Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3991 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High IPS (Snort) CPU - Help with IPS eexceptions

ErikWaibel
Hi All.

I am running a software UTM (9.304-9) on VMware for a K-12 school district.   It is running on a fairly robust piece of hardware and usually runs at about 25-38% CPU utilization during the day.  We just rolled out over 150 ipads to 9th grade and now we are hitting 75-80% (!).  When I checked, SNORT is maxing out two of my four virtual CPUs.  If I switch off IPS, it drops back down to about 32%, but I would rather not turn it off.

I am guessing all that new traffic to apple is the bulk of it.  I want to try to exclude any traffic to/from apple from IPS scanning (we trust apple).

I made a definition for the entire apple class A network and popped that into the IPS exclusion - is it as simple as that?  I put it in with our internal network as "from", apple's network as "to" and services "all".  That didn't seem to make a dent in the CPU utilization though, so i don't think I have it quite correct.  Any ideas / help?

Thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for the reply, Barry.

    I took a good look at the reports from yesterday and lo and behold the top ten bandwidth users were not in Apple's domain at all.  The were in two IP ranges both owned by Akamai technologies.  Some Google searching and investigation revealed to me that Apple uses Akamai for content delivery (apps, itunes store, etc).  The 10 Akamai servers accounted for over half of the 650GB of throughput we saw yesterday.  I will try making exceptions for those networks and see how it goes.

    Forgive my ignorance, but what is rule aging?  It is not anything I have used or am familiar with.
Reply
  • 0
    Thanks for the reply, Barry.

    I took a good look at the reports from yesterday and lo and behold the top ten bandwidth users were not in Apple's domain at all.  The were in two IP ranges both owned by Akamai technologies.  Some Google searching and investigation revealed to me that Apple uses Akamai for content delivery (apps, itunes store, etc).  The 10 Akamai servers accounted for over half of the 650GB of throughput we saw yesterday.  I will try making exceptions for those networks and see how it goes.

    Forgive my ignorance, but what is rule aging?  It is not anything I have used or am familiar with.
Children
No Data