i HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
*****
THỰC TẬP TỐT NGHIỆP
Đề tài
NGHIÊN CỨU TRIỂN KHAI GIẢI PHÁP
BẢO MẬT HỆ THỐNG MẠNG VỚI FIREWALL
ASA VÀ HỆ THỐNG IDS
Giáo viên hướng dẫn : ThS Phạm Duy Trung
Sinh viên thực hiện : Trần Mạnh Hùng
Nguyễn Như Hoàng
Lớp : AT6A HÀ NỘI, 2/2014
ii

MỤC LỤC
MỤC LỤC II
LỜI NÓI ĐẦU V
DANH MỤC VIẾT TẮT VI
DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU VII

2.5. VPN 35
2.5.1. Giới thiệu về VPN 35
2.5.2. Site – to – site VPN 36
2.5.3. Remote access VPN 36
2.5.4. AnyConnect VPN 37
2.6. Một số loại Cisco ASA 38
2.6.1. Cisco ASA 5510 38
2.6.2. Cisco ASA 5520 39
2.6.3. Cisco ASA 5540 40
2.6.4. Đặc điểm phần cứng của thiết bị bảo mật Cisco ASA 5510, 5520, 5540
40
2.6.5. Cisco ASA Security Services Module 42
CHƯƠNG 3. HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP
IDS/IPS 44
3.1. Lịch sử phát triển IDS/IPS 44
3.2. Vai trò, chức năng IDS/IPS 45
3.3. Đặc điểm, kiến trúc hệ thống của IDS/IPS 46
iv

3.3.1. Cơ sở hạ tầng của hệ thống IDS/IPS 46
3.3.2. Kiến trúc hệ thống phát hiện xâm nhập 47
3.3.2.1. Cấu trúc 47
3.3.2.2. Kiến trúc của hệ thống IDS/IPS 48
3.4. Phân loại IDS/IPS 51
3.4.1. Host-based IDS/IPS 52
3.4.2. Network based IDS/IPS 54
3.4.3. Triển khai hệ thống IDS/IPS 55
3.4.4. Khả năng phát hiện và phòng chống của IDS/IPS 58
3.5. Hệ thống giám sát lưu lượng mang 59
3.6. Hệ thống báo động 60

IPSec
Internet Protocol Security
NAT
Network Address Translation
LAN
Local Area Network
WAN
Wide Area Network
IDS
Intrusion Detection System
IPS
Intrusion Prevention Systems
DoS
Denial of Service
NIDS
Network Intrusion Detection System
HIDS
Host Intrusion Detection System
ACL
Access Control List
NIC
Network Interface Card
ARP
Address Resolution Protocol
DMZ
Demilitarized Zone
PAT
Port Address Translation

vii

Hnh 4.3. Cài Fiddler Web 64
viii

Hnh 4.4. Cài Named Pipe TCP Proxy và trỏ đường dẫn tới Serial Port của
ASA 64
Hnh 4.5. Chạy Tftpd, chọn địa chỉ của cổng Loopback, trỏ Current
Directory vào ổ C: 65
Hnh 4.6. Sử dụng SecureCRT để cấu hình cho Firewall ASA 65
Hnh 4.7. Truy nhập vào https://1.1.1.1/ để tiến hành cài đặt ASDM 66
Hnh 4.8. Giao diện ASDM sau khi được cài đặt 66
9

CHƯƠNG 1. TỔNG QUAN
1.1. Đánh giá tổng quan về bảo mật mạng máy tính
Bảo mật mạng máy tính hiện nay được đánh giá là một trong những vấn đề
quan trọng bậc nhất của tất cả các quốc gia trong đó có Việt Nam, theo những
thống kê chưa đầy đủ của Tổng cục thống kê thì tính đến tháng 03/2012 số thuê
bao sử dụng Internet vào khoảng 4,2 triệu thuê bao tăng 17,5% và tổng số người
sử dụng Internet cũng tăng 15,3% tức vào khoảng 32,1 triệu người so với cùng
thời điểm năm 2011. Số liệu trên cho thấy tình hình phát triển công nghệ thông tin
tại Việt Nam trong những năm trở lại đây có tốc độ rất lớn và dự kiến sẽ có chiều
hướng tăng do sự phát triển của thiết bị thông minh và các thiết bị khác. Một số
doanh nghiệp Việt Nam chưa có kế hoạch hoặc có kế hoạch đầu tư nhỏ vào việc
bảo mật cho hệ thống mạng trong khi các doanh nghiệp bắt đầu phát triển các ứng
dụng công nghệ mạng để quảng cáo hoặc cung cấp thông tin của doanh nghiệp
mình trong thế giới số.
Theo báo cáo về an toàn thông tin được công bố trong ngày “An toàn thông
tin năm 2011” về vấn đền an toàn thông tin trong các tổ chức doanh nghiệp Việt
Nam năm 2011, có đến:
- 52% số tổ chức vẫn không hoặc chưa có quy trình thao tác chuẩn để

