьте, хорошие стоматологи не останутся без работы, даже если заболеваемость кариесом удастся радикально снизить.

Кому и почему мы обещаем вылечить зубы бесплатно

У нас в «Белой Радуге» недавно появилась классная программа «Smilekeeper»: профессиональная чистка зубов с гарантией. Мы обещаем бесплатно лечить кариес тем, кто приходит к нам на профгигиену раз в три месяца. Важно: мы не берём на себя смелость обещать, что дырок в зубах у вас точно не будет, но говорим, что, если они всё-таки появятся, мы их запломбируем бесплатно, пока маленькие.

Важно: на эту программу мы готовы взять далеко не всех. Не можем мы пригласить и тех, кто носит брекет-системы, простите.

Да, ортодонтическая аппаратура существенно осложняет самостоятельный уход за зубами и создаёт новые участки, где может задерживаться налёт, поэтому профгигиена раз в три-четыре месяца, безусловно, этим людям нужна. Но, к сожалению, эта же аппаратура не позволяет провести раннюю диагностику и выявить кариес в самом начале. А без диагностики мы не можем дать никаких гарантий.

Есть ещё несколько важных условий.

1. Вам должно быть больше 14 лет.
2. У вас должна быть полностью санирована полость рта.

   То есть все кариозные полости должны быть запломбированы. Определить их наличие «на глазок» бывает непросто даже врачу. Поэтому первый приём включает в себя рентгеновские снимки зубов.

   Снимки также могут понадобиться и на следующих приёмах, если есть потребность в пристальном наблюдении за чем-нибудь подозрительным.

   Не пугайтесь, это довольно безобидно. Дозы лучевой нагрузки минимальные.

   • Интерпроксимально три-четыре зуба — 0,003 мЗв.
   • Восемь зубов одной челюсти — 0,04 мЗв.
   • Восемь зубов на двух челюстях — 0,06 мЗв.
   • Обе челюсти — 0,07 мЗв.
   • Вся голова — 0,1 мЗв.
     Доза лучевой нагрузки, которую ВОЗ не рекомендует превышать, составляет 150 мЗв в год. Это 50 тысяч интерпроксимальных снимков или 1500 снимков всей головы целиком

   Но если что, у нас также есть классный аппарат для трансиллюминации — абсолютно безвредной процедуры, которая позволяет просветить и запечатлеть на фото зубы без использования рентгена.

   
   Наш аппарат для трансиллюминации выглядит вот так

   
   Процесс происходит примерно вот так

   
   Так трансиллюминация показывает здоровый зуб

   
   А так — кариозная полость

3. Вы должны приходить на профгигиену четыре раза в год.

   В зубной эмали постоянно протекают два процесса: деминерализация и реминерализация. То есть она одновременно теряет калий, фтор и прочие важные элементы и тут же получает их обратно из слюны.

   Если баланс нарушен, возникает так называемый «кариес в стадии пятна». Это деминерализованный, а значит, особенно уязвимый участок на поверхности эмали. При большом приближении это выглядит, как соты, в которых не хватает мёда. Если процесс «откачки мёда», то есть реминерализации продолжится, на этом месте появится кариозная полость.

   
   А теперь представьте, что мёд начинают откачивать

   Если это случилось, можно сразу просверлить зуб и поставить пломбу. Но гораздо экологичнее стабилизировать его, наблюдать и поддерживать. Именно поэтому профгигиена всегда заканчивается минерализацией зубов. Если говорить на языке пчёл, мы заполняем соты мёдом и «запечатываем» их до поры до времени.

   
   Мы покрываем зубы специальным составом, который служит источником для эмали, дополняем её потерянными микроэлементами

   Эффект от минерализации в среднем сохраняется три месяца. Так что если человек повторяет эту процедуру четыре раза в год, мы точно знаем, что его зубы защищены. А значит, с большой степенью вероятности, с ними ничего не случится. Ну, если не падать на них с третьего этажа, конечно.

