Suricata - SID Management ? How to ?



  • Ich bin etwas überfordert mit dem Begriff "SID State Management" und wollte jemanden bitten, der sich damit auskennt vielleicht ein paar Fragen für mich und die Allgemeinheit hier im Forum zu beantworten. Ich habe zuvor in den Interfaces den Punkt "Block On DROP Only" aktiviert. Nun wird hier weiters erklärt, dass man somit das SID Management verwenden kann oder sollte. Link: https://forum.pfsense.org/index.php?topic=135329.0 -> Dazu ein paar Fragen:

    1. Was bedeutet SID State Management?
    2. Was kann ich damit machen? Was bezweckt es ?
    3. Ist es besser "Enable Automatic SID State Management" als Anfänger zu wählen oder es manuell zu konfigurieren ?
    4. Gibt es empfohlene Einstellungen ?
    5. Muss man das Suricata-Service nach einer Änderung im SID Management restarten damit die Änderungen übernommen werden?

    Danke!  :D

    Aktuell habe ich es persönlich so eingestellt (screenshot). Ist dies falsch? Wie wäre es besser ? Restartet habe ich noch nicht.

    Im Log aller Interfaces steht jetzt: (Dürfte also irgendetwas falsch sein)

    _Starting auto RULE CATEGORY management for LAN1
    Start Time: 2017-09-30 11:03:04
    Processing disable_sid file: disablesid-sample.conf
    WARNING: no valid SID match tokens found in file "disablesid-sample.conf".
    Processing enable_sid file: enablesid-sample.conf
    WARNING: no valid SID match tokens found in file "enablesid-sample.conf".
    End Time: 2017-09-30 11:03:04



    Starting auto SID management for LAN1
    Start Time: 2017-09-30 11:03:16
    Processing disable_sid file: disablesid-sample.conf
    WARNING: no valid SID match tokens found in file "disablesid-sample.conf".
    Processing enable_sid file: enablesid-sample.conf
    WARNING: no valid SID match tokens found in file "enablesid-sample.conf".
    Processing modify_sid file: modifysid-sample.conf
    WARNING: no valid SID match tokens found in file "modifysid-sample.conf".
    Processing drop_sid file: dropsid-sample.conf
    WARNING: no valid SID match tokens found in file "dropsid-sample.conf"._



Log in to reply