pháp bảo mật an toàn thông tin cho doanh nghiệp mang tính đầy đủ đem đến cho
các doanh nghiệp vừa và nhỏ một chi phí đầu tư đáng kể so với hoạt động kinh
doanh của doanh nghiệp.
Theo các nghiên cứu hiện nay có tại Việt Nam cũng như trên thế giới về
xây dựng một hệ thống IDS phát hiện và phòng chống xâm nhập mạng trái phép
dựa trên mã nguồn mở cũng phát triển mạnh, tuy nhiên tại Việt Nam các nghiên
cứu này có mức độ triển khai vào thực tế là chưa cao và còn là những bài toán lớn
cho giải pháp bảo mật thông tin dựa trên phần mềm mã nguồn mở.
1.2. Các mối đe dọa
Như đã nêu trên, việc bảo mật đối với các doanh nghiệp là một vấn đề lớn
hiện nay, việc một tội phạm tin học xâm nhập đã tạo ra rất nhiều cách khác nhau
để có thể thành công trong việc làm hư hỏng hoàn toàn một hệ thống mạng hoặc
11

một dịch vụ ứng dụng Web của một doanh nghiệp. Có nhiều phương pháp đã được
triển khai nhằm giảm thiểu khả năng tấn công như phát triển hạ tầng mạng và
truyền thông trên internet, dùng tường lửa, mã hóa, mạng riêng ảo… Sự phát hiện
xâm nhập cũng là một kỹ thuật gần giống với việc sử dụng tường lửa hay đại loại
như thế. Mục đích của một hệ thống phát hiện xâm nhập là thông báo cho nhà
quản trị khi có một hành vi xâm nhập hoặc một sự tấn công được phát hiện. Có
thể có nhiều cách khác nhau để tấn công và hệ thống phát hiện xâm nhập cũng có
nhiều cách để phát hiện. Để làm rõ vấn đề phát hiện xâm nhập trước tiên cần hiểu
rõ một số các mối đe dọa trong bảo mật một hệ thống mạng hoạt động ra sao.
Thông thường có 4 mối đe dọa cho việc bảo mật hệ thống được mô tả như sau:
1.2.1. Mối đe dọa bên trong
Thuật ngữ mối đe dọa bên trong được sử dụng để mô ta một kiểu tấn công
được thực hiện từ một người hoặc một tổ chức có quyền truy cập vào hệ thống
mạng. Các cách tấn công từ bên trong được thực hiện từ một khu vực được coi là
vùng tin cậy trong hệ thống mạng. Mối đe dọa này có thể khó phòng chống hơn vì
các nhân viên hoặc những tổ chức có quyền hạn trong hệ thống mạng sẽ truy cập

kiddies, sử dụng các phần mềm để thu thập thông tin, truy cập hoặc thực hiện một
kiểu tấn công DoS vào một hệ thống của một doanh nghiệp. Script kiddies tin
tưởng vào các phần mềm và kinh nghiệm của các hacker đi trước. Khi script
kiddies không có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành phá hoại lên
các doanh nghiệp không được chuẩn bị. Trong khi đây chỉ là trò chơi đối với các
kiddie, các doanh nghiệp thường mất hàng triệu đô la cũng như là sự tin tưởng của
cộng đồng. Nếu một web server của một doanh nghiệp bị tấn công, cộng đồng cho
rằng hacker đã phá vỡ được sự bảo mật của doanh nghiệp đó, trong khi thật ra các
hacker chỉ tấn công được một chỗ yếu của server. Các server Web, FTP, SMTP
và một vài server khác chứa các dịch vụ có rất nhiều lổ hổng để có thể bị tấn công,
trong khi các server quan trọng được đặt sau rất nhiều lớp bảo mật. Cộng đồng
thường không hiểu rằng phá vỡ một trang web của một doanh nghiệp thì dễ hơn
rất nhiều so với việc phá vỡ cơ sở dữ liệu thẻ tín dụng của doanh nghiệp đó. Cộng
đồng phải tin tưởng rằng một doanh nghiệp rất giỏi trong việc bảo mật các thông
tin riêng tư của nó.
13

