BÁO CÁO ĐỀ TÀI MÔN HỌC AN TOÀN MẠNG ĐỀ TÀI SNORT

Tổng quan - IDS là một thiết bị hoặc ứng dụng phần mềm giám sát mạng, hệ thống máy tính có nhiệm vụ theo dõi, phát hiện và có thể ngăn cản sự xâm nhập, cũng như các hành vi khai thác t

1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

CƠ SỞ TẠI TP HỒ CHÍ MINH



BÁO CÁO ĐỀ TÀI MÔN HỌC: AN TOÀN MẠNG GIẢNG VIÊN HƯỚNG DẪN: ThS TRẦN THỊ DUNG

ĐỀ TÀI: SNORT

3

LỜI CẢM ƠN

Đầu tiên, em xin gửi lời cảm ơn chân thành đến Học viện Công nghê Bưu chính Viễn thông Cơ sở thành phố Hồ Chí Minh đã đưa học phần An Toàn Mạng vào trương trình giảng dạy

Đặc biệt, chúng em xin chân thành cảm ơn Giảng viên Trần Thị Dung - giảng viên học phần An Toàn Mạng đã chỉ dạy, truyền đạt những kiến thức quý báu cho em trong suốt thời gian học tập học phần vừa qua, giúp đỡ chúng em trong quá trình học tập và quá trình thực hiện đồ án này

Trong quá trình thực hiện đồ án, chúng em còn nhiều sót và kết quả chưa đạt được

kỳ vọng, rất mong cô và các bạn góp ý để đồ án được bổ sung, hoàn thiện một cách đầy đủ và tốt nhất

Chúng em xin chân thành cảm ơn !

4

MỤC LỤC

LỜI CẢM ƠN 3

BẢNG THUẬT NGỮ 5

I KIẾN THỨC TỔNG QUAN 6

1 Giới thiệu về IDS/IPS 6

a Tổng quan 6

b Phân loại IDS 7

2 Giới thiệu về Snort 9

a Giới thiệu chung 9

b Kiến trúc của Snort 10

3 Cấu hình snort – snort configuration: 25

II CẤU HÌNH THỰC NGHIỆM 26

1 Mô hình Snort cài đặt chung với Web Server DVWA 26

a Mô hình mạng 26

b Các bước cấu hình và demo 26

2 Mô hình Snort cài đặt riêng với Web Server DVWA 33

a Mô hình mạng 33

b Các bước cấu hình và demo 34

3 So sánh rule tự tạo và bộ rule của Snort 49

5

BẢNG THUẬT NGỮ

System

Hệ thống ngăn chặn xâm nhập

host NIDS Network-based IDS Hệ thống ngăn chặn xâm nhập trên

toàn mạng URL Uniform Resource Locator Định vị tài nguyên thống nhất

Protocol

Giao thức điều khiển truyền vận

UDP User Datagram Protocol Giao thức dữ liệu người dùng

Protocol

Giao thức Truyền tải Siêu Văn Bản

FTP File Transfer Protocol Giao thức truyền tải tập tin

Capture Data

Thu thập dữ liệu gói

DAQ Data Acquisition library Thư viện thu thập dữ liệu

PCRE Perl compatible regular

6

I KIẾN THỨC TỔNG QUAN

1 Giới thiệu về IDS/IPS

a Tổng quan

- IDS là một thiết bị hoặc ứng dụng phần mềm giám sát mạng, hệ thống máy

tính có nhiệm vụ theo dõi, phát hiện và có thể ngăn cản sự xâm nhập, cũng

như các hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà

có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống Bất kỳ hoạt động hoặc vi phạm nào được phát hiện thường báo cáo cho quản trị viên hoặc thu thập tập trung bằng hệ thống SIEM Một hệ thống SIEM kết hợp các kết quả đầu ra từ nhiều nguồn và sử dụng các kỹ thuật lọc báo động để phân biệt hoạt động ác ý từ các báo động sai lầm

- IPS có các chức năng của một IDS, ngoài ra bổ sung thêm khả năng ngăn ngừa các hoạt động xâm nhập không mong muốn Khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ xâm nhập mà nó phát hiện được thì nó được gọi là một IPS

