Tải bản đầy đủ (.docx) (87 trang)

Báo cáo đồ án tốt nghiệp xây dựng thiết bị trinh sát mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.07 MB, 87 trang )

1
MỤC LỤC
MỞ ĐẦU
Ngày nay, thế giới đang ngày một phát triển, công nghệ thông tin đóng một vai trò
quan trọng trong, không thể thiếu trong mọi lĩnh vực của đời sống. Số lượng máy tính
gia tăng, đòi hỏi hệ thống mạng phải phát triển theo để đáp ứng nhu cầu kết nối toàn
cầu. Hệ thống mạng ngày một phát triển đòi hỏi khả năng quản trị để có thể duy trì
hoạt động của mạng một cách tốt nhất. Vì vậy người quản trị mạng cần một công cụ
hỗ trợ khả năng quản trị.
Đối với một hệ thống mạng, để có thể duy trì mạng hoạt động tốt thì có
rất nhiều thứ phải quản trị như là hiệu năng mạng, lưu lượng mạng, các
ứng dụng chạy trên mạng, người sử dụng mạng, an ninh mạng. Security
Information Event Management (SIEM) là một giải pháp hoàn chỉnh, đầy
đủ cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông
tin cho một hệ thống. Đây là công nghệ được các chuyên gia bảo mật rất
2
quan tâm trong thời gian gần đây. Nó sử dụng các phương pháp phân tích
chuẩn hóa và mối tương quan giữa các sự kiện để đưa ra cảnh báo cho
người quản trị.
Được sự hướng dẫn nhiệt tình của thầy giáo, Tiến sĩ Hoàng Tuấn Hảo,
em đã tìm hiểu, nghiên cứu đề tài: “Xây dựng thiết bị trinh sát mạng”. Đề
tài tập trung tìm hiểu mô hình SIEM, nghiên cứu mô hình thiết bị hệ
thống riêng biệt và tùy chọn trong mã nguồn mở OSSIM, từ đó tích hợp
các công cụ an ninh mạng vào thiết bị và ứng dụng lập trình di truyền
trong bài toán phát hiện xâm nhập trong vào thiết bị.
Do lượng tài liệu chủ yếu bằng tiếng anh và kiến thức còn hạn chế nên
không tránh khỏi những thiếu sót, rất mong nhận được sự đóng góp của
thầy cô và các bạn.
Chương 1
TỔNG QUAN VỀ QUẢN TRỊ HỆ THỐNG AN NINH MẠNG
Ngày nay mạng internet đã lan rộng và phát triển rất mạnh mẽ. Kéo theo nhu cầu


trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về viễn thông và
công nghệ thông tin không ngừng phát triển ứng dụng để nâng cao chất lượng và
lưu lượng truyền tin.
Từ đó các biện pháp bảo vệ thông tin dữ liệu cũng không ngừng đổi mới đảm bảo
tính toàn vẹn và bảo mật cho việc lưu trữ và truyền thông tin trong các hệ thống máy
tính. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá tình truyền không
thể đọc được bởi bất kì người dùng trái phép và toàn vẹn dữ liệu đó trong khi truyền
dẫn không bị sửa đổi hoặc tạo ra bởi bất kì người dùng trái phép nào thông qua mạng.
1.1 Tổng quan về quản trị mạng
Có thể khái quát công việc quản trị mạng bao gồm:
3
 Quản trị cấu hình, tài nguyên mạng: Bao gồm các công tác quản lý, kiểm soát cấu hình,
quản lý tài nguyên cấp phát cho các đối tượng sử dụng khác nhau.
 Quản trị người dùng, dịch vụ mạng: Bao gồm các công tác quản lý người sử dụng trên
hệ thống và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng đảm bảo theo đúng
các chỉ tiêu đã đề ra.
 Quản trị hiệu năng, hoạt động mạng: Bao gồm các công tác quản lý, giám sát hoạt động
mạng lưới, đảm bảo các hoạt động của thiết bị hệ thống ổn định.
 Quản trị an ninh, an toàn mạng: Bao gồm các công tác quản lý, giám sát mạng lưới, các
hệ thống để đảm bảo phòng tránh các truy nhập trái phép. Việc phòng chống, ngăn
chặn sự lây lan của các loại virus máy tính, các phương thức tấn công như Dos làm tê
liệt hoạt động của mạng cũng là một phần rất quan trọng trong công tác quản trị, an
ninh, an toàn mạng.
 Trong đó hệ thống thông tin quản lý đóng vai trò trung gian giữa hệ thống trợ giúp
quyết định và hệ thống thông tin tác nghiệp với chức năng chủ yếu là thu thập, xử lý
và truyền tin.
1.2 Tổng quan về an ninh mạng
Sự cần thiết phải hội nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng tất cả
trong một là một điều hiển nhiên, làm phát sinh nhanh chóng việc các công nghệ
đưa vào các sản phẩm có liên quan đến an ninh còn non nớt.

Do các nhà quản lý mạng phải cố gắng triển khai những công nghệ mới nhất vào
hạ tầng cơ sở mạng của mình, an ninh mạng trở thành một chức năng then chốt
trong việc xây dựng và duy trì các mạng hiện đại của mọi tổ chức.
An ninh mạng máy tính là tổng thể các giải pháp về mặt tổ chức và kỹ thuật
nhằm ngăn cản mọi nguy cơ tổn hại đến mạng. Các tổn hại có thể xảy ra do: Lỗi
của người sử dụng, các lỗ hổng trong các hệ điều hành cũng như các chương
trình ứng dụng, các hành động hiểm độc, các lỗi phần cứng…
An ninh mạng máy tính bao gồm vô số các phương pháp được sử dụng để
ngăn cản các nguy cơ tổn hại đến mạng và việc đầu tiên phải tập trung vào việc
quản trị, kiểm soát được toàn bộ hệ thống mạng, nhưng trước hết cần tập trung
vào việc ngăn cản: Lỗi của người sử dụng và các hành động hiểm độc. Và mục
tiêu của an ninh mạng máy tính là cần phải đảm bảo ba nguyên tắc nền tảng đó
là: Đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng.
4
Các loại hình tấn công cơ bản:
Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn
nhiều. Một thực tế cho thấy bất bỳ một hệ thống nào dù được bảo vệ chắc chắn
đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. Vì vậy chúng ta cần

