Suricata

IDS, IPS et NSM

Suricata est un NIDS (Network Intrusion Detection System) qui comprend à la fois un IDS (Intrusion Detection System), IPS (Intrusion Prevention System) et NSM (Network Security Monitoring). Ce projet appartient et est supporté par l’OISF (Open Information Security Foundation).

DEFINITION

Suricata est un projet libre et opensource qui a pour but de proposer une solution robuste de détection d’attaques réseau : un NIDS (Network Intrusion Detection System). sa version bêta est sortie en Décembre 2009 et sa première release stable est sortie en Juillet 2010.

Le but était d’avoir un moteur de détection IDS/IPS multithread (SNORT est plutot un IDS et est surtout monothread) qui soit compatible avec le langage de signature de SNORT pour conserver les bases de signatures existantes.

EN PRATIQUE

Suricata peut-être installé comme un module sur un serveur Linux. Il est aussi présent dans un certain nombre de distribution orientée sécurité comme OPNSense qui l’a préféré au vénérable SNORT.

Ses fonctions vont bien au dela de la simple détection bien qu’il soit capable de prendre en charge les fichiers de règles de son vénérable prédécesseur SNORT.

Ses principales caractéristiques sont :

  • Multi-threading
  • Protocol de détection automatique
  • Traitement Gzip pour la décompression
  • Librairie HTP indépendante
  • Méthodes standards d’entrée
  • Sortie au format Unified2
  • Gestion optimisée du matching IP
  • Module de gestion des logs HTTP
  • Binaires Windows
  • Scripting LUA (langage de programmation multi-paradigme impératif et procédural)
  • DNS logger

CE QUE NOUS AVONS NOTE

Suricata est un projet étonnant. D’abord financé par l’état, puis majoritairement par les membres privés d’un consortium (OISF), mais il y a une totale décorrélation entre financement et développement. La feuille de route (roadmap) est définie lors de réunions ouvertes au public sans que les financeurs n’interviennent.

Les évolutions se concentrent principalement sur l’amélioration des performances et et sur l’ajout de nouveaux protocole.

Un article plus complet est présent sur le site des éditions Diamond.

Suricata est distribué sous la licence GPL version 2.

NOTRE CONCLUSION

Snort est un bel outil. Suricata en est la génération suivante. Présente dans notre distribution préférée de sécurité (OPN Sense), Suricata est devenu un outil quotidien.

Les alternatives

Catégories

Disponible sous :

• Windows
• Linux
• Autre

Difficulté

• Expert

Status pour nous

• En production

Maturité

• Mature

Appréciation

• Excellent

Tweets