Глава 5. Примеры СОН и практические аспекты применения

Глава 5. Примеры СОН и практические аспекты применения.

5.1. Свободно-распространяемые и исследовательские СОН.

Свободно-распространяемые и исследовательские СОН рассматриваются в данном разделе по двум причинам:

1. В данных СОН могут быть применены интересные инженерные решения неиспользуемые в коммерческих СОН.

2. Свободно-распространяемые СОН могут являться «заменой» для коммерческих СОН при малом бюджете организации на безопасность информации.

5.1.1. Snort

Snort (www. snort. org) является свободно-распространяемой СОН, основанной на библиотеке libcap. Snort имеет возможность:

·  записывать и анализировать данные сетевого трафика различных протоколов, основанных на технологии IP;

·  выполнять поиск и распознавание данных;

·  сигнализировать об обнаружении атаки в реальном времени на консоль, в файл или в syslog.

Механизм распознавания базируется на простом языке, описывающем, какие признаки должны анализироваться для каждого пакета и какие действия на основе данных признаков должны быть предприняты. Если пакет совпадает с заданным шаблоном, то Snort может выполнить одно из трех действий: отбросить пакет (pass), записать его в log-файл (log) или оповестить пользователя (alert). В качестве примера можно привести правила Snort:

log tcp any any -> 10.1.1.0/24 79

alert tcp any any -> 10.1.1.0/24 80 (content “/cgi/bin/phf”; msg: “PHF probe”;)

Первое правило означает требование к Snort записывать все пакеты, приходящие на порт 79 (finger) для сети класса C 10.1.1. Второе правило определяет попытки детектирования phf сервиса для всех Web-серверов сети.

Snort может быть использован для обнаружения таких атак и попыток атак как: переполнение буфера, атаки на CGI и SMB, сканирование версии ОС и т. д.

Систему Snort целесообразно сравнивать с двумя программными продуктами – TCPDump и NFR (см. коммерческие СОН). Snort аналогичен программе TCPDump, но имеет направленность анализа безопасности запись трафика. Snort анализирует пакеты на уровне приложений, что позволяет выявить многие типы нарушений, такие как переполнение буфера, сканирование сценариев CGI, а также любой другой атаки, имеющей сигнатуру. И Snort, и TCPDump совместимы в смысле способности фильтрации трафика с командами Berkeley Packet Filter (BPF), что позволяет, например, инспектировать только TCP трафик. Snort аналогичен NFR, но обладает гораздо меньшей функциональностью (например, не умеет работать с фрагментированным трафиком, имеет гораздо менее развитой язык сценариев и т. д.), что выражается, однако, в единственном преимуществе – простоте использования.

5.1.2. Shadow

СОН Shadow является свободно-распространяемой и состоит из сенсоров и станции анализа. Сенсоры располагаются в ключевых точках сети (например, вне МЭ), тогда как станция анализа расположена внутри контролируемой сети, за МЭ. Сенсоры выделяют заголовки пакетов и сохраняют их в файл аудита. Данный файл периодически читается станцией анализа, фильтруется и записывается во второй файл аудита.

Основной особенностью Shadow является генерация предупреждения только после полного обнаружения опасности. Данная особенность основана на отрицательном опыте работы с СОН, выявившем высокую частоту ложных тревог.

Сенсоры используют библиотеку libcap, не проводя с собранными пакетами никакого препроцессирования, чтобы нарушитель не мог определить, какие действия выполняются с пакетом. Анализ выполняется с использованием tcpdump, что позволяет отфильтровать данные. Для обнаружения редко встречающихся шаблонов Shadow использует программное средство написанное на языке Perl. Cтанция анализа использует основанный на технологии WEB интерфейс для отображения информации от сенсоров и результатов фильтрации. Shadow может функционировать на UNIX системах, в том числе и на Linux и FreeBSD.

5.1.3. Emerald.

Emerald (Event Monitoring Enabling Responses to Anomalous Live Disturbances) – СОН, разработанная в компании System Research International (SRI). СОН использует как методы анализа отклонений от нормального поведения, так и сигнатурном анализе вторжений.

Сигнатурный анализ вторжений основан на экспертной системе, использующей правила, записанные на языке P-Best. Анализ отклонений от нормального поведения основан на механизме, разработанном для систем IDES и NIDSE. Результаты сигнатурного анализа и анализа отклонений от нормального поведения объединяются в соответствующем компоненте RESOLVER.

