Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 25161 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Which IPS features cause performance loss?

Jimstigator
I noticed it in my own network, and have confirmed in the forums that IPS causes some major performance loss.  Curious - is it the overall feature being turned on, or particular pieces?  Anyone done some testing with this?  Example - Can leave anti-portscan and DoS protection on, but turn off all attack patterns?

It just bugs the hell out of me knowing the units I just purchased kill my bandwidth using one of the primary features drawing me to Sophos UTMs.  

A number of my sites still run on 1-2 T1s and can't afford to take any hits to their bandwidth.

Thanks! 
-Jim


This thread was automatically locked due to age.
  • 0
    Hi, Jim. I don't have an answer, only a question. As I understand it, IPS processing doesn't actually reduce bandwidth, as much as it effectively throttles the maximum bandwidth. Are you seeing a bandwidth hit even on a 1.5Mbps T1 link? My downlink is 30Mbps, and I can still max that out even with all IPS features enabled.
  • 0
    I noticed it in my own network, and have confirmed in the forums that IPS causes some major performance loss.  Curious - is it the overall feature being turned on, or particular pieces?  Anyone done some testing with this?  Example - Can leave anti-portscan and DoS protection on, but turn off all attack patterns?

    It just bugs the hell out of me knowing the units I just purchased kill my bandwidth using one of the primary features drawing me to Sophos UTMs.  

    A number of my sites still run on 1-2 T1s and can't afford to take any hits to their bandwidth.

    Thanks! 
    -Jim

    which units did you purchase.  Unless you grossly misconfigured them you won't have any issues stuffing t-1's.  There's no one feature of IPS that takes a bandwidth crunch..it's the design of the IPS system coupled with modern cpu architectural design.  I have a client with a 110 w/basicguard and she can still easily stuff her 20 meg pipe with IPS enabled.  It's a matter of hardware and UTM software configuration.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    The reduction in speed has been reported at all sites where a UTM was installed.  

    Sites:
    3-6 users, UTM 110
    3-6 users, UTM 110
    50+ users, UTM 320

    My configurations are pretty basic.  Turned on IPS, enabled relevant features throughout, nothing wild.

    Don't these thread somewhat confirm performance loss using IPS? 

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41385

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41255

    -Jim
  • 0
    The reduction in speed has been reported at all sites where a UTM was installed.

    Sites:
    3-6 users, UTM 110
    3-6 users, UTM 110
    50+ users, UTM 320

    My configurations are pretty basic.  Turned on IPS, enabled relevant features throughout, nothing wild.

    Don't these thread somewhat confirm performance loss using IPS?

    http://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/50922-bandwidth-hit-ips.html

    http://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/49475-ips-performance-problem-100mbit-fiber.html

    -Jim


    Again it depends on several factors depending on how things are configured you can work around it it does impose a performance overhead that much is unavailable how much of Mormons overhead depends on the number of users the hardware used the number for the active how many CPU cores you have your bandwidth availability in terms of your wind speeds and so on and so forth

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    The reduction in speed has been reported at all sites where a UTM was installed.

    Sites:
    3-6 users, UTM 110
    3-6 users, UTM 110
    50+ users, UTM 320

    My configurations are pretty basic.  Turned on IPS, enabled relevant features throughout, nothing wild.

    Don't these thread somewhat confirm performance loss using IPS?

    http://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/50922-bandwidth-hit-ips.html

    http://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/49475-ips-performance-problem-100mbit-fiber.html

    -Jim


    What is the internet speeds of all three of your UTM installations

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    The reduction in speed has been reported at all sites where a UTM was installed.

    Sites:
    3-6 users, UTM 110
    3-6 users, UTM 110
    50+ users, UTM 320

    My configurations are pretty basic.  Turned on IPS, enabled relevant features throughout, nothing wild.

    Don't these thread somewhat confirm performance loss using IPS?

    http://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/50922-bandwidth-hit-ips.html

    http://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/49475-ips-performance-problem-100mbit-fiber.html

    -Jim


    The to 1/10 should not have a problem stopping a 20 make pipe depending on how you have configured the 320 should be able to stuff a 20 make pipe or higher depending on what are the features you have enabled so give us a full disclosure on all three utmz what features are on what features are off and detailed configurations of each feature on each unit plus your wind speeds that are allocated for each unit on the two smaller ones is it less than 10 bags it shouldn't be a problem the only one that might be SP is the 320 will need detailed specifications as to how you have that setup

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Lol... seeing as how you used the word "Morman", I have a feeling you are on a cell?

    Site 1 + 2
     - UTM 110 (9.107-33)
     - 3-6 users
     - Bonded T1's, 3m up/down.  Generally see lower speeds, like 2/2.
     - IPS Turned on
        - Operating sys attacks -> windows
        - Attacks against client software -> all
        - Protocol anomoly
        - malware
        - TCP Syn Flood
        - ICMP Flood 
        - Anti-portscan - drop traffic

    Site 3
     - UTM 320 (9.107-33)
     - 50+ users, 10 servers, over 200 total devices
     - 20m Ethernet over fiber, soon to be upgraded to 50m
     - IPS Turned on
        - ALL attack patterns turned on
        - TCP Syn Flood
        - ICMP Flood 
        - Anti-portscan - drop traffic
  • 0 in reply to Jimstigator
    So is my interpretation of the performance loss threads incorrect in that it would take a much higher speed pipe before I started to notice loss?
  • 0
    Lol... seeing as how you used the word "Morman", I have a feeling you are on a cell?

    Site 1 + 2
    - UTM 110 (9.107-33)
    - 3-6 users
    - Bonded T1's, 3m up/down.  Generally see lower speeds, like 2/2.
    - IPS Turned on
    - Operating sys attacks -> windows
    - Attacks against client software -> all
    - Protocol anomoly
    - malware
    - TCP Syn Flood
    - ICMP Flood
    - Anti-portscan - drop traffic

    Site 3
    - UTM 320 (9.107-33)
    - 50+ users, 10 servers, over 200 total devices
    - 20m Ethernet over fiber, soon to be upgraded to 50m
    - IPS Turned on
    - ALL attack patterns turned on
    - TCP Syn Flood
    - ICMP Flood
    - Anti-portscan - drop traffic


    What are your QOS settings

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    ahh... QoS.  Ever since installing the UTM, my VoIP call quality has gone down.  Calls drop, one sided conversation, jitter, etc.  Previous firewall had zero QoS enabled and never had an issue.  I followed the QoS instruction sticky up top, and here is the results (screenshots).

    My connection is a 20m over fiber, but I share it with another firewall/router, capped at 6/6.  So I realistically get 12/9 up/down when speedtesting to the internet.
Cookie Information Banner