Меню Рубрики

Установка firepower на cisco asa

Установка firepower на cisco asa

Модуль Cisco ASA Firepower. Введение. Установка.

Это программный модуль, который запускается и работает на SSD диске установленном в устройствах ASA 55хх-Х серии (исключение составляет модуль для ASA 5585-Х, он является аппаратным). Этот модуль вышел на замену старым IPS модулям для Сisco ASA – SSM-10, SSM-20 и SSM-40.

Обозначение X в конце говорит, что ASA нового поколения. Данный модуль может работать только на устройствах нового поколения.
Для успешной установки и запуска модуля, кроме ASA нового поколения, так же необходима версия IOS установленная на Cisco ASA не ниже 9.2(2.4). В случае нового устройства в этом семействе как ASA 5506-Х, версия должна быть 9.3(2) или старше.

Сервер управления FireSIGHT или еще именуемый как Defence Center должен быть той же версии что и модуль SFR(другое название данного модуля, так же часто встречается в официальной документации от Cisco) или старше.

В зависимости от лицензии, модуль SFR может блокировать и\или регистровать трафик на по URL условиям, осуществлять проверку загружаемых или скачиваемых файлов, попытки взлома или на на уровне примитива, к примеру на основе TCP или IP параметров.

Варианты лицензий:
URL – дает возможность только фильтрации по URL
TA – классический IPS
TAC – IPS+URL
TAM – IPS+AMP (Advanced Malware Protection), т.е. защита от различного рода вредоносных программ
TAMC – URL+IPS+AMP

Перенаправление трафика на модуль реализуется, так же как и в предыдущем поколении, с помощью MFP (Modular Policy Framework):

  • Определяются классы трафика при помощи команды class-map или же указывается, что надо учитывать весь трафик, как в примере(используется на кастомный, дефолтный класс):

class-map global-class
match any

  • Создаем политику (policy-map) , где для различных классов можно назначить определенные действия, в том числе и отправку на модуль:

policy-map global_policy
class global-class
sfr fail-open
Причем режим fail-open говорит, что трафик будет продолжать проходить, даже если модуль не отвечает (перезагружается, вышел из строя и т.п.). В случаях, когда недопустимо пропускать трафик без проверки используется команда fail-close. В этом случае, при недоступности модуля, весь трафик, попавший под условия class-map, будет заблокирован.

  • Применяем созданную политику к интерфейсу или глобально для всех интерфейсов. Команда service-policy:

service-policy global_policy global

Приведенными выше настройками мы включаем проверку всего трафика с блокировкой трафика не прошедшего проверку, данные настройки соответствуют следующей схеме:

Если у нас стоит задача только отслеживать трафик, не влияя на него, необходимо изменить в policy-map. В место команды:
sfr fail-open
отдать команду:
sfr fail-open monitor-only
В этом случае, если пакет должен был быть заблокирован, то модуль только пометит его как “заблокирован”. Система работает по схеме:

Примечание: Сам модуль не блокирует трафик, он только проверяет на различные политики, активированные в соответствии с лицензией, и отдает команду ASA – пропустить или заблокировать.

  1. Установка сервера управления FireSIGHT(Defence Center)

Сервера управления бывают двух видов:
Аппаратный
Виртуальный

Далее мы будем рассматривать установку и запуск виртуального, который работает на VMware ESXi .
Для начала смотрим необходимые требования под виртуальную машину:
4 vCPU
4 GB RAM
250Gb HDD
1 vNIC

Создавать виртуальную машину, с указанными выше требованиями, не надо.
Необходимо только убедиться что в гипервизоре есть для этого все необходимое. Сама виртуальная машина «расклеивается» с соответствующего OVF шаблона, скаченного с сайта Cisco. Именуются они на сайте следующим образом:
Sourcefire_Defense_Center_Virtual64_VMware-текущая_версия.
После завершения работы «Мастера развертывания шаблона OVF» в гипервизоре, переходим в нашем VMware vSphere Client в вкладку «Консоль».