4. Вы должны будете соблюдать рекомендации, составленные врачом-гигиенистом.
   И это самое важное условие. Потому что все усилия стоматологов будут напрасны, если человек не сможет поддерживать должный уровень личной гигиены.

Так что предупреждаю — следить за личной гигиеной мы будем строго. Но подробнее об этом я расскажу немного позже.

Что такое гигиенический индекс

Уровень личной гигиены, кстати, вполне реально оценить объективно. Для этого есть один хороший показатель — гигиенический индекс.

Вычислить его нам поможет специальный индикатор, позволяющий определить не только объём налёта, но и его возраст.

Выглядит немного пугающе, но замечательно счищается вместе с налётом. Зато врач может вполне аргументированно сказать: «Вася, обрати внимание, какой процент поверхности твоих зубов покрыт налётом». В воспитательных целях пациента можно отпустить без чистки). С подростками забавно работает.

Так вот. Мы, конечно, не ждём и не требуем, чтобы все наши пациенты целыми днями занимались только чисткой зубов, забыв про еду и сон, но принимаем в программу только людей, чей гигиенический индекс не ниже 1 (удовлетворительно). Добиться такого вполне реально, если правильно чистить зубы два раза в день: после завтрака и после ужина. О том, как правильно это делать, очень подробно рассказывала моя коллега.

Оценить количество и качество зубного налёта, к слову, можно не приходя в клинику: похожий индикатор продаётся в аптеке. Например, таблетки Curaprox, Динал, либо жидкость Curaprox, PresiDENT.

Картинка для самоанализа

Допускаю, что будут и те, кому мы скажем: «К сожалению, у вас не получается поддерживать гигиену на необходимом для этой программы уровне. Оставшуюся невостребованной сумму вы можете потратить на любые другие процедуры». Просто потому, что давать какие бы то ни было гарантии, когда мы сами не уверены, нечестно и несправедливо.

Самое важное, о чём я хотел бы сказать: гигиена полости рта — это не какой-то идеал, которого можно однажды достигнуть и закрыть этот вопрос навсегда, а состояние, которое нужно постоянно поддерживать. Это как спортивная форма или мышечная масса.

Как мы будем чистить ваши зубы

У нас в клинике придерживаются профессионального и научно обоснованного подхода. Это использование ручных инструментов, специальных паст, вращающихся щёток, полимерных головок и других прикольных «игрушек» для стоматологов. Так что мы можем провести профессиональную гигиену абсолютно всем, независимо от особенностей. Да, это занимает больше времени. Но результат очень нравится и нам, и пациентам.

Как из точки А в точку Б можно добраться разными видами транспорта, так и чистоты зубов тоже можно добиться разными методами.

Среди тех, что на слуху — порошкоструйная очистка зубов Air Flow. Это, конечно, метод очень удобный, быстрый, но не единственный. У него есть свои преимущества и недостатки, довольно существенные.

И самое важное: после профессиональной чистки зубов мы научим вас поддерживать гигиену полости рта самостоятельно, потому что считаем, что это одна из самых полезных для здоровья привычек.

Что, правда учите чистить зубы? Серьёзно?

Конечно, серьёзно.

Есть какие-то общие понятия, информацию о которых можно найти в интернете: выбор щётки и пасты, например. Но, кроме этого, у каждого человека есть свои отличительные черты. Правила для людей с высокой резистентностью эмали, например, будут отличаться от правил для тех, у кого она средняя или низкая. Кроме того, важно учесть особенности прикуса, анатомию зубов и т.д. Продумать всё самостоятельно практически невозможно. Но гигиенист нужен ещё и для того, чтобы вам и не нужно было придумывать правила самостоятельно.

Сразу после окрашивания зубного налёта врач сфотографирует эти фиолетовые зубы и покажет пациенту, где у него самые уязвимые участки. А потом ещё и щётку подарит, и почистить зубы в своём присутствии попросит, и процесс проконтролирует, и советов надаёт.

Есть, кстати, некоторые важные тонкости, о которых мало кто знает. Например, что чистить зубы нужно сухой щёткой. А пасты на неё класть не полтюбика, как в рекламе показывают, а маленькую горошинку. Иначе будет образовываться слишком много пены, а это уменьшает продолжительность чистки зубов.