- Tùy thuộc vào quy mô, tính chất của từng mạng máy tính cụ thể cũng như chính sách an ninh của người quản trị mạng

- Trong trường hợp các mạng có quy mô nhỏ, với một máy chủ an ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tính chất kết hợp giữa phát hiện, cảnh báo và ngăn chặn của nó

- Tuy nhiên với các mạng lớn hơn thì chức năng ngăn chặn thường được giao phó cho một sản phẩm chuyên dụng Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện và gửi các cảnh báo đến một hệ thống ngăn chặn khác Sự phân chia trách nhiệm này sẽ làm cho việc đảm bảo an ninh cho mạng trở nên linh động và hiệu quả hơn

7

Hình 1 Mô tả chức năng của IDS và IPS trong hệ thống

b Phân loại IDS

- Thông thường phân loại các hệ thống IDS dựa vào đặc điểm của nguồn dữ liệu thu thập được Trong trường hợp này, hệ thống IDS được chia thành các loại sau:

 Host-based IDS (HIDS):

Giám sát hoạt động của từng máy tính riêng biệt được cài đặt trên các máy tính(host) HIDS cài đặt trên nhiều kiểu máy chủ khác nhau, trên máy trạm làm việc hoặc máy notebook HIDS cho phép thực hiện một cách linh hoạt trên các đoạn mạng mà NIDS không thực hiện được Nguồn thông tin chủ yếu của HIDS ngoài lưu lượng đến và đi trên máy chủ còn có hệ thống dữ liệu system log và system audit

Lưu lượng đã gửi đến host được phân tích và chuyển qua host nếu chúng không tiềm ẩn các mã nguy hiểm HIDS cụ thể hơn với các nền ứng dụng và phục vụ mạnh mẽ cho hệ điều hành

Nhiệm vụ chính của HIDS là giám sát sự thay đổi trên hệ thống:

 Các tiến trình – process

 Các entry của registry

 Mức độ sử dụng của CPU

 Các thông số vượt ngưỡng cho phép trên hệ thông file

Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ, thường sử dụng các cơ chế kiểm tra và phân tích các thông tin đến và đi, các

8

thông tin được logging, lịch sử audit log Tìm kiếm các hoạt động bất thường như login, truy nhập file không thích hợp, bước leo thang các đặc quyền không được chấp nhận

HIDS thường được cài đặt trên một máy tính nhất định Thay vì giám sát hoạt động của một Network segment, HIDS chỉ giám sát các hoạt động trên một máy tính Nó thường được đặt trên các Host xung yếu của tổ chứcvà các server trong vùng DMZ

Hình 2 Mô hình hệ thống HIDS trong mạng

 Network-based IDS (NIDS):

Giám sát trên toàn bộ mạng Nguồn thông tin chủ yếu của NIDS là các gói

dữ liệu đang lưu thông trên mạng như (cables, wireless) bằng cách sử dụng các card giao tiếp

NIDS xác định các truy cập trái phép bằng việc giám sát các hoạt động mạng được tiến hành trên toàn bộ các phân mạng của hệ thống, NIDS sử dụng bộ

dò và bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu

Khi một gói dữ liệu phù hợp với qui tắc phát hiện xâm nhập của hệ thống

Bộ cảm biến gửi tín hiệu cảnh báo đến trung tâm điều khiển và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn hay đơn

Hình 3 Mô hình NIDS trong mạng

2 Giới thiệu về Snort

a Giới thiệu chung

- Được viết bởi Martin Roesch vào năm 1998 Hiện tại, Snort được phát triển bởi Sourcefire, nơi mà Roesch đang là người sáng lập và CTO, được sở hữu bởi Cisco từ năm 2013

- Snort là một kiểu IDS/IPS, thực hiện giám sát các gói tin ra vào hệ thống

- Là một mã nguồn mở miễn phí với nhiều tính năng trong việc bảo vệ hệ thống bên trong, phát hiện sự tấn công từ bên ngoài vào hệ thống