1.2.4. Mối đe dọa có cấu trúc
Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất
phát từ các tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực hiện
tấn công. Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra mối đe
dọa này. Các hacker này biết các gói tin được tạo thành như thế nào và có thể phát
triển mã để khai thác các lỗ hổng trong cấu trúc của giao thức. Họ cũng biết được
các biện pháp được sử dụng để ngăn ngừa truy cập trái phép, cũng như các hệ
thống IDS và cách chúng phát hiện ra các hành vi xâm nhập. Họ biết các phương
pháp để tránh những cách bảo vệ này. Trong một vài trường hợp, một cách tấn
công có cấu trúc được thực hiện với sự trợ giúp từ một vài người ở bên trong. Đây
gọi là mối đe dọa có cấu trúc ở bên trong. Cấu trúc hoặc không cấu trúc có thể là
mối đe dọa bên ngoài cũng như bên trong.
1.3. Các lỗ hổng

toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế giao thức
ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP đã chứa đựng những nguy
cơ tiềm tàng của các lỗ hổng này. Tuy nhiên, mức độ nguy hiểm của các lỗ hổng
loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch
vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và người
tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống.
Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ
cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ
yếu của hình thức tấn công này là sử dụng dịch vụ Web. Với một hình thức tấn
công đơn giản như cùng một lúc gửi nhiều yêu cầu truy cập, điều này có thể làm
treo hệ thống. Đây cùng là một hình thức tấn công kiểu DoS. Người quản trị hệ
thống Website trong trường hợp này chỉ có thể khởi động lại hệ thống.[4]
Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không
xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động
spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu
và chuyển tiếp; một số hệ thống mail không có các xác thực khi người dùng gửi
thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để
thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail của hệ
15

thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ không xác
định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ không có thực
dẫn đến tình trạng ngưng trệ dịch vụ. Số lượng các messages có thể sinh ra từ các
chương trình làm bom thư rất phổ biến trên mạng Internet.
1.3.2.2. Loại B – Nguy hiểm
Các lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép
người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp
pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống.
Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với
một số quyền hạn nhất định.

dung của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts cgi). Người sử
dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ
thống server. Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy
trên hệ điều hành Novell; Các web server này có một scripts là convert.bas, chạy
scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có
trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và
phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này.
Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của
các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt
các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP,
Gopher, Telnet, Sendmail, ARP, finger…[2]
Các loại bảo mật nêu trên có thể phân loại chung thành 03 mức độ cơ bản
của điểm yếu bảo mật như sau:
17

- Điểm yếu về kỹ thuật: bao gồm những kỹ thuật gồm có điểm yếu
trong các giao thức, hệ điều hành và các thiết bị phần cứng như Server, Router,
Switch
- Điểm yếu về cấu hình hệ thống: bao gồm lỗi do nhà quản trị tạo ra,
lỗi này do các thiếu sót trong việc cấu hình hệ thống như: không đảm bảo thông
tin mật tài khoản khách hàng, hệ thống tài khoản với mật khẩu dễ dàng đoán biết,
sử dụng các cấu hình mặc định trên thiết bị.
- Điểm yếu trong chính sách bảo mật: chính sách bảo mật mô tả việc
làm thế nào và ở đâu chính sách bảo mật được thực hiện. Đây là điều kiện quan
trọng giúp việc bảo mật có hiệu quả tốt nhất.
1.4. Một số tấn công phổ biến
Có rất nhiều dạng tấn công mạng đang được biết đến hiện nay, dựa vào hành
động tấn công của tội phạm mạng có thể phân làm 02 loại là chủ động và bị động.
- Tấn công chủ động (active attack): Kẻ tấn công thay đổi hoạt động

NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những thông
tin này cũng có thể dễ dàng lấy được trên Internet.
- Một số các lỗi khác liên quan đến con người, hệ thống cũng là những
kiểu tấn công trực tiếp từ bên ngoài nhưng có mức độ phức tạp và khó khăn hơn,
nguy hiểm nhất là yếu tố con người bởi nó là một trong nhiều điểm yếu nhất trong
bất kỳ hệ thống bảo mật nào[3] (trích website quantrimang.com)
- Khi một mạng máy tính bị tấn công, nó sẽ bị chiếm một lượng lớn tài
nguyên trên máy chủ, mức độ chiếm lượng tài nguyên này tùy thuộc vào khả năng
huy động tấn công của tội phạm mạng, đến một giới hạn nhất định khả năng cung
cấp tài nguyên của máy chủ sẽ hết và như vậy việc từ chối các yêu cầu sử dụng
dịch vụ của người dùng hợp pháp bị từ chối. Việc phát động tấn công của tội phạm
mạng còn tùy thuộc vào số lượng các máy tính ma mà tội phạm mạng đó đang
kiểm soát, nếu khả năng kiểm soát lớn thì thời gian để tấn công và làm sập hoàn
toàn một hệ thống mạng sẽ nhanh và cấp độ tấn công sẽ tăng nhanh hơn, tội phạm
mạng có thể một lúc tấn công nhiều hệ thống mạng khác nhau tùy vào mức độ
kiểm soát chi phối các máy tính ma như thế nào.
19

Các kiểu tấn công có nhiều hình thức khác nhau, nhưng thông thường đều
thực hiện qua các bước theo hướng mô tả sau:
+ Khảo sát thu thập thông tin về nơi chuẩn bị tấn công bằng các công cụ để
tìm hiểu đầy đủ về hệ thống mạng.
+ Sau khi đã thu thập đủ thông tin, tội phạm mạng sẽ dò tìm những thông
tin về lỗ hổng của bảo mật hệ thống dựa trên những thông tin đã tìm được, phân
tích điểm yếu của hệ thống mạng, sử dụng các bộ công cụ để dò quét tìm lỗi trên
hệ thống mạng đó.
+ Khi đã có trong tay những điểm yếu của hệ thống mạng, tội phạm mạng
sẽ tiến hành xâm nhập hệ thống mạng bằng các công cụ như làm tràn bộ đệm hoặc
tấn công từ chối dịch vụ.
+ Ở một số cuộc tấn công, người xâm nhập sau khi đã xâm nhập thành công

hiện các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn công hay không. Các
biện pháp đó là:
- Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo
hoặc bị crash bằng những thông báo lỗi không rõ ràng, khó xác định nguyên nhân
hệ thống bị treo do thiếu thông tin liên quan. Trước tiên, xác định các nguyên nhân
về phần cứng hay không, nếu không phải phần cứng hãy nghĩ đến khả năng máy
bị tấn công
- Kiểm tra các tài khoản người dùng mới trên hệ thống: một số tài
khoản lạ, nhất là uid của tài khoản đó là zero
- Kiểm tra xuất hiện các tập tin lạ. Thường phát hiện thông qua cách
đặt tên các tập tin, mỗi người quản trị hệ thống nên có thói quen đặt tên tập tin
theo một mẫu nhất định để dễ dàng phát hiện tập tin lạ. Thực hiện các lệnh liệt kê
danh sách tập tin trong hệ thống để kiểm tra thuộc tính setuid và setgid đối với
những tập tin đáng chú ý (đặc biệt là các tập tin scripts).
- Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình
login, sh hoặc các scripts khởi động trong /etc/init.d, /etc/rc.d …
21

- Kiểm tra hiệu năng của hệ thống. Sử dụng các tiện ích theo dõi tài
nguyên và các tiến trình đang hoạt động trên hệ thống như ps hoặc top …
- Kiểm tra hoạt động của các dịch vụ mà hệ thống cung cấp. Chúng ta
đã biết rằng một trong các mục đích tấn công là làm cho tê liệt hệ thống (Hình
thức tấn công DoS). Sử dụng các lệnh như ps, pstat, các tiện ích về mạng để phát
hiện nguyên nhân trên hệ thống.
- Kiểm tra truy nhập hệ thống bằng các account thông thường, đề
phòng trường hợp các account này bị truy nhập trái phép và thay đổi quyền hạn
mà người sử dụng hợp pháp không kiểm sóat được.
- Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ như
/etc/inetd.conf; bỏ các dịch vụ không cần thiết; đối với những dịch vụ không cần
thiết chạy dưới quyền root thì không chạy bằng các quyền yếu hơn.