Можно вообще чистить зубы сухой щёткой без пасты где-нибудь на кухне под сериальчик. Особенно этот метод хорошо работает с детьми. Пускай берут щётку и смотрят свои мультики, главное, чтобы водить щёткой по зубам не забывали. Ничего страшного не случится, если они проглотят то, что начистили, это пасту глотать нельзя, а бактерии — можно.

«Что если я вылечу кариес в другой клинике?»

Что ж, если лечение проведено в соответствии с современными рекомендациями общероссийской стоматологической ассоциации, причём корректно: не нарушено краевое прилегание, края не нависают и т.д., мы можем взять этого человека в программу. Но с одним условием: гарантия не будет распространяться на рецидивный кариес.

Дело в том, что, если коллеги из другой клиники оставили под пломбой хоть немного поражённого дентина, кариес обязательно начнётся снова. А мы не можем ни доставить под пломбу реминерализующий состав, ни убрать оттуда поражённую ткань, ни определить, всё ли там, вообще, в порядке. Брать на себя ответственность за чужую работу неправильно.

Про рецидивирующий кариес и прочие тонкости пломбирования зубов углубляться не буду — про это уже рассказывала коллега.

А вот вторичный кариес, который возникает вокруг пломбы, — это уже наша зона ответственности, он под гарантию попадает.

Видите тонкую разницу?

И ещё один тонкий момент.

Восстановление зуба может быть:

• Прямым — это пломба, то есть та реставрация, которая сделана непосредственно в полости рта (полный FAQ читайте тут).
• Непрямым — это вкладка или коронка, то есть, штука, которая сделана в лаборатории, а потом прикреплена к челюсти (про них подробно было здесь).

Так вот. Даже если в другой клинике вам поставили очень красивую и аккуратную пломбу, которая замещает больше 40-50% твёрдых тканей зуба, мы не сможем пригласить вас в программу Smilekeeper. Потому что пломба эта будет радовать вас недолго, даже если под ней не осталось никакого поражённого дентина. Потом она потеряет герметичность, и снова здравствуй, кариес! Переделывать свежую пломбу, конечно, не стоит. Лучше ходить на гигиену и внимательно следить, что происходит с зубом. Как только начнётся «разгерметизация», мы это заметим и предложим заменить её на вкладку, пока она не наделала дел. А после этого подключим вас к программе.

Главная цель «Белой Радуги» и «почему мы всё это делаем»

Сейчас скажу одну вещь, которая, возможно, покажется вам очень странной. Самая главная, глобальная цель «Белой Радуги» — насколько это возможно, уйти от лечения заболеваний. Мы очень хорошо умеем это делать, но в моей идеальной картине мира 80% времени в клинике работают гигиенисты, и только 20% — все остальные: терапевты, хирурги, ортодонты и т.д. Я знаю, что такие клиники есть. Правда, пока не в России. Когда они появятся и у нас, я буду знать, что люди изменили отношение к собственному здоровью.

Не поймите меня превратно. Стоматология у нас в стране находится на очень высоком уровне относительно стран запада. Но, в силу географических, экономических и социокультурных факторов, отношение к ней меняется очень медленно. Профилактикой кариеса обеспокоено всего 13,6% наших сограждан. И все они — новый класс.

Если человек идёт к стоматологу не для того, чтобы снять острую боль, а заранее — чтобы боль эта не возникала, это уже не медицина, а поддержание высокого качества жизни. Как фитнес, например. До этого нужно дорасти: и ментально, и материально.

Мысль о ценности своего здоровья можно поддерживать по-разному. Я знаю, как работают многие клиники в мире. Например, кое-где на западе принята такая практика: если человек регулярно приходит на профгигиену, за стоматологическое лечение он платит всего 25% от реальной стоимости. Если не ходит — то все 100%. А это очень большие деньги. Поэтому тщательно следить за состоянием полости рта там выгодно экономически.

