Suricata (logiciel)
Suricata est un logiciel open source de détection d'intrusion (IDS)[2], de prévention d'intrusion (IPS), et de supervision de sécurité réseau (NSM). Il est développé par la fondation OISF (Open Information Security Foundation)[3].
| Développé par | Open Information Security Foundation |
|---|---|
| Dernière version | 6.0.11 ()[1] |
| Dépôt | github.com/OISF/suricata |
| Écrit en | C |
| Système d'exploitation | FreeBSD, GNU/Linux, Microsoft Windows, macOS et OpenBSD |
| Environnement | FreeBSD, Linux, UNIX, Mac OS X, Microsoft Windows |
| Type | Système de détection d'intrusion |
| Licence | Licence publique générale GNU version 2 |
| Site web | suricata.io |
Suricata permet l'inspection des Paquets en Profondeur (DPI). De nombreux cas d'utilisations déontologiques peuvent être mis en place permettant notamment la remontée d'informations qualitatives et quantitatives.
Scirius est une interface web sous licence GPLv3 écrite avec Django destinée à l'édition des règles Suricata[4]. La version mono-serveur est open source et libre tandis que la version multi-serveur Scirius Enterprise est commercialisée, elles sont toutes deux éditées par la société Stamus Network[5].
La distribution GNU/Linux SELKS 3.0 (Suricata Elasticsearch Logstash Kibana Scirius) basée sur debian permet de tester Suricata. Il existe également une image Docker[6].
Fonctionnalités
Liste des principales fonctionnalités[7] - [8]
- IDS/IPS
- performances élevées : Multi-threading, utilisation des GPU (accélération graphique)
- Détection automatique de protocole (IPv4/6, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, DNS)
- NSM : journalisation DNS, module de journalisation HTTP, enregistrement des certificats et extraction de fichiers, vérification de somme de contrôle md5
- librairie HTP indépendante
- nombreux formats de sortie Unified2, JSON, Prelude
- écriture de scripts en Lua pour l'analyse avancée
Fonctionnement
Suricata analyse le trafic sur une ou plusieurs interfaces réseaux en fonction de règles activées. Il génère, par défaut, un fichier JSON. Celui-ci peut être ensuite utilisé par le logiciel de type Extract-transform-load comme par exemple logstash souvent utilisé avec Elasticsearch.
Outils tiers
Tous les outils valables pour Snort sont compatibles avec Suricata, comme par exemple BASE, Sguil (en) ou Snorby en logiciel libre, ou Aanval (en) et Telesoft MPAC Security en logiciel privateur.
Notes et références
- « Release 6.0.11 », (consulté le )
- « New Open Source Intrusion Detector Suricata Released - Slashdot », sur Slashdot.org (consulté le ).
- « Présentation de l'IDS/IPS Suricata », connect.ed-diamond.com (consulté le )
- « Stamus Networks / Scirius Open Source », sur Networks.com (consulté le ).
- « Stamus Networks / Hunt Less. Find More. », sur Networks.com (consulté le ).
- « StamusNetworks/Amsterdam », sur GitHub (consulté le ).
- Eric Leblond, « Présentation de Suricata aux J-EOLE 2016 », pcll.ac-dijon.fr, (consulté le )
- « Official Suricata features », suricata-ids.org (consulté le )
Annexes
Liens externes
- Site officiel
- Site de l'OISF (Open Information Security Foundation)
- Les IPS, sur le wiki de la communauté officielle ubuntu française
- (fr) IDS, IPS, DLP : il faut l'autorisation de la CNIL Une explication sur les obligations juridiques liées à la mise en place de systèmes de détection d'intrusion.
- (en) Liste exhaustives des fonctionnalités de Suricata
- (en) Dépôt Git (source) du projet Scirius