Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3986 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High IPS (Snort) CPU - Help with IPS eexceptions

ErikWaibel
Hi All.

I am running a software UTM (9.304-9) on VMware for a K-12 school district.   It is running on a fairly robust piece of hardware and usually runs at about 25-38% CPU utilization during the day.  We just rolled out over 150 ipads to 9th grade and now we are hitting 75-80% (!).  When I checked, SNORT is maxing out two of my four virtual CPUs.  If I switch off IPS, it drops back down to about 32%, but I would rather not turn it off.

I am guessing all that new traffic to apple is the bulk of it.  I want to try to exclude any traffic to/from apple from IPS scanning (we trust apple).

I made a definition for the entire apple class A network and popped that into the IPS exclusion - is it as simple as that?  I put it in with our internal network as "from", apple's network as "to" and services "all".  That didn't seem to make a dent in the CPU utilization though, so i don't think I have it quite correct.  Any ideas / help?

Thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    Hi All.

    I am running a software UTM (9.304-9) on VMware for a K-12 school district.   It is running on a fairly robust piece of hardware and usually runs at about 25-38% CPU utilization during the day.  We just rolled out over 150 ipads to 9th grade and now we are hitting 75-80% (!).  When I checked, SNORT is maxing out two of my four virtual CPUs.  If I switch off IPS, it drops back down to about 32%, but I would rather not turn it off.

    I am guessing all that new traffic to apple is the bulk of it.  I want to try to exclude any traffic to/from apple from IPS scanning (we trust apple).

    I made a definition for the entire apple class A network and popped that into the IPS exclusion - is it as simple as that?  I put it in with our internal network as "from", apple's network as "to" and services "all".  That didn't seem to make a dent in the CPU utilization though, so i don't think I have it quite correct.  Any ideas / help?

    Thanks in advance


    I am assuming a paid license.  Do you have a partner you are working with?  do you have premium support?  If yes to either get them involved.

    if no watch your pm's...

    secondly what is the cpu type and speed of the hsot mahcine?  HOw many cvcpus?  how much ram?  are there any other vm's on that host?
Reply
  • 0
    Hi All.

    I am running a software UTM (9.304-9) on VMware for a K-12 school district.   It is running on a fairly robust piece of hardware and usually runs at about 25-38% CPU utilization during the day.  We just rolled out over 150 ipads to 9th grade and now we are hitting 75-80% (!).  When I checked, SNORT is maxing out two of my four virtual CPUs.  If I switch off IPS, it drops back down to about 32%, but I would rather not turn it off.

    I am guessing all that new traffic to apple is the bulk of it.  I want to try to exclude any traffic to/from apple from IPS scanning (we trust apple).

    I made a definition for the entire apple class A network and popped that into the IPS exclusion - is it as simple as that?  I put it in with our internal network as "from", apple's network as "to" and services "all".  That didn't seem to make a dent in the CPU utilization though, so i don't think I have it quite correct.  Any ideas / help?

    Thanks in advance


    I am assuming a paid license.  Do you have a partner you are working with?  do you have premium support?  If yes to either get them involved.

    if no watch your pm's...

    secondly what is the cpu type and speed of the hsot mahcine?  HOw many cvcpus?  how much ram?  are there any other vm's on that host?
Children
  • 0 in reply to William Warren
    Thanks for the replies, Drew and William.

    I really need to pay more attention in the IPS rules section - I never noticed the rules aging dropdown options before.  

    Yes we have a paid license, no to a partner, but we do have premium support.  I will open a ticket if this persists and I cannot figure it out on my own (traffic was more manageable today).  The VM is running on a Dell R710 server with dual six-core Xeon processors and 288 Gb of RAM.  The UTM VM I gave 4 cores to and 8GB of RAM.  There are more machines running on the server, but I don't have a count as I write this.

    I think our long term solution is going to be moving the UTM out of the virtual world and on to dedicated physical hardware.  We have retired twin Dell Poweredge 2950s sitting idle in the data center.  They have two 3.2 Ghz quad-core Xeons with 32GB RAM each.  That way I can build a HA spare UTM