Việc thay đổi số cổng mặc định có thực sự làm tăng tính bảo mật?


69

Tôi đã thấy lời khuyên nói rằng bạn nên sử dụng các số cổng khác nhau cho các ứng dụng riêng tư (ví dụ: mạng nội bộ, cơ sở dữ liệu riêng tư, bất cứ thứ gì mà không người ngoài nào sẽ sử dụng).

Tôi không hoàn toàn tin rằng có thể cải thiện an ninh vì

  1. Máy quét cổng tồn tại
  2. Nếu một ứng dụng dễ bị tấn công, nó vẫn như vậy bất kể số cổng của nó.

Tôi đã bỏ lỡ một cái gì đó hoặc tôi đã trả lời câu hỏi của riêng tôi?


30
Một điều tôi đã làm là sử dụng một số cổng mặc định nhất định (ví dụ: cổng SSH 22) làm chậu mật ong. Bất cứ ai cố gắng kết nối với các cổng đó đều bị chặn hoàn toàn trong xkhoảng thời gian. Nó đã được chứng minh là có hiệu quả chống quét cổng. Tất nhiên, đây chỉ là một công cụ trong hộp công cụ bảo mật.
Belmin Fernandez

Câu hỏi chung về bảo mật thông qua che khuất được đặt ra ở đây: security.stackexchange.com/questions/2430/
Khăn

ồ, nó có thể là một trở ngại cho "những đứa trẻ kịch bản"
Lukasz Madon

1
@BelminFernandez, "một công cụ trong hộp công cụ bảo mật" ? Không, điều này là để giảm tải máy chủ (hiệu suất) và không liên quan gì đến bảo mật bên cạnh ảo ảnh đơn thuần của nó. Bảo mật, nó hoàn toàn không cần thiết nếu máy chủ đã mạnh và nếu máy chủ dễ bị tấn công, thì nó không làm cho nó an toàn hơn nữa.
Pacerier

@Pacerier, Đồng ý rằng nỗ lực và trọng tâm nên được thực hiện các thực tiễn bảo mật vững chắc hơn. Tuy nhiên, không có lý do tại sao bạn không thể làm cả hai.
Belmin Fernandez 8/2/2016

Câu trả lời:


68

Nó không cung cấp bất kỳ sự bảo vệ nghiêm trọng nào trước một cuộc tấn công nhắm mục tiêu. Nếu máy chủ của bạn đang bị nhắm mục tiêu thì, như bạn nói, họ sẽ quét cổng cho bạn và tìm xem cửa của bạn ở đâu.

Tuy nhiên, việc di chuyển SSH ra khỏi cổng mặc định 22 sẽ ngăn chặn một số cuộc tấn công kiểu kiddie không được nhắm mục tiêu và nghiệp dư. Đây là những người dùng tương đối không tinh vi, họ đang sử dụng các tập lệnh để quét các khối lớn địa chỉ IP tại một thời điểm cụ thể để xem cổng 22 có mở không và khi họ tìm thấy, họ sẽ khởi động một số loại tấn công vào nó (tấn công từ điển, tấn công từ điển, Vân vân). Nếu máy của bạn nằm trong khối IP đó được quét và nó không chạy SSH trên cổng 22 thì nó sẽ không phản hồi và do đó sẽ không hiển thị trong danh sách các máy để tập lệnh này kiddie tấn công. Ergo, có một số bảo mật cấp thấp được cung cấp nhưng chỉ dành cho kiểu tấn công cơ hội này.

Ví dụ, nếu bạn có thời gian - hãy đăng nhập lặn trên máy chủ của bạn (giả sử SSH đang ở cổng 22) và rút ra tất cả các lần thử SSH thất bại duy nhất mà bạn có thể. Sau đó di chuyển SSH ra khỏi cổng đó, đợi một lúc và đăng nhập lại lặn. Bạn chắc chắn sẽ tìm thấy ít cuộc tấn công hơn.

Tôi đã từng chạy Fail2Ban trên một máy chủ web công cộng và nó thực sự rất rõ ràng khi tôi chuyển SSH ra khỏi cổng 22. Nó cắt các cuộc tấn công cơ hội bằng các mệnh lệnh lớn.


