Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 4226 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS bremst Internetgeschwindigkeit

traxxus_01
Hallo zusammen

Hab hier für den Privateinsatz eine Astaro Firewall mit Eigenbauhardware.
Gerne würde ich IPS einsetzen, doch dieser verursacht grössere Performanceinbussen (ist ja im Forum auch öfters nachzulesen).

Beim Speedtest im Internet ergibt sich Folgendes:
Mit IPS: 60Mbit/s // Latenz: 12ms
Ohne IPS: 104Mbit/s // Latenz: 7ms

Die CPU ist nie ausgelastet, maximal 20%

Gibt es etwas was ich tun kann, oder muss man damit leben dass das IPS der Astaro langsam IST?


Techn. Daten:
CPU: intel Core i3 - 2120T  / Dualcore 2.6GHz
RAM: 4GB
Festplatte: SSD
Astaroversion: aktuelle v9 stable.
Internetanbindung ist 100Mbit/s


This thread was automatically locked due to age.
  • 0
    Stellen zum Rumspielen:
    * CC -> MAIN -> ips -> num_instances
    * /etc/sysconfig/snort-default

    IPS mit neuen Werten neustarten:
    /var/mdw/scripts/snort restart

    Generell ist das IPS bei entsprechender Hardware durchaus in der Lage, deutlich höhere Durchsatzraten zu erreichen. Bsp. unsere UTM625 hat garantiert mehr Dampf ;-)
  • 0
    Danke für den Input. Ich möchte jedoch nicht auf Konsolenebene rumspielen. Nicht weil ich's nicht kann, sondern weil ich der Meinung bin, sowas sollte nicht nötig  sein bei einem so fortgeschrittenen UTM.

    Es freut mich dass eure grosse UTM625 den Durchsatz WAN:LAN 1:1 bringt. Hilft mir aber in dem Fall nicht weiter.
  • 0
    Es ist auch garnicht nötig - angemessene Hardware vorausgesetzt [:D]
  • 0 in reply to trollvottel
    Danke für die konstruktiven Informationen. Wüsste nicht wo meine Hardware schwach sein soll. Zumal im Dashboard keine Komponente am Anschlag bzw. 100% Auslastung ist.
  • 0 in reply to traxxus_01
    Ich habe Dir konstruktive Informationen gegeben - Du willst sie halt nicht nutzen. Der Rest ist dann natürlich Dir überlassen. Was erwartest Du denn? Dass im WebAdmin (Konsole magst Du ja nicht) irgendwo ein versteckter Pixel zum Draufklicken ist, der das IPS bei Dir 200% beschleunigt?
  • 0 in reply to trollvottel
    Stellen zum Rumspielen:
    * CC -> MAIN -> ips -> num_instances
    * /etc/sysconfig/snort-default

    IPS mit neuen Werten neustarten:
    /var/mdw/scripts/snort restart


    Dies wäre eine Möglichkeit, um ggf. zu prüfen, ob es an den Einstellungen liegt.

    Welche Angriffsmuster prüft der IPS?
    Hier bitte nur alle Angriffe auswählen, die wirklich in Frage kommen.

    Unter "Erweitert" ggf. auf die Serveraufgaben eintragen, um False/Positives zu vermindern.

    Wenn du den Test machst, hast du das LiveLog dabei laufen, ob was geblockt wird?
    Wie wird der Test durchgeführt?

    Grundsätzlich muss man sich im klaren sein, dass der IPS die Streams analysiert und das es hier keine 100Mbit möglich sind, sollte auch klar sein.
    Wenn man mal auf dem Sophos UTM Sizing Guide drauf schaut, was Datendurchsatz ohne und mit IPS angeht, dann sind 60% des Ausgangswertes sehr gut.

    Nice greetings
  • 0
    Hallo

    Danke für die Tipps.
    Habe beim IPS festgestellt, dass unter "Attack Patterns" die Sektion "Malware" am meisten Performanceeinbussen zur Folge hat.
    Wenn ich nur "Operating system specific attacks" aktiviere ist der Download bei 99Mbit/s.

    Im IPS Log steht jeweils Folgendes: 
    S5: Session exceeded configured max bytes to queue 1048576 using 1049107 bytes (server queue). 192.168.***.xx 51551 --> 82.117.12.66 80 (0) : LWstate 0x9 LWFlags 0x406007
Cookie Information Banner