phải
xây dựng các chiến lượt bảo mật để có thể từng bước bảo vệ hệ thống an toàn

hơn.
Tấn công chủ động gồm: Tấn công chặn bắt thông tin, tấn công sửa đổi thông tin, chèn
thông tin giả mạo, tấn công từ chối dịch vụ…
Tấn công bị động: Biết được thông tin truyền trên mạng. Có hai kiểu tấn công bị
động đó là khai thác nội dung thông điệp và phân tích dòng dữ liệu. Tấn công này chỉ
biết được người gửi, người nhận trong phần IP Header của gói tin và thống kê tần số
trao đổi, số lượng, độ dài của thông tin chứ chúng không thể chỉnh sửa hoặc hủy hoại
thông tin nội dung trao đổi. Kiểu tấn công này khó phát hiện vì nó không làm thay đổi

dữ liệu và không để lại dấu vết rõ ràng. Biện pháp hữu hiệu để chống lại tấn công này
là ngăn chặn.
1.3 Tổng quan về giám sát thông tin
1.3.1 Khái quát giám sát thông tin
Giám sát công nghệ thông tin, hoặc giám sát hệ thống thông tin, là một sự kiểm
tra các điều khiển trong phần cơ sở hạ tầng trong công nghệ thông tin. Một giám
sát thông tin cần có quá trình thu thập và đánh giá rõ ràng các hệ thống thông tin và
các hoạt

động của một tổ chức. Các đánh giá rõ ràng thu được quyết định nếu hệ
thống thông

tin là bảo vệ tài sản, duy trì tính toàn vẹn dữ liệu, và hoạt động hiệu
quả để đạt được những mục tiêu hay những mục đích của tổ chức.
1.3.2 Mục đích
Để đánh giá khả năng bảo vệ của tổ chức và phân phối đúng thông tin cho các bên ủy
quyền. Việc giám sát thông tin gồm những việc sau:
- Thông tin trong các hệ thống chỉ được tiết lộ cho người dùng có thẩm quyền.
- Những thông tin được cung cấp bởi hệ thống luôn được chính xác, tin cậy và kịp thời.
1.4 An ninh bảo mật mạng
Bởi vì không thể có một giải pháp an toàn tuyệt đối nên chúng ta thường phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn đối
với

các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ
thông tin cất giữ trong máy tính.
5
Vì vậy ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường
truyền, mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào
trong


cho các hệ thống kết nối vào mạng.
- Giám sát quyền truy cập
Nhằm kiểm soát, thống kê được lưu lượng truy cập, sử dụng tài nguyên

của
mạng và quyền hạn trên tài nguyên đó. Hạn chế và phát hiện kịp thời

những
lượng truy cập và sử dụng trái phép tài nguyên mạng.
- Thiết lập tài khoản và mật khẩu
Phương pháp bảo vệ này phổ biến nhất vì nó đơn giản, ít phí tổn và cũng

rất hiệu
quả. Mỗi người sử dụng muốn truy cập vào mạng để sử dụng tài

nguyên đều
phải có một tài khoản và mật khẩu. Trong khi đó, người quản trị

mạng có trách
nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định

quyền truy cập của
những người sử dụng khác.
Trong hoàn cảnh thực tế do nhiều nguyên nhân khác nhau như quên mật

khẩu
hay bị đánh cắp mật khẩu. Người quản trị mạng chịu trách nhiệm đặt mật

khẩu

hoặc thay đổi mật khẩu theo thời gian.
- Mã hóa dữ liệu
Để bảo mật thông tin trên đường truyền chúng ta sử dụng các phương pháp
mã hóa. Dữ liệu bị biến đổi từ dạng nhận thức được theo một thuật toán nào đó và
sẽ được biến đổi ngược lại ở trạm nhận.
- Tường lửa
Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi
h
oặc
nhận vì các lí do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ.
1.5 Yêu cầu đối với thiết bị trinh sát mạng
Theo những phân tích về nhu cầu thực tế, nguy cơ an ninh, giải pháp giám sát an
ninh tập trung cần đáp ứng được một số yêu cầu sau:
• Khả năng quản trị tập trung trên toàn hệ thống. Hỗ trợ cả thiết bị vật lý và thiết bị ảo.
Khả năng triển khai theo mô hình tập trung hoặc phân tán.
• Khả năng thu thập log từ các nguồn: Server, IPS/IDS, Firewall, VPN, Switch, Router,
Anti-virus, Anti-Spam, các hệ thống Authentication, DHCP, DAM, Enterprise
application như Weblogic, Websphere, SAP ERP, POS Qua các giao thức Syslog hoặc
bằng các giao thức như: JDBC, SNMP, SDEE, OPSEC, WMI.
6
• Khả năng lưu trữ tạm thời log tại module thu thập nhật ký khi băng thông bị giới hạn
hoặc đường truyền đứt.Và khả năng lưu trữ log với số lượng lớn, hỗ trợ việc phân tích
file log theo thời gian thực.
• Khả năng tự động xác định các nguồn tạo log (tên các tài sản IT, profile của ứng
dụng ). Và phát hiện ra các lỗ hổng bảo mật của các nguồn tạo log và đưa ra cảnh báo
ngay khi các lỗ hổng bảo mật đó bị khai thác.
• Khả năng chuẩn hoá và so sánh tương quan các log theo thời gian thực cũng như các
dữ liệu trong quá khứ nhằm cung cấp cho người quản trị một bức tranh toàn cảnh về
an ninh thông tin theo thời gian. Tự động update các rules mới để đưa ra các xử lý kịp
thời khi có nguy cơ mất an toàn mạng.

