Trên cơ sở đó, em quyết định chọn hướng nghiên cứu đồ án của mình là “Bảo vệ Hệ thông mạng doanh nghiệp bằng Firewall thế hệ mới” Mục đích của đồ án là tìm hiểu những vấn đè kỹ thuật cơ
Trang 1HỌC VIỆN CÔNG NGHỆ BŒ\U CHÍNH VIÊN
THONG CO SO TAI THANH PHO HO CHi MINH
KHOA VIEN THONG II
DO ÁN TÓT NGHIỆP
CHUYEN NGANH: KY THUẬT DIEN TU TRUYEN THONG
HỆ ĐẠI HỌC CHÍNH QUY NIÊN KHÓA: 2014-2019
ĐỀ tài:
BẢO VỆ HỆ THÓNG MẠNG DOANH NGHIỆP
BANG FIREWALL THE HE MOI
Sinh viên thực hiện : LỄ VĂN TÀI
Giáo viên h0jớng dẫn : ThS NGUYÊN XUÂN KHÁNH
TP.HCM - 12/2018
Trang 2LOI CAM ON Trong quá trình học tại trường Học Viện Công Nghệ Bưu Chính Viễn Thông cơ
sé tai TP HO CHI MINH chúng em đã nhận dược sự giảng dạy nhiệt tỉnh và sự giup
đỡ tận tâm của quý thầy trong khoa Điện Tử Viễn Thông
Nhận thấy ở chúng em tuổi trẻ đầy nhiệt huyết, sự sáng tạo và cần cù nên quý thầy không quản ngại giờ giấc sắp xếp công việc để dành thời gian và tâm sức cũng như kinh nghiệm của mình đề truyền đạt cho chúng em những kiến thức ma ching em còn đang mơ hồ thậm chí không biết gì Nhờ đó chúng em biết được những hạn chế của mình đề khắc phục cũng như cố găng hơn nữa
Không chỉ có kiến thức về chuyên ngành, mà quý thay (cd) với kinh nghiệm sống
của mình cũng đã truyền đạt cho chúng em kinh nghiệm sống mà chắc hắn quý thầy(cô) cũng đã đánh đổi phan nào mồ hôi và nước mắt để có được ,chúng em trân trong va sẽ cô gắng hoàn thiện bản thân để sống tốt mỗi ngày
Chúng em cũng xin chân thành cảm ơn quý thầy trong khoa và bộ môn đã tạo những điều kiện tốt nhất để chúng em được học tập, chuẩn bị những hành trang kiến thức cho công việc sau nảy khi tốt nghiệp
Trong đề tài này Em cũng xin gửi lời cảm ơn chân thành tới thầy ThS Nguyễn Xuân Khánh đã hướng dẫn em hoàn thành đề tài này kịp thời hạn Tuy nhiên với năng lực và kiến thức còn hạn chế vỉ lý do chủ quan và khách quan, mặc dù em cũng đã cố găng nhưng cũng không thể tránh khỏi những sai sót, mong quý thầy cô và các bạn đóng góp ý kiến dé em rút kinh nghiệm và củng cô thêm kiến thức cho bản thân Sau cùng em không biết nói gì hơn là gửi tới quý thầy lời cảm ơn sâu sắc và lời chúc sức khỏe chân thành nhất
Sinh viên thực hiện
Lê Văn Tài
Trang 3
\/109 00900717 '.Ơ.Ơ.Ơ il
LOL MO DAU, csssscssssssssscsnsscsssssrssscrssscrssscsnsssssssssnssssssssessssessssssnsssssssssscnsssussrsscasses sates 1
CHMIONG I: AN NINH MANG DOANH NGHIEP 2 1.1 Tổng quan về An ninh mang doanh nghiép ccccccccsscsccscscssessesessesessesecsesessesesses 2 1.1.1 Tình hình an ninh mạng trên Thế giới và Việt Nam những năm gan day 2 1.1.2 Mục tiêu và yêu cầu an ninh mạng 5: 21 1 SE2E1 5151518222121 8152 26 4 1.1.3 Các tính chất trong an tồn thơng tin mạng s¿ ¿2c 1 12222 2E2221212122225 5 1.2 Các lỗ hỏng và tác nhân, phươns thức đe dọa An ninh mạns - 2 S222 6 1.2.1 Các lỗ hỏng an ninh tạo điều kiện cho các cuộc tân cơng trên mạng 6 1.2.2 Các chương trình và phần mềm phá hoại (MaÏwar€§) c2 22251252 9 1.2.3 Các phương thức tân cơng phổ biến - S222 1E Tà 12
CHQNONG II: TONG QUAN VE FIREWALL VA CAC CONG NGHỆ TRÊN
2.1 Téng quan vé Firewall iciccccccccccccccccsccccccecsccsecsessecscssssecseesecsectesessseseesesevssteseetess 15
CN Niên aad 15 2.1.2 Mục đích của việc tạo ra bức tường lửa: 15 2.2 Phân loại FirewallL c2 21 21 21 TT 21T T 2n Tg TT 2g TT TT ng TT 2g ST 22 c2 2112 2v 17 VAN ca r0 huäaRiaaaaảäắốảááảảÝyÝỶÝỶÝ-Ý-ÝỶŸỶỶỶ 17 2.2.2 Firewall phần mềm 1 12 1 11221 1E 1212 1E 121 2 S2 n nêu 18 2.3 Chức năng và hạn chế của FirewallL 222 22 2 22222 18 2.3.1 Chức năng của ElrewalL 2 LQ 2L T2 2112 12H 1E HT TH TH cư, 18 2.3.2 Những hạn chế của FirewallL s 2 1 21 1221212212121 2225121221512 222 19 2.4 Kiến trúc chung của FirewallL - s: ¿5z 21 1211111121111 51E1 212101818 28 6 19 2.5 Các cơng nghệ trên F1rewalÌL - c c2 C20 2002012201221 12 112212211121 2à 21 2.5.1 Kiém tra trạng thái gĩi tin (Statefull Packet Inspection-SPI) 21 2.5.2 Deep Packet Inspection (DPI) 2 22 22.22222112 2222.2222222 23 CHƠƠNG III: SONICWALL VÀ FIREWALL THẺ HỆ MỚI: NEXT-
Trang 4
3.1 Tổng quan về SonicWA LH ng ng n0 25
3.1.1 Giới thiêu chung về SonieWALL, 2222222222222222222 222222222 25
3.1.2 Tính năng và Giải pháp 2 2 2QQ 22.22 2n 2n 22 n2 2 25
3.1.3 Sản phẩm của SonieWALL, 2222222222222222221222222222222 222222 26
3.2 Firewall thế hệ mới của SonicWALL (Next-Generation Firewall Firewall SomcWALL-NGEW) eee eee cece eee TH TH TT ng 22c 26 3.2.1 Tính năng vượt trÔi 2.2222.222 20222002222 122222225 27
