Update: Hab die Option auf ac geändert siehe da 150 Mbit mit IDS aktiviert also funktioniert kann ich nur jeden raten dies umzustellen.
Gerne befolge ich deinen RAT. Und wie genau stelle ich das um ?
Schreibe doch bitte wo sich welche Config Datei befindet die wie geändert werden muß.
Die Endian läuft auf 32Bit
Sagt zuerst mal gar nichts aus. Ein 32Bit Kernel kann mittels PAE auf 32bit Maschinen bis zu 64GB ansprechen. Nur die einzelnen Prozesse selbst können nicht mehr als 4GB verwenden.
Also z.B. Snort 4GB und HTTP Proxy 4GB vereinfach gesagt. Es gibt ja von Endian auch Appliances mit 8GB RAM.
Und wie ist es tatsächlich bei der Endian 2.5.1 community ?
Nur weil es irgendwo eine Kaufversion gibt, die hardwaremäßig anders bestückt ist, bedeutet das ja nicht das in unserem Fall auf einmal mehr als 3,6GB benutzt werden.
Ich probierte das nämlich wahrhaft aus und nie nahm die endian community mehr als 3,6GB an. Jeweils nachzusehen unter Hardwareinformationen.
Hallo,
es muss unter etc/var/snort.conf.tmpl der Wert: config detection: serach-method lowmem von lowmem auf ac bzw ac-bnfa geändert werden je nachdem wie viel Performance du haben willst und wie viele Regeln aktiviert sind
Ich habe auf der 2.5.1 unter etc keinen Ordner var. Infolgedessen schlägt der Wechsel dahin fehl.
Oder mache ich einen Fehler?
[Blocked Image: http://666kb.com/i/clcbex8n7372fic27.jpg]
Sorry mein Fehler ich bin schon zu sehr in der Console unterwegs..... 
Ich meinte etc/snort/snort.conf.tmpl
Am besten verbinde dich mit Win SCP dann kannst du editieren mit Putty is es komplizierter...
LG
Ja, jetzt habe ichs auch gefunden...
[Blocked Image: http://666kb.com/i/clcc24s6jhjc7g1vz.jpg]
So, habe mal meinen Reserverouter (2.5.1) auf ac umgestellt.
Angeboten hatte ich jeweils 150MBit.
DualcoreCPU
Vorher: 2X40% CPU und 70MBit Durchsatz / 12% Ram von 3549MB
Nachher : 2X35% CPU und 150MBit Durchsatz / 41% Ram
Ist es wirklich so einfach SNORT zu beschleunigen ?
Und als weiteren Beobachtungswert auf meinem Hauptrouter (2.5.1): Umstellung auf ac
Vorherwerte weiß ich nicht, aber mit Snort nur so um 80-90MBit - daher war Snort dauerhaft aus.
Nachher: 4-fach CPU - Snort nimmt leider nur einen Kern - 1X47% CPU 45% RAM von 3460MB und natürlich voller 152MBit Durchsatz.
Snort mußte wie schon vorher immer 2X aktiviert werden, also wenn aktiviert dann bischen später nochmal aktivieren. Vorher arbeitete es nicht, trotz grüner ON Anzeige.
[Blocked Image: http://666kb.com/i/clcdjmv5oja8d8tjj.jpg]
Da ich experimentierfreudig bin:
Snort mit Parameter "ac" und 1GB RAM auf der 2.5.1 für eine 16Mbit Leitung reicht schon vollständig aus.
Jetzt ist nur die CPU der Flaschenhals.
Na Gut das es funktioniert, wie gesgat ist halt Ressourcenfressend das ganze......
Das macht doch nichts, ist der Motor am Auto stark genug zieht er auch einen Wohnwagen mit 100 den Berg rauf...
Natürlich kommste bei der Endian mit altem Billiggerümpel nicht weit.
Den abgespielten alten PC, der vor 15 Jahren ach so modern war, mal eben für die Endian weiterbrauchen wollen und dazu aber modernste Schutzfunktionen aktivieren, das geht sich nicht auf. Leistung kostet halt.
Denn ich merke nichts davon das Snort jetzt noch bremst. Aber ich ziehe ja auch den Wohnwagen mit 100 über die Alpen...
Hab eine Rückmeldung von Endian erhalten.
Die Optionen ändern wollen sie derzeit nicht machen, da es wie berichtet sehr viel Memory braucht und trotzdem nicht Mutlithreaded läuft. Das sehen sie als Hauptproblem. Überlegt ist ein Ersetzen von Snort durch Suricata http://suricata-ids.org
Dazu müssen sie aber sehr viel am Grundsystem selbst ändern. Mal sehen was die Zukunft bringt.
und? Braucht man zum ändern der Option in der Enterprise Endian?
Man mus ja nicht alles sagen...
Also Kompromiss wer mehr Sichert durch IDS haben will sollte 2.5.1 verwenden
Kann man sicher nicht sagen. IDS funktioniert ja in der 3.0 einwandfrei. Es lässt sich halt nicht mehr "tunen" und erreicht halt nur an die 30Mbit/s Datendurchsatz.
Ja stimmt mein Fehler hab ich vergessen für ALLE die nicht mehr benötigen ist das richtig. 
Also das mit der iPFire glaub ich mal nicht. Das ist eine Firewall die so halb auf der alten Endian 2.2 und der iPCop basiert und halt weiterentwickelt wurde.
Da läuft genauso Snort drauf das nur einen Thread laufen lassen kann. Mag sein, dass die die Einstellung so machen, dass Snort sich halt die 4GB RAM schnappen darf.
Und bei pfSense ist mal per Default gar kein IDS dabei. Das kann man höchstens als Package nachinstallieren. Und dann gibt es eben diesen tollen Punkt um die diskutierte Lösung zu aktivieren. Siehe anbei. Und dann mag noch sein, dass pfSense auf BSD basiert und schon ganz einen anderen Filter für die Firewall-Rules verwendet als die Endian. Die verwenden p0f mit dem sich sogar sogenanntes advanced passive OS/network fingerprinting machen lässt. http://lcamtuf.coredump.cx/p0f3/
Also nicht Äpfel mit Birnen vergleichen 
Mal ne frage:
Bei mir läuft eine 3.0 mit dem SNORT Parameter "ac" seit ca. 3 Tagen. Keine Probleme, kein Cache Overflow, nichts.
Alles Problemlos. Nur einer der 4 Kerne steht seitdem permanent bei 100%.
2 GB RAM sind ca. 91% ausgelastet.
Ist bei der 3.0 der Parameter "ac" komplett wirkungslos?
Lt. Hotline (ich habe neben der Community noch eine Hardware UTM) sollte "ac" auch in der 3er funktionieren...