10

b Kiến trúc của Snort

Hình 4 Mô hình kiến trúc NIDS của Snort Theo mô hình kiến trúc trên, Snort được chia làm các phần:

 Module Packet Decoder: Xử lý giải mã các gói tin

 Module Preprocessors: Tiền xử lý

 Module Detection Engine: Phát hiện xâm nhập và ngăn chặn

 Module Logging and Alerting System: Cảnh báo xâm nhập

 Output Alert or Log to a File: Kết xuất thông tin

Với kiến trúc thiết kế theo kiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các module Cơ sở dữ liệu luật của Snort đã lên tới hàng ngàn luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng Snort có thể chạy trên nhiều

hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris,

HP-UX, AIX, IRIX, MacOS

- Module Decoder – Giải mã:

Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống Gói tin sau khi được giải mã sẽ đưa vào Module tiền xử lý

11

- Module Preprocessors – Tiền xử lý:

Hình 5 Cấu trúc cấu hình Preprocessor trong snort

Module này rất quan trọng đối với bất kỳ hệ thống nào để có thể chuẩn bị gói

dữ liệu đưa vào cho Module phát hiện phân tích Tiền xử lý có 03 nhiệm vụ chính là:

 Kết hợp lại các gói tin: Khi một dữ liệu lớn được gửi đi, thông tin sẽ không đóng gói toàn bộ vào một gói tin mà thực hiện phân mảnh, chia thành nhiều gói tin rồi mới gửi đi Khi Snort nhận được các gói tin này, nó phải thực hiện kết nối lại để có gói tin ban đầu Module tiền xử lý giúp Snort có thể hiểu được các phiên làm việc khác nhau

 Giải mã và chuẩn hóa giao thức (decode/normalize): công việc phát hiện xâm nhập dựa trên dấu hiệu nhận dạng nhiều khi thất bại khi kiểm tra các giao thức có dữ liệu có thể được biểu diễn dưới nhiều dạng khác nhau Ví dụ: một Web server có thể nhận nhiều dạng URL: URL viết dưới dạng hexa/unicode hay URL chấp nhận dấu / hay Nếu Snort chỉ thực hiện đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ sót hành vi xâm nhập Do vậy, 1 số Module tiền xử lý của Snort phải có nhiệm vụ giải mã và chỉnh sửa, sắp xếp lại các thông tin đầu vào

 Phát hiện các xâm nhập bất thường (nonrule/anormal): các plugin dạng này thường để xử lý với các xâm nhập không thể hoặc rất khó phát hiện bằng các luật thông thường Phiển bản hiện tại của Snort có đi kèm 2 plugin giúp phát hiện xâm nhập bất thường đó là portscan và bo (backoffice) Portscan dùng để đưa ra cảnh báo khi kẻ tấn công thực hiện quét cổng để tìm lỗ hổng Bo dùng để đưa ra cảnh báo khi hệ thống nhiễm trojan backoffice

12

- Module Detection Engine – Phát hiện xâm nhập

Đây là module quan trọng nhất của Snort Nó chịu trách nhiệm phát hiện các

dấu hiệu xâm nhập Module sử dụng các luật (rule) được định nghĩa từ trước để

so sánh với dữ liệu thu thập được, từ đó xác định xem có xâm nhập xảy ra hay không

Một vấn đề quan trọng đối với module detection engine là thời gian xử lý gói tin: một IDS thường nhận rất nhiều gói tin và bản thân nó cũng có rất nhiều luật

xử lý Khi lưu lượng mạng quá lớn thì có thể xảy ra việc bỏ sót hoặc không phản hồi đúng lúc Khả năng xử lý của module phát hiện phụ thuộc vào nhiều yếu tố:

số lượng các luật, tốc độ hệ thống, băng thông mạng,…

Module detection engine có khả năng tách các phần của gói tin ra và áp dụng luật lên tưng phần của gói tin:

