Suricata 4.0 : la détection d’intrusion en mode hipster

Posté par  (site web personnel) . Édité par Davy Defaud, Pierre Jarillon, palm123, ZeroHeure, claudex et Xavier Teyssier. Modéré par claudex. Licence CC By‑SA.
Étiquettes :
35
29
juil.
2017
Sécurité

Suricata, l’outil de détection des menaces réseau, passe en version 4.0 avec pléthore de nouveautés :

  • ajout de l’analyse du protocole NFS ;
  • améliorations de la gestion de TLS ;
  • gestion des changements de protocoles (STARTTLS, HTTP CONNECT) ;
  • enrichissement des événements générés ;
  • prise en charge d’analyseurs de protocoles en Rust.

Suricata est un moteur de détection d’intrusions réseau et de supervision réseau orienté sécurité. En clair, il analyse le trafic des réseaux pour détecter des menaces et journaliser les événements. Suricata est disponible sous licence GPL v2 et est développé par une fondation à but non lucratif, l’OISF.

Suricata est devéloppé en C avec depuis la version 4.0 des analyseurs de protocoles en Rust écrits avec utilisant le framework Nom.

La nouveauté la plus fondamentale de la version 4.0 est l’inclusion de Rust, qui est utilisé pour écrire de nouveaux analyseurs de protocoles. Rust a été choisi pour sa capacité à pallier certains des problèmes du C, comme les dépassements de tampons. Le code en Rust utilise Nom qui est un cadriciel d’écriture d’analyseurs (parsers). Cela industrialise l’ajout de nouveaux protocoles. La version 4.0 voit arriver NFS, NTP et une réécriture de DNS. De nombreux autres protocoles devraient suivre rapidement.

Suricata 4.0 marque une étape importante dans l’amélioration des données générées avec des ajouts dans les événements d’alertes au format JSON. Cela va de l’inclusion optionnelle du corps HTTP, à une identification claire des sources et cibles d’une attaque. Mais c’est surtout le nouveau mécanisme d’extraction qui change la donne. Il est en effet maintenant possible d’extraire des données arbitraires sous forme de clefs/valeurs des événements en effectuant la capture par des expressions rationnelles. L’événement généré peut ainsi fournir à l’analyste une compréhension directe des événements et un moyen de réaliser facilement des statistiques.

Aller plus loin

  • # Commentaire supprimé

    Posté par  . Évalué à 0. Dernière modification le 29 juillet 2017 à 17:27.

    Ce commentaire a été supprimé par l’équipe de modération.

  • # comparateur avec khali ?

    Posté par  (site web personnel) . Évalué à -1.

    Quelqu'un qui s'y connait suffisamment pour faire un comparatif avec Khali ? Merci

    • [^] # Re: comparateur avec khali ?

      Posté par  (site web personnel) . Évalué à 9.

      Cela n'a juste rien à voir: Kali Linux est une distribution Linux qui intègre des outils de pen-testing et de hacking. Suricata est un moteur d'analyse du trafic: il capture les paquets, analyse leur contenu et emet des alertes ou des métadonnées.
      Suricata aurait toute légitimité à être intégré dans Kali (pour comprendre le trafic réseau) même si il est du coté défensif de la sécurité.

      • [^] # Re: comparateur avec khali ?

        Posté par  (site web personnel) . Évalué à 2.

        Hmm ok alors faut que je relise, parce que j'ai absolument pas compris ça !
        Merci!

        • [^] # Re: comparateur avec khali ?

          Posté par  . Évalué à 6. Dernière modification le 30 juillet 2017 à 17:16.

          L'accroche du site web de Kali est « Our Most Advanced Penetration Testing Distribution, Ever. ».
          Ça me semble relativement clair : ça sert à faire des tests de pénétration, pas de la détection de pénétration.
          Wikipedia confirme.

          L'accroche du site web n'est souvent pas le reflet de la réalité, mais tu indiques que tu as lu, pas que tu as constaté.

  • # Quelle facilité de mise en place ?

    Posté par  . Évalué à 4.

    J'ai toujours eut une relation "je t'aime/je te quitte" sur le sujet des intrusions.
    Je trouve qu'un tel outil est à la fois très intéressant, de plus en plus nécessaire -en tant que particulier- mais étant novice je me heurte souvent à des difficultés culturelles quand il faut configurer pour chez moi.

    Le but étant déjà de savoir si j'ai des intrusions, et combien.
    Profitant de cette présentation, je souhaiterais donc savoir ce qu'un non-initié aura besoin de connaître/comprendre avant de pouvoir utiliser un tel outil svp ?

    • [^] # Re: Quelle facilité de mise en place ?

      Posté par  (site web personnel) . Évalué à 6.

      la grande question est toujours : est-ce une intrusion ou un flux légitime (donc un faux-positif) ?
      Pour y répondre, il faut (à mon avis) un certain bagage technique, au moins équivalent à celui nécessaire pour (bien) configurer un pare-feu.
      Sinon, tu auras des chiffres, qui ne veulent rien dire …

      • [^] # Re: Quelle facilité de mise en place ?

        Posté par  . Évalué à 3. Dernière modification le 31 juillet 2017 à 13:50.

        Merci pour cette réponse.

        Effectivement, c'est tout à fait ce à quoi je pensais, ce parallèle avec un pare-feu.
        Si je comprends bien il y a 3 profils d'utilisateurs :
        - les professionnels en entreprise,
        - les professionnels qui ont cette connaissance pour chez eux
        - des mordus qui aiment consacrer du temps pour configurer et analyser (ou qui ont eux une formation)

  • # Pour ceux qui voudrai essayer

    Posté par  . Évalué à 3.

    Il existe une distribution live appelé SELKS qui intègre Suricata et d'autres outils pour la visualisation des menaces trouvé par Suricata.

    Une news concernant SELKS sur ce site:
    https://linuxfr.org/news/selks-3-0-une-distro-pour-l-analyse-reseau-et-securite

  • # le titre

    Posté par  (Mastodon) . Évalué à 2.

    Quelqu'un peux m'expliquer le titre de la dépêche ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.