[9.165][QUESTION] Performance issues with IPS/ATP/App Control

Hi, I haven't tried the Beta, but on 9.10x my Atom n270 only gets about 16mbps on speedtest.net with the IPS on (25mbps with IPS off).

https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29110

Barry

Hi, I haven't tried the Beta, but on 9.10x my Atom n270 only gets about 16mbps on speedtest.net with the IPS on (25mbps with IPS off).

I have 7010 patterns loaded on my IPS. However the memory used by snort is at 62 megs with an uptime of over 2 days. This looks great on paper but I wonder what exactly is the performance / detection rate for a memory starved IPS like this. 

For us long time astaro users, if you remember, we had a bad review in one of the magazines that tested IPS performance.  This caused the snort devs to go crazy with optimizing snort for maximum detection rates but now it seems we are completely moving in the other detection. 

We need to find a happy medium with good detection and good hardware utilization. Perhaps a memory switch that recommends the optimum settings but lets the admin override with a heavier memory usage profile? 

I am running astaro in a vm with 2gb ram, I believe a 100 meg snort can be accommodated in this configuration without any adverse effects if it helps with snort performance. Maybe some guidance from astaro folks on how the memory cap for snort is calculated and the performance effects of low memory vs high memory would be great.

Regards
Bill

Hi, I haven't tried the Beta, but on 9.10x my Atom n270 only gets about 16mbps on speedtest.net with the IPS on (25mbps with IPS off).

I have 7010 patterns loaded on my IPS. However the memory used by snort is at 62 megs with an uptime of over 2 days. This looks great on paper but I wonder what exactly is the performance / detection rate for a memory starved IPS like this. 

For us long time astaro users, if you remember, we had a bad review in one of the magazines that tested IPS performance.  This caused the snort devs to go crazy with optimizing snort for maximum detection rates but now it seems we are completely moving in the other detection. 

We need to find a happy medium with good detection and good hardware utilization. Perhaps a memory switch that recommends the optimum settings but lets the admin override with a heavier memory usage profile? 

I am running astaro in a vm with 2gb ram, I believe a 100 meg snort can be accommodated in this configuration without any adverse effects if it helps with snort performance. Maybe some guidance from astaro folks on how the memory cap for snort is calculated and the performance effects of low memory vs high memory would be great.

Regards
Bill

Running 9.165-15 on an Atom processor in my home. Very light load. If I turn off IPS, I average about 57.72 Mb/s download from a server near my home using SpeedTest.Net on my Verizon FIOS connection. This is a constant speed with little fluctuation.

If I turn on IPS with the default settings without changing anything, the download speed drops to 39 Mb/s.

I tried another experiment where I turned off IPS inspections for equipment not in my network (i.e., Exchange servers). Download speed stayed at 39.

As soon as I turn off IPS the average speed jumps to 57.

Maybe some guidance from astaro folks on how the memory cap for snort is calculated and the performance effects of low memory vs high memory would be great

Memcap is hard coded with 8MB.

Changes:
+ search method based on the memory and the loaded rules
+ TCP/UDP connections and snort instances based on nf_conntrack_max and memory