Emerald предназначен для обнаружения нарушений в больших сетях. Пользователи контролируемой системы объединены в независимо администрируемые домены (каждый домен имеет различные сервисы, такие как ftp, http и т. д.; для каждого домена может быть определена собственная политика безопасности). Данный подход позволяет собирать и анализировать данные не на едином сервере, а на распределенных компонентах СОН, что соответствует технике «разделяй и властвуй», реализованной в СОН.

Иерархический подход к реализации СОН позволяет выделить следующие компоненты системы:

·  Мониторинг сервисов;

·  Мониторинг доменов;

·  Мониторинг системы.

Схема монитора приведена на рисунке.

Рисунок. Структура монитора СОН Emerald.

Каждый из мониторов имеет одинаковую архитектуру и состоит из модуля сбора данных, модулей сигнатурного анализа и анализа отклонений от нормального поведения, модуля resolver, объединяющего результаты анализа. Каждый монитор имеет также объект ресурсов, описывающий конфигурацию.

На самом низком уровне монитор пробует обнаружить следы вторжения на уровне сервисов, анализируя данные аудита и выполняя сигнатурный анализ и анализ отклонений от нормального поведения для отдельных хостов и сетевых сервисов сети.

На уровне доменов монитор обрабатывает данные от мониторов сервисов, пытаясь рассмотреть атаки на систему более глобально. На уровне системы, используя данные от мониторов доменов, проводится анализ взаимодействий между доменами. На уровне всей сети могут быть обнаружены такие атаки как сетевые черви. Все мониторы СОН связаны между собой и один монитор может затребовать данные для анализа непосредственно у другого.

Как было сказано ранее, Emerald использовал технику статистического анализа впервые предложенную в системах IDES и NIDES. В данной СОН техника усовершенствована путем обобщения понятия профиля, отделив управление профилем от анализа профиля.

При сигнатурном анализе, мониторы сервисов выполняют поиск известных сценариев атак. Мониторы более высоких уровней выявляют атаки направленные на различные части системы. Resolver также служит интерфейсом для интеграции в Emerald внешних компонентов СОН, создает отчеты, полученные при сигнатурном и статистическом анализе, обеспечивает интерфейс администратора, а также формирует реакцию на атакующее воздействие.

Достоинством СОН Emerald является его распределенная, масштабируемая и открытая архитектура. К недостаткам можно отнести сложность администрирования системы.

Stat

Система NetStat (предыдущая версия данного продукта называлась STAT) был разработана в университете Калифорнии в Санта-Барбара. Данная система использует анализ переходов состояний вычислительной системы и функционирует в реальном времени. Данный подход базируется на том, что система переходит из нормального в скомпрометированное состояние через последовательность состояний, вызванных нарушителем.

Обычные СОН хоста выявляют признаки атаки путем анализа данных аудита системы. В системе NetStat данные аудита пропускаются через «анализатор аудита», который фильтрует и обобщает информацию аудита. Полученное обобщение, называемое сигнатурой, более удобно для анализа и восприятия человеком, является основой СОН NetStat.

Сигнатуры проводят систему через последовательность состояний, причем каждое из этих состояние является «более близким» к скомпрометированному. Последовательность, определяющая вторжение, определяется как переход состояний, который может быть обнаружен с помощью продукционной экспертной системы.

Первая реализация данного метода, СОН хоста, называлась USTAT и состояла из:

·  Препроцессора;

·  Базы знаний (база фактов и база правил);

·  Машины логического вывода;

·  Машины принятия решения.

Препроцессор фильтровал и преобразовывал данные в форму независимую от формата файла аудита. База правил СОН хранит правила перехода из состояния в состояние, соответствующие предопределенным атакам. База фактов СОН хранит динамически изменяющееся состояние системы с учетом возможных текущих вторжений.

На основании информации генерируемой препроцессором, текущего состояния (из базы фактов), машина логического вывода определяет, произошло ли изменение состояния и обновляет базу фактов. Машина логического вывода оповещает машину принятия решения о возможном вторжении. Машина принятия решения оповещает администратора системы или выполняет какие-то другие действия. Преимуществом данного подхода является:

·  атака может быть распознана до того, как система перешла в скомпрометированное состояние;

·  возможность определения атаки инициированной несколькими источниками (т. к. атака основана не на действиях конкретного субъекта, а на анализе состояния системы).

