Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 5383 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9.004-33 IDS kills Internet speed

leitzr
I am running UTM 9.004-33 on a Dell box running an Intel Pentium D 2 core Processor running at 2.8 GHz with 3 GB ram and a TB 7200 rpm hard drive my nic cards are GB.  My problems is that when I test my Windows 7 box with a direct connect to my cable modem  I am getting download speeds of 50-52Mbps and 10 Mbps up.  When I run through the UTM with the IDS on I slow down to 29-32 Mbps, but my upload speed stays the same.  If I only shutoff my IDS my download speed goes up to 49 Mbps.  I have tried shutting down all of the Attack patterns, but it hasn't helped.  
My resource usage for CPU has never gone past 39%, memory 56% and partition usage past 36%.

Is my system just to slow on the CPU side?  I have had this problem on version 8 as well.

Your thoughts.
Thanks


This thread was automatically locked due to age.
  • 0
    It' a single-threaded test of a multi-thread environment - not a realistic measurement 

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    ips is not multi threaded though..[:)]  do you have http proxy on as well?  if so turn that off too and re-run your tests.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    William:  Thanks for the idea on the proxy.  I disabled the proxy and didn't receive any change in the speedtest.  Is there a more appropriate way to test my network speed because of Snort being single threaded?

    I am going to do a few tests of large downloads with the IPS turned on and then off to see what my times are.

    Thanks 

    Rick
  • 0
    well you have to have both snort and http proxies off....

    another question..what nics are in the box?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to leitzr
    Is there a more appropriate way to test my network speed because of Snort being single threaded?


    Hi, you could try 2 simultaneous downloads; you have 2 CPU cores so it should be faster with 2 downloads.

    My Atom CPU can only handle about 45mbps with IPS and Application Detection enabled. 

    You might want to test with Application Detection disabled too.

    Barry
  • 0
    actually by default utm only runs 1 snort on dual core cpus...so no load balancing there.  With utm9's codebase as large as it is you simply may not have the cpu horsepower.  I would consider building something i3 based.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    I am running UTM 9.004-33 on a Dell box running an Intel Pentium D 2 core Processor running at 2.8 GHz with 3 GB ram and a TB 7200 rpm hard drive my nic cards are GB.  My problems is that when I test my Windows 7 box with a direct connect to my cable modem  I am getting download speeds of 50-52Mbps and 10 Mbps up.  When I run through the UTM with the IDS on I slow down to 29-32 Mbps, but my upload speed stays the same.  If I only shutoff my IDS my download speed goes up to 49 Mbps.  I have tried shutting down all of the Attack patterns, but it hasn't helped.  
    My resource usage for CPU has never gone past 39%, memory 56% and partition usage past 36%.

    Is my system just to slow on the CPU side?  I have had this problem on version 8 as well.

    Your thoughts.
    Thanks


    also the cpu graph is based on a minimum 5 minute usage average.  If you want tos ee your usage in realtime you'll need to lop into the sheel as loginuser and then do the following:

    type top
    hit enter
    press s then 1 then enter
    press 1
    now run the test again and watch to see what your cpu usage really is.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    William:  I am running a 10/100/1000 NIC to the cable modem and another 10/100/1000 to my network switch.  I will try your other suggestion and reply back as well.

    Barry:  Thanks for the idea I will test it out as well.
  • 0 in reply to leitzr
    I ran my testing again by unchecking patterns and patterns with notification turned on and off one at a time.
    It comes down to Windows and Malware patterns with notifications on that are killing my performance.   

    Any thoughts on ways to improve my performance via hardware upgrades?
    ie: more memory or just need to move to an i3 processor like was mentioned above?
  • 0
    ram isn't your issue...yet..but it will be.  you REALLY need better hardware.  even a current pentium will go faster than your p-4.  get the highest clockspeed pentium or core i3 you can find and go with at least 4 gigs of ram.  when you do that reinstall with the 64 bit version because you will be upgrading to 6 or 8 gigs of ram shortly.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Cookie Information Banner