3.2.2 Giới thiêu một số dòng sản phẩm Next-Generation Firewall SonicWALL 37
CHMONG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MANG DOANH NGHIỆP VỪA
4.1 Mô hình siả lập NGEW trên VMware WorkstatIOn: 22222222222 s2: 39
4.2 Chuẩn bị 20 200122120121 11 ng nH ng ngu 39 4.3 Thiết bị thứ nghiệm: 1S 21 1 1 1E 1E 2E E11 HH nêu 39 4.4 Giả định vấn đề 0.2022 1 1 HT TH Hà, 40 4.5 Giải quyết vẫn đề 1 1 2 D1 TH TH ng HH iu 42 4.6 KẾtHUẬN: 2 2 20 01 1n 1 HH HH HT HH HH 59
Trang 5MUC LUC HINH ANH
Hinh 1 1: Canh báo hàng năm Cisco 2010-20 13 c2 2111111112111 12112112 2121 e2 2 Hình 1 2: Cuộc khảo sát thực tế về các mối đe doạ từ bên ngoài Thông tin lấy từ
“CIsco 2016 Annual Security Ñ€pOFẨ” c1 12112 1n 1111111111111 111111121 11k 2
Hình 1 3: Các cuộc tân công thành công trên các nên tảng mã hóa 2017-2018 3
Hình 1 4: Số lượng malware gây ảnh hướng đến các thiết bị IoT tăng chóng mặt theo
CO AA nnngnnnngg 3 Hinh 1 5: Tinh nang quan trong can duoc bao dam trong an ninh hé thong 5 Hinh 1 6: Lé hồng từ việc kết nối internet và sử dụng dịch vụ đám mây 7 Hình I 7: Lỗ hồng tử việc truy CẬP tỪ Xã n n 210 1121112111011 2011111111111 111111 gykg 8 Hinh 1 8: Cac loat Malware cece cceccc cece eeeececeeeeeeecececeeceneeeeeetesseesseeseeseteeenieeees 10
Hinh 1 9: Vòng đời cuộc tấn công APT, 222222222222222222222222222222 2222 12
Hình 1 10: Tấn công xen giữa (Man-in-the-middle attack) 2- 222sc2sczz 2z 13 Hình 1 11: Tân công phát lại - 2-22 1c SE 1E 2215121111221 21121121211 112012010126 14 Hình 2 1: Mô hình cơ bản về việc sử dung Firewall trong man
Hinh 2 2: Mô hình Firewall cng ee eect ect eeeceeeeeeeeeeeeeeereeteestesteesteesteeees Hình 2 3: Mô hình Firewall mềm 2-22 St 19EE127111121271111211211112 12121 16 18 Hình 2 4: Mô tả luồng dữ liệu vào ra giữa internet vả intranet -2- -+ssz+zs: 19 Hình 2 5: Kiến trúc 3 vùng cơ bản của Firewall 2: 222223221 £2221221222212 2122 2xe 19
Hình 2 6: Công nghệ kiêm tra trạng thái gói tin (SP]) - 2-52z5522z5 21
Hinh 2 7: Quá trình kiểm tra trạng thái gói tin sử dụng SPI - 22 SE Ea 22 Hinh 2 8: Quá trình lọc Stateful Packet Inspection 2222222222222 222 23 Hình 3 I: Loseo của SonlcWALL, 1n 1 12 1111111 111 1n he 25 Hình 3 2: Quá trình hình thành và phát triển SonicWALL 22222222222 552 25
Hình 3.3: Sản phâm SonieWALL, 2 2222222222112211 2212222222202 22 222 222 26
Hinh 3 4: Tường lửa SonlcWALL, 2 Q2 eee 22g 2n 2n 2n 222222222 26 Hình 3 5: Công nghệ trên Firewall thế hệ mới SonicWALL (NGEW) àà, 27 Hinh 3 6: Quá trình lọc gói tin của IPS L 22L 220 020022122111221 11122112 2y 28 Hình 3 7: Quá trình Anti-VIirus Q2 2 221201221201 121 1211111211110 11H HH Hà 28 Hinh 3 8: Quá trình Anti-SDywWare LL Q 2 Q2Q 2T 2n gT TH HT TH ng vn hà, 29 Hinh 86)ì:.6i3ì:1i89/ 30 lại NG I)ê 0(0)ì1-g:15)¡ 1-8 4:0) :ẻ BE HA A.aa 30
Trang 6Hình 3 11: Kiểm tra gói tin với REDPL Q.1 n1 1 1 1 2 HE g1 TH ĐH nọ 31 Hình 3 12: Kiến trúc đa lỗi (Multi-Core Architecture) - CS 2122 2n nà 32 Hình 3 13: Công nghệ DPI-SSL, Q Q11 T0 12H H HH HH HH HH HH H11 v2 33
Hinh 3 18: Quá trình CCAS Q.2 D2 2g 2n TT ng TT HT 2n TT TH g ng n cv, 37
Hình 3 19: Dai sản phẩm Firewall thế hệ mới SonieWALL (NGEW) 37
Hình 3 20: Biểu đồ sắp xếp hiệu năng các dòng sản phẩm NGEW 38
Hình 4.1: Sơ đồ bảo vệ mạng doanh nghiệp vừa và nhỏ dùng NGEW 39 Hình 4.2: Thông số NGEW _NSv200 22222, 222222 2222211 HH Huy, 40
Hình 4.3: Thông tin đầy đủ Firewall NSv200 kèm thông tin License các tính năng 40 Hình 4.4: Thông số cầu hình và địa chỉ IP tĩnh của WindowsXP-Bob s2 42 Hình 4.5: Thông số cầu hình và địa chỉ IP tĩnh của WindowsXP-Sales 552 43
Hình 4.6: Thông số cầu hình và địa chỉ IP tĩnh của WindowsXP-Pr
Hình 4.7: Giao diện cài đặt thời gian, ngày tháng trên NSv200 44 Hình 4.8: Giao diện setup IP Gateway của Group Bob cho X2 c c2 2 22s 44 Hình 4.9: Thông tin Interface của Firewall NSv200 sau khi đã thiết lập IPGateway cho các Group q1 HH ĐH Q01 g1 0g Q00 0Q Q00 00 010 0000 0101010000 0101000001101 01 012101101 03032121 10313232321 12313 2323213132 44 Hình 4.10: Giao diện cầu hình Gateway Anti-Virus ¿- 2222222 221222222222222122222222 45 Hình 4.11: Cơ sở dữ liệu các nhóm Virus độc lập .- 2222222 2222222222 22222 46 Hình 4.12: Checkbox Gateway AV trong Network > ZOnes c.c 2c 222 222222 46 Hình 4.13: Cảnh bảo chăn khi tải | tệp có chưa Virus (Ì), 2.22222 2222 47 Hình 4.14: Cảnh bảo chặn khi tải | tệp có chưa Virus (2) : 52: c2 2+ 22222232222 47