Производим первичный вход в систему, используя логин и пароль admin и Sourcefire соответственно.
Теперь необходимо произвести первичную настройку, для этого исполняем команду:
sudo /usr/local/sf/bin/configure-network

В ответ нас просят ввести пароль супер пользователя, еще раз — Sourcefire.
Отвечаем на вопросы:

Do you wish to configure IPv4?(y or n) y
Management IP address? [192.168.45.45] 192.168.100.20
Management netmask? [255.255.255.0]
Management default gateway? 192.168.100.1

Management IP address? 192.168.100.20
Management netmask? 255.255.255.0
Management default gateway? 192.168.100.20

Are these settings correct? (y or n) y
Do you wish to configure IPv6?(y or n) n

На этом работа с консолью завершена.
Открываем браузер и идем по адресу https://192.168.100.20

Логинимся в систему (admin/Sourcefire).

После логина в систему будет предложено сменить пароль, опционально можно сменить IP настройки. Устанавливаем настройки времени. И самое основное — формируем запрос на лицензию. Система подсказывает, как сформировать запрос, далее, этот запрос размещаем на специальной страницы у Cisco и получаем ключ активации с учетом приобретенной лицензии.
На этом установка и первичная настройка Defence Center завершена.

  1. Установка программного модуля Cisco ASA FirePower

Перед тем как приступить к установке нового модуля IPS (далее по тексту sfr).
Необходимо убедиться, что у нас отсутствуют\удалены старые модули, для этого подключаемся к ASA и выполняем команду:
sh module
Если в ответе наблюдаем что модули есть (к примеру, как на картинке):

Необходимо выполнить следующие команды:
а) для модуля cxsc
sw-module module cxsc shutdown
sw-module module cxsc uninstall
б) для модуля ips
sw-module module ips shutdown
sw-module module ips uninstall

После этого перезагрузить Cisco ASA командой reload.
Теперь мы полностью готовы к установке SFR модуля.

Установка и первичное конфигурирование проходит в два этапа.
На первом этапе загружается и настраивается так называемый загрузочный образ.
На втором этапе устанавливается программное обеспечение.
Для загрузки использовал образы, скаченные с сайта Cisco и размещенные на ftp сервере, так же возможны загрузки с USB носителя, TFTP, HTTP или HTTPS серверов.

И так приступим к загрузке и установке загрузочного образа.
Для начала, что бы иметь возможность отслеживать процесс загрузки и установки образа отдаем команду:
debug module-boot
Копируем образ:
copy ftp://anonymous:anonymous@192.168.100.25/asasfr-5500x-boot-текущаяверсия.img disk0:/asasfr-5500x-boot-текущаяверсия.img
По завершению копирования выполняем следующие команды:
sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-текущаяверсия.img
sw-module module sfr recover boot
И, если включили debug, наблюдаем процесс установки (5-10 минут).

Читайте также:  Установка датчиков пламени нормы

По завершению установки подключаемся и работаем уже с модулем, для этого отдаем команду:
session sfr console
Логин и пароль по умолчанию — admin/Admin123.
Теперь необходимо произвести настройку boot образа модуля, он должен «уметь ходить в сеть».
Исполняем команду setup:
asasfr-boot>setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [asasfr]: SFR
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 192.168.50.20
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 192.168.50.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 192.168.1.1
Do you want to configure Secondary DNS Server? (y/n) [n]: Y
Enter the secondary DNS server IP address: 192.168.1.2
Do you want to configure Local Domain Name? (y/n) [n]: Y
Enter the local domain name: example.com
Do you want to configure Search domains? (y/n) [n]: n
Do you want to enable the NTP service? [Y]: Y
Enter the NTP servers separated by commas: 192.168.1.1,192.168.1.2
Do you want to enable the NTP symmetric key authentication? [N]: N

