Your SlideShare is downloading. ×
Как превратить маршрутизатор Cisco в межсетевой экран?
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Как превратить маршрутизатор Cisco в межсетевой экран?

676
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
676
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Как превратить маршрутизатор Cisco в межсетевой экран? Сергей Кучеренко 19 сентября 2013 serg.kucherenko@getccna.ru
  • 2. О  чем  мы  поговорим:   §  Рекомендации  по  дизайну  защищенных  сетей   §  Продукты  по  обеспечению  информационной  безопасности  Cisco,  их  место  в   архитектуре  сети     §  Функционал  безопасности  в  Cisco  IOS   §  Технология  Cisco  Zone  Based  Firewall   §  Интеграция  IOS  и  облака  ScanSafe   §  Демонстрация  настройки  ZBF  и  работы  IOS  ScnaSafe  Connector  
  • 3. Дизайны  и  архитектуры  –  зачем  и  почему?   §  Организации  и  отдельные  люди  становятся  все  более  зависимыми  от  сетей   §  Угрозы  усложняются,  а  их  количество  увеличивается   §  Новые  тренды  не  делают  обеспечение  безопасности  проще  (BYOD/ Virtualizadon/Cloud)     У  нас  всегда  есть  два  пути:                                1.      Строить  по  наитию        2.    Опереться  на  лучше  практики     VS  
  • 4. Дизайны  и  архитектуры  –  эволюция  Cisco   Cisco  SAFE  2000  год:     §  Модульный  подход   §  Многоуровневая  защита   §  Рекомендуемый  дизайн   §  Независимость  от  производителя   §  Позволяет  повысить  уровень  защищенности   Cisco  SAFE  2009  год:     §  Защищенная  сеть  на  основе  решений  Cisco   §  Инфраструктура  маршрутизации  и   коммутации  как  часть  защиты   §  Подход  Self-­‐Defending  Network  
  • 5. Cisco  Borderless  Network  2010  год  –  подход  к   сетевой  архитектуре  с  учётом  новых  трендов:     §  Размытость  корпоративного  периметра   §  Мобильные  сотрудники   §  Облачные  сервисы   §  Виртуализация   Cisco  Smart  Business  Architecture:     §  Рекомендации  по  проектированию  различных  модулей  сети   §  Рекомендации  по  настройке  оборудования   §  Рекомендации  планированию  внедрения  отдельных  технологий   §  Рекомендации  по  настройке  отдельных  технологий   Cisco  Secure-­‐X  Architecture  –  идеология,  предполагающая   контроль  и  управление  доступом  на  основе  контекста     Кто?  Как?  Откуда?  Куда?  Какое  приложение?  
  • 6. Продукты  и  технологии  обеспечения  безопасности   §  Cisco  ASA  –  многофункциональное  устройство  обеспечения  безопасности  с  поддержкой   технологий  Statefull  Firewall/Applicadon  Inspecdon/Intrusion  Prevendon/High  Availability/ Virtualizadon/Content  Security     §  Cisco  IPS  –  сетевая  система  предотвращения  вторжений  с  поддержкой  сигнатурного/ репутационного/поведенческого  анализа   §  Cisco  Web  Security  Appliance  –  прокси-­‐сервер  с  функционалом  URL  фильтрации/Malware   protecdon/DLP   §  Cisco  Email  Security  Appliance  –  специализированый  MTA  с  функционалом  защиты  от  SPAM/ Viruses/Zero-­‐day  A„ack/DLP   §  Cisco  Wireless  IPS  –  функционал  Wireless  LAN  Controller  по  предотвращению  атак  на   беспроводную  инфраструктуру   §  Cisco  ISE  –  центральный  компонент  системы  контекстного  доступа.   Выполняет  Аутентификацию  пользователей/оценку  соответствия   рабочей  станции  корпоративным  политикам/Динамической   определение  типа  устройства/назначение  меток  безопасности/              Создание  и  распространение  ACL  на  основе  меток  