Hình 4.15: Cầu hình Bandwidth Object ::-22222222222222LL22211 LH, hàn 48
Hình 4.16: Tạo Rule từ X2 (Group Bob) tới WAN c1 1 1n HH HH HH Hye 49
Hình 4.17: Gan Bandwith Object vira tao vao Rule từ X2 -> WAN ii cu 49
Hình 4.18: Tốc độ mạng Group Bob trước và sau khi bị hạn ché 2.2222222522 50 Hình 4.19: PC WindowsXP-Bob được cấp full quyền (App giải trí, web đọc báo ) 50 Hinh 4.20: Giao diện cầu hình lịch trình 22 2 21 2212221 21E221E2212312221225222122222222 26 51 Hinh 4.21: Giao điện cầu hình App Control ¿22:22 2222 2212252E21223122122212221222222222C 51 Hình 4.22: Lọc App Facebook trên NSV200 0 c cee ccecseceseceseseteesessessessesuessessessesseseseesieeeas 52 Hinh 4.23: Giao dién cầu hình chăn App Facebook, ¿ ¿2222222222 2222222222 222262 52
Hình 4.24: Check Zone App ControlL L2 n1 ng HH ng ST ĐT ng về, 52
Trang 7
Hinh 4.26: Cau hinh App control chặn app_Youtube 2 22 2221 21 1221221221 121 22 53 Hinh 4.27: Firewall chan Youtube ¢ PC Group Sales 53 Hình 4.28: Nho Schedule “Nghi trua” ma Group Sales được phép truy cập Facebook, Youtube 54 Hình 4.29: Giao diện cầu hình Content Eilter, - ¿s6 x1 3 SE 1 SE E113 E211 211222222222 54 Hình 4.30: Giao diện cầu hình thêm CFS Policies mới - ¿22222221 221221221 2222226 55 Hình 4.31: Giao diện tạo profiles obJecfs mới L2 2L 21 212g Hs by, 55 Hình 4.32: Giao dién thém dia chi yao danh sach URL duge cho phép (Allow) hay 1a cam
li 5i) NNNn A5 56
Hình 4.33: Giao diện CFS Action L2 2n LTD TT TT T TT TH Hàn nhào 56 Hình 4.34: Giao diện cầu hình hoan chinh Content Filter chin Web eee 57 Hình 4.35: Group Sales bị chặn Web đọc báo trong giờ làm việc và được dùng trong giờ nghỉ trưa
Trang 8MUC LUC BANG
Bang 4 1: Quyén hạn ba Group chinh trong demo ccccccccccccscscseccssssssssessssssesssssseseees 41 Bảng 4 2: Thông tin ba Group chính trong demo 2 222222222 22222222222222 42 Bảng 4 3: Kết quả Checklist.c.cccccccccccccccccccecececececesccescecsessesscscecesesssesssissesssssvisssesesisies 59
Trang 9LOI MO DAU
LOI MO DAU
Mạng máy tính ra đời đã đem lại nhiều lợi ích rất lớn cho nhu cầu đời sống con người,
nó là một trong những nhân tổ hàng đầu góp phần vào sự phát triển nhanh chóng của cả thể giới Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trên mạng của họ bị tấn công Những tác động bắt hợp pháp lên thông tin mới mục đích làm tôn thất, sai lạc, lấy cắp các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người dùng được phép sử dụng thông tin trong mang may tinh
Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng các phần mêm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất mạng đồi hỏi có mật khẩu Nhưng những giải pháp đó chỉ bảo vệ một phần mạng máy tính mà thôi, một khi những kẻ phá hoại mạng máy tính đã thâm nhập sâu hơn vào bên trong mạng thì có rất nhiễu cách đề phá hoại hệ thống mạng Vì vậy một vêu cầu đặt ra là phải có những công cụ để chống sự xâm nhập mạng bát hợp pháp ngay từ bên ngoài mạng, đó chính là nguyên nhân dân tới sự ra đời của Firewall Tuong lira
Hién nay, dong Next-Generation Firewall (NGFW) là nhóm thiết bị tường lửa mạnh mẽ đến từ SonicWALL Những thiết bị tường lửa thế hệ kế tiếp của SonieWALL luôn là bức tường
kiên cỗ ngăn chặn các mỗi đe dọa với hệ thống mạng nội bộ Những dịch vụ đảm bảo hoàn
todn cia NGFW cao cap bao gồm hộp cát, đánh giá SSL, chống xâm nhập, chống Malware, nhận biết phần mêm và lọc thông tín Do đó, NGFW sẽ là giải pháp bảo mật được nhiều công ty lựa chọn đề bảo vệ hạ tẳng mạng của công ty mình trong hiện tại và tương lai Trên cơ sở đó, em quyết định chọn hướng nghiên cứu đồ án của mình là “Bảo vệ Hệ thông mạng doanh nghiệp bằng Firewall thế hệ mới”
Mục đích của đồ án là tìm hiểu những vấn đè kỹ thuật cơ bản có liên quan đến việc xây
dung va bảo vệ hệ thống mạng doanh nghiệp trên thiét bi Firewall SonicWALL
Bồ cục của đồ án gồm 4 chương:
- Chương ]: Án ninh mạng doanh nghiệp
-_ Chương 2: Tổng quan về Firewall và các công nghệ trén Firewall
- Chương 3: SonicWALL và Firewall thé hé méi: Next-Generation Firewall SonicWALL
(NGFW)
- Chuong 4: Demo su dung NGFW bao vé mang doanh nghiệp vừa và nhỏ
Mặc dù nhận được rất nhiễu sự giúp đỡ của thây hướng dân, các thầy trong khoa viên thông, nhưng đô án vẫn còn nhiều chỗ cần phải đầu tư phân tích kĩ Vì vậy em mong nhận được những phản hồi từ phía các Thầy Em xin chân thành cảm ơn!