NSTAT расширил возможности USTAT на случай хостов подключенных к сети. Данная СОН учитывает возможность разделения файлов, влияние команды mount одного пользователя на других пользователей сети. NSTAT имеет одну машину принимающую решения и хотя уступает по производительности USTAT для локальной машины, имеет возможность обнаруживать атаки с других хостов сети.

Последняя разработка в данном семействе СОН – система Netstat состоит из зондов, расположенных на хостах сети. Каждый зонд состоит из препроцессора, базы знаний, машины логического вывода и машины принятия решения. Зонды могут функционировать автономно, но могут при необходимости и обмениваться информацией о предполагаемом вторжении.

Зонды управляются и конфигурируются с помощью единого анализатора. Анализатор определяет, какие и где события должны быть подвергнуты мониторингу, а также другие данные необходимые для анализа вторжения.

5.1.5. Bro

СОН Bro разработан в Lawrence Livermore National Laboratory с целью исследования надежности СОН. Иными словами, были исследованы характеристики СОН, которые определяют способность самого СОН противостоять атакам. Цели разработки Bro включали:

·  мониторинг при высокой загрузке – способность СОН функционировать при высокой скорости передачи данных без отбрасывания пакетов (защита от атак типа flooding);

·  оповещение в реальном времени – своевременная реакция на атаку;

·  отделение механизма от политики – разделение фильтрации данных, идентификации событий и реакции на события, определенной в политике безопасности приводит к более четкому проектированию и реализации ПО, а также облегчает его поддержку;

·  расширяемость системы – большое количество атак наряду с частым обнаружением новых уязвимостей требует от СОН возможности легкого добавления сценариев обнаруживаемых атак;

·  способность раннего предотвращения атак.

Структура Bro представлена на рисунке.

Рисунок. Структура Bro.

Bro разработан с использованием трехуровневой иерархии функций.

На нижнем уровне Bro использует библиотеку libcap. Это позволяет абстрагировать функциональность СОН, связанную с обнаружением нарушителя от деталей сети, а также отбросить ненужные для анализа пакеты на низком уровне.

Следующий уровень – уровень событий, осуществляет проверку целостности заголовков пакетов. При некорректно сформированном заголовке пакета генерируется соответствующее событие, а пакет отбрасывается.

Следующая проверка проводится на третьем уровне после полной сборки пакета. Пакеты со второго записываются в очередь для обработки интерпретатором сценария политики. Интерпретатор сценария политики реализован на языке Bro, использующем строгую типизацию для поддержки определения таких сетевых концепций как порт, домен и т. д. Интерпретатор связывает события с кодом, а затем интерпретирует код. Исполнение кода приводит к дальнейшей обработке данных, генерации оповещения или записи данных.

Bro был исследован на 25 Мбс FDDI сети и мог анализировать 200 пакетов в секунду.

5.2. Коммерческие СОН.

Коммерческие СОН в настоящее время строятся по сигнатурному принципу. В коммерческие СОН чаще всего входят сетевой компонент, но есть и СОН, использующие комбинированный подход. В отличие от свободно-распространяемых и исследовательских коммерческие СОН должны обладать:

·  Высокой производительностью;

·  Удобной настройкой;

·  Большой постоянно обновляющейся базой сигнатур атак.

К «недостаткам» коммерческих СОН относится цена (тысячи долларов), что может быть неприемлемой суммой расходов на безопасность информации организации в России. Из рассматриваемых ниже систем в ценовом плане можно выделить два отклонения - Cisco Systems NetRanger (стоит около 20 тысяч долларов) и Network Ice Black Defender (стоит около 40 долларов).

5.2.1. Internet Security Systems Real Secure 3.2

В состав программного продукта входят как СОН хоста, так и СОН сети. В Real Secure 3.2 можно обнаруживать как сетевые атаки (сканирование портов, удаленные атаки переполнения буфера), так и локальные атаки на хост (неудачные попытки logon, модификация реестра).

Real Secure состоит из модуля обнаружения атак на хост (RealSecure System Agent), модуля обнаружения атак на сеть (RealSecure Network Engine) и модуля администрирования (RealSecure Management Console, RealSecure Detector Controller).

