Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
Chương 5: Triển khai phòng chống xâm nhập
Mục tiêu:
• Mô tả công nghệ IDS và IPS cơ bản được nhúng trong các giải pháp IDS và IPS
dựa trên mạng và lưu trữ trên máy chủ của Cisco.
• Định cấu hình Cisco IOS IPS bằng CLI và CCP.
• Kiểm chứng Cisco IOS bằng CLI và CCP.
Đặc điểm IDS và IPS

Iron Port


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Hệ thống phát hiện xâm nhập (IDS)
1. Một cuộc tấn công được khởi chạy trên một mạng có cảm biến được triển khai trên
promiscuous IDS mode; do đó các bản sao của tất cả các gói được gửi đến bộ cảm
biến IDS để phân tích gói. Tuy nhiên, máy mục tiêu sẽ bị tấn công độc hại.
2. Cảm biến IDS, khớp với lưu lượng truy cập độc hại tới signature và gửi lệnh
chuyển đổi để từ chối quyền truy cập vào nguồn lưu lượng truy cập độc hại.
3. IDS cũng có thể gửi báo thức đến bàn điều khiển quản lý để ghi nhật ký và các
mục đích quản lý khác.


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Hệ thống phòng chống xâm nhập (IPS)
1. Một cuộc tấn công được khởi chạy trên một mạng có cảm biến được triển khai ở
chế độ IPS (chế độ nội tuyến).
2. Cảm biến IPS phân tích các gói khi chúng vào giao diện cảm biến IPS. Cảm biến
IPS khớp với lưu lượng truy cập độc hại đến signature và cuộc tấn công bị dừng

ngay lập tức.
3. Cảm biến IPS cũng có thể gửi báo thức đến bàn điều khiển quản lý để ghi nhật ký
và các mục đích quản lý khác.
4. Lưu lượng truy cập vi phạm chính sách có thể bị bộ cảm biến IPS giảm xuống.


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

So sánh các giải pháp IDS và IPS
Đặc điểm chung của IDS và IPS
• Cả hai công nghệ đều được triển khai dưới dạng cảm biến
• Cả hai công nghệ đều sử dụng signature để phát hiện các mẫu lạm dụng trong
lưu lượng mạng
• Cả hai có thể phát hiện các mẫu nguyên tử (gói đơn) hoặc các mẫu tổng hợp
(nhiều gói)

IDS
Chế độ
promiscuous

Ưu điểm
• Không ảnh hưởng đến
mạng (độ trễ, jitter)
• Không có tác động mạng
nếu có lỗi cảm biến
• Không có tác động mạng
nếu có quá tải cảm biến

•
•

•
•

Nhược điểm
Hành động phản hồi không thể
dừng các gói kích hoạt
Điều chỉnh đúng yêu cầu cho
hành động phản hồi
Phải có chính sách bảo mật tốt
Dễ bị tổn thương hơn với kỹ
thuật trốn mạng


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
So sánh các giải pháp IDS và IPS
I
P
S

Ưu điểm
• Dừng các gói kích hoạt
• Có thể sử dụng kỹ thuật bình thường
hóa luồng

Triển khai dựa trên mạng

Triển khai dựa trên máy chủ

Nhược điểm
• Các sự cố cảm biến có

thể ảnh hưởng đến lưu
lượng mạng
• Quá tải cảm biến tác
động đến mạng
• Phải có chính sách bảo
mật tốt
• Một số tác động trên
mạng (độ trễ, jitter)


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Cisco Security Agent

Cisco Security Agent Screens


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Một thông điệp cảnh báo xuất hiện khi
CSA phát hiện một vấn đề.

Cờ vẫy trong khay hệ thống
cho biết sự cố bảo mật tiềm
ẩn.

Cisco Trust Agent

CSA duy trì một tệp nhật ký
cho phép người dùng xác minh

các vấn đề và tìm hiểu thêm
thông tin.


