1. Dashboard
  2. Articles
  3. Forum
    1. Unresolved Threads
  4. Members
    1. Recent Activities
    2. Users Online
  5. Community vs. Enterprise
  • Login
  • Register
  • Search
This Thread
  • Everywhere
  • This Thread
  • This Forum
  • Articles
  • Forum
  • Pages
  • More Options
  1. efw-forum - Endian Firewall Support Forum
  2. Forum
  3. Archiv
  4. Endian Firewall 2.x
  5. Endian Firewall 2.5
  6. weitere Services

IDS Sehr langsame Performance 2.5.2 und 3 Beta

  • Alexandro1000
  • January 13, 2014 at 4:12 PM
  • Thread is Resolved
  • Grenzwert
    Intermediate
    Reactions Received
    1
    Posts
    213
    • January 27, 2014 at 1:56 PM
    • #21
    Quote from "Alexandro1000"

    Update: Hab die Option auf ac geändert siehe da 150 Mbit mit IDS aktiviert also funktioniert kann ich nur jeden raten dies umzustellen.


    Gerne befolge ich deinen RAT. Und wie genau stelle ich das um ?

    Schreibe doch bitte wo sich welche Config Datei befindet die wie geändert werden muß.

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

  • aender
    Intermediate
    Posts
    198
    • January 27, 2014 at 2:04 PM
    • #22
    Quote

    Die Endian läuft auf 32Bit

    Sagt zuerst mal gar nichts aus. Ein 32Bit Kernel kann mittels PAE auf 32bit Maschinen bis zu 64GB ansprechen. Nur die einzelnen Prozesse selbst können nicht mehr als 4GB verwenden.

    Also z.B. Snort 4GB und HTTP Proxy 4GB vereinfach gesagt. Es gibt ja von Endian auch Appliances mit 8GB RAM.

    [Blocked Image: http://www.endian.com/uploads/tx_userendianreseller/endian_AuthorizedPartner_black_web.png]
    Ich habe die deutsche Übersetzung der Endian Firewall verbrochen ;)

  • Grenzwert
    Intermediate
    Reactions Received
    1
    Posts
    213
    • January 27, 2014 at 5:00 PM
    • #23

    Und wie ist es tatsächlich bei der Endian 2.5.1 community ?
    Nur weil es irgendwo eine Kaufversion gibt, die hardwaremäßig anders bestückt ist, bedeutet das ja nicht das in unserem Fall auf einmal mehr als 3,6GB benutzt werden.

    Ich probierte das nämlich wahrhaft aus und nie nahm die endian community mehr als 3,6GB an. Jeweils nachzusehen unter Hardwareinformationen.

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

  • Alexandro1000
    Beginner
    Posts
    26
    • January 27, 2014 at 8:01 PM
    • #24

    Hallo,

    es muss unter etc/var/snort.conf.tmpl der Wert: config detection: serach-method lowmem von lowmem auf ac bzw ac-bnfa geändert werden je nachdem wie viel Performance du haben willst und wie viele Regeln aktiviert sind.

    Dies machst du indem du dich auf die Endian per SSH Port 22 verbindest und dich in das Directory verbindest und die conf bearbeitest speicherst und wieder zurück spielst oder direkt aufmachst und dann speicherst - REBOOT- 20 Minuten warten dann kannst du dem RAM auf dem Dashboard zuschauen wir er sich aufbläst.


    PS: Ich habe hier einen Server mit 12 GB RAM und die werden verwendet wenn ich der Anzeige vertrauen kann vlt is es ja auch ein BUG und das Balkendiagramm zeigt keine korrekten Informationen an was ich aber nicht glaube.

    LG

  • Grenzwert
    Intermediate
    Reactions Received
    1
    Posts
    213
    • January 27, 2014 at 11:24 PM
    • #25
    Quote from "Alexandro1000"

    Hallo,
    es muss unter etc/var/snort.conf.tmpl der Wert: config detection: serach-method lowmem von lowmem auf ac bzw ac-bnfa geändert werden je nachdem wie viel Performance du haben willst und wie viele Regeln aktiviert sind


    Ich habe auf der 2.5.1 unter etc keinen Ordner var. Infolgedessen schlägt der Wechsel dahin fehl.
    Oder mache ich einen Fehler?

