» »

IPS / IDS performance

IPS / IDS performance

harmony ::

Koliko vam "pozre" bandwitha pri vkopljenem IPS-u?

Jaz uporabljam Sophos UTM, kjer imam vklopljen IPS in speedtest mi pokaze sledec rezultat:
Download: 43-45 Mbps
Upload: 14,63 Mbps

Brez IPS-a, je download na priblizno 76-77. Imam pa 80mbit...

Z vklopljen IPS-om je download 50% manjsi, kar se mi zdi dokaj slabo. Kako zadevo optimizirat? Izklopil sem storitve, ki ne tecejo v omrezju, ampak to ni obrodilo nobenih sadov.

Moja konfiguracij:
Modem ---> Firewall---> TP-Link Ruter Archer C7
Je problem mogoce ruter? Kmalu dobim en gigabitni switch, tako da bo ruter opravljal samo funkcijo AP...mogoce bo to kaj pomagalo?

Invictus ::

Kupi močnejšo škatlo, ker ti je trenutna prepočasna...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

harmony ::

Invictus je izjavil:

Kupi močnejšo škatlo, ker ti je trenutna prepočasna...

Mislis na skatlo, kjer je Sophos UTM gor? Le ta je PC Engines apu2c4...in kolikor sem bral teste gre skozi vec 100mbit kaj sele mojih 80.

Al kaj tocno mislis?

SeMiNeSanja ::

UTM storitce (IPS, AV,...) vedno vplivajo na prepustnost požarne pregrade. Najbolj kritično se to pozna pri AV preverjanju, sploh če z AV preverjaš TLS promet.

Za koliko padejo performanse je odvisno od rešitve do rešitve, saj vsaka na svoj način implementira tovrstbe varnostne servise.

Glede na to, da določene strani/storitve niso 'kritične', jih lahko brez večjega strahu izpustiš iz globlje inšpekcije. Tako npr. ne tvegaš prav veliko, če inšpekcijo izklopiš za Youtube - kar se bo seveda precej poznalo pri odzivnosti in performansah pri gledanju video posnetkov. Z nekaj modrosti lahko izbereš strani, ki jim bolj zaupaš, kjer ni za pričakovati, da se boš nalezel česa kritičnega in zanje določiš nižji režim preverjanja. Tako prihraniš razpoložljive performanse procesorja za bolj podrobno preverjanje prometa, ki je mnj zaupanja vreden.

harmony ::

Hvala za nasvet. Mi res ne preostane nic drugega kot definirati izjeme pri straneh / storitvah vredne zaupanja.

Invictus ::

harmony je izjavil:

Invictus je izjavil:

Kupi močnejšo škatlo, ker ti je trenutna prepočasna...

Mislis na skatlo, kjer je Sophos UTM gor? Le ta je PC Engines apu2c4...in kolikor sem bral teste gre skozi vec 100mbit kaj sele mojih 80.

Al kaj tocno mislis?

Kar piše uradno, ponavadi deliš vsaj z 2 ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Invictus je izjavil:


Kar piše uradno, ponavadi deliš vsaj z 2 ;).

Odvisno.

Največji problem je ta, da vsak proizvajalec po svoje navaja performančne podatke in jih le stežka med seboj primerjaš.

Celo takrat, ko nek neodvisen laboratorij opravi meritve, stvari niso nujno črno-bele - kar se pokaže, ko gledaš primerjalne teste, ki jih naroči enkrat en, drugič drugi proizvajalec.
Dovolj je že, da konkurenčno rešitev v eni točki ne skonfiguriraš optimalno, pa dobiš popolnoma drugačne rezultate.

Sam spet težko izvedeš podobne teste, ker nimaš opreme, ki bi generirala tisto 'tipično' IMIX zmes prometa. Tako ponavadi meriš performanse bolj ali manj na 100% https prometu, kar pa je precej 'težje prebavljiv' promet od tistega, ki ga običajno uporabljajo pri določanju objavljenih zmogljivosti neke rešitve. Tako morda res lahko prideš v določenih primerih do logike 'objavljeno deli z 2'.

Drugače pa je stvar lahko tudi odvisna od rešitve in licenciranja. WatchGuard virtualni firewall XTMv npr. licencira glede na prepustnost. Tako npr. SmallOffice verzija dejansko deluje do 1Gbps, nato pa začne limitirati promet - ne glede na vrsto prometa. Seveda pod pogojem, da imaš dovolj zmogljiv HW spodaj.

Možno, da ima Sophos free verzija tudi kakšne omejitve vgrajene, katere pa ravno ne obešajo na veliki zvon.

harmony ::

Eno vprasanje. Ce bi dodal se en appliance, bi mi zadeva laufala bolje? Kot sem povedal CPU se sonci, RAM je 38% zaseden. Danes sem dodal dva rula (eden za media stream, ter drugi za steam torej predvidevam za igre...)