Пациентам — понятно, но почему это выгодно клинике?

Скептики пожмут плечами и спросят: «А как же вы планируете отбивать стоимость дорогого оборудования?» Но уж об этом в ближайшие лет 20 можно не беспокоиться: пациентами на дорогостоящее лечение мы обеспечены ещё надолго.

И да, конечно, рабочее место гигиениста ничем не отличается от рабочего места врача-эндодонтиста, который делает повторное лечение корневых каналов, несмотря на то, что чек у них может отличаться в 10 раз. Но ведь и расходные материалы стоят по-разному. И само время доктора тоже. Хотя бы потому, что отличного гигиениста можно взрастить всего за год, а вот хорошего имплантолога — уже нет, для этого нужна высокая квалификация и большой опыт.

А ещё людей, которые могут себе позволить лечение за полтора миллиона гораздо меньше, чем тех, кто готов платить 35 тысяч в год за профилактику, так что у гигиениста ещё и охват будет гораздо выше. Впрочем, если вам удобнее оплачивать отдельные визиты, то мы совсем не против. Просто программа на год вперед дешевле обойдется.

Вот так путём нехитрых вычислений выясняется, что в итоге рентабельность у дорогих и относительно дешёвых услуг вполне сопоставима.

Надо бы закончить статью каким-нибудь патетическим призывом заботиться о здоровье зубов, пока они ещё с вами, регулярно их чистить и приходить к нам на гигиену.

Но — не буду, потому что каждый делает свой выбор сам.

Ещё посты:

• Хирургические случаи: пост про то, как пациент терпел зубную боль до момента, когда ему пришлось резать горло в нескольких местах. Про пациента-проказника, выпавшего с третьего этажа и упавшего на лицо. Про пациента-спортсмена, неожиданно затормозившего в дерево.
• Для гиков: про то, как именно можно умереть от анестезии прямо на приёме терапевта. Как самостоятельно читать КТ. Про моего коллегу Андрея, хирурга senior+. Про Гусейна, его навигационные шаблоны и участие в разработке ПО для хирургов по всему миру. Как Гусейн разрабатывал матмодель и софт для хирургии по пересборке черепа.
• Инструкции: FAQ про пломбы. Что вам нужно знать про гигиену зубов. Как правильно бояться стоматолога. Что вам нужно знать про наркоз и седацию. Реплантация зубов: как правильно собирать свои зубы в пакетик. Что делать, когда вы нафаршированы зубами (про молочные зубы). Про зубы ваших пожилых родственников. Про типичные зубы ИТ-пациента. Коренные зубы — это атавизм, и почему их часто удаляют «на всякий случай».

P.S. Если вы дойдёте до наших клиник, то говорите, что вы с Хабра, будет скидка 5%.

Европа, спутник Юпитера – один из самых интересных объектов нашей Солнечной системы. Считается, что под его поверхностью существует океан, в котором, вероятно, содержится в три раза больше воды, чем на всей Земле. Потенциально на этом небольшом спутнике может существовать жизнь. Но потенциально обитаемый подповерхностный океан не единственное, что интересует учёных. Лёд на поверхности спутника для них не менее интересен – а особенно длинные красные полосы, пересекающие его испещрённую трещинами поверхность.

Эти полосы – самый характерный визуальный признак Европы, но при этом учёные пока не могут определить их химический состав, поскольку на Земле субстанций с подобными характеристиками нет. В исследовании 2015 года было сделано предположение, что эти красные полоски могут быть отложениями соли из внутреннего океана, которая была вынесена на поверхность излучением.

На изучении именно этих полос, а точнее – их химического состава и происхождения, сконцентрировалась международная команда исследователей из Вашингтонского университета. А всё благодаря открытию нового кристалла, который может помочь с объяснением процессов, породивших полосы на Европе. Кристалл был получен в лаборатории, но учёные считают, что он с тем же успехом может сформироваться и на дне глубокого океана на таком небесном теле, как Европа. Кристалл формирует вода и хлорид натрия, известный в быту, как поваренная соль – а это два самых распространённых на Земле химических соединения.

