Suricata (logiciel)

Suricata est un logiciel open source de détection d'intrusion (IDS)[2], de prévention d'intrusion (IPS), et de supervision de sécurité réseau (NSM). Il est développé par la fondation OISF (Open Information Security Foundation)[3].

Suricata

Description de l'image Suricata IDS.png.
Informations
Développé par Open Information Security Foundation
Dernière version 7.0.7 ()[1]Voir et modifier les données sur Wikidata
Dépôt github.com/OISF/suricataVoir et modifier les données sur Wikidata
Écrit en C
Système d'exploitation FreeBSD, GNU/Linux, Microsoft Windows, macOS et OpenBSDVoir et modifier les données sur Wikidata
Environnement FreeBSD, Linux, UNIX, Mac OS X, Microsoft Windows
Type Système de détection d'intrusion
Licence Licence publique générale GNU version 2Voir et modifier les données sur Wikidata
Site web suricata.io

Suricata permet l'inspection des Paquets en Profondeur (DPI). De nombreux cas d'utilisations déontologiques peuvent être mis en place permettant notamment la remontée d'informations qualitatives et quantitatives.

Scirius est une interface web sous licence GPLv3 écrite avec Django destinée à l'édition des règles Suricata[4]. La version mono-serveur est open source et libre tandis que la version multi-serveur Scirius Enterprise est commercialisée, elles sont toutes deux éditées par la société Stamus Network[5].

La distribution GNU/Linux SELKS 3.0 (Suricata Elasticsearch Logstash Kibana Scirius) basée sur debian permet de tester Suricata. Il existe également une image Docker[6].

Fonctionnalités

modifier

Liste des principales fonctionnalités[7],[8]

  • IDS/IPS
  • performances élevées : Multi-threading, utilisation des GPU (accélération graphique)
  • Détection automatique de protocole (IPv4/6, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, DNS)
  • NSM : journalisation DNS, module de journalisation HTTP, enregistrement des certificats et extraction de fichiers, vérification de somme de contrôle md5
  • bibliothèque HTP indépendante
  • nombreux formats de sortie Unified2, JSON, Prelude
  • écriture de scripts en Lua pour l'analyse avancée

Fonctionnement

modifier

Suricata analyse le trafic sur une ou plusieurs interfaces réseaux en fonction de règles activées. Il génère, par défaut, un fichier JSON. Celui-ci peut être ensuite utilisé par le logiciel de type Extract-transform-load comme par exemple logstash souvent utilisé avec Elasticsearch.

Outils tiers

modifier

Tous les outils valables pour Snort sont compatibles avec Suricata, comme par exemple BASE, Sguil (en) ou Snorby en logiciel libre, ou Aanval (en) et Telesoft MPAC Security en logiciel privateur.

IDS libres

modifier

Notes et références

modifier
  1. « Release 7.0.7 », (consulté le )
  2. « New Open Source Intrusion Detector Suricata Released - Slashdot », sur Slashdot.org (consulté le ).
  3. « Présentation de l'IDS/IPS Suricata », connect.ed-diamond.com (consulté le )
  4. « Stamus Networks / Scirius Open Source », sur Networks.com (consulté le ).
  5. « Stamus Networks / Hunt Less. Find More. », sur Networks.com (consulté le ).
  6. « StamusNetworks/Amsterdam », sur GitHub (consulté le ).
  7. Eric Leblond, « Présentation de Suricata aux J-EOLE 2016 », pcll.ac-dijon.fr, (consulté le )
  8. « Official Suricata features », suricata-ids.org (consulté le )

Annexes

modifier

Articles connexes

modifier

Liens externes

modifier