  • 7. §  VPN  –  набор  технологий,  призванных  обеспечить  защищенное  взаимодействие  Сеть-­‐Сеть/ Устройство-­‐Сеть/Устройство-­‐Устройство   Компоненты:   §  Cisco  ISR   §  Cisco  Catalyst/Nexus   §  Cisco  ASA   §  AnycConect     §  Cloud  Web  Security  –  перенаправление  пользовательского  трафика  для  анализа  и  наложения   политик  в  облако  ScanSafe   Компоненты:   §  Cisco  ISR   §  Cisco  ASA     §  Cisco  TrustSec  –  набор  технологий  по  предоставлению  контекстного  доступа.  Основные  элементы:   Проверка  рабочих  станций/Доступ  на  основе  Security  Group  Tag/Шифрование  на  L2   Компоненты:   §  Cisco  ISE  –  основная  точка  настройки  политик   §  Routers/Switches/ASA/WLC  –  наложение  политик   §  Cisco  NAC  Agent  –  проверка  рабочей  станции  
  • 8. Продукты  и  технологии  безопасности   в  архитектуре  сети   Управление   Филиал   WAN   Ведомственная  Сеть   Комплекс  Зданий   Партнеры   Ядро   ЦОД   Интернет   Внешние   организации   Internet   Удаленные   работники   Cisco   SIO     Идентификация  и  авторизация  пользователей  и  устройств  
  • 9. Модуль  доступа  в    Интернет   Реализуем:   Управление  доступом   §  §    §  §  Политики  доступа  между  зонами  доверия   Организация  и  управление  доступом  удалённых   пользователей  SSL  VPN     Cisco   ASA   Политики  использования  WEB     Политики  использования  email     WSA   ESA   Противодействие  угрозам   §  §  §    §  §    §  Предотвращение  вторжений  на  уровне  сети   Использование  SIO  для  ускорения  работы  IPS   Выявление  аномалий   Cisco   IPS   Защита  от  spam   Защита  от  вирусов  и  атак  в  email   ESA   Защита  от  вирусов  и  атак  в  web   WSA  
  • 10. Модуль  ведомственной  сети     Реализуем:   Безопасное  взаимодействие   §  §  GET  VPN  для  WAN-­‐взаимодействия   DMVPN  phase  3  для  организации  резервных  каналов   Cisco   через  Интернет     ISR   Управление  доступом   §  §  Разграничение  доступа  ZPBFW   Защита  Management  Plane  и  Control  Plane   Cisco   ISR  
  • 11. Модуль  внешних  организаций   Реализуем:   Безопасное  взаимодействие   §  §  Политики  взаимодействия  с  внешними   Cisco   организациями   ASA   Организация  защищённых  соединений   Противодействие  угрозам   §  §  §  Предотвращение  вторжений  на  уровне  сети   Использование  SIO  для  ускорения  работы  IPS   Выявление  аномалий   Cisco   IPS  
  • 12. Модуль  Кампуса   Реализуем:   Управление  доступом   §  §    §  Идентификация  устройств  и  пользователей   Cisco   Наложение  политик  авторизации   ISE   Сегментация  сети   SGT   ACL   Противодействие  угрозам   Безопасное  взаимодействие   §  L2-­‐шифрование   MacSec   §    §  Противодействие  L2-­‐атакам   Контроль  радиоэфира   Cisco   Switches   Cisco   WLC  
  • 13. Модуль  ЦОД   Реализуем:   Управление  доступом   §    §  Политики  доступа  между  зонами  доверия  на  основе   групповой  принадлежности  пользователя   SGT   ACL   Управление  доступом  как  между  физическими   серверами,  так  и  между  виртуальными  машинами   Cisco   ASA   Противодействие  угрозам   Безопасное  взаимодействие   §  L2-­‐шифрование   MacSec   §  §  §  Предотвращение  вторжений  на  уровне  сети   Использование  SIO  для  ускорения  работы  IPS   Выявление  аномалий   Cisco   IPS  
  • 14. Филиал   Управление  доступом   §  §  §  Безопасное  взаимодействие   Идентификация  пользователей   Разграничение  доступа  ZPBFW   Защита  Management  Plane  и  Control  Plane   Cisco   ISR   Противодействие  угрозам   §  §  Предотвращение  вторжений  IOS  IPS   Защита  web-­‐доступа  (ScanSafe  Connector)   Cisco   ISR   §  §  GET  VPN  для  WAN-­‐взаимодействия   DMVPN  phase  3  для  организации   резервных  каналов  через  Интернет   Cisco   ISR  
  • 15. Удаленный  пользователь   Управление  доступом   §  §  Аутентификация  в  проводных  и  беспроводных  сетях   Оценка  здоровья  рабочей  станции   Безопасное  взаимодействие   §  §  §  SSL  VPN   IPSec  VPN  с  поддержкой  IKEv2   L2-­‐шифрование  MacSec     Противодействие  угрозам   §  Интеграция  с  облаком  ScanSafe  
