L’équipe de développement de l’IDS/IPS Suricata a publié le 10 novembre 2011 la version 1.1 de son moteur de détection/prévention d’intrusions. Il s’agit de la première version de la nouvelle branche stable 1.1. Elle prend la suite de la branche 1.0 sortie en août 2010, et apporte des gains conséquents en termes de performance, stabilité et précision.
Suricata est un système de détection/prévention d’intrusion réseau basé sur des signatures (à l’image de Snort avec qui il partage le langage de signatures). Il est disponible sous licence GPL v2 et a été développé depuis zéro par une fondation à but non lucratif, l’Open Information Security Foundation (OISF). Suricata fonctionne sur les systèmes d’exploitations GNU/Linux, BSD et Windows.
La version 1.1 de Suricata est le résultat de plus d’un an de travail pour les développeurs de l’OISF et les contributeurs. Un travail conséquent, puisque la base de code a grossi de 70 %.
Parmi les nouveautés de cette version, on peut citer :
- amélioration importante des performances (facteur 5 observé dans certains cas réels) :
- nouvel algorithme de recherche de motifs par défaut,
- recherche de motifs multiples pour le protocole HTTP (responsable d’une grosse partie de l’augmentation de performance),
- amélioration des modes de fonctionnements (agencement des threads dans Suricata) ;
- amélioration de la précision de l’analyse ;
- journalisation augmentée :
- plus de champs HTTP peuvent être journalisés (Agent HTTP, par exemple),
- journalisation des événements de reconstruction des flux TCP (alerte sur les comportements bas niveau suspects) ;
- un mode prévention d’intrusion (IPS) amélioré :
- mode de gestion des flux dédié au fonctionnement en mode IPS permettant de bloquer les paquets avant leur émission,
- nouveaux mots clés et nouvelles options avancées (modification des flux ou apposition d’une marque sur les paquets, par exemple) pour le mode IPS sous Netfilter.
Aller plus loin
- Open Information Security Foundation (187 clics)
- Annonce et journal des modifications détaillé (51 clics)
- Site de developpement de Suricata (145 clics)
- Entrée de blog sur l’amélioration des performances (37 clics)
- Entrée de blog sur la future version 1.2 (44 clics)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.