3
Đã đồng ý. Tôi đã thấy một sự sụt giảm rất giống nhau khi thử nghiệm chuyển SSH sang một cổng không chuẩn. May mắn thay với mật khẩu auth bị vô hiệu hóa, nó thực sự không thành vấn đề.
EEAA

3
Câu trả lời tốt nhất ở đây cho đến nay. Tất cả là do ai đang tấn công. Tôi đã từng giúp quản trị viên một hệ thống bị tấn công bằng 0 ngày từ một đứa trẻ quét. Có lẽ trong MS-RDP vì chúng tôi không có tường lửa bị lộ bởi tường lửa. Máy chủ của chúng tôi sẽ không cho phép chúng tôi thay đổi cổng RDP (lưu trữ được quản lý) vì vậy về cơ bản chúng tôi phải ngồi ở đó trong khi họ làm việc trên một mẫu mới để lọc IDS / IPS. Mặc dù nó có thể không giúp được nhiều cho các máy chủ được thiết lập như SSH có vẻ như có ít vấn đề bảo mật hơn so với một số sản phẩm MS.
Matt Molnar

9
Hoàn toàn đồng ý. Bảo mật là tất cả về các lớp, và bạn càng có nhiều, bạn càng an toàn hơn. Đây có thể là một lớp yếu, nhưng dù sao vẫn là một lớp. Miễn là nó không chỉ dựa vào, nó chỉ có thể thêm vào bảo mật.
Paul Kroon

1
Một điểm khác để di chuyển SSH ra khỏi cổng 22 là số lượng lớn SSH cố gắng cộng với các dịch vụ vì Fail2Ban đôi khi có thể chiếm thời gian CPU có giá trị. Nó có thể không đáng kể trên phần cứng hàng đầu nhưng một số máy chủ cũ có thể gặp phải sự đột biến của CPU. Thời gian CPU, bộ nhớ và băng thông của nó với bạn có thể sử dụng cho những thứ khác.
artifex

Tôi đã làm tương tự với RDP trên Server 2003 - nó đã cắt giảm đáng kể số lượng mục nhập xác thực không thành công trong Trình xem sự kiện.
Moshe

43

Nó rất hữu ích để giữ cho các bản ghi sạch sẽ.

Nếu bạn thấy các lần thử thất bại với sshd chạy trên cổng 33201, bạn có thể cho rằng người đó đang nhắm mục tiêu cho bạn và bạn có tùy chọn thực hiện hành động thích hợp nếu bạn mong muốn .. Chẳng hạn như liên hệ với chính quyền, điều tra người này có thể là ai ( bằng cách tham chiếu chéo với IP của người dùng đã đăng ký của bạn hoặc bất cứ điều gì), v.v.

Nếu bạn sử dụng cổng mặc định thì sẽ không thể biết được ai đó đang tấn công bạn hay đó chỉ là những kẻ ngốc ngẫu nhiên thực hiện quét ngẫu nhiên.


8
sự khác biệt tuyệt vời
ZJR

3
+1 Đây là đối số tốt nhất để thay đổi số cổng mà tôi từng nghe và cho đến nay điều duy nhất sẽ lôi kéo tôi làm điều đó
squillman

2
+1 Đây là một điểm tuyệt vời. Các mối đe dọa được nhắm mục tiêu nguy hiểm hơn nhiều so với các đầu dò ngẫu nhiên (các kiddies script chỉ chuyển sang các mục tiêu dễ dàng hơn nếu bạn có bất kỳ bảo mật tốt nào). Kẻ tấn công được nhắm mục tiêu có thể biết nhiều hơn về các lỗ hổng cụ thể hoặc thậm chí các mẫu mật khẩu. Thật tốt khi có thể nhận ra các cuộc tấn công này bên ngoài hàng loạt thư rác trên cổng 22.
Steven T. Snyder

1
Điều này là sai. Tôi đã thấy ít nhất một máy chủ bị xâm nhập thông qua quá trình quét trên cổng SSH không chuẩn. Không có lý do cố hữu tại sao kẻ tấn công cũng không thể quét các cổng khác.
Sven Slootweg

@SvenSlootweg, True, đặc biệt là với các máy tính nhận được nhanh hơn và rẻ hơn, quét chụp 65535 lần nữa là không còn nhiều thời gian hơn nữa.
Pacerier

28

Không, nó không. Không hẳn vậy. Thuật ngữ này là Bảo mật bởi sự tối nghĩa và nó không phải là một thông lệ đáng tin cậy. Bạn đúng trong cả hai điểm của bạn.