Chương 2
HỆ THỐNG QUẢN LÝ SỰ KIỆN THÔNG TIN AN NINH
Trong nhiều tổ chức, chính sách an ninh hoặc nguyên tắc kinh doanh yêu cầu các
biến cố an ninh phải được lưu trữ để giám sát và xác định các vấn đề an ninh. Thông
tin thu thập được trong các biến cố an ninh thường rất quan trọng để tái tạo chuỗi các
sự kiện trong quá trình điều tra và quản lý an ninh hệ thống. Số lượng thông tin được
tạo ra bởi các thiết bị an ninh và hệ thống có thể rất lớn, trong đó nhiều thông tin
không cần thiết, các kiểu định dạng có thể khác nhau nên tỷ lệ chính xác mà các cảnh
báo được tạo ra thường rất thấp. Hơn thế nữa, các thiết bị khác nhau có thể tạo ra báo
7
cáo về cùng một biến cố an ninh bằng các cách khác nhau mà không có phương pháp
nào để phân biệt được chúng.
Bởi vậy, việc xây dựng hệ thống quản lý sự kiện thông tin an ninh hợp lý sẽ mang
lại lợi ích lớn trong hoạt động quản lý an ninh, làm giảm công sức, tăng hiệu quả làm
việc của những người quản trị hệ thống thông tin trong việc giám sát các thiết bị an
ninh. Việc xây dựng và quản lý hệ thống sự kiện thông tin an ninh hết sức quan trọng,
đòi hỏi kinh nghiệm và công sức của những người quản trị trong thời gian dài.
2.1 Hệ thống mã nguồn mở quản lí sự kiện thông tin an ninh
Sercurity information event management (SIEM) là một giải pháp hoàn chỉnh cho
phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ
thống. SIEM là sự kết hợp một số tính năng của quản lí thông tin an ninh (SEM) và
quản lí sự kiện an ninh (SIM). Trong đó hệ thống mã nguồn mở SIEM có thể được tách
làm hai chức năng:
Sercurity event management (SEM): Thu thập các event log data do các thành phần
(thiết bị, ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu trữ và xử lí,
phân tích các sự kiện rồi lập báo cáo, đưa ra thông báo, cảnh báo liên quan đến an ninh
của hệ thống.
Sercurity information management (SIM): Thông tin được lưu trữ từ SIM, được sử
dụng để báo cáo dữ liệu đăng nhập cho bất kì thời gian nhất định. SIEM được định
nghĩa như một bộ công nghệ gồm:

- Thu thập log: Thu thập dữ liệu từ nhiều nguồn, bao gồm cả mạng, bảo mật, máy chủ,
cơ sở dữ liệu, ứng dụng…cung cấp khả năng hợp nhất dữ liệu được giám sát tránh để
mất các sự kiện quan trọng.
- Tương quan giữa các sự kiện: Tìm kiếm các thuộc tính chung và liên kết các sự kiện
với nhau.
- Nhóm các sự kiện giống nhau.
- Phân tích và luồng thông tin.
Ba yếu tố chính triển khai cho SIEM:
- Tầm nhìn trước mối đe dọa thời gian thực.
- Vận hành hiệu quả.
- Tính tuân thủ và các yêu cầu riêng cho hệ thống quản lí log.
2.2 Một số các SIEM thương mại và SIEM nguồn mở
2.2.1 Một số các SIEM thương mại
a. Giải pháp ArcSight của HP
8
- HP ArcSight là phiên bản sản phẩm bảo mật của HP bao gồm cả HP TippingPoint và
HP Fortify. ArcSight Enterprise Sercurity Manager (ESM) là phần mềm theo định
hướng quy mô lớn, triển khai SEM tập trung.
Hình vẽ 2.1: Mô hình giải pháp ArcSight của HP
- ArcSight Express cung cấp thiết bị dựa trên ESM được thiết kế cho thị trường cỡ vừa
với giám sát và báo cáo định sẵn.
- HP ArcSight cho phép bảo vệ an toàn cho hệ thống thông tin của tổ chức, thông qua
khả năng cung cấp một bức tranh tổng thể về các hoạt động của hệ thống như: các mối
đe dọa từ bên ngoài (malware, hackers), các mối đe dọa từ bên trong (data breaches,
fraud), rủi ro từ các điểm yếu trên ứng dụng và thay đổi cấu hình; đồng thời giải pháp
cho phép tuân thủ các tiêu chuẩn an ninh như PCI DSS, ISO…
Hình vẽ 2.2: Mô hình dữ liệu đặt trưng
- ArcSight Logger cung cấp thiết bị và phần mềm cung cấp thu thập dữ liệu đăng nhập
và chức năng quản lí có thể được thực hiện độc lập hoặc kết hợp với ESM.
- HP ArcSight thực hiện một kết nối hai chiều vào server, cung cấp khả năng lưu trữ dữ

liệu, sự kiện vào môi trường phần cứng để truy cập và phân tích event từ ArcSight.
9
Một kết nối Hadpoop hai chiều chung có sẵn. ArcSight Faster được xem xét cho triển
khai SIEM hạng trung. ESM là sản phẩm thích hợp cho các triển khai lớn hơn.
- Thu thập tất cả mọi thứ: đăng nhập dữ liệu từ bất kỳ thiết bị nào được bố trí trên cơ
sở hoặc trong đám mây, trong đó có công ty SaaS như Salesforce, Box.net và Okta.
- Corre kiến trúc: tối ưu hóa để chạy trên nhiều bộ xử lý, nén dữ liệu cao và nhanh hơn
thông qua sự kiện.
- Phân tích sự kiện: tìm kiếm tương tác hiệu suất cao, toàn diện khoan xuống báo cáo,
và cảnh báo thời gian thực
Ưu điểm:
+ Cung cấp một bộ đầy đủ các tính năng có thể sử dụng để hỗ trợ cho hệ thống trung
tâm an ninh.
+ ArcSight Express cung cấp một lựa chọn triển khai đơn giản SIEM hạng trung.
+ Thiết lập module để theo dõi hoạt động người dùng, quản lí thông tin.
 Tính năng
o HP ArcSight ESM là một mạnh mẽ và linh hoạt các mối đe dọa và nguy cơ giám sát nền
tảng có thể được sử dụng để xây dựng các quy tắc quản lý phức tạp an ninh cần thiết
để ngăn chặn mối đe dọa phức tạp ngày nay.
o FlexConnector phát triển Kit
o Nắm bắt bất kỳ dữ liệu nào từ bất kỳ thiết bị, Hệ thống hoặc ứng dụng bằng cách sử
dụng một đơn giản "kéo và thả" kết nối phát triển khung.
o Đăng nhập quản lý Framework.Quản lý và lưu trữ mỗi sự kiện xảy ra trong môi
trường của bạn một cách an toàn và hiệu quả.
o Directory hội nhập.Đồng bộ hóa người dùng, vai trò và quyền lợi được thông tin từ
thư mục công ty tìm thấy hoạt động trái phép người dùng, chia sẻ tài khoản sử dụng,
và vi phạm chính sách vai trò.
o Web dịch vụ API: Giao tiếp với nhau nó khuôn khổ quản lý để thu thập dữ liệu hoặc
cung cấp thông minh thông tin cho các nhà phân tích, kiểm toán viên và quản lý.
o Sự kiện Nhật ký được lưu trữ hiệu quả hơn để tìm kiếm và cảnh báo xảy ra nhanh