Please review the final configuration:
Hostname: SFR
Management Interface Configuration
IPv4 Configuration: static
IP Address: 192.168.50.20
Netmask: 255.255.255.0
Gateway: 192.168.50.1
IPv6 Configuration: Stateless autoconfiguration
DNS Configuration:
Domain:example.com
DNS Server:
192.168.1.1
192.168.1.2
NTP configuration:
192.168.1.1 192.168.1.2

CAUTION:
You have selected IPv6 stateless autoconfiguration, which assigns a global address
based on network prefix and a device identifier. Although this address is unlikely
to change, if it does change, the system will stop functioning correctly.
We suggest you use static addressing instead.

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying…
Restarting network services…
Restarting NTP service…
Done.
Press ENTER to continue…
Первый этап завершен, переходим к этапу установки и конфигурирования самого программного обеспечения SFR модуля.
asasfr-boot> system install ftp://anonymous:anonymous@192.168.100.25/asasfr-sys-текущаяверсия.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-SFR текущаяверсия System Install
Requires reboot: Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.
Upgrading
Starting upgrade process …
Populating new system image…
Reboot is required to complete the upgrade. Press ‘Enter’ to reboot the system.

После нажатия Enter модуль уйдет в перезагрузку (в этот раз только модуль, а не вся ASA). Процесс занимает некоторое время.
Проверить готов модуль или нет можно командой:
sh module sfr
Как только видим как на картинке ниже:

Переходим к завершению процесса установки.
session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Sourcefire3D login:
Логин по умолчанию – admin, пароль – Sourcefire.
После входа, читаем EULA и настраиваем менеджмент интерфейс:
You must accept the EULA to continue.
Press to display the EULA:
END USER LICENSE AGREEMENT

Please enter ‘YES’ or press to AGREE to the EULA: YES

System initialization in progress. Please stand by.
You must change the password for ‘admin’ to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 192.168.50.21
Enter an IPv4 netmask for the management interface [255.255.255.0]:
Enter the IPv4 default gateway for the management interface []: 192.168.50.1
Enter a fully qualified hostname for this system [Sourcefire3D]: SFR
Enter a comma-separated list of DNS servers or ‘none’ []: 192.168.1.1,192.168.1.2
Enter a comma-separated list of search domains or ‘none’ [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run ‘configure network http-proxy’

This sensor must be managed by a Defense Center. A unique alphanumeric
registration key is always required. In most cases, to register a sensor
to a Defense Center, you must provide the hostname or the IP address along
with the registration key.
‘configure manager add [hostname | ip address ] [registration key ]’
However, if the sensor and the Defense Center are separated by a NAT device,
you must enter a unique NAT ID, along with the unique registration key.
‘configure manager add DONTRESOLVE [registration key ] [ NAT ID ]’

Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.
Остался последний штрих, необходимо «связать» SFR модуль с центром управления(Defence Center).
> configure manager add 192.168.100.20 examplestring
Manager successfully configured.
Проверяем:
> show managers
Host : 192.168.100.20
Registration Key : examplestring
Registration : pending
RPC Status :
>

Теперь подключаемся к центру управления (в браузере набираем https://192.168.100.20)
Переходим во вкладку Devices, затем Device Management. Нажимаем кнопку Add Device.

Заполняем поля, проставляем галочки, какие из доступных лицензий необходимо активировать (в моем случае уже все доступные лицензии выбраны, по этому и поля не активны). Нажимаем Register.
После этого наш модуль появится в списке управляемых устройств в центре мониторинга и управления. А на самом модуле, при выполнении команды show managers, будет отображена следующая информация:
> show managers
Type : Manager
Host : 192.168.100.20
Registration : Completed

Читайте также:  Установка кондиционера в квартире во владикавказе

источник

Установка и настройка сервисного модуля FirePOWER на платформе ASA

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

В этом документе описывается установка и настройка модуля Cisco FirePOWER (SFR), который работает на многофункциональном устройстве обеспечения безопасности Cisco ASA, а также регистрация модуля SFR в Cisco FireSIGHT Management Center.