Bảo mật bằng cách tối ưu nhất sẽ ngăn chặn các nỗ lực thông thường chỉ cần đi xung quanh tìm kiếm các cổng mặc định biết rằng đến một lúc nào đó, họ sẽ tìm thấy ai đó đã mở cửa trước. Tuy nhiên, nếu có bất kỳ mối đe dọa nghiêm trọng nào mà bạn phải đối mặt với việc thay đổi cổng deault thì hầu như sẽ làm chậm cuộc tấn công ban đầu xuống, nhưng chỉ là rất ít vì những gì bạn đã chỉ ra.

Tự mình làm và để các cổng của bạn được cấu hình đúng cách, nhưng thực hiện các biện pháp phòng ngừa thích hợp để khóa chúng với tường lửa, ủy quyền, ACL, v.v.


17
Việc chiếu mật khẩu (mạnh) và mã hóa vào ý tưởng bảo mật bằng cách che khuất là một chút căng thẳng, theo ý kiến ​​khiêm tốn của riêng tôi ...
squillman

5
Chỉ sử dụng 8 ký tự với đầy đủ các ký tự chữ và số (và thậm chí không cho phép các ký tự đặc biệt), số lượng kết hợp có thể là 62 ^ 8 (218,340,105,584,896). 65535 thậm chí không ở trong cùng vũ trụ như vậy, ngay cả khi sử dụng các máy dò quét cổng. Lưu ý, tôi đang giảm giá mật khẩu yếu.
squillman

3
Một lần nữa , "không phải là cổng không chuẩn là toàn bộ bộ máy bảo mật". Giúp một ít. Đó là một tinh chỉnh 10 giây, nếu không có gì khác, sẽ ngăn máy chủ của bạn hiển thị với ai đó đang tìm kiếm SSH để bắt đầu gõ cửa.
ceejayoz

8
Meh. Theo dõi các cổng không chuẩn không có giá trị trong cuốn sách của tôi. Tôi sẽ đồng ý không đồng ý với bất cứ ai ... Thêm các biện pháp đối phó ngoài việc thay đổi cổng chắc chắn là một phần của phương trình và tôi muốn thay vào đó là những điều cần thiết.
squillman

6
Từ những gì tôi đã thấy các cổng không chuẩn đã trở nên khá chuẩn. 2222 cho ssh, 1080, 8080, 81, 82, 8088 cho HTTP. Mặt khác, nó trở nên quá tối nghĩa và bạn tự hỏi dịch vụ nào trên cổng 7201 và tại sao bạn không thể kết nối với ssh trên 7102.
BillThor

13

Đó là một mức độ tối nghĩa nhỏ, nhưng không phải là một cú hích tốc độ đáng kể trên con đường tấn công. Đây là một cấu hình khó hơn để hỗ trợ lâu dài vì mọi thứ liên quan đến dịch vụ cụ thể đó phải được nói về cổng khác nhau.

Ngày xưa, đó là một ý tưởng tốt để tránh sâu mạng, vì những người có xu hướng quét chỉ một cổng. Tuy nhiên, thời gian của sâu nhân nhanh chóng đã qua.


2
+1 cho vấn đề cấu hình và hỗ trợ khó hơn. Khiến bạn lãng phí thời gian có thể dành cho việc bảo vệ cánh cửa (thay vì phải tìm kiếm nơi nào trên ngôi nhà bạn đã đặt nó).
Macke

12

Như những người khác đã chỉ ra, việc thay đổi số cổng không mang lại cho bạn nhiều sự bảo mật.

Tôi muốn thêm rằng việc thay đổi số cổng thực sự có thể gây bất lợi cho an ninh của bạn.

Hãy tưởng tượng kịch bản đơn giản hóa sau đây. Một cracker quét 100 máy chủ. Chín mươi chín trong số các máy chủ này có các dịch vụ khả dụng trên các cổng tiêu chuẩn này:

Port    Service
22      SSH
80      HTTP
443     HTTPS

Nhưng sau đó, có một máy chủ nổi bật giữa đám đông, bởi vì chủ sở hữu hệ thống đã cố gắng làm xáo trộn dịch vụ của họ.

