Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 2 subscribers
  • Views 61558 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Performance Problem with 100Mbit Fiber

chumbri
Hi there,

We have an ASG220 with Firmware-Version: 9.105-9 and a very strange behavior with the IPS (4507 of 15947 patterns).
Last week we did a fiber upgrade from 30Mbit to 100Mbit.

With IPS enabled we only get around 50Mbit throughput. (Tested with speedtest.net, cifs sharing and iperf)
With IPS disabled we get around 95Mbit, which is good. (Tested with speedtest.net, cifs sharing and iperf)

It makes no difference if I remove the LAN from the Local networks option in the Global IPS Settings. The problem persists.
The only solution is to disable IPS globally with the On/Off Button, to get an acceptable throughput rate.

The snort process uses around 10-20% CPU. There are no special warnings or error messages in the IPS Log.

Does anybody have an idea or recommendation?


This thread was automatically locked due to age.
Parents
  • 0
    Doing a little googling on IPS performance...

    1. changing the Snort data structure type might help, but at higher memory cost. Astaro/Sophos have mentioned this as a possibility in 9.2, iirc.

    2. changing the network input buffer type might help, but it's not clear how much, nor how compatible this would be with IPTables.
    Also, most of the alternatives do not appear to be free & open-source but rather proprietary and fee-based.

    3. replacing Snort with Suricata should help as it implements #2 (and probably other performance improvements), and has great memory savings on multi-core as it doesn't need a separate process instance for each core (it's multi-threaded; Snort isn't).
    This would not be a trivial change, but it should be feasible.

    Note that I can't find any actual benchmarks showing how much any of these changes would really help, but I did see a couple of products claiming 10gbps IPS throughput with Snort on a Xeon CPU, but that is probably NOT using IPTables/firewalling also.

    I've also recommended that Sophos make it easier to modify the rulesets, as reducing the number of rules does help performance somewhat (cutting the # of rules in half will NOT double performance).
    This feature request is at:
    Increase Attack Patterns selections in IPS settings

    Also see:
    Network Protection: Use Suricata for IPS

    Barry
Reply
  • 0
    Doing a little googling on IPS performance...

    1. changing the Snort data structure type might help, but at higher memory cost. Astaro/Sophos have mentioned this as a possibility in 9.2, iirc.

    2. changing the network input buffer type might help, but it's not clear how much, nor how compatible this would be with IPTables.
    Also, most of the alternatives do not appear to be free & open-source but rather proprietary and fee-based.

    3. replacing Snort with Suricata should help as it implements #2 (and probably other performance improvements), and has great memory savings on multi-core as it doesn't need a separate process instance for each core (it's multi-threaded; Snort isn't).
    This would not be a trivial change, but it should be feasible.

    Note that I can't find any actual benchmarks showing how much any of these changes would really help, but I did see a couple of products claiming 10gbps IPS throughput with Snort on a Xeon CPU, but that is probably NOT using IPTables/firewalling also.

    I've also recommended that Sophos make it easier to modify the rulesets, as reducing the number of rules does help performance somewhat (cutting the # of rules in half will NOT double performance).
    This feature request is at:
    Increase Attack Patterns selections in IPS settings

    Also see:
    Network Protection: Use Suricata for IPS

    Barry
Children
No Data
Cookie Information Banner