Доктор Баптист Жорно, адъюнкт-профессор департамента земных и космических наук при Вашингтонском университете, говорит, что в наши дни фундаментальные открытия в науке случаются редко. «Поведение соли и воды в земных условиях хорошо нам знакомы, а вот касательно других случаев мы пребываем в неведении. И теперь мы изучаем планеты, химические вещества на которых нам очень хорошо знакомы, но находятся они в крайне экзотических условиях. И нам приходится заново переизобретать всю минералогию с XIX века, приспосабливая её для высоких давлений и низких температур. Это очень интересное занятие».

В рамках работы исследователи изучали гидрат – ледяную решётку, формирующуюся в холодной солёной воде. До недавнего времени учёным был известен только один гидрат хлорида натрия – гидрогалит. В нём на каждую молекулу соли приходится две молекулы воды (NaCl•2H₂O).

При помощи прозрачных алмазов учёные сжали крохотное количество солёной воды при низкой температуре до давления, в 25 000 раз превосходящего атмосферное. В результате они нашли два новых вида кристалла гидрата хлорида натрия. В первой структуре содержится две молекулы хлорида натрия на 17 молекул воды, в другой – одна молекула хлорида натрия на 13 молекул воды. Также оказалось, что первая структура остаётся стабильной даже при минимальном давлении, близком к вакууму – таком, которое наблюдается на поверхности Луны. Вторая структура оставалась стабильной только при высоких давлениях. Вероятно, эти уникальные кристаллические структуры могут объяснить происходящее на поверхностях спутников Юпитера.

Микроскопическое фото нового гидрата – две молекулы хлорида натрия на 17 молекул воды. Появляется при высоком давлении, но остаётся стабильным и при низком. Длина масштабной полоски 50 мкм.

Слева – давно известный гидрат с одной молекулой соли на две молекулы воды. В середине – новый кристалл с двумя молекулами хлорида натрия на 17 молекул воды. Справа – одна молекула хлорида натрия на 13 молекул воды.

«Мы пытались понять, как добавление соли изменит количество льда, которое можно получить – ведь соль работает как антифриз, — сказал Жорно. – Мы с удивлением обнаружили, что при повышении давления начали расти вот эти неожиданные кристаллы. Это была удача».

Подобные условия с низкой температурой и большим давлением, скорее всего, существуют и на Европе. Учёные предполагают, что её океан может быть глубиной в сотни километров, а покрывать его может слой льда толщиной от 5 до 10 км. На дне океана, скорее всего, существуют более плотные ледяные структуры – там ещё холоднее, а давление ещё больше.

Далее учёные планируют создать более крупный образец кристалла, чтобы узнать, соответствуют ли красные полосы на Европе свойствам двух найденных кристаллов.

У НАСА и Европейского космического агентства ЕКА есть в разработке несколько миссий, которые планируют посетить Европу и Титан для изучения их обитаемости. ЕКА в апреле этого года планирует запустить зонд для изучения ледяных спутников Юпитера JUICE. К системе Юпитера он прибудет в июле 2031 года. Миссия НАСА Europa Clipper запланирована на октябрь 2024 года, и прибудет к Юпитеру в 2030-м. Миссия НАСА к Титану, Dragonfly, должна будет стартовать в 2027 и прибыть к Титану в 2034. Эти миссии будут изучать химический состав этих загадочных и интригующих миров, и помогут учёным разработать наиболее подходящие способы поисков признаков жизни.

Доктор Жорно говорит, что это единственные планеты кроме Земли, на которых жидкая вода существует достаточно долго по геологическим масштабам – а это важнейшее условие для появления и развития жизни. «Они, по моему мнению, представляют собой наилучшие места в нашей Солнечной системе для обнаружения внеземной жизни. Нам необходимо изучать их экзотические океаны и общую композицию, чтобы лучше понять историю их формирования, эволюции, и то, как они смогли удержать воду в жидком состоянии в холодных регионах Солнечной системы, на таком расстоянии от Солнца».