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Giải pháp dựa trên máy chủ
Ưu điểm và nhược điểm của HIPS
Ưu điểm
• Sự thành công hay thất bại của một
cuộc tấn công có thể dễ dàng được
xác định.
• HIPS không phải lo lắng về các cuộc
tấn công phân mảnh hoặc các cuộc
tấn công Time to Live (TTL) thay
đổi.
• HIPS có quyền truy cập vào lưu
lượng truy cập ở dạng không được
mã hóa
Giải pháp dựa trên mạng

Nhược điểm
• HIPS không cung cấp
hình ảnh mạng hoàn
chỉnh
• HIPS có yêu cầu hỗ trợ
nhiều hệ điều hành.


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc


Mạng lưới công
ty

Một IPS mạng có thể được thực hiện bằng cách
sử dụng một thiết bị IPS chuyên dụng, chẳng
hạn như loạt IPS 4200 hoặc có thể được thêm
vào bộ định tuyến ISR, thiết bị tường lửa ASA
hoặc công tắc Catalyst 6500

Giải pháp Cisco IPS - Mô đun AIM và Mạng được nâng cao (IPS NME)
• Tích hợp IPS vào bộ định tuyến Cisco 1841 (chỉ IP IPS), bộ định tuyến 2800 và
3800 ISR
• IPS AIM chiếm một khe AIM bên trong trên router và có CPU riêng và DRAM
• Theo dõi lưu lượng truy cập lên đến 45 Mb / s
• Cung cấp bảo vệ xâm nhập đầy đủ tính năng
• Có thể giám sát lưu lượng từ tất cả các giao diện bộ định tuyến
• Có thể kiểm tra lưu lượng truy cập GRE và IPsec đã được giải mã tại bộ định
tuyến từ mạng công ty
• Chạy cùng một hình ảnh phần mềm như Cisco IPS Sensor Appliances

Giải pháp IPS của Cisco - ASA AIP-SSM


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
•
•
•
•
•


Mô-đun hiệu năng cao được thiết kế để cung cấp các dịch vụ bảo mật bổ sung cho
Thiết bị bảo mật thích ứng Cisco ASA 5500 Series
Thiết kế không đĩa để cải thiện độ tin cậy
Giao diện Ethernet 10/100/1000 bên ngoài để quản lý và tải xuống phần mềm
Khả năng phòng chống xâm nhập
Chạy cùng một hình ảnh phần mềm như thiết bị cảm biến Cisco IPS

Bộ cảm biến Cisco IPS 4200 Series
• Giải pháp thiết bị tập trung vào việc bảo vệ các thiết bị mạng, dịch vụ và ứng dụng
• Phát hiện tấn công tinh vi được cung cấp.

Giải pháp Cisco IPS - Dòng sản phẩm Cisco Catalyst 6500 IDSM-2
• Mô-đun bảo vệ xâm nhập chuyển mạch tích hợp cung cấp dịch vụ bảo mật giá trị
cao trong thiết bị mạng lõi mạng
• Hỗ trợ số lượng VLAN không hạn chế
• Khả năng phòng chống xâm nhập
• Chạy cùng một hình ảnh phần mềm như Thiết bị cảm biến Cisco IPS


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Cảm biến IPS
• Các yếu tố ảnh hưởng đến việc lựa chọn và triển khai cảm biến IPS:
1. Lượng lưu lượng mạng
2. Cấu trúc liên kết mạng
3. Ngân sách an ninh
4. Nhân viên an ninh có sẵn
• Quy mô thực hiện
1. Nhỏ (văn phòng chi nhánh)

2. Lớn
3. Doanh nghiệp


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
So sánh HIPS và IPS mạng
Ưu điểm
Nhược điểm
• Là máy chủ cụ thể
• Phụ thuộc vào hệ điều
• Bảo vệ máy chủ sau giải
hành
• Các sự kiện mạng cấp thấp
mã
• Cung cấp cấp ứng dụng bảo
hơn không nhìn thấy
HIPS
• Máy chủ hiển thị với kẻ
vệ mã hóa
tấn công
• Chi phí hiệu quả
• Không thể kiểm tra lưu
• Không hiển thị trên mạng
lượng được mã hóa
Network IPS
•
Không biết liệu một cuộc
• Hệ điều hành độc lập
tấn công có thành công
• Sự kiện mạng cấp thấp hơn

hay không
đã thấy
Phương pháp phát hiện IDS / IPS
• Phát hiện Signature-based
• Phát hiện Policy-based
• Phát hiện Anomaly-based
• Phát hiện Honey pot-based
Đặc điểm Signature