Предварительные условия

Требования

Cisco рекомендует использовать для выполнения описанных в данном документе процедур систему, отвечающую следующим требованиям:

  • Убедитесь в наличии не менее 3 ГБ свободного места на флеш-диске (disk0) в дополнение к размеру загрузочного программного обеспечения.
  • Убедитесь, что у вас есть доступ к привилегированному режиму EXEC. Для доступа к привилегированному режиму EXEC введите команду enable в интерфейсе командной строки.Если пароль не был установлен, нажмите Enter:

Используемые компоненты

Для установки сервисов FirePOWER на устройство Cisco ASA требуются следующие компоненты:

  • Программное обеспечение Cisco ASA версии 9.2.2 или выше
  • Платформы Cisco ASA с 5512-X по 5555-X
  • Программное обеспечение FirePOWER версии 5.3.1 или старше

Примечание. Если сервисы FirePOWER (SFR) требуется установить на аппаратный модуль ASA 5585-X, ознакомьтесь с документом Установка сервисов FirePOWER (SFR) на аппаратный модуль ASA 5585-X.

В Центре управления Cisco FireSIGHT Management Center должны присутствовать следующие компоненты:

  • Программное обеспечение FirePOWER версии 5.3.1 или старше
  • FireSIGHT Management Center FS2000, FS4000 или виртуальное устройство

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Модуль Cisco ASA FirePOWER, который также называется ASA SFR, предоставляет сервисы межсетевого экрана следующего поколения, среди которых:

  • Система предотвращения вторжений следующего поколения (NGIPS)
  • Мониторинг и контроль работы приложений (AVC)
  • Фильтрация по URL-адресам
  • Защита от сложного вредоносного ПО (AMP)

Примечание. Модуль ASA SFR можно использовать в режиме Single Context или Multiple Context, а также в режиме Routed или Transparent.

Перед началом работы

Перед выполнением процедур, описанных в данном документе, ознакомьтесь со следующей важной информацией:

    Если у вас есть активная политика обслуживания, которая перенаправляет трафик в систему предотвращения вторжений (IPS) или модуль CX (замененные модулем ASA SFR), необходимо удалить ее перед настройкой политики обслуживания ASA SFR.

Необходимо завершить работу любых других выполняемых программных модулей. На устройстве одновременно может выполняться только один программный модуль. Это необходимо сделать из интерфейса командной строки ASA. Например, следующие команды завершают работу программного модуля IPS и удаляют его, а затем перезагружают устройство ASA:

Команды, которые используются для удаления модуля CX, аналогичны, за исключением того, что в них используется ключевое слово cxsc вместо ips:

  • При повторном создании образа модуля используйте те же команды shutdown и uninstall, которые используются для удаления старого образа SFR. Например:
  • Если модуль ASA SFR используется в режиме Multiple Context, выполните процедуры, описанные в этом документе, в системном пространстве выполнения.
  • Совет: Для того чтобы определить статус модуля в устройстве ASA, введите команду show module.

    Установка

    В этом разделе описана установка модуля SFR на устройство ASA и настройка загрузочного образа ASA SFR.

    Установка модуля SFR на устройство ASA

    Выполните следующие действия для установки модуля SFR на устройство ASA:

    1. Загрузите системное программное обеспечение ASA SFR с веб-сайта Cisco.com на сервер HTTP, HTTPS или FTP, который доступен из интерфейса управления ASA SFR.
    2. Переместите загрузочный образ на устройство. Сделать это можно с помощью диспетчера устройств Cisco Adaptive Security Device Manager (ASDM) или интерфейса командной строки ASA.

    Примечание. Не передавайте системное программное обеспечение; оно будет загружено позже на твердотельный накопитель (SSD).