TP Hồ Chí Minh, ngày tháng 12 năm 2018
Sinh viên thực hiện
Lê Văn Tài
Trang 10
CHOIONG I: AN NINH MANG DOANH
CHQIONG I: AN NINH MẠNG DOANH NGHIỆP
1.1 Tong quan về An ninh mạng doanh nghiệp
1.1.1 Tình hình an ninh mạng trên Thế giới và Việt Nam những năm gần day
Cumulative Annual Alert Totals, 2010-2013
inh 1.1: Canh bao hàng năm Cisco 2010-2013
Any of These to Be hallenq‹ 3
Hình 1.2: Cuộc khảo sát thực té về các mỗi đe doa
từ bên ngoài Thông tin lấy từ “Cisco 2016 Annual
Security Report”
* Một số thông tin an ninh trong nước những năm gan day:
Trong Quý 1/2016, Nitol dẫn đầu danh sách hoạt động của các mạng botnet, hoạt động của mang botnet nay tang từ 33.3% lên 44.4%, sự gia tăng tỉ lệ trên được là do hoạt động botnet tai Hàn Quốc Trong Quý này, biến thê Generic!BT được sử dụng trong các cuộc tấn công từ 7,756 IP
ở 52 quốc gia, chủ yếu ở Đông Âu Phần lớn các hoạt động này bắt nguồn từ Nga (52.6%) và Ukraine (26.6%) — Theo securitydailu net
Trang 11
Tấn công sàn giao dịch tiên ảo gây tổng thiệt hại 882 triệu USD
Theo các chuyên gia của Group-IB, ít nhất 14 sàn giao dịch tiền ảo đã bị tắn công 05 vụ tắn công liên quan tới nhóm tin tặc Triều Tiên Lazarus, bao gồm cả cuộc tan công khét tiếng vào san giao dịch tiền ảo của Coincheck cướp 534 triệu đô tiền ảo
SUCCESSFUL ATTACKS ON CRYPTO
|erou|ie|
EXCHANGES 2017-2018 Date Name of Country Criminal Stolen in Stolen in USO Project group cryptocurrency Feb 2017 Bithumb South Korea Unknown $7 min Apr 2017 YouBit South Korea Unknown - $5,6 min Apr 2017 Yapizon South Korea Lazarus 3,816 BTC $5,3 min Apr 2017 Ether Delta Unknown $266 k Aug 2017 OKEx Hong Kong Unknown : $3 min Sept 2017 Coins South Korea — Lazarus
Đec 2017 YouB« SouthWorea Lazarus 17% 0cex axrueo9 lan 2018 Bitstamp Luxemburg Unknown 18,000 BTC $5 mịn Jan 2018 Coincheck Japan Lazarus $23,000,000 NEM $534 min Feb 2018 Bitgral Italy Unknown 17,000,000 NANO $170 min dun 2018 Bithumb South Korea Lazarus - $32 min jun 2018 Coinrait South Korea Unknown $37 min dun 2018 Bancor : Unknown - $23 min Sept2018 = zit Japan Unknown $60 min
Hình 1.3: Các cuộc tấn công thành công trên các nên tảng mã hóa 2017-2018 Theo các nhà nghiên cứu của Kaspersky Lab, tông sô phân mềm độc hại nhăm mục tiêu đên
các thiết bị thông minh đã lên tới hơn 7.000, trong đó hơn một nửa số này xuất hiện vào năm 2017
Với hơn 6 tỷ thiết bị thông minh đang được sử dụng trên toàn cầu, người dùng ngày càng bị đe
doa từ phân mềm độc hại nhằm vào các thiệt bị kết nội của họ
Theo Báo cáo an ninh website Q3/2018 của CyStack, trong quý 3 năm 2018 trên thé giới
đã có 129.722 website bị tin tặc tắn công và chiếm quyền điều khiên Việt Nam đứng thứ
Trang 1219 trong danh sách này với 1.183 website bị tấn công Báo cáo an ninh website là báo cáo thống kê
và phân tích tình hình tấn công website trên toản thế giới, được thực hiện định kỳ hàng quý bởi CyStack Dữ liệu trong báo cáo nảy được trích xuất tir hé théng CyStack Attack Map (attacks.cystack.net) do CyStack nghiên cứu và phát triển
Hệ thống giám sát virus của Bkav vừa phát hiện một loại mã độc gián điệp nằm vùng nguy hiêm BrowserSpy Loại mã độc này có khả năng theo dõi người dùng, lây cắp thông tin cá nhân, tài
khoản ngân hàng, mật khẩu Gmail, Facebook Tại Việt Nam, đã có hơn 560.000 máy tính bị
theo dõi bởi BrowserSpy, số lượng này đang tiếp tục tăng nhanh Đồng thời, Bkav vừa phát đi
cảnh bảo đã có hơn 735.000 máy tính tại Việt Nam bị nhiễm virus đảo tiền ảo W32.CoinMiner
1.1.2 Mục tiêu và yêu cầu an ninh mạng
1.1.2.1 Mục tiêu
An ninh mạng là tông hợp các phương pháp, chính sách nhằm bảo vệ máy tính và hệ thống mạng khỏi sự xâm nhập, đánh cắp thông tin, thay đổi cơ sở dữ liệu, phá hoại hệ thống mà không được sự cho phép từ những người chủ quản Việc phát triển ngày càng tăng của mạng Internet do
sự thuận tiện mả nó đem lại cho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập
của những hacker mạng Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục
tiêu hàng đầu của an ninh mạng:
+ Bảo đảm mạng nội bộ không bị xâm nhập trải phép
+ Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mat
+ Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không thực hiện
+ Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người dùng
+ Người dùng làm việc trên mạng không bị mạo danh, lừa đảo
1.1.2.2 Yêu cầu
Hiện nay các biện pháp tấn công cảng ngày càng nguy hiểm và tỉnh vi, su de doa tới độ an toàn thông tin có thê đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy đề đảm bảo an toàn thông tin cần có những yêu câu như sau:
— Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng
— Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cầu trúc, không mâu thuẫn
— Tính sẵn sàng: Thông tin phải luôn sẵn sảng đê tiếp cận, đề phục vụ theo đúng mục đích và đúng cách
— Tính chính xác: Thông tin phải chính xác, tim cậy
— Tính không khước từ (chống chối bỏ): Thông tin có thê kiêm chứng được nguồn gốc hoặc người đưa tin
Trang 131.1.3 Các tính chất trong an toàn thông tin mang
Hình 1.5: Tính nae quan tr-@g-câân-được bảo dam kon an ninh hệ thôông
Năm 2002, Domn Parker đã đề xuất một mô hình tương đường với tam giác CIA, được gọi là
6 nhân tố cơ bản của thông tin Các nhân tố đo là: bí mật (confidentiality), sở hữu (possession), toan ven (integrity), xac thy (authenticity), san sang (availability) và tiện ich (utility)
Một hệ thống mạng nếu hội tụ đủ 3 yếu tố trên thì vấn đề an ninh hạ tầng mạng được đảm bảo tốt hơn Sau đây sẽ là từng khía cạnh của tam giác CIA và một số tính chất khác trong an toàn thông tin mạng:
1.1.3.1 Tính bí mật của thông tin (Confidentiality)
Một số loại thông tin chỉ có giá trị đối với một đối tượng xác định khi chúng không phô biến cho các đối tượng khác Tính bí mật của thông tin là tính giới hạn về đối tượng được quyền truy xuất đến thông tin Đối tượng truy xuất có thẻ là con người, là máy tính hoặc phần mềm, kê cả
phan mém pha hoai nhu virus, worm, spyware
Ví dụ: các thông tin về chính tri va quân sự luôn được xem là các thông tin nhạy cảm nhất
đối với các quốc gia và được xử lý ở mức bảo mật cao nhất Các thông tin về hoạt động và chiến lược kinh doanh của doanh nghiệp, thông tin cá nhân v.v đều có nhu cầu được giữ bí mật ở từng
mức độ
1.1.3.2 Tính toàn vẹn thông tin (Intergrity)
Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đôi thông
tin có chủ đích hoặc hư hỏng, mắt mát thông tin do sự có thiết bị hoặc phần mềm Tính toàn ven được xét trên 2 khía cạnh: toản vẹn vẻ nội dung và toàn vẹn về nguồn gốc
Ví dụ: Một tờ báo đưa tin về một sự kiện vừa xảy ra tại một cơ quan quan trọng của chính
phủ, có ghi chú rằng nguồn tin từ người phát ngôn của cơ quan đó Tuy nhiên, nếu tin đó thật sự không phải do người phát ngôn công bố mà được lấy từ một kênh thông tin khác, không xét đến việc nội dung thông tin có đúng hay không, ta nói rằng nguồn góc thông tin đã không được bảo toàn
1.1.3.3 Tinh kha dung cua thong tin (Availability)
Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệ thống thông tin
Trang 14nào Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có khả năng phục hồi nhanh chóng nếu có sự có xảy ra
Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên máy tính, được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin không bị tiết lộ hay thay đổi Tuy nhiên, khi người quản lý cần những thông tin này thì lại không truy xuất được vì lỗi hệ thống Khi đó, thông tin hoàn toàn không sử dụng được và ta nói tính khả dụng của thông tin không được đảm bảo
1.1.3.4 Tính xác thực (Authendicity)
Trong hoạt động tính toán, kinh doanh qua mạng và an toàn thông tin, tính xác thực là vô
cùng cân thiết để đảm bảo rằng dữ liệu, giao dịch, kết nói hoặc các tài liệu (tài liệu điện tử hoặc tài
liệu cứng) đều là thật (genuine) Nó cũng quan trọng cho việc xác nhận rằng các bên liên quan biết
họ là ai trong hệ thống
1.1.3.5 Tính không thể chối cải
Không thẻ chối cãi có nghĩa rằng một bên giao dịch không thê phủ nhận việc họ đã thực hiện giao dịch với các bên khác Ví dụ: trong khi giao dịch mua hàng qua mạng, khi khách hàng đã gửi
số thẻ tín dụng cho bên bản, đã thanh toán thành công, thì bên bản không thé phủ nhận việc họ da
nhận được tiên, (trừ trường hợp hệ thống không đảm bảo tính an toản thông tin trong giao dich) 1.2 Các lỗ hỏng và tác nhân, ph|ơng thức đe dọa An ninh mang
1.2.1 Các lỗ hỏng an nỉnh tạo điều kiện cho các cuộc tấn công trên mạng Trong thời đại công nghệ phát triển nhanh chóng và đa chiều như hiện nay, không một
hệ thống nào có thể đảm bảo an toàn tuyệt đối Đặc biệt với yêu cầu phải thường xuyên tìm kiếm, trao đổi thông tin qua Internet cũng như phải lưu trữ nhiều tài liệu nội bộ mang tính bí
mat và cạnh tranh thì hệ thống mạng doanh nghiệp luôn là mục tiểu dễ bị tấn công nhất
Dưới đây là một số lỗ hông bảo mật thường bị khai thác trong hệ thống mạng doanh nghiệp:
1.2.1.1 Lỗ hỏng do xây dựng hệ thống ch0Ịa tối duu