hơn nhiều
b. Giải pháp QRadar của IBM
Qradar SIEM là một giải pháp SIEM mềm dẻo phù hợp cho các doanh nghiệp lớn,
cũng như các doanh nghiệp vừa và nhỏ. Giải pháp IBM Qradar SIEM có thể được triển
khai theo mô hình phân tán hoặc tập trung.
10
Hình vẽ 2.3: Mô hình giải pháp QRadar của IBM
Giải pháp triển khai tập trung của IBM Qradar SIEM bao gồm modul quản trị tập
trung, modul xử lí Event và Modul thu thập event đặt ở các site. Giải pháp triển khai
theo mô hình phân tán của IBM Qradar SIEM rất thuận lợi cho các tổ chức có nhiều
site đặt ở nhiều nơi khác nhau vì các giải pháp này không cần đẩy log ra khỏi các site
để truyền về thiết bị xử lí event.
Qradar SIEM thu thập dữ liệu trên một loại các nguồn cung cấp dữ liệu sử dụng để
xác định và quản lí danh sách tội phạm và khách hàng.
- Ưu điểm:
+ Event Collector sẽ thu thập log từ các thiết bị và đẩy về thiết bị xử lý event (Event
Processor). Trong trường hợp băng thông hạn chế hoặc đường truyền giữa Event
Collector và Event Processor bị đứt. Các log sẽ được lưu vào storage của Event
Collector và được đẩy về Event Processor khi đường truyền được khôi phục.
+ Event Processor sẽ tiến hành so sánh tương quan các log lấy từ Event Collector.
+ Console Appliance thực hiện việc giám sát toàn bộ hệ thống từ việc báo cáo, cấu
hình, áp đặt chính sách cho các site cũng như tiến hành so sánh tương quan ở mức
toàn bộ hệ thống.
+ Module thu thập nhật ký và phân tích (Event Processor): là giao diện làm việc trực
tiếp đến các hệ thống cần thu thập và quản lý nhật ký. Các thiết bị cần quản lý sẽ gửi
log tới Event Collector thông qua Syslog hoặc bằng các giao thức như: JDBC, SNMP,
SDEE, OPSEC Giải pháp của IBM cho phép hỗ trợ thu thập log của thiết bị vật lý và
thiết bị ảo.
+ Module quản trị tập trung: đây chính là các công cụ cung cấp cho người quản trị
thông qua giao diện Web và giao diện QRadar Console. Cung cấp giao diện quản trị tập

trung cho toàn bộ hệ thống SIEM (Security Operation Center). Các giao diện được
phân quyền theo vai trò của người quản trị…
2.2.2 Một số các SIEM nguồn mở
11
a. Apache Lois
Apache LOIS là một công cụ mã nguồn mở được thiết kế như SIEM nhằm
phát hiện sự rò rỉ dữ liệu trong các hệ thống, nhiệm vụ chính của lois là thu thập
và phân tích dữ liệu cũng như báo cáo các sự kiện bảo mật liên quan của hệ
thống đến người quản trị mạng. Vì vậy, nó được sử dụng để tích hợp cho tất cả
các dữ liệu thu thập được như 1 plattform.
Apache LOIS là một bộ sưu tập nhật ký, phần mềm tương quan báo cáo và
chức năng báo động. ALOIS được viết tắt “Advanced Log Data Insight
System" được hiểu là một mã nguồn mở thực hiện đầy đủ các thông tin bảo mật
SIEM và hệ thống quản lí sự kiện. Nhằm giám sát sự an toàn của nội dung, chủ
động trong việc phát hiện khả năng mất, trộm cắp nhầm lẫn sửa đổi hoặc truy
cập trái phép.
Hình vẽ 2.4: Tổng quan về dòng chảy dữ liệu thông qua các module khác nhau
Cấu trúc của Apche ALOIS gồm 5 phần:
+ Insink: Tập hợp các thông điệp (message) đăng nhập khác nhau vào Apache
LOIS. Nó là một phần mềm dựa trên phần mềm syslog lắng nghe các thông điệp
UDP, chờ thông điệp TCP và nhận các bộ sưu tập tin như file, email…trước các
bộ lọc để ngăn chặn sự quá tải từ các thông điệp đến hệ thống.
+ Pumpy: là một bộ đệm FIFO thực hiện như một bảng cơ sở dữ liệu quan hệ
có chứa các thông điệp đến ban đầu.
+ Prisma: phân loại các thông điệp đăng nhập vào các lĩnh vực riêng biệt dựa
trên những biểu thức thông thường. Trên thực tế Prisma là một tập hợp các
12
prismi, mỗi một prisma là một dạng thông điệp đăng nhập. Một số prismi có thể
được áp dụng cho cùng một thông điệp.
+ Dobby là cơ sở dữ liệu log trung tâm.

