NAT для безопасности сети

← →
miek (2008-07-25 12:07) [0]

Интересует такой вопрос.
Является ли (в настоящее время) NAT препятствием для атаки из интернета (имеется в виду сканирование и ддос)? И еще: есть ли разница, сколько NAT-ов отделяют интернет от локалки предприятия?

← →
antonn © (2008-07-25 12:11) [1]

ну если так прикинуть - пришел "односторонний" (в смысле не вызван запросом клиента за натом) пакет на wan роутера, куда его роутер должен отправить? :)

← →
Сергей М. © (2008-07-25 12:15) [2]

> Является ли ..NAT препятствием для атаки
> из интернета

Не является. И не являлась.
NAT- это всего лишь технология, и у нее иные задачи.

← →
tesseract © (2008-07-25 13:22) [3]

Под *nix и пакетные фильтры в принципе объединены. NAT может защитить внутреннюю сеть от атаки. Т.К не даёт прямого доступа к ней.

← →
Сергей М. © (2008-07-25 13:34) [4]

> NAT может защитить внутреннюю сеть от атаки

Но никак не защищает хост, на котором работает сама NAT.
Защита от упомянутых атак - задача файрволов и пакетных фильтров.

← →
oldman © (2008-07-25 13:35) [5]

> Является ли (в настоящее время) NAT препятствием для атаки
> из интернета

Полную гарантию может дать только страховой полис ©

← →
Anatoly Podgoretsky © (2008-07-25 14:37) [6]

> miek (25.07.2008 12:07:00) [0]

НАТ к этом отношения не имеет, СОВСЕМ, вопрос абсурден.

← →
isasa © (2008-07-25 15:52) [7]

Anatoly Podgoretsky © (25.07.08 14:37) [6]
НАТ к этом отношения не имеет, СОВСЕМ, вопрос абсурден.

Наверное имеется ввиду, что случайно, на внешний ИП:порт, которому в данный момент в динамической таблице трансляции есть реально сопоставленный внутренний ИП:порт - придет бяка ...
Фух, витиевато закрутил.

← →
Сергей М. © (2008-07-25 15:55) [8]

> isasa © (25.07.08 15:52) [7]

> на внешний ИП:порт .. придет бяка

Она и без НАТа придет)

← →
Anatoly Podgoretsky © (2008-07-25 16:04) [9]

> есть реально сопоставленный внутренний ИП:порт - придет
> бяка ...

Обязательно придет, автор сам сказал это.

> имеется в виду сканирование и ддос

Только НАТ то при чем тут. НАТ то не здесь, а там (с) Черномырдин.

← →
Сергей М. © (2008-07-25 16:21) [10]

Просто под НАТом частенько подразумевают не собственно НАТ, а весь комплекс технологий, присущих полноценному межсетевому экрану - фильтация, маршрутизация, собственно трансляция сетевых адресов, UPnP-сервис и т.д.

← →
miek (2008-07-28 11:00) [11]

спасибо за ответы. еще один вопрос: можно ли извне (из интернета) просканировать порты компьютера, заходящийся за 3-мя роутерами с НАТ (прокси-сервер, адсл-модем, прокси провайдера)?

← →
Anatoly Podgoretsky © (2008-07-28 11:06) [12]

> miek (28.07.2008 11:00:11) [11]

Можно

← →
Slym © (2008-07-28 12:48) [13]

miek (28.07.08 11:00) [11]
сканировать нинадо - это накладно...
напесадь заразу которая на localhostе жертвы все выяснит и вышлет по указанному адресу - дешевле...
а передать заразу можно многими путями

← →
Сергей М. © (2008-07-28 22:27) [14]

> miek (28.07.08 11:00) [11]

Ты вообще к чему гнешь ?

Давай уже почесноку - что учудить-то затеял ?)

← →
isasa © (2008-07-28 22:39) [15]

Если страшно, вынь кабель и надень на кончик презерватив...

Прокси, они разные. Если прокси HTTP, то сканирование я слабо представляю ...

← →
Anatoly Podgoretsky © (2008-07-28 23:09) [16]

> isasa (28.07.2008 22:39:15) [15]

HTTP-Прокси к НАТ не имеет отношения, как и к сканированию, чего то не видимого снаружи.