Lỗ hồng này là các lỗi khi xây dựng hệ thống Khi xây dựng và thiết lập hệ thống mạng, người thiết kế không lường trước những rủi ro như tuổi thọ hay công suất của các thiết bị phân cứng hoặc không thực hiện các chính sách an toàn cần thiết, không ràng buộc trình tự các bước truy cập dẫn đến hệ thống mạng dễ bị xâm nhập và tân công Chẳng hạn như một số hệ thống chưa có cài đặt chế độ giám sát và cảnh báo làm xảy ra tình trạng mất mát dữ liệu trong nhiều ngày thậm chí nhiều tháng mà người quản lý vẫn không nắm được tình hình, hay việc cầu hình máy chủ cho phép cấp quyền truy cập vảo hệ thống một cách đễ dàng thì việc thất thoát đữ liệu hay lảm lộ các thông tin nhạy cảm như mã nguồn, mật khâu hay các thông tin của khách hàng là rat dé xảy ra
Đề tránh được tối đa những rủi ro có thê xảy ra, cần thiếp phải cải đặt bảo mật nhiều tầng và chia quyền truy cập dữ liệu cho từng bộ phận, từng nhân viên, thiết lập chế độ giám sát và cảnh bao dé nam bat tình hình kịp thời, khéo léo cân bằng giữa hiệu quả của hệ thống
Trang 15và vấn đề bảo mật dữ liệu đề có thê duy trì và phat trién hệ thống một cách bên vững 1.2.1.2 Lỗ hỏng từ các phần mềm và ứng dụng
Các phan mém và ứng dụng phiên bản cũ thường chứa nhiều lỗ hồng đã được phát hiện và sửa chữa Tuy nhiên, nếu người sử dụng không nâng cấp phiên bản mới, kẻ tấn công sẽ dễ đàng lợi dụng những lỗ hông đã đ0|ợc phát hiện này đề tấn công vào hệ thống Nguy hiêm hơn là những phan mém va ứng dụng được thiết kế và quảng bá từ những nguồn không đáng tin cậy Những phần mềm này thường chứa sẵn những lỗ hồng hoặc bị đính kèm những phần mềm độc hại có thể
phá hoại hệ thống mạng
Ngay cả việc sử dụng và quá tin tưởng vào các phần mém chống virus phiên bản cũ cũng là cơ hội cho những kẻ tấn công Phần mềm chống virus có thé 1a nền tảng vững chắc cho hệ thống bảo mật của mạng doanh nghiệp, nhưng không thê chủ quan nghĩ rằng nó có khả năng ngăn chặn mọi rủi ro Các mối đe dọa ngày nay rất đa dạng, vì vậy việc phụ thuộc hoàn toàn vào phần mềm chống virus chẳng khác nào trốn tránh vũ khí hiện đại sau hàng rào thép gai Một phần mềm
chống virus, thậm chí thuộc loại tốt nhất cũng không thể đảm bảo khỏi việc bị khai thác các lỗ
hồng zero-day (lỗ hông chưa được công bồ và khắc phục), tấn công hệ thống, gian lận trực tuyến (phishing), tắn công đò mật khâu (bruteforcing) nhơ| nhiều mối đe doạ khác
Vì vậy, việc sử dụng các phần mềm và ứng dụng bản quyền, luôn cập nhật thông tin và nâng cấp phiên bản cũ là việc làm hết sức cần thiết
1.2.1.3 Lỗ hỏng từ việc kết nối Internet và dịch vụ đám mây
Việc kết nối với Internet là một mối đe dọa tiềm tàng đối với hệ thống mạng Các phần mềm độc hại có thê tự động cài đặt khi người dùng click vào một đường link khi đọc một email giả mạo hay khi tải về một file dữ liệu không an toàn Những kẻ tấn công cũng có thê đánh cắp các tài khoản và đữ liệu bằng cách đánh lừa người dùng điền các thông tin vào một trang web giả mạo Từ đây chúng có thê chiếm quyền điều khiến hệ thống hoặc truy cập từ xa nhằm đánh cắp thông tin của doanh nghiệp
Hình 1.6: Lỗ hồng từ việc kết nối internet và sử
dung dich vụ dam may Việc sử dụng dịch vụ điện toán đám mây chưa xác thực cũng tồn tại nhiều rủi ro Các
Trang 16nha cung cap dich vu nay đảm bảo họ có khả năng phòng thủ bất khả xâm phạm, vì vậy chúng ta cảm thấy an tâm hơn Tuy nhiên vẫn có một số vấn đề không thẻ tránh khỏi: Trước hết, không ai biết chính xác những giải pháp an ninh mà nhà cung cấp dịch vụ điện toán dam may dang str dung, không ai đảm bảo có toàn quyền kiểm soát dữ liệu khi đang sử dụng cơ sở hạ tầng của một bên khác (ví dụ: liệu có một bản sao lớn dự phòng ở một nơi nào khác hay không) Và một trong những nguy cơ đã được xác nhận là có những phần mềm mã độc từ hạ tầng đảm mây lây lan vào hệ thống mạng của doanh nghiệp
1.2.1.4 Lỗ hồng từ việc truy cập thiết bị từ xa
Cùng với sự phát triển của các kết nối Internet băng thông rộng và máy tính/ thiết bị cá
nhân, người ta có thê làm việc tại bất cứ đâu như: ở nhà, khách sạn, sân bay, quán cafe Internet,
trên đường đi công tác vào bất cứ thời gian nào Phương thức làm việc mới có thê giúp tăng hiệu suat lam việc của nhận viên, giảm chi phí, nhưng các tổ chức và doanh nghiệp
(fa) wee lewer —(8#)
Employee Intruder
ms
Corporate Network | Gñ-COR-COE-CR-( E
Hình 1.7: Lỗ hồng từ việc truy cập từ xa lại phải đối đầu với nguy cơ thất thoát thông tin cũng như mắt an toàn của hệ thống Các thiết bị truy cập cá nhân thường không có sự giám sát của các chuyên gia CNTT nên thường có cầu hình không phù hợp trong việc chia sẻ file hay ¡n ấn, gây nên những nguy cơ như lộ thông tin quan trọng đối với bạn cùng phòng, vợ con Những người làm việc từ xa thường sử
dụng các hệ điều hành và các ứng dụng chưa được cập nhật mới nhất, ngay cả các phân mềm diệt
