Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 159298 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos IPS Kill My internet speed

okaenrique
Hello!

I have UTM VERSION 9.314-13 on my ESXI 

ssd HARDIDSK
CPU intel core i5-4690k cpu 3.50GHZ  4 cpu 

in Vmware i have 4 virtualsockets and 5120MB memory .

every think is work but when i active Attack Patterns on IPS my internet speed change from 950Mbit/s to 300Mbit/s , 

i have tried active just ( Operating system specific attacks  ) and get same issue .

in my Sophos FW i have 
FW is active with 7 rules.
webfiltering is active with 0 requestes.
remote access .
Web Aplication Firewall is active .
Antivirus .
Antispyware .








Any help please ?


This thread was automatically locked due to age.
  • 0
    But you will never reach more than ~500 MBit/s with a single Download, even with the most powerful hardware...
  • 0 in reply to okaenrique
    thanks for reply 

    so if i install sophos on separate PC which hardware should i use?


    this isn't a hardware problem but how snort works.  Lookup my many detailed posts.  What you need to do is get MANY MANY more users.  How many users do you have on your network.  I disagree with sascha this isn't a vm limitation and running UTM inside of a vm is NOT s significant performance disadvantage...in fact when properly configured the hit is zero with modern hardware.  vm performance hits in modern hardware and hypervisors are a thing of the past.  I've been running astaro/sophos utm inside of vm's now for nearly 5 years.  A vm actually allows you to better tune the system unlike bare metal.
  • 0 in reply to scorpionking
    But you will never reach more than ~500 MBit/s with a single Download, even with the most powerful hardware...


    With UTM you typically won't see faster than 350 megabits per instance.  Snort is highly single threaded.  The problem is modern cpu are NOT designed for single threaded software.  Luckily cisco is pushing development of a new highly multi-threaded snort.
  • 0
    so snort is not good for there have hight internet speed .
  • 0 in reply to okaenrique
    so snort is not good for there have hight internet speed .


    that's a severe oversimplification.  Snort is used with organizations with gigabit or higher connection...you just have to make sure the network can actually "push" snort properly.  This is a classic case of the software not following the same design as hardware.  Snort is catching up but it is taking time.  What is your connection speed?
  • 0 in reply to Sascha Paris
    Lowering # of CPU's or snort instances doesn't help / change anything in that matter.

    With 4 cores you should be able to start 3 downloads / perftests / different connections from different sites ~300MBit per each of them summing up to a total of ~900 MBit. But you will not be able to get that throughput in a single connection due that "snort instances bound to a CPU core" limitation. That's how UTM and snort works.

    That's maybe one of the biggest differentiator / limitation between a x86 base compared to ASIC / purpose specialized hardware appliances. In normal company usage as border gateway this usually isn't a issue, but that limitation may occur in such special cases as yours where a single connection may use the full bandwidth. This is also true for IPSEC tunnels or other stuff in the UTM too.

    There are multithreaded alternatives out there to the singlethreaded snort as Suricata for example. But they usually still aren't as mature as snort today, even if they may offer some benefits in higher throughput for single connections or specific tests, but due multithreading overhead finally reaches lower cumulated top bandwidths with lots of connections compared to multiple snort instances.


    it can depending on what he's trying to do.  an asic is going to have the same issue due to snort's limitations.  anything that runs on an asic might hit the throughput but won't have nearly the detection capabilities of snort..period.  There's a reason snort is number 1.  The underlying hardware isn't the problem.  it is snort's design.  There are ways around it which i have detailed quite extensively.  However Cisco is now pouring tons of resources into snort development and a new MT snort is on the way.  However MT has it's own issues with thread concurrency, cpu memory and cache coherency..etc etc etc that are common to any multi-core system ASIC or not.  Simply rewriting Snort as a MT programs isn't going to 100% solve this issue..but it will drastically enhance it's throughput.  Let's hope that it's detection doesn't suffer at the same time.
  • 0 in reply to William Warren
    that's a severe oversimplification.  Snort is used with organizations with gigabit or higher connection...you just have to make sure the network can actually "push" snort properly.  This is a classic case of the software not following the same design as hardware.  Snort is catching up but it is taking time.  What is your connection speed?


    1000 Mbit/s/1000 Mbit/s my speed