Open Shortest Path First [сначала открыть кратчайший путь] (OSPF) — это протокол маршрутизации для сетей Internet Protocol (IP). Он использует алгоритм маршрутизации по состоянию соединения и относится к группе внутренних протоколов маршрутизации, работающих в пределах одной автономной системы (AS). Он определен как OSPF версии 2 в RFC 2328 (1998) для IPv4. Обновления для IPv6 определены как OSPF версии 3 в RFC 5340 (2008).

OSPF, возможно, является наиболее широко используемым протоколом внутреннего шлюза (IGP) в сетях крупных предприятий. IS‑IS, другой протокол динамической маршрутизации по состоянию связи, распространен в крупных сетях провайдеров услуг. В качестве протокола внешнего шлюза обычно применяется протокол Border Gateway Protocol (BGP), основной протокол маршрутизации между автономными системами в Интернете.

OSPF — это протокол внутреннего шлюза (IGP) для маршрутизации пакетов веб‑протокола (IP) только между одной маршрутной областью, например, ассоциированной автономной системой. Он собирает информацию о состоянии связи, поступающую от маршрутизаторов на рынке, и строит топологическую карту сети. Топология передается в виде таблицы маршрутизации на сетевой уровень, который выполняет маршрутизацию дейтаграмм, исходя только из адреса назначения, содержащегося в информационных пакетах. OSPF поддерживает сети с веб‑протоколом версии 4 (IPv4) и веб‑протоколом версии 6 (IPv6), а также модели адресации с маскированием подсети переменной длины (VLSM) и эгалитарной междоменной маршрутизации (CIDR).

OSPF обнаруживает изменения в топологии, например, сбои соединений, и в течение нескольких секунд конвергируется в совершенно новую структуру маршрутизации без зацикливаний. Он вычисляет дерево кратчайшего пути для каждого маршрута, используя методику, поддерживаемую формулой Дейкстры, исходной формулы кратчайшего пути.

Политики маршрутизации OSPF для построения таблицы маршрутов определяются ценностными факторами соединения (внешними метриками), связанными с каждым интерфейсом маршрутизации. Ценностные факторы — это также промежуток между маршрутизаторами (время приема‑передачи), скорость передачи сведений по соединению, удобство и надежность соединения, выраженные в виде простых чисел, меньших единицы. Это обеспечивает динамический метод для выравнивания нагрузки на трафик между маршрутами равной ценности.

Сеть OSPF также структурирована или разделена на области маршрутизации для изменения управления и оптимизации использования трафика и ресурсов. Области обозначаются 32-битными числами, выраженными в десятичной или, как правило, в октетной точечно‑десятичной нотации, знакомой по нотации адресов IPv4.

34 вещи, которые вы должны запомнить:

1. Номер протокола OSPF в IP‑заголовке пакета — 89.

2. Для установления отношений соседства в OSPF, таймеры hello/dead, MTU [Maximum transmission unit — это максимальный объём данных, который может быть передан протоколом за одну итерацию] (в противном случае необходимо применить команду ip ospf mtu-ignore, чтобы отключить проверку значения MTU в пакетах OSPF) должны совпадать. Также требуется уникальный router‑id.

3. Маршрутизаторы в stub area (тупиковой области) могут быть соседними только с маршрутизаторами в тупиковой или полностью тупиковой области (totally stubby area). Маршрутизаторы в NSSA [Not‑so‑stubby‑areas — не такая уж и тупиковая область] могут быть соседними только с маршрутизаторами в NSSA или полностью (totally) NSSA.

4. OSPF рассматривает вторичные сети как тупиковые и не может создавать отношения соседства через вторичные адреса. OSPF будет анонсировать вторичную сеть или подсеть, только если она также запущена в первичной сети или подсети. Для анонсирования маршруты OSPF вторичных адресов должны находиться в той же области, что и первичный адрес. Чтобы узнать маршруты от соседа, подключенного к вторичной сети, должен быть запущен другой протокол маршрутизации, например RIP, который перераспределяется в OSPF. Другим решением для подобной проблемы является создание суб‑интерфейсов dot1q.