    Для того чтобы переместить загрузочный образ с помощью ASDM, выполните следующие действия:

    1. Переместите загрузочный образ на рабочую станцию или разместите его на сервере FTP, TFTP, HTTP, HTTPS, Server Message Block (SMB) или Secure Copy (SCP).
    2. В ASDM выберите Tools > File Management (Сервис > Управление файлами).
    3. Выберите соответствующую команду для передачи файла: Between Local PC and Flash (Между локальным ПК и флеш-памятью) или Between Remote Server and Flash (Между удаленным сервером и флеш-памятью).
    4. Переместите загрузочное программное обеспечение на флеш-диск (disk0) устройства ASA.

    Для того чтобы переместить загрузочный образ с помощью интерфейса командной строки устройства ASA, выполните следующие действия:

    1. Переместите загрузочный образ на сервер FTP, TFTP, HTTP или HTTPS.
    2. Введите команду copy в интерфейсе командной строки, чтобы передать загрузочный образ на флеш-диск.

    Вот пример, в котором используется протокол HTTP (замените IP-адресом или именем хоста своего сервера):

    Для того чтобы настроить местоположение загрузочного образа ASA SFR на флеш-диске устройства ASA, введите следующую команду:

    Для того чтобы загрузить загрузочный образ ASA SFR, введите следующую команду:

    В ходе выполнения этой команды, если на устройстве ASA включить debug module-boot, отображаются следующие сообщения отладки:

  • Дождитесь загрузки модуля ASA SFR (приблизительно 5–15 минут), а затем откройте сеанс консоли для рабочего загрузочного образа ASA SFR.
  • Установка загрузочного образа ASA SFR

    Для того чтобы настроить установленный загрузочный образ ASA SFR, выполните следующие действия:

      После открытия сеанса нажмите Enter, чтобы появилось приглашение входа в систему.

    Примечание. Имя пользователя по умолчанию — admin, пароль по умолчанию — Admin123.

    Совет: Если загрузка модуля ASA SFR не завершена, команда session выполнена не будет и появляется сообщение о том, что системе не удается установить соединение по TTYS1. В этом случае дождитесь завершения загрузки модуля и повторите попытку.

    Введите команду setup для настройки системы так, чтобы можно было установить пакет системного программного обеспечения:

    Появится приглашение на ввод следующей информации:

    • Имя хоста: может содержать до 65 буквенно-цифровых символов без пробелов. Можно использовать дефисы.
    • Сетевой адрес: может быть статическим адресом IPv4 или IPv6. Можно также использовать DHCP для автоматического задания адреса IPv4 или IPv6 без сохранения состояния.
    • Информация DNS. Необходимо указать хотя бы один сервер системы доменных имен (DNS), а также можно задать доменное имя и домен для поиска.
    • Информация NTP. Можно включить протокол NTP и настроить серверы NTP для задания системного времени.
  • Введите команду system install для установки образа системного программного обеспечения:

    Укажите параметр noconfirm, если не хотите отвечать на подтверждающие сообщения. Замените ключевое слово url местоположением файла .pkg. Например:

    Примечание. После завершения установки выполняется перезагрузка системы. Установка компонентов приложения и запуск сервисов ASA SFR занимает 10 минут и более. Выходные данные команды show module sfr должны указывать, что все процессы Up выполняются.

    Настройка

    В этом разделе описывается настройка программного обеспечения FirePOWER и FireSIGHT Management Center, а также перенаправление трафика к модулю SFR.

    Настройка программного обеспечения FirePOWER

    Для того чтобы настроить программное обеспечение FirePOWER, выполните следующие действия:

      Откройте сеанс работы с модулем ASA SFR.

    Примечание. Откроется еще одно приглашение ввода учетных данных, поскольку теперь происходит вход в систему на полностью работоспособном модуле.

