Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Geolocalización de las alertas de Snort con Snoge<br />
Snoge 176 es una herramienta de código libre que, valiéndose de la potencia de<br />
Google Earth, nos proporciona una interfaz gráfica visualmente muy atractiva, en<br />
la que nos geoposiciona las alertas y el origen procedentes de nuestro IDS Snort.<br />
Snoge no procesa, categoriza ni correla sino simplemente ofrece una visualización<br />
geográfica de las alertas generadas por Snort. Aunque no muestra criticidades ni<br />
más información extra, esta interfaz gráfica nos puede venir muy bien para ver<br />
desde dónde nos están atacando.<br />
Snoge es un sencillo script en Perl que procesa las alertas generadas por Snort en<br />
formato Unified2 y genera un fichero KML; fichero XML diseñado por Google para<br />
representar objetos en Google Earth. Es posible ejecutarlo en tiempo real,<br />
indicándole el directorio donde se guardan las alertas de Snort para que las vaya<br />
analizando o bien de manera estática, pasándole uno o varios archivos Unified2. 177<br />
178<br />
Para la instalación de Snoge se procederá de la siguiente forma:<br />
Instalación de dependencias iniciales.<br />
sudo apt-get install build-essential subversion apache2 unzip libio-socket-sslperl<br />
Descargamos y descomprimimos Snoge:<br />
wget http://snoge.googlecode.com/files/snoge-1.8.tgz<br />
tar -zxvf snoge-1.8.tgz<br />
Instalamos las dependencias de geolocalización. Hacemos uso de CPAN y de<br />
GeoliteCity:<br />
sudo perl -MCPAN -e ‘install +YAML’<br />
176 Snoge<br />
https://code.google.com/p/snoge/<br />
177 Snoge, una interfaz de película<br />
http://www.securityartwork.es/2011/06/24/snoge-una-interfaz-de-pelicula/<br />
178 Snort. Geolocalización GeoIP de alertas con snort, snoge y Google Earth<br />
http://seguridadyredes.wordpress.com/2011/05/25/snort-geolocalizacion-geoip-de-alertas-con-snort-snoge-ygoogle-earth/<br />
106