HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

BÀI TẬP 1

Giảng viên hướng dẫn : Ninh Thị Thu Trang

Họ và tên sinh viên : Lưu Văn Hưng
Mã sinh viên : B20DCAT088
Lớp : D20CQAT04-B

Hà Nội – 2024
1. Cài đặt Snort
• Dùng lệnh sudo apt install snort để cài đặt snort.

• Kiểm tra snort đã cài đặt thành công chưa.

• Kiểm tra snort đang hoạt động hay chưa.

2. Cấu hình file config và file blacklist.rules trong snort để phát hiện dựa trên
danh tiếng:
• Trong file snort.conf thực hiện bỏ # ở bộ tiền xử lý danh tiếng

• Hai dòng cho snort biết thư mục chứa danh sách trắng và danh sách đen.
• Tạo file black_list.rules chứa danh sách IP trong danh sách đen phát hiện
dựa trên danh tiếng của Project Honeypot.
• Tạo file danh sách trắng với 1 IP là 192.168.72.1

• Tạo rule trong local.rules với luật như sau:

alert ( msg: "REPUTATION_EVENT_BLACKLIST"; sid: 1; gid: 136; rev:
1; metadata: rule-type preproc ; classtype:bad-unknown; )
alert ( msg: "REPUTATION_EVENT_WHITELIST"; sid: 2; gid: 136; rev:
1; metadata: rule-type preproc ; classtype:bad-unknown; )
• Tiên hành xem các cảnh báo nếu như có phát hiện các ip xâm nhập bằng
danh sách đen hoặc danh sách trắng.
sudo snort -A console -c /etc/snort/snort.conf
• Thực hiện ping từ kali có IP 192.168.72.133 nằm trong danh sách đen và thu
được thông báo phát hiện IP trong danh sách đen ping (gửi 1 gói ICMP)
đến.

• Với danh sách trắng khi thực hiện ping thì hệ thống không thông báo phát
hiện xâm nhập do đó là IP an toàn.