Open source IDS: Snort or Suricata?

Allgemein

• Snort hat eine beträchtliche Community-Unterstützung und verfügt daher über ein breites Regelwerk, das häufig aktualisiert wird.
• Es unterstützt benutzerdefinierte Regeln und obwohl beide Optionen Open Source sind, hat Snort weniger ein „Paywall-Gefühl“.
• Suricata kann dieselben Regeln anwenden wie Snort.
• Es veröffentlicht auch Regelsätze, jedoch auf Abonnementbasis vor Ablauf von 30 Tagen.
• Suricata verfügt über zusätzliche Funktionen, die einen besser konfigurierbaren Regelsatz ermöglichen.

Erkennung

• Suricata unterstützt direkt die Erkennung auf Anwendungsebene, während Snort eine zusätzliche Ebene – OpenAppID – benötigt, um Anwendungen zu erkennen.

Dateiextraktion

• Suricata unterstützt die Dateiextraktion, während Snort dies nicht tut.
• Dies ist besonders nützlich, wenn Sie Dateien für eine spätere Analyse in einem Ordner aufbewahren müssen.

Multithreading

• Einer der Hauptvorteile von Suricata ist, dass es viel jünger als Snort entwickelt wurde.
• Das bedeutet, dass es viele weitere Funktionen an Bord hat, die heutzutage praktisch nicht mehr zu übersehen sind.
• Eine dieser Funktionen ist die Unterstützung für Multithreading.
• Ab der Version 3 wurde Snort von Grundauf neu entwickelt und unterstützt nun auch Multithreading

Ich mag nicht kompilieren

• Um Snort als IPS laufen zu lassen muss man es Stand 9/2022 selbstkompilieren
• Man kann auch ein Debian Paket selbst bauen. Man muss die DAQ(Data Acquisition library) mit kompilieren.
• Nur so kann man Pakete von IP/NF Tables übernehmen.
• Suricata kann das von Haus aus.

Links

• https://resources.infosecinstitute.com/open-source-ids-snort-suricata/
• https://tacticalflex.zendesk.com/hc/en-us/articles/360010678893-Snort-vs-Suricata

Quellen

• https://resources.infosecinstitute.com/topic/open-source-ids-snort-suricata/