Suricata (logiciel)

Un article de Wikipédia, l'encyclopédie libre.
Suricata

Description de l'image Suricata IDS.png.
Informations
Développé par Open Information Security Foundation
Dernière version 6.0.1 ()[1]Voir et modifier les données sur Wikidata
Dépôt github.com/OISF/suricataVoir et modifier les données sur Wikidata
Écrit en C
Système d'exploitation FreeBSD, GNU/Linux, Microsoft Windows, macOS et OpenBSDVoir et modifier les données sur Wikidata
Environnement FreeBSD, Linux, UNIX, Mac OS X, Microsoft Windows
Type Système de détection d'intrusion
Licence Licence publique générale GNU version 2Voir et modifier les données sur Wikidata
Site web suricata-ids.org

Suricata est un logiciel open source de détection d'intrusion (IDS)[2], de prévention d'intrusion (IPS), et de supervision de sécurité réseau (NSM). Il est développé par la fondation OISF (Open Information Security Foundation)[3].

Suricata permet l'inspection des Paquets en Profondeur (DPI). De nombreux cas d'utilisations déontologiques peuvent être mis en place permettant notamment la remontée d'informations qualitatives et quantitatives.

Scirius est une interface web sous licence GPLv3 écrite avec Django destinée à l'édition des règles Suricata[4]. La version mono-serveur est open source et libre tandis que la version multi-serveur Scirius Enterprise est commercialisée, elles sont toutes deux éditées par la société Stamus Network[5].

La distribution GNU/Linux SELKS 3.0 (Suricata Elasticsearch Logstash Kibana Scirius) basée sur debian permet de tester Suricata. Il existe également une image Docker[6].

Fonctionnalités[modifier | modifier le code]

Liste des principales fonctionnalités[7],[8]

  • IDS/IPS
  • performances élevées : Multi-threading, utilisation des GPU (accélération graphique)
  • Détection automatique de protocole (IPv4/6, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, DNS)
  • NSM : journalisation DNS, module de journalisation HTTP, enregistrement des certificats et extraction de fichiers, vérification de somme de contrôle md5
  • librairie HTP indépendante
  • nombreux formats de sortie Unified2, JSON, Prelude
  • écriture de scripts en Lua pour l'analyse avancée

Fonctionnement[modifier | modifier le code]

Suricata analyse le trafic sur une ou plusieurs interfaces réseaux en fonction de règles activés. Il génère, par défaut, un fichier JSON. Celui-ci peut être ensuite utilisé par le logiciel de type Extract-transform-load comme par exemple logstash souvent utilisé avec Elasticsearch.

Outils tiers[modifier | modifier le code]

Tous les outils valables pour Snort sont compatibles avec Suricata, comme par exemple BASE, Sguil (en) ou Snorby en logiciel libre, ou Aanval (en) et Telesoft MPAC Security en logiciel privateur.

IDS libres[modifier | modifier le code]

Notes et références[modifier | modifier le code]

  1. « Release 6.0.1 », (consulté le 17 décembre 2020)
  2. « New Open Source Intrusion Detector Suricata Released - Slashdot », sur Slashdot.org (consulté le 1er juin 2020).
  3. « Présentation de l'IDS/IPS Suricata », connect.ed-diamond.com (consulté le 9 novembre 2016)
  4. « Stamus Networks / Scirius Open Source », sur Networks.com (consulté le 1er juin 2020).
  5. « Stamus Networks / Hunt Less. Find More. », sur Networks.com (consulté le 1er juin 2020).
  6. « StamusNetworks/Amsterdam », sur GitHub (consulté le 1er juin 2020).
  7. Eric Leblond, « Présentation de Suricata aux J-EOLE 2016 », pcll.ac-dijon.fr, (consulté le 9 novembre 2016)
  8. « Official Suricata features », suricata-ids.org (consulté le 9 novembre 2016)

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]