  • 16. Функционал  безопасности  в  Cisco  IOS*   §  AAA  Framework  –  структура  аутентификации,  авторизации  и  учета,  позволяющая   контролировать  и  управлять  как  доступом  администраторов  на  устройство,  так  и  доступом   пользователей  сквозь  устройство,  применяется  в  большом  количестве  функций  безопасности   §  IOS  Firewall  –  на  текущий  момент  IOS  Zone  Based  Policy  Firewall**   §  IOS  IPS  –  система  предотвращения  вторжений  встроена  в  IOS,  имеет  поддержку  большого   количества  сигнатур   §  FPM  –  Flexibility  Packet  Matching,  технология,  позволяющая  писать  собственные  сигнатуры  для   противодействия  новым  атакам   §  Authenscason  Proxy  –  аутентификация  пользователя  при  попытке  доступа  сквозь  устройство  с   динамическим  назначением  прав  доступа   §  IOS  Foundason  Protecson  –  набор  технологий,  обеспечивающий   защиту  операционной  системы  и  основных  функций   маршрутизатора   *  –  Исключая  технологии  VPN   **  –  детально  будет  рассмотрен  далее  
  • 17. Технология  Cisco  Zone  Based  Firewall   Современная  реализация  межсетевого  экрана  в  Cisco  IOS.  Zone  в  названии  означает,  что   администратор  применяет  политики  доступа  не  между  отдельными  интерфейсами,  а  между  зонами.   Зона  может  состоять  из  одного  и  более  интерфейсов.  К  функциям  ZPF  относятся:     §  Statefull  Firewall   §  Applicason  Inspecson   §  User  Based  Policy   §  IP  to  SGT  mapping  on  ISR   §  Transparent  Firewall   §  ZBF  High  Availability  
  • 18. Statefull  Firewall     Функционал,  обеспечивающий  сохранение  сессионной  информации  для  трафика,  идущего   между  зонами  (разрешённый  трафик  выбирает  администратор),  и  автоматический  пропуск   ответных  пакетов.   Protocol   Source  IP   Source  Port   Dest.  IP   Dest.  Port   Timeout   UDP   192.168.1.10   1024   1.1.1.10   53   20s   TCP   192.168.1.10   1025   1.1.1.1   80   3600s   DNS  Server   1.1.1.10   WEB  Server   vk.com   1.1.1.1   Internet   S_IP:1.1.1   S_IP:1.1.10   S_IP:192.168.1.10   S_IP:192.168.1.10   S_Por:1024   S_Por:1025   D_Por:1024   D_IP:1.1.1.10   D_IP:1.1.1.1   Data:  DNS  Resp   D_Por:53   D_Por:80   Data:  DNS  Req   Data:  h„p  req   S_Por:53   D_IP:192.168.1.10   S_Por:80   192.168.1.10   D_IP:192.168.1.10   D_Por:1025   Data:  h„p  Resp  
  • 19. §  Applicason  Inspecson  –  функционал  ZBF,  решающий  ряд  задач:     ü  Распознавание  приложений  –  IOS  знает  заранее,  какое  приложение  на  каком  порту   искать                  Администратор  имеет  возможность  добавлять  порты  в  стандартные  приложения  и              создавать  собственные  приложения.   ü  Открытие  дополнительных  соединений  для  динамических  приложений  (ex:  FTP/SIP…)         ü  Deep  Applicadon  Inspecdon  –  глубокая  инспекция  целого  ряда  приложений.  Дает   возможность  принимать  решения,  основываясь  на  информации  L7  (Блокировать   определенный  URL/Тип  файла  в  h„p/Почтовый  ящик/…)  
  • 20. §  User  Based  Policy    –  функция,  работающая  совместно  с  Authendcadon  Proxy  и  дающая   возможность  назначать  политики  на  основе  групповой  принадлежности  пользователя.     1.  При  создании  политик  ZBF  используются  имена  пользовательских  групп  и  к  этим   группам  привязываются  перечни  разрешённых  протоколов   2.  Пользователь  начинает  инициировать  соединения  через  интерфейс,  на  котором   настроено  правило  authendcadon  proxy   3.  В  браузере  появляется  запрос  на  ввод  login/password   4.  Ввод  пользователем  login/password   5.  Маршрутизатор  пересылает  credendals  user  на  сервер  AAA   6.  Сервер  возвращает  вместе  с  результатом  аутентификации  атрибут  “supplicant-­‐group”  