← →
miek (2008-07-29 09:11) [17]

>Давай уже почесноку - что учудить-то затеял

ничего. просто интересно было, есть ли принципиальная возможность просканировать меня, сидящего в локалке за тремя нат.

← →
Сергей М. © (2008-07-29 09:24) [18]

> miek

> 3-мя роутерами с НАТ (прокси-сервер, адсл-модем, прокси
> провайдера)

Ни одно из перечисленных тобой устройств не обязано являться устройством, реализующим NAT-функциональность.

← →
Anatoly Podgoretsky © (2008-07-29 10:27) [19]

> miek (29.07.2008 9:11:17) [17]

Вон проскакал неуловимый Джою

← →
miek (2008-07-29 17:46) [20]

>не обязано являться

в данном случае я точно знаю, что все три - являются.

← →
isasa © (2008-07-29 18:43) [21]

Anatoly Podgoretsky © (28.07.08 23:09) [16]

HTTP-Прокси к НАТ не имеет отношения, как и к сканированию, чего то не видимого снаружи.

:)
Это не я так думаю, это, судя по [11] топикстартер так думает ...

"Смешались в кучу, кони, люди ..."

← →
isasa © (2008-07-29 18:45) [22]

miek (29.07.08 09:11) [17]
ничего. просто интересно было, есть ли принципиальная возможность просканировать меня, сидящего в локалке за тремя нат.

:)
Не, ну это фобия какая то.
Поставь софтовый файрволл, типа OutLook-а, или Kerio Personal. Он скажет, когда писец ...

← →
Сергей М. © (2008-07-29 20:32) [23]

> miek (29.07.08 17:46) [20]

Откуда знаешь-то ?

Откровение с небес свалилось ?

Трындишь ведь и не краснеешь)

← →
antonn © (2008-07-29 20:37) [24]

господа, если вам есть что сказать - вы скажите, не надо соревноваться в том кто лучше пнет упиваясь осознаем того, что вы кое что знаете в этой области, а собеседник - нет.

← →
Сергей М. © (2008-07-29 20:44) [25]

> antonn © (29.07.08 20:37) [24]

Здесь не ликбез по сет.администрированию.

Это раз.

Автор безапелляционно утверждает "я точно знаю".

Это два.

← →
Сергей М. © (2008-07-29 20:51) [26]

> вы скажите

Уже сказано.

NAT <> прокси-сервер
NAT <> адсл-модем,
NAT <> прокси провайдера

← →
Сергей М. © (2008-07-29 20:57) [27]

Но, в то же время, современная NAT действительно есть посредник (прокси, proxy) при межсетевом взаимодействии на основе IPv4.

Эра IPv6 туманна в своей перспективе, но она призвана быть могильщиком всей этой НАТ-свистопляске)

← →
antonn © (2008-07-29 21:29) [28]

> Сергей М. ©

задело, да? :)

> Здесь не ликбез по сет.администрированию.

А почему бы и нет, совсем даже ликбез, но не форум, да. "Прочее", околокомпьютерная тематика, никто никого не заставляет отвечать. А то иногда такое чуйство, что отвечающие нехотят отвечать потому что за такие ответы где то платят, а вот тут никто не заплатит - работа забесплатно, типа :)
Мне вот интересно было, что скажут знающие люди в теме про роутер и светодиод, жаль тему удалили, стало действительно интересно, пошел выдернул из циски кабель, для проверки :)

>
> Автор безапелляционно утверждает "я точно знаю".

и? плохо точно знать, что адсл-модем с НАТом?

← →
Сергей М. © (2008-07-29 21:32) [29]

> плохо точно знать, что адсл-модем с НАТом?

Нет в модемах никаких НАТов)

Модем это модем, а НАТ это НАТ)

← →
antonn © (2008-07-29 21:37) [30]

ширше надо смотреть, ширше :)
сейчас модемы такие прикольные, не только в себе НАТ имеют, но и дхцп, фаервольчег, фильтры по пакетам и прочую мишуру. Правда называются роутеры, но "по-народному" модемы :)

← →
Сергей М. © (2008-07-29 21:38) [31]

> что скажут знающие люди в теме про роутер и светодиод

Роутеру индефферентны светодиоды, он делает свое дело - маршрутизирует инф.пакеты.