nhu cầu tích hợp nhiều tính năng giám sát khác để nâng cao hiệu quả sử dụng chưa
được chú trọng và phát triển. Hơn nữa, các dấu hiệu của các kiểu tấn công ngày
một tinh vi phức tạp đòi hỏi hệ thống phát hiện và phòng chống xâm nhập
(IDS/IPS) phải được thường xuyên cập nhật những dấu hiệu mới. Người quản trị
mạng còn có thể dựa vào những phân tích khác như những dấu hiệu bất thường về
lưu lượng ra vào hệ thống, hoạt động của CPU, RAM để có những phản ứng kịp
thời. Bên cạnh đó, hệ thống báo động cũng cần triển khai mang tính chất đa dạng
nhiều hình thức, linh động, tiện dụng thực sự hỗ trợ thiết thực cho người quản trị
mạng.
Các nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung
là tính đa dạng và thay đổi. Việc nghiên cứu và triển khai một hệ thống giám sát
mạng, phát hiện và phòng chống xâm nhập với các yếu tố: chính xác, nhanh chóng,
trực quan, linh động và tiện lợi là vấn đề cấp thiết trong thực tế.
Phát triển hệ thống giám sát trực quan theo dõi các diễn biến trên mạng như
lưu lượng ra vào một Server, Switch, … hay hoạt động của CPU, bộ nhớ, … giúp
người quản trị mạng có những phân tích để đưa ra ứng phó kịp thời.
23

Hệ thống phát hiện xâm nhập dựa vào những mẫu dấu hiệu tấn công triển
khai để giúp phát hiện nhanh các cuộc tấn công mạng. Hệ thống phát hiện này kết
hợp với tường lửa sẽ chống lại các cuộc tấn công xâm nhập. Tuy nhiên, các dấu
hiệu của các kiểu tấn công ngày một tinh vi phức tạp thì hệ thống phát hiện phải
được thường xuyên cập nhật những dấu hiệu mới. Để có thể phát hiện nhanh chóng
các bất thường trên mạng, người quản trị mạng còn có thể dựa vào những đồ thị
trực quan về lưu lượng ra vào hệ thống để có những phản ứng kịp thời.
Hệ thống báo động cũng cần triển khai để thông báo cho người quản trị
trong một số trường hợp: Server ngưng hoạt động, một dịch vụ mạng ngưng hoạt
động hay có tấn công mạng. Hệ thống báo động có thể được triển khai qua nhiều
hình thức để phát báo động như: bằng Web, E-mail hay qua tin nhắn SMS đến
người quản trị mạng.

25

Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng được
gán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ thông qua câu lệnh
Security-level.
2.2. Các chức năng cơ bản của tường lửa Cisco ASA
2.2.1. Các chế độ làm việc của tương lửa Cisco ASA
Firewall Cisco ASA có 4 chế độ làm việc chính:
- Chế độ giám sát (Monitor Mode): Hiển thị dấu nhắc “monitor>”.
Đây là chế độ đặc biệt cho phép cập nhật các hình ảnh qua mạng hoặc
khôi phục mật khẩu. Ở chế độ giám sát, có thể nhập lệnh để xác định
vị trí của một máy chủ TFTP và vị trí của phần mềm hoặc file khôi
phục mật khẩu để tải về. Truy cập vào chế độ này bằng cách nhấn
"Break" hoặc "ESC"ngay lập tức sau khi bật nguồn thiết bị.
- Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc“>”.
Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị an ninh. Để
cấu hình, sử dụng lệnh Enable. Các mật khẩu ban đầu là trống, do đó
nhấn Enter một lần nữa để chuyển sang chế độ truy cập tiếp theo
(Privileged Mode).
- Chế độ đặc quyền (Privileged Mode): Hiển thị dấu nhắc “#”. Cho
phép thay đổi các thiết lập hiện hành. Bất kỳ lệnh trong chế độ không
đặc quyền cũng làm việc trong chế độ này. Từ chế độ này, có thể xem
cấu hình hiện tại bằng cách sử dụng “show running config”.Tuy
nhiên, không thể cấu hình ngay ở chế độ này mà phải vào chế độ cấu
hình (Configuration Mode). Truy cập vào chế độ cấu hình bằng cách
sử dụng lệnh “configure terminal” từ chế độ đặc quyền.
- Chế độ cấu hình (Configuration Mode): chế độ này hiển thị dấu
nhắc“(config)#”. Cho phép thay đổi tất cả thiết lập cấu hình hệ thống.
Sử dụng “Exit” từ mỗi chế độ để trở về chế độ trước đó.