Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3984 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High IPS (Snort) CPU - Help with IPS eexceptions

ErikWaibel
Hi All.

I am running a software UTM (9.304-9) on VMware for a K-12 school district.   It is running on a fairly robust piece of hardware and usually runs at about 25-38% CPU utilization during the day.  We just rolled out over 150 ipads to 9th grade and now we are hitting 75-80% (!).  When I checked, SNORT is maxing out two of my four virtual CPUs.  If I switch off IPS, it drops back down to about 32%, but I would rather not turn it off.

I am guessing all that new traffic to apple is the bulk of it.  I want to try to exclude any traffic to/from apple from IPS scanning (we trust apple).

I made a definition for the entire apple class A network and popped that into the IPS exclusion - is it as simple as that?  I put it in with our internal network as "from", apple's network as "to" and services "all".  That didn't seem to make a dent in the CPU utilization though, so i don't think I have it quite correct.  Any ideas / help?

Thanks in advance


This thread was automatically locked due to age.
  • 0
    I am guessing all that new traffic to apple is the bulk of it.


    My guess is that
    a. it's general internet traffic
    or
    b. you don't have all the Apple IP ranges in your exception

    Either way, look at the reporting system to see where most of the bandwidth is being used.

    Also look at using Rule Aging in the IPS, that may help a bit with the CPU usage.

    Barry
  • 0
    Thanks for the reply, Barry.

    I took a good look at the reports from yesterday and lo and behold the top ten bandwidth users were not in Apple's domain at all.  The were in two IP ranges both owned by Akamai technologies.  Some Google searching and investigation revealed to me that Apple uses Akamai for content delivery (apps, itunes store, etc).  The 10 Akamai servers accounted for over half of the 650GB of throughput we saw yesterday.  I will try making exceptions for those networks and see how it goes.

    Forgive my ignorance, but what is rule aging?  It is not anything I have used or am familiar with.
  • 0
    Rule aging is basically telling Snort to ignore rules relating to vulnerabilities older then a set period of time. So for example if you have all Windows 7/8 PC's in your office, a five year old vulnerability that attacked Acrobat 5 is probably long since patched so there's no reason for IPS to scan for it.

    Cuts down on the rules in use which speeds up Snort performance.
  • 0
    Hi All.

    I am running a software UTM (9.304-9) on VMware for a K-12 school district.   It is running on a fairly robust piece of hardware and usually runs at about 25-38% CPU utilization during the day.  We just rolled out over 150 ipads to 9th grade and now we are hitting 75-80% (!).  When I checked, SNORT is maxing out two of my four virtual CPUs.  If I switch off IPS, it drops back down to about 32%, but I would rather not turn it off.

    I am guessing all that new traffic to apple is the bulk of it.  I want to try to exclude any traffic to/from apple from IPS scanning (we trust apple).

    I made a definition for the entire apple class A network and popped that into the IPS exclusion - is it as simple as that?  I put it in with our internal network as "from", apple's network as "to" and services "all".  That didn't seem to make a dent in the CPU utilization though, so i don't think I have it quite correct.  Any ideas / help?

    Thanks in advance


    I am assuming a paid license.  Do you have a partner you are working with?  do you have premium support?  If yes to either get them involved.

    if no watch your pm's...

    secondly what is the cpu type and speed of the hsot mahcine?  HOw many cvcpus?  how much ram?  are there any other vm's on that host?
  • 0 in reply to William Warren
    Thanks for the replies, Drew and William.

    I really need to pay more attention in the IPS rules section - I never noticed the rules aging dropdown options before.  

    Yes we have a paid license, no to a partner, but we do have premium support.  I will open a ticket if this persists and I cannot figure it out on my own (traffic was more manageable today).  The VM is running on a Dell R710 server with dual six-core Xeon processors and 288 Gb of RAM.  The UTM VM I gave 4 cores to and 8GB of RAM.  There are more machines running on the server, but I don't have a count as I write this.

    I think our long term solution is going to be moving the UTM out of the virtual world and on to dedicated physical hardware.  We have retired twin Dell Poweredge 2950s sitting idle in the data center.  They have two 3.2 Ghz quad-core Xeons with 32GB RAM each.  That way I can build a HA spare UTM
  • 0
    actually if you go the appliance route HA is already built into whatever license you buy..nice thing about the HA model in UTM but it would have to be a second appliance not another spare machine out of your datacenter.  if you want to stay in the software model then you can do HA with a pair of machines if you'd like..again it is baked into the license.

    regarding your cpu usage.  I would look at hte host cpu usage inside of vmware.  You need to increase the amount of cpu power going to the UTM vm if possible.  YOu do not have enough cpu to handle the load you are putting on the vm with ips active and the increased user count.  This is only a guess as i am not able to see your UTM configuration.
  • 0 in reply to William Warren
    I agree with everything you are saying.  I'll take a look at the host VM configuration.

    As far as appliances vs software license goes, Since we are only halfway through our software license subscription time, HA is built into our license, and most importantly we already have the two 2950s sitting idle in the racks (they are paid for, but have been retired and collecting dust for the past few months) it will cost zero save my time to get them spun up and configured.
  • 0
    Hi All.

    I am running a software UTM (9.304-9) on VMware for a K-12 school district.   It is running on a fairly robust piece of hardware and usually runs at about 25-38% CPU utilization during the day.  We just rolled out over 150 ipads to 9th grade and now we are hitting 75-80% (!).  When I checked, SNORT is maxing out two of my four virtual CPUs.  If I switch off IPS, it drops back down to about 32%, but I would rather not turn it off.

    I am guessing all that new traffic to apple is the bulk of it.  I want to try to exclude any traffic to/from apple from IPS scanning (we trust apple).

    I made a definition for the entire apple class A network and popped that into the IPS exclusion - is it as simple as that?  I put it in with our internal network as "from", apple's network as "to" and services "all".  That didn't seem to make a dent in the CPU utilization though, so i don't think I have it quite correct.  Any ideas / help?

    Thanks in advance


    well it also depends on other configuration aspects.  there's a ton to digest.  watch your pm's.