+ Analyzer gồm hai hệ thống Lizard và Reptor. Lizard là công cụ phân tích
giao diện người dùng của Apache LOIS, nó cho phép tương tác các tình duyệt
thông qua các dữ liệu thu thập được: Loại trừ, lựa chọn dữ liệu, phân loại dữ
liệu, lọc dữ liệu. Reptor cho phép tự động kích hoạt các chế độ xem và so sánh
kết quả của dữ liệu thu thập được với kết quả đã được cấu hình trước đó. Trong
trường hợp kết quả không giống nhau thì reptor sẽ gửi kết quả đến các địa chỉ E-
mail đã được xác định trước.
b. Predule IDS
Là một mã nguồn mở được thành lập vào năm 1998 bởi chuyên gia bảo mật
thông tin Yoann Vandoorselaere, Predule IDS được hình thành nhờ sự quan sát
với một số lượng lớn các hệ thống phát hiện xâm nhập để tang cường an ninh,
an toàn cho hệ thống máy tính.
Predule IDS là một hệ thống “quản lí thông tin và sự kiện an ninh (SIEM)” nó
thu thập, mã hóa , tập hợp tương quan và báo cáo tất cả các sự kiện bảo mật liên
quan đến các sự kiện an toàn bảo mật trong hệ thống. Ngoài ra nó còn có khả
năng phục hồi bất kì loại log nào hay các bản ghi hệ thống, syslog…
Predule IDS gồm năm thành phần chính gồm:
Sensor: bộ cảm biến là các đơn vị phát hiện được triển khai tại một số điểm
trên mạng. Các sensor báo cáo chi tiết các thông tin bảo mật của hệ thống để
quản lí.
Managers: Xử lí các dữ liệu tập trung từ các sensor. Các manager có thể
chuyển tiếp thông báo cho các manager khác hoặc trung tâm xử lí dữ liệu.
13
Hình vẽ 2.5: Mô hình hoạt động của Predule IDS
Trong ví dụ trên ta thấy: Chi nhánh A được quyền truy cập vào các cảnh báo
được tạo ra bởi các Sensor D, E, F mà k được truy cập được đến các Sensor A,
B, C nếu chưa được sự cho phép của NOC. Tuy nhiên NOC có thể xem được
các sự kiện được tạo ra bởi các chi nhánh khác như Branch A, B,C…
Counter Measure Agent: Trung tâm truy cập đo nhận dữ liệu từ một hệ thống
manager khi có sự bất thường của hệ thống và triển khai hệ thống để ngăn chặn

sự bất thường đó.
Prontend: Lối vào là điểm tập trung để triển khai xem sự bất thường và tấn
công hệ thống, và cho biết tình trạng an ninh của hệ thống.
The Predule Library: Bao gồm một số công cụ nhằm hỗ trợ và tăng cường sự
phát hiện tấn công cũng như ngăn chặn nó như: Snort, Nessus, Nagios,
Systrace…
Hình vẽ 2.6: Kiến trúc của Predule
14
Cảm biến sensor có nhiệm vụ phát hiện xâm nhập và báo cáo các dấu hiệu,
cảnh báo tới người quản lí bằng cách sử dụng một kết nối TLS tới “Predule-
Manager” server. Sau đó Predule-Manager có thể xử lí các cảnh báo và và được
lưu vào CSDL của hệ thống như: MySQL, PostgreSQL, tập tin XML…Tất cả sẽ
được hiển thị lên một giao diện để xem những dấu hiệu tấn công, các cảnh báo
của hệ thống.
Khả năng tương thích của Predule:
Predule là một hệ thống có khả năng tương thích SIM với tất cả hệ thống có
sẵn trên thị trường. Được hỗ trợ với nhiều ngôn ngữ khác nhau như C, C+,
Python, Ruby, Lua và Perl để người sử dụng có thể dễ dàng hơn trong việc cấu
hình hệ thống cũng như chuyển đổi các ứng dụng bảo mật khác nhau.
Khả năng tương thích nguồn gốc:
Sự phù hợp giữa Predule và các giải pháp bảo mật làm cải thiện chất lượng
khả năng thu thập và cấu hình dữ liệu:
Khả năng tương thích đăng nhập:
Predule có khả năng phân tích bất kì loại log nào (bản ghi hệ thống,
syslog…).
15
c. OSSIM
Hiện tại vấn đề thu thập và quản lý các sự kiện từ tất cả các thiết bị CNTT như: FW,
IPS/IDS, Servers, Switch, App, Router, đang là vấn đề quan trọng với doanh nghiệp,
nếu không có việc thu thập và quản lý log tập trung và lâu dài sẽ làm ảnh hưởng đến

quá trình phân tích và tìm ra những sự cố trong quá trình vận hành, các thông tin bị
dò rò rỉ một cách tràn lan trong doanh nghiệp, gây ra những thiệt hại về kinh tế cho
doanh nghiệp, vì vậy giải pháp SIEM của AlientVault đã ra đời và đáp ứng được các
yêu cầu đang tồn đọng trong cách quản lý thu thập tất cả các sự kiện, các truy cập trái
phép vào hệ thống CNTT, giúp người quản trị dễ dàng phát hiện các vấn đề sau:
• Hệ thống giám sát an ninh tập trung của AlientVault sẽ thu thập log và giám sát, báo
cáo về các hoạt động xảy ra trên các hệ thống Firewall, Server, Antivirus system, IPS
system, các truy cập từ xa, các thiết bị VPN, thiết bị định tuyến…
• Ngoài việc thu thập được các thông tin về nguy cơ và sự cố an toàn mạng, hệ thống
này giúp các doanh nghiệp chủ động và dễ dàng nhận dạng, xử lý nhanh các nguy cơ
này.
• AlientVault đáp ứng nhu cầu về việc trang bị một hệ thống giám sát an ninh tập trung
chủ động, dễ dàng cài đặt và sử dụng, tiết kiệm thời gian và nhân lực cho quá trình
quản trị.
• Lưu trữ thông tin dài hạn để làm chứng cứ, phục vụ điều tra theo theo các tiêu chuẩn
về bảo mật CNTT
Open Source Security Information Management (OSSIM):là một mã nguồn
mở quản lí thông tin và sự kiện an ninh (Security information and Event
management-SIEM) bao gồm tập hợp các công cụ được thiết kế để trợ giúp các
nhân viên quản trị phát hiện và phòng chống xâm nhập.
OSSIM thu thập các thông tin từ các Sensor như Snort, ARPwatch, Ntop…và đọc các
thông tin alert (cảnh báo) từ các loại thông tin như hiện nay như CheckPoint,
RealSecure, server Unix…phân tích đánh giá mức độ an ninh và rủi ro của các sự kiện
an toàn thông tin.
AlientVault OpenSource SIEM (OSSIM) là một hệ thống an ninh toàn diện bao gồm
từ mức độ phát hiện lên đến một mức độ điều hành tạo ra các số liệu và báo cáo.
16
AlienVault được cung cấp như một sản phẩm bảo mật cho phép bạn tích hợp vào một
giao diện điều khiển tất cả các thiết bị và các công cụ bảo mật có sẵn trên mạng của
bạn, cũng như cài đặt các công cụ bảo mật có uy tín nguồn mở như Snort, OpenVas,