← →
antonn © (2008-07-29 21:39) [32]

> Роутеру индефферентны светодиоды, он делает свое дело -
> маршрутизирует инф.пакеты.
>

это лишь бы сказать? %)))))
да, не спорить ну буду, речь шла вообще то о другом :))

← →
Сергей М. © (2008-07-29 21:44) [33]

> но "по-народному" модемы

По-народному - это далеко не по-падонкаффски. И не по-тинейджерски.

Это раз.

Даже если автором под "модемом" подразумевается "прикольная" коробочка, реализующая, в т.ч., и NAT-ф-ции, то это вовсе не значит, что какие-то там "прокси" являются НАТами лишь на основании "я знаю")

← →
Сергей М. © (2008-07-29 21:47) [34]

> это лишь бы сказать?

А к чему в этом топике какие-то там "светодиоды" ?

Разве они имеют к НАТ реляции ?)

Или всуе, типо кажный о своем, о девичьем ?)

← →
Сергей М. © (2008-07-29 21:50) [35]

> antonn

НАТ, любезный, есть НАТ.

Это просто Трансля[тор|ция] Сетевых Адресов, не более и не менее того.

← →
antonn © (2008-07-29 21:53) [36]

> Даже если автором под "модемом" подразумевается "прикольная"
> коробочка, реализующая, в т.ч., и NAT-ф-ции, то это вовсе
> не значит, что какие-то там "прокси" являются НАТами лишь
> на основании "я знаю")

так, уже лучше, значит сознаем, что адсл-модемчег может быть с НАТом, осталось так же мелкими шажками дойти до того, чтобы осознать, что и на тех устройствах тоже может быть НАТ, и вполне вероятно что автор об этом знает.

адсл-роутер, в народе все же модем:
http://www.dlink.ru/products/prodview.php?type=23&id=557
буквоедством как то седня не хочется заниматься, поэтому не буду давить на то, что якобы автор точно не уточнил, что его модем является роутером с НАТ, а просто написал подем.

Вернемся к НАТу. насколько я понимаю, при трансляции пакета через wan и ожидание на ответ он дописывает какую то информацию в него (либо у себя где нибудь, выяснять и буквоедствовать сейчас мне влом, будет поверхностно рассуждать), по которой можно идентифицировать таргет, кому же внутри сети от должен будет отдать его (ответ). Вопрос - не зная таргета (сканер сети, да и присто удар "на удачу") кому должен будет прийти пакет? Имхо очень даже похоже на то, что эта технология хоть немножко, но позволяет помешать сканированию и долбежку определенного компьютера, если не знать его точных координат. так?

← →
antonn © (2008-07-29 21:54) [37]

> А к чему в этом топике какие-то там "светодиоды" ?
>
> Разве они имеют к НАТ реляции ?)

нет, просто это тоже немного к сетевому администрированию было, но нет, не к НАТу, более приземленные вещи :)

← →
Сергей М. © (2008-07-29 22:05) [38]

> буквоедствовать сейчас мне влом, будет поверхностно рассуждать

Вот именно)

Подходим к "дну" - НАТ НАТе рознь.

Ты о какой конкретно ?

← →
antonn © (2008-07-29 22:07) [39]

Network Address/Port translation

поговорим о том, какие разные они бывают? :)

← →
isasa © (2008-07-29 22:13) [40]

Вот мне нравится народ. Ну и где в названии сего девайса слово модем?

DSL-524T
Маршрутизатор ADSL/ADSL2/ADSL2+ со встроенным 4-х портовым коммутатором 10/100 Мбит/с и расширенными функциями QoS.

То, что один из интерфейсов сопрягается через модем, еще не значит, что всю байду можно обозвать модемом.

По аналогии я свою железяку могу обозвать коммутатором (DI-604), хотя она коммутатор+роутер (4LAN+1WAN).

На коробке написано Internet Broadband Router, а то, что один порт RJ-45, или RJ-11 это детали реализации. Есть модификации с добавленной WiFi точкой доступа ...

← →
isasa © (2008-07-29 22:16) [41]

antonn © (29.07.08 22:07) [39]

поговорим о том, какие разные они бывают? :)

:)
По классике, только два
1. Статическая(порт мапинг) - один к одному
2. Динамическая - один ко многим.

← →
Сергей М. © (2008-07-29 22:22) [42]

Ну давай поговорим)

imho, симетричный НАТ и конусный (полный/ограниченный конус) НАТ имеют ощутимо разные степени безопасности с т.з. потенциальных атак извне) ..