 IP HEADER

 Header ở tầng transport: TCP, UDP

 Header ở tầng application: DNS, HTTP, FTP, …

 Payload - Phần tải của gói tin

Do các luật trong Snort được đánh số thứ tự ưu tiên nên một gói tin khi bị phát hiện bởi nhiều luật khác nhau, cảnh báo được đưa ra theo luật có mức ưu tiên cao nhất

Hình 6 Thứ tự ưu tiên của các luật theo chiều giảm dần của header action

13

- Module Logging and Alerting System – Ghi lại log và cảnh báo:

Tùy thuộc vào cấu hình mà module phát hiện (detection engine) nhận dạng được xâm nhập hay không mà gói tin có thể bị ghi log hay đưa ra cảnh báo Output Alert or Log to a File:

Ghi các log ở Module Logging and Alerting System Các file log là các file dữ liệu có thể ghi dưới nhiều định dạng khác nhau như tcpdump, xml, syslog, log file

- Module Output Alert or Log to a File – Kết xuất thông tin

Mô-đun đầu ra cho phép snort chuyển đầu ra đã tạo tới cơ sở dữ liệu như Mysql hoặc gửi tin nhắn đến máy chủ Syslog Mô-đun đầu ra hoặc plugin có thể kiểm soát loại đầu ra được tạo bởi hệ thống ghi nhật ký và cảnh báo

c Snort Mode

- Snort có thể hoạt động theo 3 chế độ khác nhau:

Inline mode – Chế độ nội tuyến:

Khi ở chế độ này, Snort hoạt động như một IPS cho phép kích hoạt các hoạt động ngăn chặn

Hình 7 Snort inline mode với options –Q và cấu hình policy_mode:inline

Passive Mode – Chế độ bị động:

Ở chế độ bị động, nó hoạt động theo bản năng là một IDS

Hình 8 Snort passive mode với cấu hình policy_mode:tap

Inline-test Mode – Chế độ nội tuyến thử nghiệm:

Chế độ này cho phép đánh giá các hoạt động trong luồng mạng trước khi đưa ra hành động tiếp theo Có thể thực hiện các hành động tương tự IDS là cảnh báo và IPS (có thể ngăn chặn)

14

Hình 9 Snort inline-test mode với cấu hình

Hình 10 Các rule option tương ứng với snort mode

Hình 11 Chi tiết các tham số và hoạt động của các rule option

Lưu ý: Không thể thực hiện với tham số -Q –enable-inline-test

d Snort rule

Hệ thống phát hiện của Snort hoạt động dựa trên các luật (rule) và các luật này lại được dựa trên các dấu hiệu nhận dạng tấn công Các luật có thể được áp dụng cho tất cả các phần khác nhau của một gói tin dữ liệu các hoạt động tấn công hay xâm nhập đều có các dấu hiệu riêng Các thông tin về các dấu hiệu này sẽ được sử dụng

để tạo lên các luật cho snort

Một luật có thể được sử dụng để tạo nên một thông điệp cảnh báo, log một thông điệp hay có thể bỏ qua một gói tin

15

Cấu trúc rule của Snort: Gồm 2 phần như sau

Hình 12 Cấu trúc cơ bản của Rule

Phần Header chứa thông tin về hành động mà luật đó sẽ thực hiện khi phát hiện ra

có xâm nhập nằm trong gói tin và nó cũng chứa các tiêu chuẩn để áp dụng luật với gói tin đó

Hình 13 Các thành phần trong Rule header

- Action: Qui định loại hành động nào được thực thi khi các dấu hiệu của gói tin được nhận dạng Có 3 hành động mặc định có sẵn trong Snort là alert, log, pass Ngoài ra, nếu đang chạy Snort ở chế độ inline, có các tùy chọn bổ sung bao gồm drop, reject, sdrop

 Alert: Tạo một cảnh báo bằng cách sử dụng phương pháp cảnh báo đã

chọn, sau đó ghi lại log

 Log: ghi lại gói tin

 Pass: Cho phép bỏ qua gói tin này

 Drop: Chặn gói tin này và ghi lại log

 Reject: Chặn gói tin, ghi lại log và sau đó gửi thiết lập lại TCP nếu giao

thức là TCP hoặc thông báo không thể truy cập, cổng ICMP nếu giao thức

là UDP

 Sdrop: Chặn gói tin và không ghi log

- Protocol: Là phần thứ hai của một luật có chức năng chỉ ra loại gói tin mà

luật sẽ được áp dụng Protocols qui định việc áp dụng luật cho các packet chỉ thuộc một giao thức cụ thể nào đó: IP, ICMP, TCP, UDP