Ntop và OSSEC…
Các chức năng quan trọng của OSSIM:
Bảo vệ thông tin và tài nguyên quan trọng
Thực hiện theo dõi theo thời gian thực các tài nguyên quan trọng trong hệ thống
như: File server, các hệ thống kiểm soát và các cơ sở dữ liệu giúp nhận ra những trạng
thái bất ổn ngay cả khi các hệ thống đang hoạt động bình thường. OSSIM phân tích
từng mảnh nhỏ các thông tin mà nó thu thập để nhận ra những điểm yếu trong hệ
thống từ đó đưa ra những hành động cảnh bảo sớm cho người quản trị.
Cải thiện khả năng điều tra và khắc phục sự cố
Áp lực trong việc thu thập và lưu trữ dữ liệu có liên quan đến kiểm toán từ nhiều
nguồn khác nhau. Việc quản lý nhật ký không hiệu quả, việc tìm kiếm thông tin từ
hàng Terabytes dữ liệu là gần như không thể. Trong khi các sự kiện này thực sự cần
thiết trong để hỗ trợ cho việc kiểm toán và điều tra. AlientVault có thể giúp hệ thống
lưu trữ và quản lý một lượng lớn dữ liệu nhật ký đồng thời cho phép nhanh chóng xử
lý, phân tích điều tra hoặc tự động báo cáo theo cấu hình của người quản trị hệ thống.
Theo dõi hành động bất thường của người dùng
AlientVault cung cấp khả năng quan sát toàn diện hệ thống, cho biết ai đang kết nối
và làm gì trên hệ thống mạng. AlientVault liên kết các thông tin người dùng như: tên,
vai trò cùng với thông tin chính xác về các ứng dụng và vị trí trong mạng để cung cấp
khả năng xác minh các kết nối giữa người dùng thực tế (không chỉ dựa vào IP
Address) với những hành động có mức độ rủi ro cao.
Cung cấp sự tuân thủ với chi phí thấp
Để vượt qua được các bước trong quá trình kiểm toán, hệ thống mạng của một tổ
chức phải đủ khả năng tự động chống đỡ trước các tấn công và bảo vệ các thông tin bí
mật. AlientVault xây dựng sẵn và cung cấp các gói cho phép đáp ứng các tuân thủ này
theo các yêu cầu cụ thể. Kết quả là các báo cáo tuân thủ sẽ được tự động thực hiện và
kiểm soát tuân thủ được giám sát liên tục, hiệu quả mang lại nhanh chóng trong khi
chi phí thấp.
17
Chương 3

XÂY DỰNG THIẾT BỊ TRINH SÁT MẠNG
Xây dựng thiết bị trinh mạng là một công việc rất cần thiết trong công tác cấu hình
và quản trị hệ thống mạng, nó đóng vai trò quan trọng giúp người quản trị có thể chủ
động theo dõi hệ thống mạng, phát hiện và giải quyết các sự cố mạng một cách hiệu
quả.
Trong đề tài này, em xây dựng một thiết bị trinh sát mạng với mục đích có thể quản
trị được một hệ thống mạng thực một cách đơn giản và hiệu quả nhất. Qua đó thiết bị
có thể phát hiện các mối đe dọa và cảnh báo đến người quản trị một cách kịp thời để
ngăn chặn trước các cuộc tấn công. Ngoài ra, có thể nghiên cứu, tìm hiểu và sử dụng
một số công cụ an ninh mạng điển hình có khả năng thăm dò, phát hiện các cuộc tấn
công, giám sát lưu lượng mạng, quét lỗ hổng, đưa ra cảnh báo và báo cáo…cho người
quản trị.
Việc xây dựng thiết bị còn cho phép người quản trị có thể lựa chọn các mô hình
khác nhau tùy theo mục đích của người sử dụng để có thể cấu hình và cài đặt hệ thống
mạng đảm bảo tính an ninh an toàn thông tin. Ngoài ra thiết bị còn được tích hợp
18
thêm tính năng phát hiện xâm nhập nhờ ứng dụng lập trình di truyền hướng nối cây
để sinh ra các luật, các điều kiện, các dấu hiệu xâm nhập để có thể đưa ra các cảnh báo
nhanh chóng và chính xác.
Thiết kế hệ thống
 Thiết bị trinh sát mạng bao gồm: ba máy tính được cài Ossim, card mạng, network tap.
Trong đó:
• Cấu hình máy tính
Các yêu cầu phần cứng AlientVault về cơ bản sẽ phụ thuộc vào số lượng các sự kiện
mỗi giây và thông lượng của mạng muốn bảo vệ. Một yêu cầu tối thiểu là luôn luôn
khuyến khích để có ít nhất 4GB Ram. Có thể phải tăng bộ nhớ Ram có sẵn dựa trên
thông lượng mạng, số lượng các sự kiện mà các máy chủ AlientVault phải xử lý và số
lượng dữ liệu cần phải được lưu trữ trong cơ sở dữ liệu. Để đạt được hiệu suất tối đa,
nó là cần thiết để chỉ sử dụng những ứng dụng và các thành phần mà sẽ có ích cho bạn
trong từng trường hợp.