Модуль обнаружения атак на сеть выполняется на выделенной станции сети. Модуль обнаружения атак на хост анализирует данные аудита хоста с целью обнаружения известных атак. Все данные от модулей обнаружения передаются административному модулю. Необходимо отметить, что модули обнаружения используют одинаковый формат оповещения об атаке и хранят данные о работе в единой базе данных.

При обнаружении сетевых атак помимо стандартных действий (завершение работы системы, завершение сеанса пользователя или запрет использования учетной записи пользователя) возможно как переконфигурирование МЭ, так и определенные пользователем действия. При обнаружении атак на хост помимо стандартных действий возможно завершение подозрительного процесса и блокировка учетной записи пользователя.

При разработке системы соблюдается баланс между эффективным механизмом обнаружения атак (обнаруживает атаки направленные на переполнение буфера, известные уязвимости в CGI-скриптах, отказ в обслуживании) и удобным представлением результатов работы пользователю (можно просматривать всю относящуюся к вторжению информацию, базируясь на типе атаки, нарушителе или цели атаки). К недостаткам данного продукта можно отнести ограниченные возможности настройки, а также невозможность определения атак, связанных с фрагментацией пакетов.

Необходимо отметить, что данный продукт в настоящее время является безусловным лидером на рынке коммерческих СОН.

work Security Wizards Dragon IDS

Dragon построен на основе сбора пакетов в сети и преобразовании собранного трафика с помощью нескольких простых фильтров. Данное средство конфигурируется из командной строки, выводит отчет в простое Web-окно и может быть рекомендовано для пользователей знакомых с ОС UNIX. Сигнатуры как и у Network Flight Recorder являются «открытыми» в том смысле, что хранятся в текстовом файле и построены на основе простого множества инструкций (при этом язык написания сигнатур не так гибок как n-code Network Flight Recorder, но гораздо более прост), так что пользователь может легко настраивать множество сигнатур. Система справилась с обнаружением атак при фрагментации пакетов (в отличие от других СОН имеющих данную функцию производительность сети при этом снижалась не сильно). В целом Dragon можно охарактеризовать как мощное и надежное средство для высококвалифицированных пользователей. Основным недостатком Dragon является неудобство его использования.

5.2.3. Axent Technologies Intruder Alert и NetProwler.

Программный продукт состоит из СОН хоста Intruder Alert и сетевого СОН NetProwler. Axent называет NetProwler «динамически изменяющимся анализатором сигнатур», что означает возможность оценки по IP трафику данных протоколов высокого уровня в режиме реального времени, а также внесения новых сигнатур атак в СОН без необходимости ее перезапуска. NetProwler содержит большую базу удаленных атак для различных ОС (около 200 сигнатур), а также возможность конструирования профиля сигнатуры с использованием мастера подсказок. Примерами определяемых NetProwler атак служат атаки отказа в обслуживании, несанкционированный доступ, поиск уязвимостей и нарушение политики безопасности системы. Пользователь может определять новые атаки на основе единичных, повторяющихся а также серии событий. Сигнатура атаки содержит четыре элемента: примитив поиска (шаблон строки), примитив значения (значение или область значений), зарезервированные слова (такие как IP), а также ОС или приложение, связанные с атакой.

Система обладает удобным интерфейсом выполненном на основе Java и доступном посредством программы просмтора Web. Данное средство позволяет оценивать не только IP пакеты, но и данные протоколов высокого уровня, таких как Telnet, SMTP, IRC и т. д. Доступ к данным NetProwlerвозможен на основе Microsoft Access и SQL.

Система конфигурируется менее удобно чем Real Secure, что относится также и к интеграции сетевого и хостового компонента СОН. К недостаткам можно отнести также необнаружение по умолчанию некоторых сетевых атак связанных с отказом в обслуживании.

work Flight Recorder NFR Intrusion Detection Appliance 4.0

Network Flight Recorder (NFR) – единственная коммерческая СОН, поддерживающая концепцию открытого исходного кода (свободно как исследовательская версия раздаются исходные тексты NFR 2.0), что способствует ее популярности.