  • 21. §  IP  to  SGT  mapping  on  ISR  –  технология,  позволяющая  интегрировать  технологию  Security   Group  Tag  с  ZBF.  Данный  функционал  применяется  для  написания  правил  в  межсетевом   экране  центрального  офиса  на  основе  SGT.     1.  Идентификация  пользователя  в  филиале  (Auth-­‐Proxy  or  802,1x)   2.  Информация  о  соответствии  SGT  to  IP  передается  с  маршрутизатора  филиала  на   маршрутизатор  центрального  офиса   3.  При  настройке  ZBF  на  центральном  роутере  в  качестве  идентификаторов  групп  были   использованы  SGT,  к  каждой  группе  назначается  список  разрешённых  протоколов  
  • 22. §  Transparent  Firewall  –  вариант  развертывания  ZBF,  при  котором  в  Zone  добавляются   интерфейсы,  принадлежащие  к  одной  bridge-­‐group     Bridge-­‐Group  –  группа  интерфейсов  в  IOS,  при  объединении  в  которую  все,  что  за  ними   находится,  попадает  в  единый  broadcast-­‐domain             §  ZBF  High  Availability  –  новый  функционал,  появившийся  начиная  с  IOS  15.2(3)T,   отказоустойчивость  основана  на  технологии  SSO  (Statefull  Switchover).  При  реализации  ZBF   HA  нам  доступна  как  схема  Acdve-­‐Standby,  так  и  схема  Acdve-­‐Acdve  
  • 23. Понятия  ZBF   Zones:     §  Zone  –  структура,  состоящая  из  одного  или  нескольких  интерфейсов   §  Zone–Self  –  специальная  зона  для  управления  трафиком,  входящим  в  маршрутизатор  и   покидающем  его   §  Zone  Pair  –  пара  зон,  где  одна  указывается  как  Source,  а  другая  как  Desdnadon.  Политика  для   прохождения  трафика  привязывается  к  zone  pair   Session  Table:   192.168.1.100:1024>>>195.5.5.10:80   Check   OUTSIDE  zone   195.5.5.0/24   192.168.1.0/24   INSIDE  zone   zone-­‐pair  IN_OUT  source  INSIDE  dessnason  OUTSIDE   Internet   DMZ  zone   zone-­‐pair  OUT_DMZ  source  OUTSIDE  dessnason  DMZ   192.168.2.0/24   Session  Table:   195.5.5.10:1024>>>192.168.2.10:80   Check  
  • 24. Policy  L3/L4:     §  Class  Map  (L3/L4)  –  компонент  конфигурации,  описывающий  интересный  трафик  с  помощью   ACL  либо  же  указания  протокола  (h„p/dns…).  Также  может  использоваться  комбинация  этих   вариантов  –  в  этом  случае  нас  интересуют  только  данные  определенных  протоколов  с/для   определенных  IP-­‐адресов.              Note:  Если    используется  только  ACL,  будет  проводиться  простая  statefull  инспекция  без                                    анализа  приложений       §  Policy  Map  (L3/L4)  –  компонент  конфигурации,  отвечающий  за  применения  действий  для   одного  или  нескольких  классов              Варианты  действий:   ü  Inspect  –  выполнять  инспекцию  (Statefull  +  applicadon  inspecdon  если  class  с  протокол)   ü  Pass  –  пропустить,  информация  о  сессии  не  сохраняется   ü  Drop  –  сбросить  то,  что  попало  под  этот  класс.  Здесь  же  можно  добавить  log   ü  Police  –  наложить  ограничение  на  скорость  трафика,  попавшего  под  класс   ü  Service  –  Policy  –  указать  для  этого  класса  глубокую  инспекцию  одного  из  приложений.   Для  глубокой  инспекции  используется  L7  Policy  Map  
  • 25. Policy  L7:     §  Class  Map  (L7)  –  поиск  по  специфичным  для  приложения  параметрам  (ex:  HTTP  -­‐  URI)   §  Policy    Map  (L7)  –  политик  для  применения  действий  к    L7  Class.  Не  для  всех  классов   приложений  есть  политики.  Некоторые  классы  приложений    описываются  в  одной  политике   (ex:  P2P  policy  для  классов  kazaa2/gnutella…)              Варианты  действий  при  попадании  трафика  в  класс:  allow/log/rest  