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

Bây giờ, điều này có thể thú vị với một cracker, bởi vì quét cho thấy hai điều:

  1. Chủ sở hữu của máy chủ lưu trữ đang cố gắng ẩn số cổng trên hệ thống của họ. Có lẽ chủ sở hữu nghĩ rằng có một cái gì đó có giá trị trên hệ thống. Đây có thể không phải là một hệ thống chạy nhanh.
  2. Họ đã chọn phương pháp sai để bảo mật hệ thống của họ. Quản trị viên đã phạm sai lầm khi tin vào obfuscation cổng, điều này cho thấy rằng họ có thể là một quản trị viên thiếu kinh nghiệm. Có lẽ họ đã sử dụng obfuscation cổng thay cho tường lửa thích hợp hoặc IDS thích hợp. Họ cũng có thể đã mắc các lỗi bảo mật khác và có thể dễ bị tấn công bảo mật bổ sung. Bây giờ chúng ta hãy thăm dò thêm một chút, phải không?

Nếu bạn là một cracker, bạn sẽ chọn xem một trong 99 máy chủ đang chạy các dịch vụ tiêu chuẩn trên các cổng tiêu chuẩn hay máy chủ này đang sử dụng obfuscation?


14
Tôi sẽ nhìn vào 99 máy chủ trừ khi kinh nghiệm dạy tôi cách khác. Ai đó đang di chuyển các cổng xung quanh có thể có nhiều khả năng vá và bảo mật hơn, nếu bạn hỏi tôi.
ceejayoz

4
Tôi sẽ nhìn vào 1 máy chủ nổi bật, rất có thể một số PFY đã nghĩ rằng "Nếu tôi thay đổi số cổng, TÔI ĐANG TUYỆT VỜI!" nhưng có mật khẩu gốc được đặt thành "mật khẩu".
Andrew

3
@Ceejayoz, hoàn toàn đồng ý. Tôi đang chạy SSH vào năm 2222, không có giá trị bảo mật nhưng cắt giảm các kiddies script. Tôi cho rằng họ cũng có khả năng phớt lờ tôi, phiền thay đổi cổng, có lẽ cũng áp dụng các biện pháp khác. Rõ ràng đó không phải là tất cả cấu hình mặc định ...
Chris S

1
Tôi hiểu rằng không phải ai cũng đồng ý với ý kiến ​​của tôi. Nhưng theo kinh nghiệm của tôi, có nhiều chủ sở hữu hệ thống sẽ sử dụng chức năng che giấu cổng, nhưng họ sẽ mắc lỗi như không cập nhật OpenSSH sau khi một số lỗ hổng bảo mật quan trọng bị lộ hoặc sẽ sử dụng các khóa SSH không được mã hóa từ hệ thống đại học chia sẻ, v.v. những hệ thống này là những mục tiêu ngon ngọt
Stefan Lasiewski

3
Bằng cách mở rộng: chuyển sang một cổng không chuẩn, bạn có nhiều khả năng ngăn cản các kiddies script, nhưng cũng có nhiều khả năng gây tò mò cho một hacker có kinh nghiệm. Điều này đặt ra câu hỏi: bạn sợ điều gì hơn?
Tardate

9

Tôi sẽ đi ngược lại xu hướng chung, ít nhất là một phần.

Theo cách riêng của mình , việc thay đổi sang một cổng khác có thể giúp bạn có được một vài giây trong khi tìm kiếm, do đó bạn không nhận được gì về mặt thực tế. Tuy nhiên, nếu bạn kết hợp việc sử dụng các cổng không chuẩn cùng với các biện pháp chống portscan, nó có thể mang lại sự gia tăng đáng giá về bảo mật.

Đây là tình huống áp dụng cho các hệ thống của tôi: Các dịch vụ ngoài công cộng được chạy trên các cổng không chuẩn. Bất kỳ kết nối nào cố gắng nhiều hơn hai cổng từ một địa chỉ nguồn duy nhất, dù thành công hay không, trong một khoảng thời gian xác định sẽ dẫn đến tất cả lưu lượng truy cập từ nguồn đó bị loại bỏ.

