Suricata (logiciel)

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche
Suricata

Description de l'image Suricata IDS.png.
Informations
Développé par Open Information Security Foundation
Dernière version 5.0.0 ()[1]Voir et modifier les données sur Wikidata
Écrit en C
Système d'exploitation FreeBSD, GNU/Linux, Microsoft Windows, macOS et OpenBSDVoir et modifier les données sur Wikidata
Environnement FreeBSD, Linux, UNIX, Mac OS X, Microsoft Windows
Type Système de détection d'intrusion
Licence Licence publique générale GNU version 2Voir et modifier les données sur Wikidata
Site web suricata-ids.org

Suricata est un logiciel open source de détection d'intrusion (IDS)[2], de prévention d'intrusion (IPS), et de supervision de sécurité réseau (NSM). Il est développé par la fondation OISF (Open Information Security Foundation)[3].

Suricata permet l'inspection des Paquets en Profondeur (DPI). De nombreux cas d'utilisations déontologiques peuvent être mis en place permettant notamment la remontée d'informations qualitatives et quantitatives.

Scirius est une interface web sous licence GPLv3 écrite avec Django dédiée à l'édition des règles Suricata[4]. La version mono-serveur est open source et libre tandis que la version multi-serveur Scirius Enterprise est commercialisée, elles sont toutes deux éditées par la société Stamus Network[5].

La distribution GNU/Linux SELKS 3.0 (Suricata Elasticsearch Logstash Kibana Scirius) basée sur debian permet de tester Suricata. Il existe également une image Docker[6].

Fonctionnalités[modifier | modifier le code]

Liste des principales fonctionnalités[7],[8]

  • IDS/IPS
  • performances élevées : Multi-threading, utilisation des GPU (accélération graphique)
  • Détection automatique de protocole (IPv4/6, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, DNS)
  • NSM : journalisation DNS, module de journalisation HTTP, enregistrement des certificats et extraction de fichiers, vérification de somme de contrôle md5
  • librairie HTP indépendante
  • nombreux formats de sortie Unified2, JSON, Prelude
  • écriture de scripts en Lua pour l'analyse avancée

Fonctionnement[modifier | modifier le code]

Suricata analyse le trafic sur une ou plusieurs interfaces réseaux en fonction de règles activés. Il génère, par défaut, un fichier JSON. Celui-ci peut être ensuite utilisé par le logiciel de type Extract-transform-load comme par exemple logstash souvent utilisé avec Elasticsearch.

Outils tiers[modifier | modifier le code]

Tous les outils valables pour Snort sont compatibles avec Suricata, comme par exemple BASE, Sguil (en) ou Snorby en logiciel libre, ou Aanval (en) et Telesoft MPAC Security en logiciel privateur.

IDS libres[modifier | modifier le code]

Notes et références[modifier | modifier le code]

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]