•
•
•

Cảm biến IDS hoặc IPS khớp với Signature với luồng dữ liệu
Cảm biến có hành động
Signature có ba thuộc tính đặc biệt:


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
1. Kiểu Signature
2. Kích hoạt Signature (báo động)
3. Hành động Signature

Các loại Signature
• Atomic
 Dạng đơn giản nhất
 Bao gồm một gói, hoạt động hoặc sự kiện
 Không yêu cầu hệ thống xâm nhập để duy trì thông tin trạng thái
 Dễ dàng xác định
• Composite

 Cũng được gọi là Signature trạng thái
 Xác định chuỗi các hoạt động được phân phối trên nhiều máy chủ
 Signature phải duy trì trạng thái được gọi là the event horizon
Ví dụ về loại Atomic
Tấn công LAND

Signature File


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Signature Micro-Engines


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
Signature Triggers
Pattern-based Detection

Anomaly- based Detection

Policy-based Detection

Honey Pot- Based Detection

Ưu điểm
• Cấu hình dễ dàng
• Ít giả mạo hơn
• Thiết kế signature tốt
• Đơn giản và đáng tin
cậy

• Chính sách tùy chỉnh
• Có thể phát hiện các
cuộc tấn công không xác
định
• Cấu hình dễ dàng
• Có thể phát hiện các
cuộc tấn công không xác
định
• Cửa sổ để xem các
cuộc tấn công
• Phân tâm và gây nhầm
lẫn cho kẻ tấn công
• Làm chậm và ngăn
chặn các cuộc tấn công
• Thu thập thông tin về
tấn công

Nhược điểm
• Không phát hiện signature chưa biết
• Ban đầu có nhiều sai tích cực
• Signature phải được tạo, cập nhật và
điều chỉnh
• Đầu ra chung
• Chính sách phải được tạo

• Khó lập hồ sơ hoạt động điển hình
trong các mạng lớn
• Hồ sơ lưu lượng truy cập phải là hằng
số
• Máy chủ Dedicated honey pot

• Máy chủ Honey pot server không
được tin cậy

Pattern-based Detection
Signature Type
Trigger

Pattern- based detection

Example
Anomaly-based Detection

Atomic Signature

Stateful Signature

Không yêu cầu trạng thái
nào để kiểm tra mẫu để xác
định xem có nên áp dụng
hành động Signature hay
không

Phải duy trì trạng thái hoặc
kiểm tra nhiều mục để xác
định xem có nên áp dụng
hành động Signature hay
không

Phát hiện yêu cầu Giao
thức phân giải địa chỉ

(ARP) có địa chỉ Ethernet
nguồn là FF: FF: FF: FF:
FF: FF

Tìm kiếm chuỗi bí mật trên
nhiều gói trong phiên TCP


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Signature Type
Trigger

Anomaly-based detection

Example

Atomic Signature

Stateful Signature

Không yêu cầu trạng thái
nào để xác định hoạt động
lệch khỏi cấu hình bình
thường

State bắt buộc phải xác
định hoạt động lệch khỏi
hồ sơ thông thường


Phát hiện lưu lượng truy
cập đến một cổng đích
không nằm trong cấu hình
thông thường

Xác minh tuân thủ giao
thức cho lưu lượng truy cập
HTTP

Policy-based Detection
Signature Type
Signature Trigger

Policy-based detection

Example

Atomic Signature

Stateful Signature

Không yêu cầu trạng thái
nào để xác định hành vi
không mong muốn

Hoạt động trước(state) cần
thiết để xác định hành vi
không mong muốn

Phát hiện các gói phân

mảnh lớn bất thường bằng
cách chỉ kiểm tra đoạn cuối
cùng

Một máy chủ Unix SUN
gửi yêu cầu RPC đến máy
chủ từ xa mà không cần
tham khảo chương trình
SUN PortMapper.