  • 26. Parameter  Map:     §  Parameter  Map  Inspect  –  задает  ограничения  на  соединения  и  управляет  aler/audit-­‐trail.   Parameter  map  применяется  с  помощью  указания  ее  имени  после  ключевого  слова  inspect  в   L3/L4  policy  map   §  Parameter  Map  Regex  –  описывает  pa„erns  с  помощью  регулярных  выражений.  В  одной   regex  parameter  map  можно  задать  несколько  pa„erns,  между  ними  срабатывает  правило   “ИЛИ”.  Далее  созданные  regex  map  используются  для  Match  в  L7  Class  Map  
  • 27. Факты  ZBF   §  Zone  должна  быть  создана  перед  добавлением  в  нее  интерфейсов   §  Интерфейс  может  быть  добавлен  только  в  одну  Zone   §  Трафик  между  интерфейсам  в  разных  Zone  запрещен   §  Трафик  между  интерфейсам  в  одной  Zone  разрешен*   §  Чтоб  трафик  проходил  между  интерфейсам  в  разных  Zone,  для  них  должна  быть  создана   Zone  pair,  в  которой  должна  быть  назначена  политика  с  действием  Inspect  или  Pass   §  Трафик  между  Self  Zone  и  всеми  другими  зонами  неявно  разрешен     *  –  начиная  с  IOS  15.0(1)M,  логика  изменилась.  Теперь  без  наличия  политики   трафик  блокируется  между  интерфейсами  в  одной  zone  
  • 28. §  Трафик  между  интерфейсом,  не  являющимся  членом  зоны,  и   интерфейсами,  входящими  в  зоны,  запрещён   §  ZBF  работает  после  NAT  –  это  значит,  что  если  мы  описываем  политику  для   сервера  в  Inside/DMZ,  адрес  которого  транслируется,  в  ACL,  созданном  для   политики,  нужно  указать  inside  local  address  (серый  IP)   §  Если  на  интерфейсе  члене  Zone  назначен  ACL  –  этот  ACL  всегда  проверяется                раньше  политик  ZBF.  Одновременное  использование  ZBF  и  ACL  не              рекомендуется  
  • 29. Интеграция  IOS  и  облака  ScanSafe   Начиная  с  версии  IOS  15.2(1)T1  появилась  поддержка  ScanSafe  Connector     ScanSafe  Connector  –отвечает  за  перенаправление  в  облако  web-­‐безопасности  ScanSafe   пользовательского  h„p  и  h„ps-­‐трафика.  При  перенаправлении  происходит  инкапсуляция   пользовательских  пакетов  и  их  зашифровка  (в  качестве  транспорта  используется  SSL)     Кроме  перенаправления,  происходит  добавление  информации  о  состоянии  аутентификации   пользователя  (Group  name/Username)     Для  аутентификации  можно  использовать  базу  LDAP  или  локальную  базу  данных  маршрутизатора     Аутентификация  может  происходить  в  двух  режимах:   §  HTTP-­‐Basic    –  при  инициировании  h„p/h„ps  ISR   перенаправляет  запрос  пользователя  на  адрес   virtual-­‐proxy,  с  этого  адреса  отправляется  запрос   на  аутентификацию   §  NTLM  –  принцип  тот  же,  но  если  пользователь   выполнил  вход  в  систему,  под  доменной  учетной   записью  аутентификации  проходит  прозрачно  
  • 30. Компоненты  IOS  ScanSafe  Connector:     §  ldap-­‐server  –  компонент  конфигурации,  отвечающий  за  подключение  к  серверу  ldap  и   хранящий  параметры  этого  подключения     §  aaa  group  server  –  компонент,  объединяющий  несколько  серверов  в  группу,  при  настройке   правил  аутентификации  и  авторизации,  в  качестве  точки  проверки  указывается  эта  группа   §  aaa  authenscason/aaa  authorizason  –  правила  проведения  аутентификации  и  авторизации   пользователей   §  parameter-­‐map  type  content-­‐scan  –  элемент  конфигурации,  отвечающий  за  подключение  к   облаку  ScanSafe,  здесь  указывается:   ü  Адреса  серверов  для  подключения   ü  Ключ  лицензии   ü  Что  делать  в  случае  отсутствия  связи  с  облаком     §  ip  admission  –  элемент  конфигурации,  управляющий  аутентификацией  и                авторизацией  пользователей.  