Имеются возражения ?

← →
Сергей М. © (2008-07-29 22:24) [43]

> где в названии сего девайса слово модем?

Нету его)

Он типо "по-народному" в модемы навечно записан)

← →
isasa © (2008-07-29 22:33) [44]

Короче, если следовать пословице
"Не бери дурного в голову, а тяжелого в руки"

Волноваться нужно в двух случаях
1. Если назначить на одну из машин внутренней сети DMZ(на IP)
2. Если назначить на одну из машин внутренней сети "виртуальный сервер"(IP:PORT)

Вот за них и надо волноваться...

← →
Сергей М. © (2008-07-29 22:37) [45]

> isasa © (29.07.08 22:33) [44]

Автор, видать, каким-то неведомым ему макаром "попал" на DMZ, вот и бъет тревогу.

← →
isasa © (2008-07-29 22:43) [46]

Сергей М. © (29.07.08 22:37) [45]

Автор, видать, каким-то неведомым ему макаром "попал" на DMZ, вот и бъет тревогу.

:)
Видать динамическая трансляция не пошла. "Интернуту" не было. Надо выключать DMZ ...

← →
antonn © (2008-07-29 22:48) [47]

> isasa © (29.07.08 22:13) [40]
>
> Вот мне нравится народ. Ну и где в названии сего девайса
> слово модем?
> То, что один из интерфейсов сопрягается через модем, еще
> не значит, что всю байду можно обозвать модемом.

эти девайсы настолько обыденны, что железяка, "даваемая интернет" через привычный телефонный кабель (как и предыдущая типа Акорп 56к КОМ, тока немного другой модуляции %)) по привычке называется модем.
и обозвать можно, только некоторые буквоежки будут путаницу вводить :) к тому же автор в первых постах вообще не говорил ничего о всяких модемах-проксях.

> imho, симетричный НАТ и конусный (полный/ограниченный конус)
> НАТ имеют ощутимо разные степени безопасности с т.з. потенциальных
> атак извне) ..
>
> Имеются возражения ?

возрожений нет, есть вопрос - так все таки НАТ может содействовать повышению безопасности? true? :)

← →
isasa © (2008-07-29 23:14) [48]

antonn © (29.07.08 22:48) [47]

возрожений нет, есть вопрос - так все таки НАТ может содействовать повышению безопасности? true? :)

В данном случае речь идет о динамическом.
Невозможно инициировать соединение со стороны одного(внешнего). Т.к. в таблице трансляции сопоставимого внетреннего адреса "скорее всего" нет ...

← →
antonn © (2008-07-29 23:21) [49]

> isasa © (29.07.08 23:14) [48]

ну значит ведь все же может быть ситуация true? :)
я это еще в [1] пытался сказать.

причем столкнулся с такой ситуацией. Знакомый позвонил, очень бы помогла удаленка. Но на той стороне чайник, через ipconfig (все что пришло в голову в тот момент) узнал, что у него 192.168.1.2, немножко обломился :)
и сам вопрос - я могу узнать внешний ИП (у знакомого роутер (ака модем :)) типа как выше по ссылке) и знаю внутренний сетевой, каким образом я могу законектиться на его тачку по какому нибудь dameware/radmin? или хотя бы по шарам? :) для полноты ощущения на удаленной тачке win2k и знакомый несколько чайник :)

← →
Anatoly Podgoretsky © (2008-07-30 01:02) [50]

> antonn (29.07.2008 21:37:30) [30]

То что называется рутером, рутером по определению не является.

← →
miek (2008-07-30 09:04) [51]

>Невозможно инициировать соединение со стороны одного(внешнего).
вот именно это я и хотел узнать.

для справки:
это DSL-2540U: ADSL-модем(он же роутер)

>еще не значит, что всю байду можно обозвать модемом
можно, потому что так его назвал производитель

← →
Сергей М. © (2008-07-30 09:50) [52]

> я могу узнать внешний ИП (у знакомого роутер (ака модем
> :)) типа как выше по ссылке) и знаю внутренний сетевой,
> каким образом я могу законектиться на его тачку по какому
> нибудь dameware/radmin? или хотя бы по шарам?