- Address: Là phần địa chỉ nguồn và địa chỉ đích Các địa chỉ có thể là một

máy đơn, nhiều máy hoặc của một mạng nào đó Trong hai phần địa chỉ trên

16

thì một sẽ là địa chỉ nguồn, một sẽ là địa chỉ đích và địa chỉ nào thuộc loại nào sẽ do phần Direction ký hiệu là “->” qui định

- Port: Xác định các cổng nguồn và đích của một gói tin mà trên đó luật được

áp dụng Số hiệu cổng dùng để áp dụng luật cho các gói tin đến hoặc đi đến một cổng hay một phạm vi cổng cụ thể nào đó

- Direction: Chỉ ra đâu là nguồn đâu là đích, có thể là -> hay <- hoặc <>

Trường hợp ký hiệu <> là khi ta muốn kiểm tra cả Client và Server

Phần Option chứa một thông điệp cảnh báo và các thông tin về các phần của gói

tin dùng để tạo nên cảnh báo Phần Option chứa các tiêu chuẩn phụ thêm để đối sánh luật với gói tin Một luật có thể phát hiện được một hay nhiều hoạt động thăm

dò hay tấn công

Các tùy chọn được ngăn cách với nhau bởi dấu chấm phẩy (;) và được ngăn cách với tham số bởi dấu hai chấm (:)

Các tùy chọn cho rule phân thành 4 loại chính như sau:

- General: Các tùy chọn này cung cấp thông tin về quy tắc nhưng không có

bất kỳ ảnh hưởng nào trong quá trình phát hiện

- Payload: Tất cả các tùy chọn này đều tìm kiếm dữ liệu bên trong tải payload

của gói và có thể liên quan đến nhau

- Non-payload: Các tùy chọn này tìm kiếm dữ liệu không phải payload

- Post-detection: Các tùy chọn này là các trình kích hoạt quy tắc cụ thể xảy ra

sau khi quy tắc đã kích hoạt

17

General rule option:

Hình 14 Một số general rule option thông dụng

 Msg (message): Tùy chọn quy tắc thông báo bằng một lời nhắn cho bộ máy

ghi nhật ký và cảnh báo tin nhắn, nó sẽ cùng với kết xuất gói tin hoặc cảnh báo

Hình 15 Format của msg

 flow: chỉ thị cho biết liệu nội dung mà chúng ta sắp xác định là tín hiệu của

chúng ta có cần xuất hiện trong giao tiếp với máy chủ ("to_server") hay với máy khách ("to_client") hay không

 Reference: phép các quy tắc bao gồm các tham chiếu đến các hệ thống nhận

dạng tấn công từ bên ngoài

Hình 16 Format references

 Established: chỉ thị này sẽ khiến Snort giới hạn việc tìm kiếm các gói phù

hợp với các dấu hiệu phù hợp ở các gói chỉ là một phần của các kết nối đã thiết lập, giúp giảm thiểu lượng traffic truyền trên Snort

18

 Gid (generate id): sử dụng để xác định phần nào của Snort tạo ra sự

kiện/hoạt động khi một quy tắc trong bộ rules cụ thể mà ta cài đặt được kích hoạt

Hình 17 Format của gid

 Sid (signature id): thuộc tính siêu dữ liệu cho biết ID( duy nhất) của tín hiệu

của luật mà ta tạo ra hoặc sử dụng một bộ luật với cái sid được xây dựng sẵn, nhằm xác định tín hiệu vi phạm và tra cứu thông tin một cách nhanh nhất