Honey Pot-based Detection
•
•
•

Sử dụng một máy chủ giả để thu hút các cuộc tấn công.
Phân tán các cuộc tấn công khỏi các thiết bị mạng thực.
Cung cấp phương tiện để phân tích các loại tấn công và mẫu lưu lượng truy cập độc
hại.


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
Có ích cho việc tìm kiếm các cuộc tấn công thông thường vào tài nguyên mạng và
triển khai các bản vá / sửa lỗi cho mục đích mạng thực và triển khai các bản vá /
sửa lỗi cho các mục đích mạng thực.
Cisco IOS IPS Solution Benefits
•

1. Nó sử dụng cơ sở hạ tầng định tuyến cơ bản để cung cấp thêm một lớp bảo mật.
2. Bởi vì Cisco IOS IPS là nội tuyến và được hỗ trợ trên một loạt các nền tảng định


tuyến, các cuộc tấn công có thể được giảm thiểu hiệu quả bằng cách từ chối lưu
lượng truy cập độc hại từ cả bên trong và bên ngoài mạng.
3. Khi được sử dụng kết hợp với các giải pháp Cisco IDS, Cisco IOS Firewall, VPN
và Network Admission Control (NAC), Cisco IOS IPS cung cấp khả năng bảo vệ
mối đe dọa tại các điểm allentry cho mạng.
4. Nó được hỗ trợ bởi các công cụ quản lý dễ dàng và hiệu quả, chẳng hạn như CCP.
5. Kích thước của cơ sở dữ liệu chữ ký được thiết bị hỗ trợ phụ thuộc vào lượng bộ
nhớ có sẵn trong bộ định tuyến.
Tuning IPS Signature Alarms
Loại báo động
False positive
False negative
True positive
True negative

Hoạt động mạng

Hoạt động IPS

Kết quả

Lưu lượng người
Có cảnh báo
dùng bình thường
Lưu lượng truy cập Không cảnh báo
tấn công
Lưu lượng truy cập Có cảnh báo
tấn công


Điều chỉnh cảnh báo

Lưu lượng người
dùng bình thường

Ideal setting

Signature Tuning Levels

Không cảnh báo

Điều chỉnh cảnh báo
Ideal setting


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Thông tin - Hoạt động kích hoạt chữ ký không phải là mối đe
dọa trực tiếp, nhưng thông tin được cung cấp hữu ích.

IPS Signature Actions
• Bất cứ khi nào một signature phát hiện hoạt động mà nó được cấu hình, the
signature sẽ kích hoạt một hoặc nhiều hành động. Một số hành động có thể được
thực hiện:
1. Tạo cảnh báo.
2. Đăng nhập hoạt động.
3. Thả hoặc ngăn chặn hoạt động.
4. Đặt lại kết nối TCP.
5. Chặn hoạt động trong tương lai.
6. Cho phép hoạt động.

Generating an Alert
Cảnh báo cụ thể
Mô tả
Tạo cảnh báo
Hành động này ghi sự kiện vào Event
Store dưới dạng cảnh báo
Tạo thông báo chi tiết
Hành động này bao gồm kết xuất được mã
hóa của gói vi phạm trong cảnh báo.
Logging the Activity
Cảnh báo cụ thể
Mô tả
Log attacker packets
Hành động này bắt đầu ghi nhật ký IP trên
các gói chứa địa chỉ kẻ tấn công và gửi
một cảnh báo.
Log pair packets
Hành động này bắt đầu ghi nhật ký IP trên
các gói có chứa kẻ tấn công và cặp địa chỉ


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
nạn nhân.
Hành động này bắt đầu ghi nhật ký IP trên
các gói chứa địa chỉ nạn nhân và gửi một
cảnh báo.