Theo thông số và yêu cầu của phần mềm mã nguồn mở yêu cầu phần cứng của hệ
thống như sau:
Hình vẽ 3.1: Yêu cầu hệ thống phần cứng của thiết bị
• Card mạng
19
Khi xem xét card mạng, bạn nên cố gắng để lựa chọn những hỗ trợ bởi trình điều
khiển e1000.Mô hình phát triển nguồn mở của trình điều khiển này đảm bảo khả năng
tương thích tốt của các card với Debian GNU / Linux
• Network tap:
+ Là một thiết bị phần cứng để truy cập dữ liệu lưu thông qua mạng máy tính, có vai
trò giám sát lưu lượng mạng giao thông giữa hai điểm mạng.
+ Network tap có ít nhất 3 cổng: Cổng A, cổng B và cổng màn hình, một tap sẽ được
chèn vào giữa hai cổng A và B, nó sẽ cho tất cả các lưu lượng mạng truy cập thông qua
không bị cản trở và có một bản sao dữ liệu đến cổng màn hình để nghe thông tin.
+ Network tap thường được sử dụng cho các hệ thống phát hiện xâm nhập, thiết bị
thăm dò mạng và các thiết bị giám sát và thu thập, thường được sử dụng trong các
ứng dụng bảo mật vì nó không làm ảnh hưởng tới mạng và khó bị phát hiện.
Hình vẽ 3.2: Sơ đồ bố trí cài đặt các thiết bị
 Chức năng cơ bản của thiết bị: Gồm hai phần chính
• Thiết bị thu thập
Thu thập, tập hợp các sự kiện được tạo ra trên hệ thống mạng, phân loại và định
dạng của mỗi loại sự kiện.
• Thiết bị quản trị
20
Phân tích, phát hiện các dấu hiệu xâm phạm, bất thường, sự tổn thương, các cuộc
tấn công bên trong và bên ngoài hệ thống. Thiết bị còn có thể phát hiện các lỗ hổng và
xác định các mối đe dọa tiềm ẩn đề có thể sửa chữa ngay trước khi cuộc tấn công có
thể xảy ra, đưa ra cảnh báo, báo cáo đến người quản trị.
3.1 Xây dựng hạt nhân nguồn mở đặc thù cài đặt trên thiết bị thu thập thông tin an
ninh mạng

3.1.1 Tổng quan về Linux kernel
Kiến trúc cơ bản của hệ điều hành GNU/Linux:
Ở phía trên là người sử dụng, các ứng dụng hoặc không gian người sử dụng.
Đây là nơi mà các ứng dụng người dùng thực hiện . Dưới không gian sử dụng là
không gian hạt nhân.
Ngoài ra còn có các thư viện C GNU(glibc). Các thư viện này cung cấp giao
diện hệ thống có thể kết nối với các hạt nhân và cung cấp với các cơ chế chuyển
đổi không gian giữa các ứng dụng và hạt nhân. Điều này rất quan trọng vì hạt
nhân và ứng dụng chiếm các không gian địa chỉ được bảo vệ ở các mức khác
nhau. Mỗi quá trình sử dụng không gian địa chỉ ảo riêng của nó, trong đó hạt
nhân chiếm một không gian địa chỉ duy nhất.
Nhân Linux có thể chia thành ba lớp. Trên cùng là giao diện các lời gọi hệ thống
thực hiện các chức năng cơ bản như đọc, ghi. Bên dưới là phần mã nhân hệ điều hành
(kernel code) hoặc chính xác hơn là mã nhân độc lập với kiến trúc vi xử lý (processor).
Các mã lệnh trong lớp này dùng chung cho mọi loại processor mà Linux hỗ trợ. Lớp
dưới cùng là các mã lệnh phụ thuộc vào kiến trúc từng loại processor (x86, x86-64, …).
21
Linux Kernel Diagram:
Hình vẽ 3.3: Mô hình cấu trúc nhân linux
Nhiệm vụ cơ bản của linux kernel:
Linux Kernel thực thi một giao diện máy ảo đối với các tiến trình người sử dụng.
Linux Kernel tổng hợp tất cả các phần cứng vào một giao diện ảo phù hợp. Thêm nữa,
Linux hỗ trợ đa nhiệm theo một kiểu mà người sử dụng dễ hiểu: Từng tiến trình một
có thể thực hiện, mặc dù nó là tiến trình duy nhất trên máy, loại trừ việc sử dụng bộ
nhớ chính và các tài nguyên phần cứng khác. Kernel thực tế chạy nhiều tiến trình đồng
thời và chịu trách nhiệm việc dàn xếp truy cập tới các tài nguyên phần cứng để cho
từng tiến trình truy cập thuận lợi trong khi việc bảo mật trong các tiến trình vẫn được
duy trì.
 Quản lý thời gian: Gọi thời gian hệ thống, xác định thời gian CPU, ngắt tiến trình nếu
thời gian thực hiện tiến trình đó quá lâu.

 Quản lý tài nguyên: Như là bộ đĩa cứng…
22
 Quản lý hệ thống file.
 Quản lý các tiến trình.
 Quản lý các bộ điều khiển thiết bị.
 Quản lý lưu lượng mạng.
 Quản lý việc khởi động và dừng máy .
 Quản lý bộ nhớ ảo: Để thực thi nhiều tiến trình đồng thời trong khi bộ nhớ có hạn,
Linux tổ chức bộ nhớ trên đĩa như một vùng bộ nhớ. Kernel phải “swap” các tiến trình
giữa bộ nhớ và bộ nhớ ảo.
3.1.2Cấu trúc bộ cài OSSIM
OSSIM (Open Source Security Information Management) là một mã nguồn mở
quản lý sự kiện, thông tin an ninh bao gồm một tập hợp các công cụ được thiết kế để
trợ giúp các nhân viên quản trị mạng phát hiện và phòng chống xâm nhập.
Cấu trúc bộ cài của OSSIM:
Trong bài em sử dụng Ossim phiên bản:
alienvault_open_source_siem_3.1_32bits.iso
Bộ cài Ossim được viết theo nhiều ngôn như khác nhau như: C, python, PHP, shell
script…Có thể hiểu Ossim như là một hệ điều hành Debian(Linux) và tích hợp các
công cụ an ninh mạng trong hệ thống.
Các file cấu hình chính của bộ cài tích hợp các công cụ an ninh mạng theo đường
dẫn: \pool\main\ \
Là file tập hợp tất cả các công cụ an ninh mạng được tích hợp vào OSSIM như
Arpwatch, P0f, Pads, Fprobe, Snort, Nessus, Ntop…
23
Và các file cấu hình như:
Khả năng hoạt động của OSSIM:
• Sự trích suất: Mục đích OSSIM không chỉ để thu thập thông tin chi tiết dựa trên IDS
hoặc giám sát thụ động, mà còn thực hiện một quá trình trích suất trong đó hàng triệu
sự kiện kỹ thuật nhỏ trở thành hàng chục báo động mà con người có thể hiểu được.