5. Единственный случай, когда OSPF будет формировать отношения смежности между соседями, не находящимися в одной подсети, это когда они подключены через соединения «точка‑точка» с использованием «ip unnumbered» (ip‑адрес без номера).

6. Основной интерфейс и интерфейс «IP unnumbered» будут иметь включенный OSPF, если сетевой оператор соответствует IP‑адресу основного интерфейса.

7. Внешний маршрут OSPF не может использовать другой внешний маршрут OSPF в качестве следующего хопа.

8. Внутри области OSPF использует логику Link State [состояние канала], но между областями OSPF в чем‑то действует подобно протоколу Distance Vector (DV) [дистанционно‑векторный протокол]. Например, анонс LSA типа 3 из одной области в другую скрывает топологию исходной области от второй области, просто перечисляя подсеть назначения, метрику (стоимость) и ABR [Area Border Router — пограничный маршрутизатор], через который можно подключиться к подсети — все это концепции DV.

9. Только широковещательные и сети без широкого вещания выбирают DR/BDR [Designated Router — выделенный маршрутизатор/Backup Designated Router — резервный выделенный маршрутизатор] на основе приоритета или router‑id (в случае равенства приоритетов).

10. В сети без широкого вещания DR/BDR должен иметь второй уровень связи со всеми другими маршрутизаторами в той же области.

11. В сетях OSPF широковещательного и нешироковещательного типов значения следующего хопа не изменяются при передаче обновлений через среду NBMA [Non Broadcast MultiAccess — нешироковещательные сети множественного доступа]. Оба типа сети точка‑многоточка и точка‑многоточка без широкого вещания обновляют значение следующего хопа маршрутов, полученных в частично объединенных (meshed) сетях, до непосредственно подключенного соседа и объявляют сеть как набор эндпоинтов, а не транзитную.

12. Сеть OSPF точка‑точка является опцией по умолчанию для интерфейсов точка‑точка, таких как HDLC [High‑Level Data Link Control — протокол высокоуровнего управления каналом передачи данных], PPP [Point‑to‑Point Protocol — двухточечный протокол] или NBMA субинтерфейсов точка‑точка.

13. Поскольку только сети широковещательного и нешироковещательного типов выбирают DR/BDR, они совместимы друг с другом, но при этом не совместимы с любыми другими типами сетей.

14. Стоимость OSPF может быть изменена с помощью (i) команды interface bandwidth ..., (ii) команды interface ip ospf cost ..., (iii) команды process auto-cost reference-bandwidth ... или (iv) команды neighbor ... cost ... в сети точка‑многоточка без широкого вещания.

15. Только типы сетей OSPF точка‑многоточка и точка‑многоточка без широкого вещания поддерживают значение стоимости OSPF для каждого соседа. В широковещательных сетях точка‑многоточка, если используется команда neighbor..., необходимо указать стоимость для каждого соседа. Но в сетях без широкого вещания точка‑многоточка команда neighbor ... должна использоваться для идентификации соседей, назначение стоимости для соседа необязательно.

16. Внутренние маршруты OSPF могут быть суммированы только на ABR, в то время как внешние (перераспределенные) маршруты могут быть суммированы только на ASBR [Autonomous System Boundary Router — пограничный маршрутизатор автономной системы].

17. Команда area default-cost ... используется для указания стоимости дефолтного суммарного маршрута (стоимость по умолчанию равна 1), который отправляется в тупиковую область или NSSA.

18. В NSSA ABR с самым высоким router‑id выполняет преобразование LSA [Link‑State Advertisement — объявление о состоянии канала] 7 в 5.

19. В NSSA нельзя использовать команду default-information originate [исходная информация по умолчанию], так как она генерирует LSA типа 5. Это запрещено в области NSSA.

20. NSSA ASBR может генерировать дефолтный маршрут только при наличии маршрута по умолчанию в своей таблице маршрутизации, в то время как NSSA ABR может генерировать такой маршрут как при наличии, так и при его отсутствии в своей таблице.