Log victim packets

Dropping/Preventing the Activity

Cảnh báo cụ thể
Deny attacker inline

•

•

•

•
•

Deny connection inline

•

Deny packet inline

•

Mô tả
Chấm dứt gói hiện tại và các gói
trong tương lai từ địa chỉ kẻ tấn
công này trong một khoảng thời
gian.
Các cảm biến duy trì một danh sách
các kẻ tấn công hiện đang bị từ
chối bởi hệ thống.
Các mục nhập có thể bị xóa khỏi
danh sách theo cách thủ công hoặc

chờ bộ hẹn giờ hết hạn.
Bộ hẹn giờ là bộ hẹn giờ trượt cho
mỗi mục nhập.
Nếu danh sách kẻ tấn công bị từ
chối có dung lượng và không thể
thêm mục nhập mới, gói đó vẫn bị
từ chối.
Chấm dứt gói dữ liệu hiện tại và
các gói trong tương lai lưu lượng
TCP.
Chấm dứt gói tin.

Resetting a TCP Connection/Blocking Activity/Allowing Activity
Category
Đặt lại kết nối TCP

Cảnh báo cụ thể
Reset TCP connection

Blocking future activity

Yêu cầu chặn kết nối
Request block host

Mô tả
Gửi TCP reset để chiếm
quyền điều khiển và chấm
dứt luồng TCP
Hành động này gửi yêu cầu
tới thiết bị chặn để chặn kết

nối này.
Hành động này gửi yêu cầu
tới thiết bị chặn để chặn
máy chủ lưu trữ tấn công
này.


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
Yêu cầu bẫy SNMP

Cho phép hoạt động

Gửi yêu cầu đến thành
phần ứng dụng thông báo
của cảm biến để thực hiện
thông báo SNMP.
Cho phép quản trị viên xác
định ngoại lệ cho chữ ký
được định cấu hình.

Planning a Monitoring Strategy

Có bốn yếu tố cần xem xét khi lập kế
hoạch chiến lược giám sát.
1. Phương thức quản lý
2. Sự tương quan sự kiện
3. Nhân viên an ninh
4. Kế hoạch phản ứng sự cố

MARS Characteristics



Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

Toán tử bảo mật kiểm tra đầu ra
được tạo ra bởi thiết bị MARS:
• MARS được sử dụng để quản lý
tập trung tất cả các cảm biến IPS.
quản lý tất cả các cảm biến IPS.
• MARS được sử dụng để tương
quan tất cả các sự kiện IPS và
Syslog ở một vị trí trung tâm.
• Nhà điều hành bảo mật phải tiến
hành theo kế hoạch ứng phó sự cố
được xác định trong Chính sách an
ninh mạng.

Cisco IPSSolutions
• Giải pháp được quản lý cục bộ:
- Bộ định tuyến Cisco và Trình quản lý thiết bị bảo mật (SDM) hoặc CCP.
- Trình quản lý thiết bị Cisco IPS (IDM).
• Giải pháp được quản lý tập trung:
- Trình xem sự kiện IDS của Cisco (IEV).
- Trình quản lý bảo mật của Cisco (CSM).
- Hệ thống giám sát, phân tích và phản hồi của Cisco (MARS).
Cisco Router and Security Device Manager


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc


Theo dõi và ngăn chặn xâm nhập bằng cách so
sánh lưu lượng truy cập với chữ ký của các mối
đe dọa đã biết và chặn lưu lượng truy cập khi
phát hiện thấy mối đe dọa.

