Suricata (logiciel)

Suricata est un logiciel open source de détection d'intrusion (IDS)[3], de prévention d'intrusion (IPS), et de supervision de sécurité réseau (NSM). Il est développé par la fondation OISF (Open Information Security Foundation)[4].

Suricata

Informations
Développé par Open Information Security Foundation
Dernière version 6.0.4 ()[1],[2]
Dépôt github.com/OISF/suricata
Écrit en C
Système d'exploitation FreeBSD, GNU/Linux, Microsoft Windows, macOS et OpenBSD
Environnement FreeBSD, Linux, UNIX, Mac OS X, Microsoft Windows
Type Système de détection d'intrusion
Licence Licence publique générale GNU version 2
Site web suricata-ids.org

Suricata permet l'inspection des Paquets en Profondeur (DPI). De nombreux cas d'utilisations déontologiques peuvent être mis en place permettant notamment la remontée d'informations qualitatives et quantitatives.

Scirius est une interface web sous licence GPLv3 écrite avec Django destinée à l'édition des règles Suricata[5]. La version mono-serveur est open source et libre tandis que la version multi-serveur Scirius Enterprise est commercialisée, elles sont toutes deux éditées par la société Stamus Network[6].

La distribution GNU/Linux SELKS 3.0 (Suricata Elasticsearch Logstash Kibana Scirius) basée sur debian permet de tester Suricata. Il existe également une image Docker[7].

Fonctionnalités

Liste des principales fonctionnalités[8],[9]

  • IDS/IPS
  • performances élevées : Multi-threading, utilisation des GPU (accélération graphique)
  • Détection automatique de protocole (IPv4/6, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, DNS)
  • NSM : journalisation DNS, module de journalisation HTTP, enregistrement des certificats et extraction de fichiers, vérification de somme de contrôle md5
  • librairie HTP indépendante
  • nombreux formats de sortie Unified2, JSON, Prelude
  • écriture de scripts en Lua pour l'analyse avancée

Fonctionnement

Suricata analyse le trafic sur une ou plusieurs interfaces réseaux en fonction de règles activés. Il génère, par défaut, un fichier JSON. Celui-ci peut être ensuite utilisé par le logiciel de type Extract-transform-load comme par exemple logstash souvent utilisé avec Elasticsearch.

Outils tiers

Tous les outils valables pour Snort sont compatibles avec Suricata, comme par exemple BASE, Sguil (en) ou Snorby en logiciel libre, ou Aanval (en) et Telesoft MPAC Security en logiciel privateur.

IDS libres

Notes et références

  1. (en) « Suricata 6.0.4 and 5.0.8 released », (consulté le )
  2. « https://github.com/OISF/suricata/releases/tag/suricata-6.0.4 », (consulté le )
  3. « New Open Source Intrusion Detector Suricata Released - Slashdot », sur Slashdot.org (consulté le ).
  4. « Présentation de l'IDS/IPS Suricata », connect.ed-diamond.com (consulté le )
  5. « Stamus Networks / Scirius Open Source », sur Networks.com (consulté le ).
  6. « Stamus Networks / Hunt Less. Find More. », sur Networks.com (consulté le ).
  7. « StamusNetworks/Amsterdam », sur GitHub (consulté le ).
  8. Eric Leblond, « Présentation de Suricata aux J-EOLE 2016 », pcll.ac-dijon.fr, (consulté le )
  9. « Official Suricata features », suricata-ids.org (consulté le )

Annexes

Articles connexes

Liens externes

  • Portail de la sécurité informatique
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.