IDS Sehr langsame Performance 2.5.2 und 3 Beta

Erstmals Hallo an alle Mitglieder habe mich heute regestriert bind zwar schon länger am lesen aber wollte ab heute einmal aktiv dazu beitragen.....

Und gleich meine 1 Frage oder Problem vielleicht hat ja jemand erfahrung damit oder Tipps bis jetzt hatt ich keine brauchbare Lösung gefunden.

Meine Problem ist folgendes: Ich habe eine 150Mbit Down 15 Mbit Up Leitung zuhause. Einer der Punkte warum ich Endian verwende ist unteranderem die Integration der IDS.

Allerdings ist das Problem das wenn hier die Settings auf Default stehen (Factory Default) oder alle aktiviert sind bekomme ich nur 20 MBit Down zusammen. Der Upload passt ist 15 Mbit.

Ich hab probiert einzelne Regeln oder gleich den ganzen Regel Block wegzunehmen allerdings mit wenig bis keinen Erfolg.

Ich habe zum Test einmal meinen Server hinuntergefahren und eine andere Platte eingebaut und Endian neu installiert um zu schauen ob die Hardware zu langsam ist.

Server Hardware ist ein Xeon mit 8 Kernen und 16 GB Ram und 2 Intel Onboard Karten also der sollte das locker schaffen.
Meine jetzige Firewall ist ein ITX SuperMicro Atom D510 4 Kerne mit 4GB Ram und 3 NIC also sollte dies auch kein Problem darstellen. Die Auslastung während eines Speedtests liegt bei ca 20-40 % verteilt auf 4 Cpu Kerne.

Meine Frage an euch hat jemand das selbe Problem oder gibt es eine Lösung für das Problem?

Liebe Grüße

Alex

Hallo,

danke ertmal für die Antwort.

ok danke für die Information dann wird IDS wieder abgeschalten...... so einfach

LG Alex

hmm ok das haben sie noch etwas arbeit vor sich da z.b bei ipFire dies ohne Probleme funktioniert mit voller Geschwindigkeit aber mich überzeugt hatl Endian da etliche Features in der ipfire nicht vorhanden sind wie. SMTP, DNS, FTP Proxy usw..
Spam Training, Dashboard das vernünftige Informationen anzeigt, und am wichtigsten für mich die Interzone FW. Diese Argumente sind mir wichtiger als die IDS. Ich hoffe das wird in der 3.0 oder 4.0 Final dann behoben werden.

LG

ich hatte schon eine Fortigate 60c schafft mit IPS 100 Mbit alledings hab ich das Teil verkauft da die jährlichen Lizenzen extrem viel Geld also für einen Privaten kosten.

LG Alex

Hallo,

danke für den Hinweis ich habe die Hoffnung schon aufgegeben. Ich hoffe das funktioniert auf der Endian werde heute die 3.0 Final installieren und schauen ob das dann mit den 150/15 Mbit funktioniert mit IDS aktiviert.

Ich hab testweise eine pfsense installiert als VM und siehe dort ist dier Option im GUI von SNORT zum Einstellen ohne SSH Console.

Ich würd gern wissen ob die Community Edition zum selber basteln verurteilt ist oder es Endian nicht schafft oder absichtlich nicht will solche Bugs auszubessern!!!!!!!!!!!!!!!!!!!!!!!!

LG und Danke für den Link

Alex

Naja dann müssen wir schauen das wir nicht noch mehr Weizen zum Mahlen produzieren um die Mühlen nicht zu überlasten...

Ich werde die Lösung heute testen im Betrieb und melde mich dann was dabei herausgekommen ist wenn dies funktioniert bin ich vorerst zufrieden.

LG Alex

Update: Hab die Option auf ac geändert siehe da 150 Mbit mit IDS aktiviert also funktioniert kann ich nur jeden raten dies umzustellen.

LG Alex

Ja ich auch allerdings muss ich ram aufrüsten 4 gb sind voll schlägt auf die performance

http://manual.snort.org/node16.html

Ja genau eines möchte ich nur sagen dazu wehnn du das in der snort.config.tmpl änderst schalte zuerst IDS aus dann mach die Konfig dann starte neu lass bitte also so wars bei mir keine Verbindungen offen also es sollten keine offenen Sessions nach außen laufen und starte neu. Nicht wundern wenn du neu startest es kann ca. 15-20 Min dauern und du kannst zuschauen wie sich der RAM aufladet also es geht bei mir jetzt 4GB bis 89 % auslastung dauerhaft rauf und es kann sein das die EFW nicht gleich über Web GUI zu erreichen ist war beim ac so ac -q hab ich nicht gestetet. Ich werde mir heute mehr RAM zukaufen um für die anderen Dienste auch eine flüssige Verfügbarkeit zu bieten.

Nur als Hinweis

LG Alex