  • Войдите в систему, используя имя пользователя admin и пароль Admin123.
  • Выполните настройку системы, следуя приглашениям, которые отображаются в следующем порядке:
    1. Прочитайте и примите лицензионное соглашение с конечным пользователем (EULA).
    2. Измените пароль администратора.
    3. При появлении соответствующих запросов задайте адрес управления и параметры DNS.

    Примечание. Для интерфейса управления можно задать оба (IPv4 и IPv6).

  • Дождитесь, пока система изменит свою конфигурацию.
  • Настройка FireSIGHT Management Center

    • Настройка интерфейсов модуля ASA SFR
    • Завершение работы, перезапуск и прочие действия по управлению процессами модуля ASA SFR
    • Создание резервных копий и восстановление из резервных копий на устройства модуля ASA SFR
    • Правила контроля доступа с правом на запись для сопоставления трафика с использованием условий тега VLAN

    Перенаправление трафика к модулю SFR

    Для перенаправления трафика к модулю ASA SFR необходимо создать политику обслуживания, которая определяет нужный трафик. Для того чтобы настроить перенаправление трафика к модулю ASA SFR, выполните следующие действия:

    1. Выберите необходимый трафик с помощью команды access-list. В данном примере перенаправляется весь трафик со всех интерфейсов. Перенаправление также можно задать и для определенного трафика.
    2. Создайте class-map для сопоставления трафика со списком контроля доступа:
    3. Задайте режим развертывания. Устройство можно настроить в пассивном (только мониторинг) или транзитном (обычном) режиме развертывания.

    Примечание. Нельзя одновременно настроить на устройстве ASA и пассивный и транзитный режим. Разрешено использовать только политику безопасности только одного типа.

      В транзитном развертывании после отбрасывания нежелательного трафика и выполнения всех остальных действий, которые применяются политикой, трафик возвращается на устройство ASA для дальнейшей обработки и окончательной передачи. В данном примере показано создание карты политик (policy-map) и настройка модуля ASA SFR в транзитном режиме:

    В пассивном развертывании копия трафика передается на сервисный модуль SFR, но это не возвращается на устройство ASA. Пассивный режим позволяет просматривать действия, которые модуль SFR выполнил бы в отношении трафика. Он также позволяет оценить содержимое трафика, не оказывая влияния на сеть.

    Для настройки модуля SFR в пассивном режиме используйте ключевое слово monitor-only (как показано в следующем примере). Если это ключевое слово не используется, трафик передается в транзитном режиме.

    ******************************* Warning *******************************: Режим monitor-only не позволяет сервисному модулю SFR запрещать или блокировать вредоносный трафик.

    Внимание. : Можно было бы настроить устройство ASA в режиме monitor-only с использованием команды traffic-forward sfr monitor-only уровня интерфейса; однако эта конфигурация предназначена только для демонстрационных целей, ее не следует использовать на устройстве ASA в производственной среде. Центр технической поддержки Cisco TAC не оказывает помощи в устранении любых неполадок, обнаруженных в этой демонстрационной функции. Если вы хотите развернуть сервис ASA SFR в пассивном режиме, используйте для настройки policy-map.

    Укажите местоположение и примените политику. Политику можно применить глобально или к определенному интерфейсу. Для переопределения глобальной политики на интерфейсе можно применить политику обслуживания к этому интерфейсу.

    Ключевое слово global применяет карту политик ко всем интерфейсам, а ключевое слово interface применяет данную политику к одному интерфейсу. Допускается только одна глобальная политика. В данном примере политика применена глобально:

    Внимание. : Карта политик global_policy является политикой по умолчанию. Если вы используете эту политику и хотите удалить ее на своем устройстве, чтобы выполнить поиск и устранения неполадок, убедитесь, что понимаете последствия.

    Проверка

    В настоящее время для этой конфигурации нет процедуры проверки.

    Устранение неполадок

    Для этой конфигурации в настоящее время нет сведений об устранении проблем.

    источник

    Добавить комментарий