NFR также, как Shadow, Snort и Bro, основан на библиотеке libcap. Сбор и анализ данных обычно проводятся на одной и той же станции вне МЭ. Копии NFR могут быть помещены в стратегических точках контролируемой сети для обнаружения внутренних нарушителей. После выделения пакета, модуль принятия решения фильтрует его и собирает. Для анализа пакета используется встроенный язык описания сигнатур атак (N-code). Соответствующие программы фильтрации компилируются в байт-код и затем исполняются.

NFR имеет ряд особенностей позволяющих собирать telnet, ftp и Web статистику. К недостаткам данной системы можно отнести не очень удобный интерфейс пользователя. Другим недостатком системы является небольшая база сигнатур поставляемых вместе с продуктом. Данный недостаток, по замыслу разработчиков, должен быть компенсирован наличием встроенного языка описания сигнатур атак, позволяющего пользователю создать собственную базу.

Ranger Cisco

NetRanger является сетевой СОН реального времени масштабируемой до уровня предприятия. NetRanger состоит из нескольких генераторов событий и систем первичного анализа (сенсоров) и одного или более управляющих модулей (Directors), связанных системой Post-Office. Все сенсоры основаны на аппаратном обеспечении Cisco, а управляющие модули являются программными. Сенсоры располагаются в ключевых точках сети и могут анализировать как заголовок пакета, так и его содержимое. Сенсор может анализировать атаку на основе одного или нескольких пакетов с помощью экспертной системы базирующейся на правилах. Распознаются следующие категории атак:

·  именованные атаки (известные под определенным именем);

·  общие атаки (со множество вариаций);

·  необычные атаки (со сложной сигнатурой).

Кроме использования предопределенных атак пользователь может задавать атаки самостоятельно. Кроме стандартных реакций, связанных с записью атаки, оповещением о ней, и прерыванием подозрительного соединения, сенсор может заблокировать сеть, из которой осуществлялась атака.

Управляющий модуль отвечает за централизованное управление сенсорами, включая удаленное распространение сигнатур на сенсоры и сбор данных от них для дальнейшего анализа безопасности. Из соображений производительности управляющий модуль не отвечает за отчетность. Данная задача возложена на стороннюю СУБД, которой передает данные управляющий модуль.

К достоинствам NetRanger можно отнести хорошую производительность, масштабируемость, а также принадлежность к семейству продуктов Cisco. К недостаткам следует отнести высокую цену.

5.2.6. CyberSafe Corp. Centrax 2.2

Программный продукт состоит из СОН хоста и сетевого СОН. Centrax состоит из командной консоли и агента. Данные модули аналогичны сенсору и управляющему модулю в СОН NetRanger. Агенты в отличие от NetRanger могут быть предназначены для сбора информации от хоста или от сети.

Все собранные данные передаются на командную консоль для дальнейшей обработки. Агент хоста вызывает потрею производительности системы около 2-5 %. Для повышения производительности сетевые агенты располагаются на отдельных машинах.

Агент хоста поддерживает 170 сигнатур (включая троянские кони, вирусы, изменение паролей), тогда как агент сети поддерживает только 40 сигнатур.

Каждая атака вызывает в Centrax собственную предопределенную реакцию, в том числе завершение работы системы, завершение сеанса пользователя или запрет использования учетной записи пользователя.

Командная консоль отвечает за централизованное управление и состоит из компонентов типа менеджера и редактора. Менеджер агентов отвечает за взаимодействие с агентом, менеджер оценки исследует хосты на уязвимость, а менеджер предупреждений отвечает за вывод информации об атаках и реакцию на них. Редакторы отвечают за изменения в сигнатурах, принципы сбора данных и организацию отчетов. Агенты периодически архивируют собранные данные и передают их в СУБД для дальнейшей обработки.

Командная консоль выполняется под управлением Windows NT, тогда как агенты функционируют под управлением Windows NT и Solaris.

Система обладает удобным интерфейсом и легко конфигурируется. СОН хоста функционирует на базе определяемых администратором сети политик безопасности и обнаруживает большое количество возможных нарушений для ОС Windows NT (являясь лучшим решением в данной области).

СОН сети имеет небольшую базу сигнатур атак, что является безусловным недостатком.

work Ice Corp. BlackIce Defender and Enterprise Icepac 1.0

Программный продукт состоит из СОН хоста и сетевого СОН. Так же в него включен персональный межсетевой экран для ОС Windows 95, Windows 98 и Windows NT. BlackIce Defender умеет работать с фрагментированными пакетами и обладает достаточной базой сигнатур. Система обладает возможностью блокировки IP адреса, если с него обнаружена атака, на 24 часа (временное ограничение блокировки связано с тем, что адрес источника атаки мог быть подделан нарушителем).