Một phần chính của việc trích suất được thực hiện chủ yêu bởi công cụ Tương quan,
cho phép người quản trị để tạo ra Chỉ dẫn Tương quan hoặc các mẫu để kết hợp các sự
kiện nhỏ khác nhau để đưa các kết luận ở mức độ cao hơn.
• Lọc các cảnh báo sai: Một mục tiêu quan trọng của các sự kiện an ninh tương quan là
để chống lại khối lượng lớn các báo động được tạo ra bởi IDS và các thiết bị an ninh
nói chung. Các tổ chức nhận có thể được hàng triệu cảnh báo sai mỗi ngày, làm cho
người quản trị không thể kiểm tra tất cả. Các chỉ dẫn tương quan OSSIM kiểm tra các
sự kiện này bằng cách tìm kiếm các chứng cứ để chắc chắn rằng đó có phải là các cuộc
tấn công thật hay không. Mặc định, OSSIM cung cấp một giá trị thấp về tham số tin cậy
24
của hầu hết các sự kiện và sẽ tăng cho đến khi các kiểm tra được cung cấp bởi các công
cụ tương quan.
• Quản lý rủi ro: OSSIM hoạt động, báo cáo và đưa ra các phản ứng bằng cách sử dụng
các thông số rủi ro. Rủi ro được tính toán và lưu trữ cho từng sự kiện riêng lẻ được
thu thập. Tiến trình quản lý an ninh đầy đủ bởi đánh giá này, gây ra các phản ứng tự
động, báo cáo báo động và tổng hợp các trạng thái rủi ro của mạng.
3.1.3 Các công cụ an ninh được tích hợp trong OSSIM
Các công cụ mã nguồn mở được tích hợp trong OSSIM:
• Snort IDS.
Là một công cụ mã nguồn mở có khả năng phát hiện xâm nhập, những dấu hiệu bất
thường, phân tích lưu lượng và gói tin đăng nhập trên các mạng IP. Nó có thể thực
hiện phân tích các giao thức, các nôi dung tìm kiếm và có thể phát hiện hàng loạt các
cuộc tấn công và thăm dò như tấn công tràn bộ đệm, quét cổng tàng hình, tấn công
CGI, thăm dò SMB…
Snort bao gồm nhiều thành phần, với mỗi thành phần thực hiện một chức năng
riêng:
+ Module giải mã gói tin.
+ Module tiền xử lí.
+ Module phát hiện.
+ Module log và cảnh báo.

+ Module kết xuất thông tin.
• Nessus: quét lỗ hổng.
Là một công cụ quét lỗ hổng bảo mật dùng để kiểm tra tính an toàn cho một hệ
thống, tính bảo mật của một trang web từ xa, máy tính cục bộ hay những thiết bị bảo
vệ thông tin…
Các thành phần chính của Nessus gồm:
+ Nessus Engine: nhận, thực thi và trả lời lại các yêu cầu quét của người dùng. Việc
quét các lỗ hổng được thực hiện theo các chỉ dẫn của các plugin (một tập các câu lệnh
script của ngôn ngữ kịch bản NASL).
+ Nessus Plugin: hệ thống file của ngôn ngữ kịch bản NASL, gồm các file định
nghĩa .inc và file kịch bản .nasl.
+ Nessus Server (nessusd): thực hiện nhận các yêu cầu quét của người dùng, sau đó
phân tích, tổng hợp, trả lại kết quả cho Nessus client.
25
+ Nessus Client: hiển thị kết quả quét lại cho người dùng thông qua trình duyệt
web.
+ Nessus Knowledge Base: “Cơ sở dữ liệu đã biết” của Nessus cho phép các plugin
sau tận dụng dữ liệu kết quả của Plugin trước đó. Điều này giúp Nessus dễ dàng mở
rộng và tăng tốc độ thực thi.
• Ntop: giám sát mạng.
Là công cụ được dùng để giám sát và đo lường lưu lượng mạng. Ntop cung cấp các
biểu đồ và các số liệu thống kê từ việc phân tích các lưu lượng mạng được giám sát.
Ntop đồng thời cũng chứa rất nhiều thông tin về các loại dữ liệu chạy trong mạng, tạo
một hồ sơ cho phép theo dõi từng người dùng trong mạng.
Công việc chính của Ntop:
+ Đo lường lưu lượng.
+ Giám sát lưu lượng.
+ Lập kế hoạch và tối ưu hóa mạng.
+ Phát hiện các vi phạm an ninh mạng.
• Nagios: giám sát hiệu năng.

Là một công cụ giám sát các ứng dụng, dịch vụ, điều hành hệ thống, giao thức
mạng, hệ thống số liệu và các thành phần cơ sở hạ tầng.
Nagios có các chức năng:
+ Giám sát trạng thái hoạt động của các dịch vụ mạng(SMTP, HTTP, ICMP, FTP, SSH,
DNS, web proxy, name server, TCP port, UDP port, cơ sở dữ liệu mysql… ).
+ Giám sát các tài nguyên các máy phục vụ và các thiết bị đầu cuối: Tình trạng sử
dụng CPU, tình trạng sử dụng ổ đĩa cứng, tình trạng sử dụng bộ nhớ trong và swap, số
tiến trình đang chạy, các tệp log hệ thống…
+ Giám sát các thông số an toàn các thiết bị phần cứng trên host như: nhiệt độ CPU,
tốc độ quạt, pin, giờ hệ thống…
+ Giám sát các thiết bị mạng có IP như switch, router và máy in, Nagios có thể theo
dõi tình trạng hoạt động của từng trạng thái bật tắt của từng cổng, lưu lượng băng
thông qua mỗi cổng.
+ Cảnh báo cho người quản trị bằng nhiều hình thức như email, tin nhắn bằng âm
thanh nếu có thiết bị, dịch vụ gặp trục trặc.
+ Tổng hợp, lưu trữ và báo cáo định kỳ về tình trạng hoạt động của mạng.
• Osiris, Snare: host IDS.
• Spade, HW Aberant Behaviour: phát hiện bất thường.
• Arpwatch, P0f, Pads, Fprobe: giám sát thụ động.

×