virus cũng không được cập nhật Vì vậy các thiết bị nay dé bị nhiễm virus và các chương trình phá hoại hơn các thiết bị ở trong công ty Việc phát hiện, làm sạch các cũng thường mắt nhiều thời gian hơn
1.2.1.5 Lỗ hỏng từ các thiết bị di động
Ngày nay, thiết bị di động cá nhân ngày càng phô biến, chúng không chỉ thực hiện một
nhiệm vụ nghe gọi mà nó còn chứa các thức khác như: ứng dụng, tải liệu, thông tin được lưu
Trang 17đó, các thiết bị đi động này rất dễ bị những kẻ tan công truy cập trái phép, sử dụng và sửa đôi đữ
liệu
Nguy cơ đầu tiên phải kế đến là việc người dùng không có khả năng hoặc khó có thể nhận thức được đâu là ứng dụng bản quyền chính hãng và đâu là ứng dụng giả mạo Cùng với đó là việc
sử dụng số lượng lớn ứng dụng không được kiểm soát, phân quyền chặt chẽ trong thiết bị di động
sẽ gây ra khó khăn trong việc dam bảo an toàn thông tin Thông thường, thiết bị như ¡iOS và Android được cấu hình chỉ cho phép cài đặt những ứng dụng được cung cấp từ Apple Store hoặc Google Play dé dam bảo an toàn cho người sử dụng Tuy nhiên với những thiết bị iOS, người dùng thường thực hiện Jaibreak đề có thê can thiệp sâu hơn vào hệ điều hành và cài đặt những ứng dụng không có nguồn gốc từ Apple Store Với những thiết bị Android còn đễ dàng hơn khi người dùng
có thê cải đặt ứng dụng từ nguồn khác bằng cách thay đôi cấu hình trong phần thiết lập một cách
dé dang
Nguy cơ tiếp theo là thiết bị di động luôn luôn tìm kiếm và kết nói tới Internet (người dùng không tắt chế độ Wifi sau mỗi lần sử dụng) Nếu không có sự can thiệp của người sử dụng, thiết bị
di động sẽ kết nối tới các mạng Internet có những đặc điểm của mạng Internet được biết đến trước
đây, điều đó có nghĩa rằng nêu người nào đó có thể mạo danh một mạng Internet đã biết (mang Internet của quán cafe, khách sạn nối tiếng) sẽ làm cho các thiết bị di động kết nói tới nó Khi đó,
kẻ tấn công có thê điều hướng người dùng tới một trang web giả mạo đề đánh cắp thông tin hoặc một trang web có chứa mã khai thác nhằm cài đặt mã độc lên thiết bị người sử dụng
1.2.1.6 Lỗ hỏng từ ng0\ời sử dụng
Kẻ tấn công có thẻ liên lạc với một người quản trị hệ thống, giả làm một người sử dụng đề yêu cầu thay đối mật khâu thay đối quyền truy nhập của mình đối với hệ thống đề thực hiện các phương pháp tấn công khác Với kiêu tấn công nảy không một thiết bị nào có thể ngăn chặn một
cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật
đề đề cao cảnh giác với những hiện tượng đáng nghỉ
Ngoài ra, việc đặt mật khẩu quá để, tự vô hiệu hoá các tính năng bảo mật của hệ thống khi
cài đặt các phần mềm và ứng dụng mới hay việc sử dụng và công khai các dữ liệu của cá nhân, tập thê lên các mạng xã hội cũng là những nguy cơ tạo điều kiện cho các cuộc tấn công mạng Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ
có sự giáo dục cộng với tinh than hop tac từ phía người sử dụng có thê nâng cao đđ|ợc độ an toàn
của hệ thống bảo vệ
1.2.2 Các chơ|ơng trình và phần mềm phá hoại (Malwares)
Malware (một từ ghép giữa 2 tir malicious va software) la mét phan mềm độc hại (mã độc) được tạo ra từ hệ thống do các tin tặc hay những người thích đùa tạo ra nhằm chiếm dữ liệu, phá hoại may tinh, dao những thông tin quan trọng Tùy vào mục đích của các hacker mà có các loại malware với mức độ nguy hiêm khác nhau Với cấp độ đơn giản chỉ là hack hệ
Trang 18thống, các ứng dụng nhỏ lẻ nhằm hù dọa, đến việc tấn công toàn bộ hệ thống máy tính, chiếm quyền kiểm soát và lây lan sang các máy tính khác đề tống tiền
Mối nguy hiểm Malwares có thê được mô tả dưới dạng:
° Viruses may tính
° Adware — phần mềm quảng cáo
° Spyware, Keylogger — phan mềm ăn cắp thông tin nhạy cảm
có thể thay thế toàn bộ file chương trình thay vì chỉ ký sinh vào chương trình Ngoài ra, virus
còn có thể xóa file và công khai sự hiện diện của nó, chiếm bộ nhớ hệ thống va gay su cố Các
nguồn phố biến nhất dé lây nhiễm virus là ô đĩa USB, Internet và file đính kèm trong email của bạn Một số mẫu virus máy tính gần đây gồm W32.Sens.A, W32.Sality.AM, và W32.Dizan.F Hầu hết những phần mềm chống virus tốt sẽ gỡ bỏ virus khi chúng được đăng ký
1.2.2.2 Adware
Adware là một loại phần mềm độc hại tải xuống hoặc hiên thị pop-up quảng cáo trên thiết
bị của người dùng Thông thường, Adware không lấy cắp dữ liệu từ hệ thống, nhưng nó buộc người dùng phải xem những quảng cáo mà họ không muốn trên hệ thống Một số hình thức quảng cáo cực kì gây khó chịu cho người dùng đó 1a tao ra pop-up trên trình duyệt mà không thê đóng lại
được
1.2.2.3 Spyware - Keylogger
Phan mém gian diép (Spyware) là loại phần mêm chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận biết