Hình 18 Format sid

 rev: chỉ thị cho biết phiên bản của bộ luật

Hình 19 Format rev

 classtype: chỉ thị là thuộc tính siêu dữ liệu cho biết quy tắc này phát hiện ra

loại hoạt động nào

Hình 20 Format classtype

19

Hình 21 Các loại classtype với mức priority tương ứng

 Priority: chỉ định mức độ nghiêm trọng cho các quy tắc Quy tắc classtype

chỉ định mức ưu tiên mặc định Priority có thể ghi đè

Hình 22 Format priority

20

 Metadata: cho phép quản trị viên viết quy tắc(rules) nhúng thông tin bổ sung

về quy tắc, thường ở định dạng khóa-giá trị( key- value).Các khóa và giá trị siêu dữ liệu nhất định có ý nghĩa đối với Snort và được liệt kê

Hình 23 Metadata format

Metadata chỉ có nghĩa khi bảng thuộc tính máy chủ được cung

cấp(host attribute table)

Hình 24 Snort metadata key-value

21

Payload Detection rule option :

Hình 25 Một số payload detection rule option thông dụng

 Content: một trong những tính năng quan trọng của Snort Nó cho phép

người dùng thiết lập các quy tắc tìm kiếm nội dung cụ thể trong trọng tải gói(payload packet) và kích hoạt phản hồi dựa trên dữ liệu đó Sử dụng hàm

so sánh Boyer-Moore để kiểm tra nội dung gói Với các content modifier (hình 26) :

Hình 26 Content format

22

 Content modifier

 Rawbytes: cho phép các quy tắc xem xét dữ liệu gói thô, bỏ qua bất kỳ giải

mã nào được thực hiện bởi các bộ tiền xử lý

Hình 27 Rawbytes format

 Depth: cho phép người viết quy tắc chỉ định khoảng cách mà Snort nên tìm

kiếm mẫu được chỉ định

Hình 28 Depth format

 Offset: cho phép người viết quy tắc chỉ định nơi bắt đầu tìm kiếm một mẫu

trong gói Từ khóa này cho phép các giá trị từ -65535 đến 65535.Giá trị cũng

có thể được đặt thành giá trị chuỗi tham chiếu đến một biến được trích xuất bởi từ khóa trích xuất byte trong cùng một luật

Hình 29 Offset format

23

 Distance: cho phép người viết quy tắc chỉ định khoảng cách vào một gói mà

Snort nên bỏ qua trước khi bắt đầu tìm kiếm mẫu được chỉ định liên quan đến kết thúc của đối sánh mẫu ở mục content

Hình 30 Distance format

 Within: một công cụ sửa đổi nội dung đảm bảo rằng tối đa N byte nằm giữa

khoảng cách(distance) các đối sánh mẫu bằng content

Hình 31 Within format

 Isdataat: Xác minh rằng payload có dữ liệu tại một vị trí được chỉ định, tùy

chọn tìm kiếm dữ liệu liên quan đến phần cuối của phần trước phù hợp nội dung

Hình 32 Isdataat format

 Pcre: Từ khóa pcre cho phép các quy tắc được viết bằng cách sử dụng các

biểu thức chính quy tương thích với perl

Hình 33 Prce format

24

Non - Payload Detection option:

Hình 34 Non –payload detection rule option thông dụng

Post Detection rule option:

Hình 35 Post detection rule option thông dụng

25

3 Cấu hình snort – snort configuration:

Các bước để tiến hành cấu hình snort:

• Bước 1: Set the network variables – cấu hình các thành phần của mạng

• Bước 2: Configure the decoder : cấu hình thành phần module giải mã

• Bước 3: Configure the base detection engine - công cụ phát hiện cơ sở

• Bước 4: Configure dynamic loaded libraries - thư viện được tải động

• Bước 5: Configure preprocessors – Cấu hình tiền sử lý

• Bước 6: Configure output plugins – cấu hình các plugin đầu ra

• Bước 7: Customize your rule set – cấu hình luật

• Bước 8: Customize preprocessor and decoder rule set – Cấu hình luật tiền xử lý

và luật bộ giải mã

• Bước 9: Customize shared object rule set – cấu hình bộ luật đối tượng chia sẻ