Собственно никак, если на его шлюзе не настроен соответствующий форвардинг пакетов.

А нафих оно надо ? Если твой хост тем или иным образом маршрутизируем извне, для упомянутой цели сервером может выступать твой хост, "знакомому" же будет достаточно на огурцах объяснить, как инсталлировать у себя, скажем, OpenVNC-клиента (он инсталлируется без лишних вопросов). Он же, его VNC-клиент, после коннекта к твоему VNC-серверу, сам сможет выступать как сервер, и ты при этом получишь вполне достаточный доступ к его хосту.

← →
antonn © (2008-07-30 12:36) [53]

> Сергей М. © (30.07.08 09:50) [52]

говорю ж, чайник на том конце провода, точнее в другом здании в другой части города, вот и хотел я к нему через инет подрубиться :) думаю если бы у него был ИП выдаваемый провом, я же смог бы подрубиться? по Ип то...

← →
Сергей М. © (2008-07-30 12:48) [54]

> я же смог бы подрубиться?

А к чему ?

RDP-сервис на винтукейной раб.станции напрочь отсутствует ..

Радмин и прочие приблуды "чайник" вряд ли сам установит ..

К чему ты хотел "подрубиться", будь даже его хост маршрутизируемый извне ?

← →
Сергей М. © (2008-07-30 12:51) [55]

Или ты только доступ к его шаре имел ввиду ?

antonn © (29.07.08 23:21) [49]
знаю внутренний сетевой, каким образом я могу законектиться на его тачку по какому нибудь dameware/radmin?

TeamViewer.exe могёт, даже если не знаешь на внешний, ни внутренний :о)
Запускаешь на том конце и у себя.

> Сергей М. © (30.07.08 12:48) [54]

ДамВаре ставится автоматически (удаленно) при первом коннекте, желательно ввести админский пароль на целевой тачке.

> на целевой тачке.

от целевой тачки :)

> ДамВаре ставится автоматически (удаленно)

Он там, на голой чайной машинке, откуда взялся, этот самый ДамВаре ? С луны свалился ?)

> при первом коннекте

К кому ?)

Т.е. к какому сервису ?

"Коннект к тачке" - термин, достойный, полного валенка, и "за отмазку не канается")

> Он там, на голой чайной машинке, откуда взялся, этот самый
> ДамВаре ? С луны свалился ?)

стоит тачко в сети (чистая, только залили, даже в домен не вогнали), открываю Дамваре у себя, выбираю контицо по сети, ввожу ИП целевой тачки, жму коннект - она спрашивает установить клиент дамваре на удалаенной тачке? канешно, говорю я, и через 10-15 секунд я вижу рабочий стол удаленной машины :)
Номано? :)

> antonn © (30.07.08 19:16) [61]

Антоша, не согласишься ли, любезный, умерить свой доморощенный сленг, если ты нуждаешься в помощи ?)

Не надо уже свое откровенное дилетантство прикрывать идиотскими сленговыми затычками)

Как-то не вяжется это с твоими якобы "взрослыми" рассуждениями про NAT)

А на вопрос, откуда это самое "Дамваре" там взялось, потрудись все-таки ответить..

это все вредное общество кетмара виновато, не бейте дяденька %)

Дамваре там не взялось, дамваре у меня взялось, купил я его и поставил у себя. На целевую тачку оно ставится удаленно. ну вот совсем удаленно, надо только знать адрес компа в сети, и будь он хоть пять минут как с чистоустановленной ОС - дамваре туда поставится при первом моем коннекте на тот компьютер. Устроено оно так :)

ну вот считай - увидел шару целевого копьютера - сможешь зайти по дамваре (если порты конечно не закрыты)

> надо только знать адрес компа в сети

В какой сети ?

> увидел шару целевого копьютера - сможешь зайти по дамваре

Не ври.

Виндовая Шара - это сервис, позволяющий манипулировать доступом к файловым ресурсам по чтению/записи, но никак не по экзекуции.