21. Виртуальные каналы не разрешены в тупиковой области или NSSA. В этом случае OSPF может быть туннелирован через тупиковую область с помощью туннеля GRE [Generic Routing Encapsulation — общая инкапсуляция маршрутов] (туннель должен быть подключен к области 0).

22. Если аутентификация на виртуальном канале неверна, то его интерфейс сразу не отвалится. Так как виртуальный канал не поддерживает периодические hello‑сообщения, следует выполнить команду clear ip ospf process[очистить процесс ip ospf], если на виртуальном канале включена аутентификация.

23. Виртуальный канал не появится, если единственный интерфейс доступа к другому концу виртуального канала имеет максимальную стоимость (65 535).

24. Чтобы BGP перераспределял маршруты в OSPF, router‑id должен быть идентичным в OSPF и BGP.

25. Фильтрация OSPF с помощью команд distribute-list ..., route-map ... (match route‑type, match ip route‑source, match ip next‑hop [сопоставить тип маршрута, сопоставить ip источника маршрута, сопоставить ip следующего хопа]) и distance ... может только блокировать маршрут от попадания в локальную RIB [Routing Information Base — маршрутная база данных], но не может остановить распространение LSA в базу данных OSPF.

26. Фильтрация OSPF с помощью команд area ... filter-list prefix ...[область… префикс списка фильтров…], area ... range ... not-adv [область… диапазон…не аносировать], summary-address ... not-adv[суммаризация (скрытие) подсетей…не аносировать], ip ospf database-filter all out [ip ospf база данных‑фильтр все исходящие] или neighbor ... database-filter all out [сосед… база данных‑фильтр все исходящие] может фильтровать LSA из базы данных OSPF.

27. Если обе команды настроены для области area ... range ... [область… диапазон…] и area ... filter-list prefix ... out [область… префикс списка фильтров… отсутствует], то всем остальным областям рассылаются LSA типа 3, соответствующие диапазону области, только если хотя бы один префикс в диапазоне областей соответствует записи в списке префиксов.

28. OSPF по умолчанию устанавливает стоимость 20 при перераспределении из IGP и 1 при перераспределении из BGP.

29. neighbor ... database-filter all out [сосед… база данных‑фильтр все исходящие] работает только для сетей типа точка‑многоточка.

30. Если команда distribute-list out настроена на ASBR, то он генерирует внешние LSA типа 5 только для тех сетей, которые явно разрешены в списке распределения (distribute list).

31. OSPF соединение, устанавливаемое по требованию (demand circuits) ставит флаг » do not age» [не стареть] на всех изученных LSA и будет посылать обновления только при изменении топологии OSPF. Команда должна быть настроена в соединении точка‑точка и необходима только с одной стороны. Если маршрутизатор является частью топологии «точка‑многоточка», эта команда должна быть настроена только с многоточечной стороны.

32. Основное различие между командами по уменьшением флуда (ip ospf flood-reduction) и соединениями, устанавливаемыми по требованию (ip ospf demand-circuit) заключается в том, что первая препятствует только периодическому обновлению LSA; она не блокирует регулярные пакеты hello‑сообщений. Таким образом, фича по уменьшению флуда не влияет на обнаружение отказа соседнего маршрутизатора.

33. OSPF stub router [функция, которая позволяет указать, что маршрутизатор, временно или постоянно, не будет транзитным маршрутизатором] (max-metric router-lsa) анонсирует все не свои (self‑originated) маршруты/LSA с максимальной метрикой.

34. Когда настроена команда redistribute maximum-prefix ..., ограничение перераспределения не применяется к маршрутам по умолчанию или префиксам, которые генерируются в результате преобразования Type-7 в Type-5.

---

Приглашаем всех желающих на открытое занятие «Оптимизация BGP: как сделать BGP чувствительным к трафику». На вебинаре рассмотрим основные проблемы BGP на границах сети. А также рассмотрим инструменты, с помощью которых можно влиять на маршрутизацию BGP с учетом загруженности и производительности каналов. Записаться можно на странице курса «Network engineer».