Để đánh bại hệ thống này sẽ cần có may mắn (đánh đúng cổng trước khi bị chặn) hoặc quét phân tán, kích hoạt các biện pháp khác, hoặc trong một thời gian rất dài, cũng sẽ được chú ý và hành động.


Kết hợp điều này với quan điểm của Andreas Bonini về các cuộc tấn công được nhắm mục tiêu và đó là một lập luận mạnh mẽ cho việc sử dụng các cổng thay thế.
JivanAmara

5

Theo ý kiến ​​của tôi, việc di chuyển cổng mà ứng dụng chạy trên hoàn toàn không tăng tính bảo mật - đơn giản vì lý do cùng một ứng dụng đang chạy (có cùng điểm mạnh và điểm yếu) chỉ trên một cổng khác. Nếu ứng dụng của bạn có một điểm yếu khi di chuyển cổng mà nó lắng nghe sang một cổng khác thì không giải quyết được điểm yếu đó. Tệ hơn nữa, nó tích cực khuyến khích bạn KHÔNG giải quyết điểm yếu bởi vì bây giờ nó không bị cản trở liên tục bằng cách quét tự động. Nó che giấu vấn đề thực sự là vấn đề thực sự cần được giải quyết.

Vài ví dụ:

  • "Nó dọn sạch nhật ký" - Sau đó, bạn gặp vấn đề với cách bạn xử lý nhật ký của mình.
  • "Nó làm giảm chi phí kết nối" - Chi phí không đáng kể (vì hầu hết quá trình quét) hoặc bạn cần một số loại lọc / Giảm thiểu từ chối dịch vụ được thực hiện ngược dòng
  • "Nó làm giảm mức độ hiển thị của ứng dụng" - Nếu ứng dụng của bạn không thể tự động quét và khai thác thì ứng dụng của bạn có các thiếu sót bảo mật nghiêm trọng cần được giải quyết (nghĩa là hãy giữ cho nó được vá!).

Vấn đề thực sự là vấn đề hành chính: Mọi người mong đợi SSH ở mức 22, MSSQL ở mức 1433, v.v. Di chuyển những thứ này xung quanh là một lớp phức tạp hơn và tài liệu cần thiết. Thật khó chịu khi ngồi xuống mạng và phải sử dụng nmap chỉ để tìm ra nơi mà mọi thứ đã được di chuyển. Các bổ sung cho an ninh là phù du tốt nhất và nhược điểm là không đáng kể. Đừng làm điều đó. Khắc phục sự cố thực sự.


2

Bạn đúng rằng nó sẽ không mang lại nhiều bảo mật (vì phạm vi cổng máy chủ TCP chỉ có 16 bit entropy), nhưng bạn có thể làm điều đó vì hai lý do khác:

  • như những người khác đã nói: những kẻ xâm nhập đang cố gắng đăng nhập nhiều lần có thể làm lộn xộn các tệp nhật ký của bạn (ngay cả khi các cuộc tấn công từ điển từ một IP duy nhất có thể bị chặn với fail2ban);
  • SSH cần mật mã khóa công khai để trao đổi khóa bí mật để tạo đường hầm an toàn (đây là một hoạt động tốn kém mà trong điều kiện bình thường không cần phải thực hiện rất thường xuyên); kết nối SSH lặp đi lặp lại có thể lãng phí năng lượng CPU .

Lưu ý: Tôi không nói rằng bạn nên thay đổi cổng máy chủ. Tôi chỉ mô tả lý do hợp lý (IMO) để thay đổi số cổng.

Nếu bạn làm điều đó, tôi nghĩ rằng bạn cần phải nói rõ với mọi quản trị viên hoặc người dùng khác rằng đây không phải là một tính năng bảo mật và số cổng được sử dụng thậm chí không phải là một bí mật và mô tả đây là một tính năng bảo mật mang lại an ninh thực sự không được coi là hành vi chấp nhận được.