Cho phép quản trị viên kiểm soát ứng dụng Cisco IOS IPS trên giao diện,
nhập và chỉnh sửa tệp định nghĩa chữ ký (SDF) từ Cisco.com và định cấu
hình hành động mà Cisco IOS IPS thực hiện nếu phát hiện thấy mối đe dọa.
Cisco IPSDevice Manager

Công cụ cấu hình dựa trên web.
Vận chuyển miễn phí với phần mềm Cisco IPS Sensor.
Cho phép quản trị viên.
Cho phép quản trị viên định cấu hình và quản lý cảm biến.
Máy chủ web nằm trên cảm biến và có thể được truy cập thông qua trình duyệt
web.
Cisco IPSEvent Viewer
•
•
•
•
•


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

•
•

•


•

Xem và quản lý báo thức cho
tối đa năm cảm biến.
Kết nối và xem báo thức trong
thời gian thực hoặc trong các
tệp nhật ký được nhập.
Định cấu hình bộ lọc và chế độ
xem để giúp bạn quản lý báo
thức.
Nhập và xuất dữ liệu sự kiện
để phân tích thêm.

Cisco Security Manager

•

•
•

•

Giải pháp mạnh mẽ, dễ sử
dụng để cung cấp tập trung
tất cả các khía cạnh của
cấu hình thiết bị và chính
sách bảo mật cho tường lửa
Cisco, VPN và IPS.
Hỗ trợ cho cảm biến IPS

và IPS Cisco IOS.
Phần mềm cảm biến IPS
dựa trên chính sách tự
động và cập nhật chữ ký.
Trình hướng dẫn cập nhật
chữ ký.

Cisco Security Monitoring Analytic and Response System


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc

•

•

•

Giải pháp trọn gói, dựa
trên thiết bị cho phép
mạng và mạng bảo mật và
quản trị viên bảo mật giám
sát, xác định, cách ly và
chống lại các mối đe dọa
bảo mật.
Cho phép các tổ chức sử
dụng hiệu quả hơn các tài
nguyên mạng và bảo mật
của họ.
Hoạt động cùng với Cisco

CSM.

Secure Device Event Exchange

Định dạng SDEE được phát triển để cải thiện việc truyền thông các sự kiện được
tạo ra bởi các thiết bị bảo mật
• Cho phép các loại sự kiện bổ sung được đưa vào khi chúng được xác định
Best Practices
• Tham khảo 5.2.5.5
• Nhu cầu nâng cấp cảm biến với các gói chữ ký mới nhất phải được cân bằng với
thời gian ngừng hoạt động tạm thời.
• Khi thiết lập một triển khai lớn các cảm biến, tự động cập nhật các gói chữ ký thay
vì tự nâng cấp mọi cảm biến.
• Khi có sẵn các gói chữ ký mới, hãy tải xuống chữ ký mới
•


Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc
Khi có các gói chữ ký mới, hãy tải xuống các gói chữ ký mới đến một máy chủ
bảo mật trong mạng quản lý. Sử dụng IPS khác để bảo vệ máy chủ này khỏi bị tấn
công bởi bên ngoài
• Đặt các gói chữ ký trên một máy chủ FTP chuyên dụng trong mạng quản lý. Nếu
không có bản cập nhật chữ ký, có thể tạo chữ ký tùy chỉnh để phát hiện và giảm
thiểu một cuộc tấn công cụ thể.
• Cấu hình máy chủ FTP để cho phép truy cập chỉ đọc vào các tệp trong thư mục mà
các gói chữ ký chỉ được đặt từ tài khoản mà bộ cảm biến sẽ sử dụng.
• Định cấu hình các cảm biến để tự động cập nhật chữ ký bằng cách kiểm tra máy
chủ FTP cho các gói chữ ký mới định kỳ. Hãy bỏ qua thời gian trong ngày khi các
cảm biến kiểm tra máy chủ FTP cho các gói chữ ký mới.
• Các mức chữ ký được hỗ trợ trên bảng điều khiển quản lý phải được đồng bộ hóa

với các gói chữ ký trên chính các cảm biến.
IPS Global Correlation
•

Tổng quan về triển khai iOS IPS
1. Tải xuống các tệp iOS IPS
2. Tạo một thư mục cấu hình IOS IPS trên Flash
3. Cấu hình khóa crytpo IPS của iOS
4. Enable IOS IPS
5. tải gói IOS IPS Signature vào router
Tham khảo 5.3.1