Данную СОН ввиду своей низкой цены можно позиционировать как СОН для дома или СОН для малого бизнеса. К недостаткам можно отнести неудобное средство представления анализа нарушений безопасности.

Таблица 1. СОН хоста.

Таблица 2. СОН сети

5.3. Расположение сетевых СОН.

Расположение модулей сбора данных сетевых СОН определяется следующими условиями:

·  эффективности работы СОН;

·  размера и топологии сети;

·  стоимости.

Рассмотрим различные варианты размещения сенсорных модулей сетевых СОН.

1. На хостах сети. Сетевые СОН могут быть помещены на хостах сети в non-promiscuous режиме. При этом сетевой СОН интегрируется с СОН хоста. Достоинством данного способа размещения СОН является:

·  отсутствие проблем, связанных с передачей шифрованных данных;

·  отсутствие проблем, связанных с зашумленностью сигнатур (см. глава 6).

К недостаткам данного метода безусловно следует отнести низкую эффективность, связанную с:

·  наличием излишних сенсоров сетевых СОН в сегменте сети;

·  необходимостью тратить вычислительные мощности хоста сети на обнаружение нарушителя.

Необходимо отметить, что в качестве сенсора для хоста сети идеально подходит СОН хоста.

2. На каждом критическом сегменте внутренней сети.

Типовой фрагмент СОН, контролирующей деятельность сегмента сети, показан на рисунке 5.2.

Рисунок 5.2. Фрагмент сети контролируемый СОН.

На данном рисунке приведен фрагмент сети, в котором можно выделить следующие модули СОН: клиент СОН хоста, клиент СОН сети и сервер СОН. Клиенты СОН могут выполнять следующие функции:

·  сбора данных об активности в вычислительной системе;

·  фильтрации данных перед передачей их на сервер СОН;

·  взаимодействия с сервером безопасности;

·  реализации на хосте реакции определенной сервером в случае обнаружения вторжения;

3. За МЭ во внутреннем периметре сети. Периметр сети определяется администратором и отделяет внутреннюю сеть организации от внешней. Обычно в периметр сети включают:

·  МЭ – отделяющий внутреннюю сеть от внешней;

·  Серверы и модемные входы (для сервиса dial-up) – определяют точки входа в сеть;

Размещение модуля сбора данных внутри периметра позволяет обнаружить атаки, проникающие через МЭ.

4. Перед МЭ во внешнем периметре сети. Размещение модуля сбора данных вне периметра позволяет обнаружить атаки на МЭ. Но при этом становятся возможными атаки на модуль сбора данных СОН. Кроме того соображения безопасности требуют размещения сервера СОН внутри периметра сети. Связь между модулем сбора данных и сервером СОН должна осуществляться через МЭ, возможно, с использованием технологии VPN.

Оптимальным с точки зрения защиты (но не по стоимости) является, естественно размещение модулей сбора данных внутри и вне периметра сети.

5.4. Обеспечение безопасности СОН.

Кроме отслеживания атак на систему СОН должна контролировать собственную безопасность. Достигнута данная цель может быть с применением следующих методов:

1. Самоконтроль. СОН должна осуществлять мониторинг собственной деятельности и анализировать возможность несанкционированного вмешательства или сбоев при работе СОН, предоставляя набор возможных ответных действий при обнаружении признаков некорректной работы.

2. Использование при работе скрытных техник. В процессе функционирования СОН должна использовать техники, которые являются "невидимыми" для контролируемой сети, что приводит к меньшей уязвимости СОН.

3. Обеспечение безопасности консоли управления СОН. Данный метод реализуется на основе:

·  аутентификации пользователей на консоли управления СОН;

·  контроля доступа на консоли управления СОН (например, пользователь может просматривать события, но не имеет права изменять конфигурацию);

4. Использование безопасных методов связи между компонентами СОН. Должна контролироваться целостность сообщений, передаваемых между компонентами СОН. Это может быть достигнуто на основании: верификации целостности сообщений (например, с помощью цифровой подписи), шифрования сообщений и т. д.