SeMiNeSanja ::

Kam bi pa dodal še en appliance? Vzporedno? Kako pa bi potem usmerjal promet?

Tudi če bi nekako šlo, se bojim, da nebi kaj dosti profitiral. Žal ne vem, ali je Sophos virtualna varianta na splošno tak crap, ali je 'home' varianta tako zelo omejena, ali pa enostavno tvoj HW/hypervizor ne da več...

Zdaj že imaš postavljeno, kar imaš.... drugače bi bilo zanimivo da bi probal kakšen drug virtualni firewall poganjat gor, da bi videl, kako se tisti obnese performančno - potem vsaj veš, kaj dejansko zmore tvoj HW/Hypervizor...

Če se hočeš igrat, lahko na WatchGuard strani zaprosiš za eval kodo za njihovo virtualko in jo en mesec poganjaš do nezavesti. Boš imel takoj primerjavo.

harmony ::

Sophos UTM je direktno instaliran na HW. Prej sem imel pfSense...Ni mi pa problem vrniti pfSense, saj ga imam instaliranega na drugem disku, tako da tega lahko dam ven in pfSense nazaj in lahko stestiram.
Drug appliance bi pac dodal na se en HW...
https://community.sophos.com/kb/en-us/1...

IPS Performance Tuning

Intrusion Prevention Systems inherently have the potential to impact both performance and bandwidth since every single packet traversing the networks defined under 'Local networks' are being intercepted and evaluated against hundreds or thousands of Attack Patterns. These potential performance and bandwidth effects can be mitigated through the following methods:

Do not enable IPS on hosts, networks or services which are time-sensitive (VoIP etc).
Ensure that you only enable Attack Patterns for hosts, operating systems and services which are actually running on your network.
Add all internal HTTP, DNS, SMTP and SQL Servers to the appropriate dialog box in the 'Advanced' section for IPS configuration.
Add a second UTM for High Availability and activate in "Active/Active" mode for load balancing of IPS processing.
Upgrade to version 9.2x of the UTM firmware.
Najbrz potrata denaraja za se en HW...

Saul Goodman ::

a maš na pfsensu iste težave? imaš tam tud kak snort/suricata vklopljen?

SeMiNeSanja ::

Aha... sem mislil, da gre na Hypervizor. Dejansko pa se inštalira kot samostojen HW appliance (in ga posledično ne moreš uporabljati za filtriranje prometa na virtualnih omrežjih znotraj VMWare ali Hyper-V?).

Pri fizičnih appliance-ih od WatchGuarda nekako pravijo, da Active-Active doda cca. 70% performans dodatne naprave. Načeloma bi kaj podobnega pričakoval tudi pri Sophosu.
Samo nekako mi ne gre v račun, da ima stvar tako slabo prepustnost...in to ob procesorju, ki počiva in pomnilniku, ki je napol prazen....

harmony ::

Saul Goodman je izjavil:

a maš na pfsensu iste težave? imaš tam tud kak snort/suricata vklopljen?

Nisem zal se sprobal. Bom jutri dal nazaj pfSense. Sedaj je ta test tudi bolj smiselen, saj sem upgrejdal internetni prikljucek iz 40 na 80mbit. Sem pa tudi tam imel snort vklopljen.

harmony ::

SeMiNeSanja je izjavil:

Aha... sem mislil, da gre na Hypervizor. Dejansko pa se inštalira kot samostojen HW appliance (in ga posledično ne moreš uporabljati za filtriranje prometa na virtualnih omrežjih znotraj VMWare ali Hyper-V?).

Jaz imam en Shuttle Mini PC (Hyper-V)in gor 4 virtualke in v logih lahko vidim kako filtrira promet od teh virtualk, tako da to deluje ocitno.
Performance:

Probal sem tudi tole:
https://community.sophos.com/kb/en-us/1...
Pa je isto stanje. Nisem pa edini s tem problemom in je to ocitno "feature" od Sophos-a.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Firewalla

Oddelek: Omrežja in internet
427224 (2415) somebody16
»

Moja domaca mreza

Oddelek: Omrežja in internet
467287 (5135) mahoni
»

PFsense vs Sonic Wall (strani: 1 2 )

Oddelek: Informacijska varnost
8318238 (14889) Blisk
»

pfsense (strani: 1 2 )

Oddelek: Kaj kupiti
7310399 (6105) SeMiNeSanja
»

SOHO HW UTM/firewall

Oddelek: Informacijska varnost
91104 (1020) SeMiNeSanja

Več podobnih tem