Trang 19và cho phép của chủ máy Phần mềm gián điệp cũng thu thập tin tức về dia chỉ thư điện tử và ngay
cả mật khâu cũng như là số thẻ tín dụng
Keylogger là trình theo dõi thao tác bàn phím ghi lại tất cả các phím mà người dùng nhắn
vào, bao gồm email, các tài liệu và password đã nhập cho mục đích nhất định Vì chức năng mang
tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián điệp Keylogger phát triển cao hơn nó không những ghi lại thao tác ban phim mà còn ghi lại cả các hình ảnh hiển thị trên mản hình (screen) bằng cách chụp (screen-shot) hoặc quay phim (screen-capture) thậm chí còn ghi nhận cách con trỏ chuột trên máy tính di chuyển 1.2.2.4 Bot, Zombies, Botnet
“Bot” được các hacker tạo ra đề thực hiện một số lệnh dùng dé chiếm quyền điều khiến của may bi nhiễm Bot Một thiết bị bị nhiễm Bot thì sẽ được gọi là “Zombies”, một tập hợp nhiều
Zombies sẽ được gọi là “Botnets” “Bot” được các hacker tạo ra đề thực hiện một số lệnh dùng
để chiếm quyền điều khiển của máy bị nhiễm Bot Một thiết bị bị nhiễm Bot thì sẽ được gọi là
“Zombies”, một tập hợp nhiều Zombies sẽ được gọi là “Botnets”
1.2.2.5 Ransomware
Ransomware là một mã độc (phần mèm) tống tiên hay còn được gọi là virus tống tiền Ransomware thường xuất hiện ở những trường hợp: yêu cầu bạn mua phiên bản đây đủ của một phan mềm, ứng dụng chống virus hợp pháp (bị lừa tưởng bởi Ransomware) trước khi nó có thê làm
sạch sẽ hệ thống cho bạn; mã độc mã hóa toàn bộ dữ liệu và thong tin ca nhân và xóa đi vĩnh viễn
nếu user không trả một số tiền đề nhận ““key” giải mã và lấy lại đữ liệu
1.2.2.6 Trojan Horse
Trojan" hay còn được được gọi "Trojan horse" "Trojan" là một chương trình phan mềm ác tính có tác dụng điều tra thông tin của người khác Đề làm được điều đó thì cần phải có được địa chi IP Adresse cua Victim va tat nhiên cũng cần | port được mở rồi, chỉ có như vậy thì, mới đủ nhu
cầu để đáp ứng nhu cầu truy cập vào PC của người khác Ví dụ Bạn nhận được tin nhắn với nội
dung như: Bạn sẽ có cơ hội trúng 1 chiếc xe Sh, chỉ cần bạn tải tập tin ABC này về ( ABC chính là phần mềm virus chúng đã đổi tên )
Kẻ viết ra Trojan có thê lợi dụng cửa sau này đề biến hệ thống của bạn trở thành một thành viên trong mạng Botnet, sử dụng kết nối Internet của bạn đề thực hiện các hoạt động bất hợp pháp, tải về các chương trình malware khác hay bất cứ điều gì khac ma ching muốn
1.2.2.7 Mối đe dọa liên tục nâng cao (Advanced Persistent Threat -APT) Advanced Persistent Threat là thuật ngữ đề chỉ những mối nguy hiêm chưa được phát hiện Đây là một trong những loại nguy hiểm thuộc hàng cao nhất, vì nó là những mối nguy hiểm được tạo ra nhằm vào những cuộc tân công có chủ đích mang tính chất lâu dài nhắm vào các tổ chức cao cấp, chính phủ hoặc các công ty tằm cỡ quốc tế Hậu quả của các cuộc tấn công nay rat lon:
s Bị đánh cắp tải san trí tuệ (ví dụ bí mật thương mại hoặc bằng sáng ché )
Trang 20® Cơ sở hạ tầng quan trọng của tô chức bị phá hủy (ví dụ cơ sở dữ liệu, máy chủ quản
® Chiêm đoạt toàn bộ tên miền của tô chức
“Vòng đời” của một cuộc tấn công APT được mô tả theo ba giai đoạn chính như sau, môi giai đoạn có thê có nhiêu bước:
Thông thường, APT lợi dụng những lỗ hỏng của chương trình, phần mêm (hệ thống) chưa được vá lỗi để tấn công đồng loạt vào hệ thống mạng (Zero day attack) Những mối nguy hiểm này rất khó để phát hiện vì chưa bao giờ xuất hiện nên rất khó để ngăn chặn, chỉ tới khi hệ thống bị tê liệt thì lúc đó người dung mới biết đến sự tồn tại của nó, nhưng lúc đó thì đã quá
muộn
Một ví dụ điển hình là một con viruses tên là Stuxnet đã từng xâm nhập vào hệ thống hạt nhân của Iran và đã từng đánh sập và gây tê liệt hệ thống trước khi bị phát hiện
1.2.3 Các phơjơng thức tấn công phố biến
1.2.3.1 Tấn công từ chối dịch vụ DoS (Denial of Service) và Tấn công từ chối dịch
vụ phân tán DDoS (Distributed Denial of Service)
Đây là kiểu tấn công có sự khác biệt với các kiêu tân công khác, bởi vì không nhằm vào mục đích chiếm quyền truy xuất vào hệ thống đề ăn cắp thông tin mà chỉ nhằm vào mục đích ngăn chặn hoạt động bình thường của hệ thống, đặc biệt là các hệ thống phục vụ trên mạng công cộng
như Web Server, Mail Server
Tấn công kiêu này rất dé thực hiện bởi vì chúng tận dụng các điểm yếu của giao thức, các
sơ hở về bảo mật của hệ thống (cầu hình Firewall), các lỗ hỗng của phân mềm, sự hạn chế của tài nguyên như băng thông hệ thống, năng lực của máy chủ (CPU,RAM ) hay dựa vào lưu lượng mạng được phép lưu thông của hệ thống do đó từ chối địch vụ rất khó loại bỏ trong