Короче, Антоша, до свидания, с тобой все ясно.
Найми админа и не забудь напоить его пивом)

>
> Короче, Антоша, до свидания, с тобой все ясно.
>

Счастливо, Сережа (уж извините, любезно-ласкательно-языительный тон я могу пропустить раз, два, но надоедает). Я не заставляю.
шара не выполнит. Увидел шару (admin$ - да, я про нее), значит очень большая вероятность коннекта. но да ладно, не буду заставлять и ставить в глупое положение, спасибо и на этом :)

> Eraser © (30.07.08 19:51) [66]

где? желательно пополнее рассказать, действительно интересно и я ошибаюсь, буду рад услышать объяснение не в буквоедствующем тоне :) (зы - шара admin$)

> [67] antonn © (30.07.08 20:42)

шара $admin открыта почти на всех компьютерах, без пароля она бесполезна. но суть не в этом, удаленная установка, в т.ч. в случаес с dmware, реализована совершенно с пом. других механизмов. Грубо говоря, чтобы удаленно установить программу нужно, чтобы на уд. машине был выключен "простой общий доступ к файлам" (по-умолчанию он включен), а так же был извесен и установлен пароль на админа (если пароль пустой - работать не будет). Есть такой нюанс, что дмваре кэширует атрибуты доступа и сохраняет, поэтому если когда-то один раз ввел пароль, потом его может и не спрашивать.
По моему это все очевидно, иначе можно было бы смело зайти на машину к любому )

> Сергей М. © (30.07.08 19:50) [65]
>
>
> > надо только знать адрес компа в сети
>
>
> В какой сети ?

а вот и еще один вопрос касающийся сабжа, где вопрос частично был true, зато радостных попинаков на страницу... :(
и вот именно про это я и спрашивал - если бы клиент имел модем не маршрутизатор (а какой нибудь усб), где сетевое подключение иницировалось на самом компе и в нете он бы имел ИП выдаеный провом, вот тогда я бы попробывал подключиться (например удаленный рабочий стол в ХР работает, только юзеров нужно растолкать по группам). А если клиент находится за натом в своей внутренней сети, то получается я не смогу у нему пробиться (за исключением поправок сделаных выше), и вот про это я и спрашивал - как можно. Если у кого то мало регистров чтобы охватить всю информацию разом - ну что, я не виновал, нечего было спрашивать :) а то полетело "что за дамваре", "а как она поставится"...

> [69] antonn © (30.07.08 20:48)

> А если клиент находится за натом в своей внутренней сети

никак, разве что через виртуальный тонель вроде хамачи, но это отдельный разговор.

> По моему это все очевидно, иначе можно было бы смело зайти
> на машину к любому )

пароль локального админа я знаю (и он не пустой, винду заливают с диска для "тихой" установки, там все есть, так же как я был ранее у знакомого и завел админа заранее (до этого был старый модем, я через удаленный рабочий стол коннектился, а сейчас он апгрейд сделал))

> [71] antonn © (30.07.08 20:49)

> пароль локального админа я знаю

тогда если отключен "простой общий доступ" и есть сетевой доступ - можно смело устанавливать хоть dmware, хоть что нибудь получше.

> Eraser © (30.07.08 20:49) [70]

угу, но вот читая сообщения Сергея думается что он знает какое то кун-фу, раз тал долго к чему то подводил своими распросами :)

кстати, по идее я так же не смогу получить даже пользовательские шары в такой внутренней сети? проверить неначем...

> и есть сетевой доступ

вот, а вопрос то - как получить и можно ли вообще. ответ "низя" меня вполне бы устроил (если он таковым и должен являться) и небыло бы кучи офтопа.
уточню еще раз - я могу узнать только ИП маршрутизатора и внутренний ИП компьютера, есть юзер Админ, но больше чем уверен, что на маршрутизаторе все настройки по дефолту, никаких включеных дмз и прочее, нат и может быть дхцп :( Т.е. без каких либо телодвижений со стороны пользователя и при вышеописанных данных я не могу получить доступ к шаре?

муршрутизаторовский :)
яж говорю, я раньше через удаленный рабочий стол ХР сидел :)

> [76] antonn © (30.07.08 21:02)

если есть доступ к маршрутизатору - отконфигурируй его нужным образом - все будет работать.

> antonn (30.07.2008 20:48:09) [69]

Не сможешь, без специальных действий с его стороны, ну и что, многих это не останавливает, они умудряются сделать проходной двор и за НАТом

← →
wp2 (2008-07-31 01:54) [79]

заходите на сайт http://leader.ru/secure/who.html и узнаете ваш реальный IP-адрес...

NAT для безопасности сети Найти похожие ветки