Các tệp nhật ký có thể dễ dàng được làm sạch với các bộ lọc thích hợp. Nếu bạn đang nói về hiệu suất máy chủ do giảm nhật ký, thì chúng tôi không còn nói về bảo mật. Hiệu suất là một chủ đề hoàn toàn khác nhau hoàn toàn.
Pacerier

Không phải khi máy tính trở nên không sử dụng được do sử dụng đĩa quá mức.
tò mò

Vâng, đó là một vấn đề hiệu suất. Hiệu suất chắc chắn cũng quan trọng, nhưng chủ đề đặc biệt này chỉ thảo luận về bảo mật. (Đối với mục đích của chủ đề này, chỉ cần tưởng tượng bạn có kích thước Google và Google thực sự muốn những dữ liệu đó để phân tích và / hoặc bán.)
Pacerier 8/2/2016

1

Tôi có thể thấy một tình huống giả định trong đó sẽ có một lợi ích bảo mật tiềm năng trong việc chạy sshd của bạn trên cổng thay thế. Đó sẽ là trong trường hợp một lỗ hổng từ xa bị khai thác tầm thường được phát hiện trong phần mềm sshd bạn đang chạy. Trong trường hợp như vậy, chạy sshd của bạn trên một cổng thay thế có thể cung cấp cho bạn thêm thời gian bạn không cần phải là mục tiêu lái xe ngẫu nhiên.

Bản thân tôi chạy sshd trên một cổng thay thế trên các máy riêng của mình, nhưng điều đó chủ yếu là để thuận tiện cho việc giảm sự lộn xộn trong /var/log/auth.log. Trên hệ thống nhiều người dùng, tôi thực sự không coi lợi ích bảo mật giả định nhỏ được trình bày ở trên là đủ lý do cho những rắc rối thêm do sshd không được tìm thấy trên phần tiêu chuẩn.


Kịch bản sẽ chỉ có hiệu lực nếu tất cả (các) quản trị viên hoàn toàn không mất thời gian với "thời gian thêm" này để đi ăn trưa và vv
Pacerier

1

Nó hơi tăng tính bảo mật. Trong đó kẻ tấn công đã tìm thấy cổng mở bây giờ phải tìm ra những gì đang chạy trên cổng. Không có quyền truy cập vào các tệp cấu hình của bạn (chưa :-)) anh ta không biết liệu cổng 12345 đang chạy http, sshd hay một trong hàng ngàn dịch vụ phổ biến khác nên họ cần phải làm thêm để tìm ra những gì đang chạy trước khi họ có thể nghiêm túc tấn công nó

Ngoài ra, như các poster khác đã chỉ ra trong khi cố gắng đăng nhập vào cổng 22, có thể là những đứa trẻ kịch bản không biết gì, trojan zombie hoặc thậm chí người dùng chính hãng đã nhập nhầm địa chỉ IP. Một nỗ lực để đăng nhập vào cổng 12345 gần như chắc chắn là người dùng chính hãng hoặc kẻ tấn công nghiêm trọng.

Một chiến lược khác là có một vài cổng "bẫy mật ong". Vì không có người dùng chính hãng nào biết về các số cổng này, nên mọi nỗ lực kết nối phải được coi là độc hại và bạn có thể tự động chặn / báo cáo địa chỉ IP vi phạm.

Có một trường hợp đặc biệt khi sử dụng số cổng khác nhau chắc chắn sẽ giúp hệ thống của bạn an toàn hơn. Nếu mạng của bạn đang chạy một dịch vụ công cộng như Máy chủ Web mà còn chạy máy chủ web chỉ sử dụng nội bộ, bạn hoàn toàn có thể chặn mọi truy cập bên ngoài bằng cách chạy trên một số cổng khác và chặn mọi truy cập bên ngoài từ cổng này.


Mức tăng bảo mật ~ 0,1% phải được cân nhắc với mức giảm bảo mật có liên quan , có thể dẫn đến tổng thiệt hại ròng về bảo mật tùy thuộc vào trường hợp sử dụng và bối cảnh.
Pacerier

0

Không phải bởi chính nó. Tuy nhiên, không sử dụng cổng mặc định cho một ứng dụng cụ thể (giả sử, SQL Server) về cơ bản sẽ buộc kẻ tấn công của bạn quét các cổng của bạn; hành vi này sau đó có thể được phát hiện bởi tường lửa của bạn hoặc các số liệu giám sát khác và IP của kẻ tấn công bị chặn. Ngoài ra, "script kiddie" trung bình nhiều khả năng sẽ bị răn đe khi công cụ đơn giản hoặc tập lệnh lệnh mà họ đang sử dụng không tìm thấy phiên bản máy chủ SQL trên máy của bạn (vì công cụ chỉ kiểm tra cổng mặc định).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.