Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 19 replies
  • Subscribers 0 subscribers
  • Views 6987 views
  • Users 0 members are here
Options
Suggested

[9.075][CLOSED] Slow Throughput

Asteroid
Hello,

I was wondering if anyone knows if there is a throughput limitation from WAN to LAN in place with QOS off and IPS enabled, with appropriate rule sets for a Windows installation, in the most current version of the Beta?

My current cable connection is capable of 180 Mb/sec down and 30 Mb/sec up. I have throughput from WAN to LAN of 180 Mb/sec (wire speed) with IPS off. I am attempting to realize single stream WAN to single client LAN throughput as close as possible to wire speed.

With IPS enabled, throughput falls to the 90 Mb/sec range with a test system comprised of an Asus P8Z77-V Deluxe motherboard with i7 (Ivy Bridge 3770K), 32 GB 1600 MHz RAM, 7200 rpm HD, and an Intel dual NIC GbE on PCIe. I have tried changing the number of IPS instances running, increasing all cores from on demand to performance mode (1.6 GHz to 3.5 GHz), and have not been able to improve performance. I previously tried a Core2Duo at 1.8 GHz with still lower throughput.

This has been discussed in general, outside the question of the Beta version, in the following thread: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28805. Page 8 of the thread specifically discusses concerns regarding IDS, IPS, and Snort: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28805.

I thought this might be more of an issue in the Beta setting, given the QOS that has been added, and the fact that cable and fiber speeds to average home and business users are rapidly increasing at previous price points.

Thank you.
Parents
  • 0
    is there a place to enter these changes to test with Astaro?  maybe a CC command?
  • 0 in reply to DavePackham
    is there a place to enter these changes to test with Astaro?  maybe a CC command?

    1. Turn off snort via webadmin
    2. On your console /ssh type as root 
    joe /var/sec/chroot-snort-2931-01/etc/snort/snort.conf

    Change Step#3 as shown below. Only change the config detection by commenting out the old config and writing the new one. Don't change anything else or snort may not start at all 
    ###################################################

    # Step #3: Configure the base detection engine.  For more information, see  README.decode

    ###################################################

    --------SNIP-------------

    # Configure the detection engine  See the Snort Manual, Configuring Snort - Includes - Config

    # config detection: search-method ac-bnfa max_queue_events 5

    config detection: search-method ac-split, max-pattern-len 20, search-optimize

    Use CTRL kw to save and CTRL kq to exit joe 

    Restart snort from webadmin as usual. 
    Once loaded, your ips log will have lines like
    2013:03:12-23:31:05 gatekeeper snort[3740]: Detection:
    2013:03:12-23:31:05 gatekeeper snort[3740]:    Search-Method = AC-Full-Q
    2013:03:12-23:31:05 gatekeeper snort[3740]:     Split Any/Any group = enabled
    2013:03:12-23:31:05 gatekeeper snort[3740]:     Maximum pattern length = 20
    2013:03:12-23:31:05 gatekeeper snort[3740]:     Search-Method-Optimizations = enabled
     

    Notes: As astaro has tuned snort to run within certain memory constraints this configuration probably doesn't give you as much flexibility as a totally reconfigured system but it will give you an idea of performance difference.


    1) Is ac-bnfa the current baseline method?
    2) Does anyone know the potential benefit of ac-split?
    3) How about ac-q?
    4) As dpackham asked, precisely how would this change be implemented?
    5) If implemented, would this change the parameter until rebooted or permanently?

    1. Yes
    2. 20% is what I have heard but I don't have your bandwidth[:@][:P]
    3. Huge memory load but as I stated above astaro config files have memory constraints built in. You can tinker with the configuration and comment out certain lines and test and let us know how it goes since memory is no problem on your system[:)]
    4. See above
    5. You can change the file snort.conf-default along with snort.conf and it will survive a reboot. However astaro sends down different configurations and memory optimizations with up2dates which may revert it back.

    Hope this helps
    Regards
    Bill
Reply
  • 0 in reply to DavePackham
    is there a place to enter these changes to test with Astaro?  maybe a CC command?

    1. Turn off snort via webadmin
    2. On your console /ssh type as root 
    joe /var/sec/chroot-snort-2931-01/etc/snort/snort.conf

    Change Step#3 as shown below. Only change the config detection by commenting out the old config and writing the new one. Don't change anything else or snort may not start at all 
    ###################################################

    # Step #3: Configure the base detection engine.  For more information, see  README.decode

    ###################################################

    --------SNIP-------------

    # Configure the detection engine  See the Snort Manual, Configuring Snort - Includes - Config

    # config detection: search-method ac-bnfa max_queue_events 5

    config detection: search-method ac-split, max-pattern-len 20, search-optimize

    Use CTRL kw to save and CTRL kq to exit joe 

    Restart snort from webadmin as usual. 
    Once loaded, your ips log will have lines like
    2013:03:12-23:31:05 gatekeeper snort[3740]: Detection:
    2013:03:12-23:31:05 gatekeeper snort[3740]:    Search-Method = AC-Full-Q
    2013:03:12-23:31:05 gatekeeper snort[3740]:     Split Any/Any group = enabled
    2013:03:12-23:31:05 gatekeeper snort[3740]:     Maximum pattern length = 20
    2013:03:12-23:31:05 gatekeeper snort[3740]:     Search-Method-Optimizations = enabled
     

    Notes: As astaro has tuned snort to run within certain memory constraints this configuration probably doesn't give you as much flexibility as a totally reconfigured system but it will give you an idea of performance difference.


    1) Is ac-bnfa the current baseline method?
    2) Does anyone know the potential benefit of ac-split?
    3) How about ac-q?
    4) As dpackham asked, precisely how would this change be implemented?
    5) If implemented, would this change the parameter until rebooted or permanently?

    1. Yes
    2. 20% is what I have heard but I don't have your bandwidth[:@][:P]
    3. Huge memory load but as I stated above astaro config files have memory constraints built in. You can tinker with the configuration and comment out certain lines and test and let us know how it goes since memory is no problem on your system[:)]
    4. See above
    5. You can change the file snort.conf-default along with snort.conf and it will survive a reboot. However astaro sends down different configurations and memory optimizations with up2dates which may revert it back.

    Hope this helps
    Regards
    Bill
Children
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?