  • 31. Модели  использования  IOS  Security   Large/Medium  Enterprise  Model   Управление   Филиал   WAN   Ведомственная  Сеть   Комплекс  Зданий   Ядро   ЦОД   Интернет   Внешние   организации   Internet   Cisco   SIO     Центральный  офис:   §  ZBF  на  основе  SGT  для  предоставления  доступа  к  ресурсам   головного  офиса   Филиал:   §  ZBF  для  сегментации   внутренней  сети  офиса   §  Аутентификация  и  присвоение   SGT   §  ScanSafe  при  необходимости   минимизировать  трафик  через   центральный  офис  
  • 32. Small  Enterprise  Model   §  §  §  §  §  ZBF  для  сегментации  внутренней  сети  офиса   ZBF  для  контроля  доступа  из  вне   Authendcadon  Proxy  для  контроля  доступа  на  основе  групповой  принадлежности   IOS  IPS  для  защиты  от  атак   ScanSafe  для  защиты  web-­‐доступа  
  • 33. Топология  демонстрационного  стенда   Интернет   192.168.100.0/24   .4   192.168.32.0/24   .2   AD/DNS   .5   Test  PC  1  
  • 34. Полезные  ссылки:     Пошаговая  настройка  ZBF  (демонстрация)   h„ps://docs.google.com/file/d/0B0VvUTk8KGW¥FlsSmJmN0x0T3M/edit?usp=sharing     Финальная  конфигурация   h„ps://docs.google.com/file/d/0B0VvUTk8KGWfSlcwUElMVlFwZmM/edit?usp=sharing     Security  Configurason  Guide:  Zone-­‐Based  Policy  Firewall   h„p://www.cisco.com/en/US/docs/ios-­‐xml/ios/sec_data_zbf/configuradon/15-­‐1mt/sec-­‐data-­‐zbf-­‐15-­‐mt-­‐book.html     BRKSEC-­‐3007  –  Advanced  Cisco  IOS  Security  Features  (2012  London)   h„ps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true     Cisco  ISR  Web  Security  with  Cisco  ScanSafe  Soluson  Guide   h„p://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SoludonGuide.pdf     Как  защитить  сеть  от  web-­‐угроз  с  помощью  Cisco  WSA   h„p://www.youtube.com/watch?v=mdYlK3CscZc&feature=c4-­‐overview&list=UUmpxXbPEgcbw2EcXBu8DYrw     Новая  Cisco  ASA:  тотальный  контроль  над  пользователем   h„p://www.youtube.com/watch?v=2Quzk8qr06w     Практические  советы  по  выбору  и  настройке  Cisco  VPN   h„p://www.youtube.com/watch?v=J2OPdwsqKXs&list=TLgZ5EeIEQZnE  
  • 35. И  напоследок:     h“ps://www.youtube.com/user/SkillFactoryVideo     h“p://www.slideshare.net/SkillFactory     h“p://skillfactory.smepad.ru/events/