    [Blocked Image: http://666kb.com/i/clcbex8n7372fic27.jpg]

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

  • Alexandro1000
    Beginner
    Posts
    26
    • January 27, 2014 at 11:33 PM
    • #26

    Sorry mein Fehler ich bin schon zu sehr in der Console unterwegs..... :D


    Ich meinte etc/snort/snort.conf.tmpl

    Am besten verbinde dich mit Win SCP dann kannst du editieren mit Putty is es komplizierter...

    LG

  • Grenzwert
    Intermediate
    Reactions Received
    1
    Posts
    213
    • January 27, 2014 at 11:48 PM
    • #27

    Ja, jetzt habe ichs auch gefunden...
    [Blocked Image: http://666kb.com/i/clcc24s6jhjc7g1vz.jpg]

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

  • Grenzwert
    Intermediate
    Reactions Received
    1
    Posts
    213
    • January 28, 2014 at 12:09 AM
    • #28

    So, habe mal meinen Reserverouter (2.5.1) auf ac umgestellt.

    Angeboten hatte ich jeweils 150MBit.
    DualcoreCPU
    Vorher: 2X40% CPU und 70MBit Durchsatz / 12% Ram von 3549MB

    Nachher : 2X35% CPU und 150MBit Durchsatz / 41% Ram


    Ist es wirklich so einfach SNORT zu beschleunigen ?

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

  • Grenzwert
    Intermediate
    Reactions Received
    1
    Posts
    213
    • January 28, 2014 at 12:47 AM
    • #29

    Und als weiteren Beobachtungswert auf meinem Hauptrouter (2.5.1): Umstellung auf ac

    Vorherwerte weiß ich nicht, aber mit Snort nur so um 80-90MBit - daher war Snort dauerhaft aus.

    Nachher: 4-fach CPU - Snort nimmt leider nur einen Kern - 1X47% CPU 45% RAM von 3460MB und natürlich voller 152MBit Durchsatz. :D

    Snort mußte wie schon vorher immer 2X aktiviert werden, also wenn aktiviert dann bischen später nochmal aktivieren. Vorher arbeitete es nicht, trotz grüner ON Anzeige.

    [Blocked Image: http://666kb.com/i/clcdjmv5oja8d8tjj.jpg]

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

  • sandmann
    Student
    Posts
    65
    • January 28, 2014 at 2:41 PM
    • #30

    Da ich experimentierfreudig bin:

    Snort mit Parameter "ac" und 1GB RAM auf der 2.5.1 für eine 16Mbit Leitung reicht schon vollständig aus.
    Jetzt ist nur die CPU der Flaschenhals.

  • Alexandro1000
    Beginner
    Posts
    26
    • January 29, 2014 at 2:34 AM
    • #31

    Hallo,

    hab gerade die 3.0 Final installiert leider funktioniert das dort nicht so wie gewollt oder es gibt einen anderen Trick den ich noch nihct herausgefunden habe.

    Na Gut das es funktioniert, wie gesgat ist halt Ressourcenfressend das ganze......

  • Grenzwert
    Intermediate
    Reactions Received
    1
    Posts
    213
    • January 29, 2014 at 2:07 PM
    • #32
    Quote from "Alexandro1000"


    Na Gut das es funktioniert, wie gesgat ist halt Ressourcenfressend das ganze......


    Das macht doch nichts, ist der Motor am Auto stark genug zieht er auch einen Wohnwagen mit 100 den Berg rauf...

    Natürlich kommste bei der Endian mit altem Billiggerümpel nicht weit.
    Den abgespielten alten PC, der vor 15 Jahren ach so modern war, mal eben für die Endian weiterbrauchen wollen und dazu aber modernste Schutzfunktionen aktivieren, das geht sich nicht auf. Leistung kostet halt.

    Denn ich merke nichts davon das Snort jetzt noch bremst. Aber ich ziehe ja auch den Wohnwagen mit 100 über die Alpen... :D

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

  • aender
    Intermediate
    Posts
    198
    • January 30, 2014 at 12:06 PM
    • #33

    Hab eine Rückmeldung von Endian erhalten.

    Die Optionen ändern wollen sie derzeit nicht machen, da es wie berichtet sehr viel Memory braucht und trotzdem nicht Mutlithreaded läuft. Das sehen sie als Hauptproblem. Überlegt ist ein Ersetzen von Snort durch Suricata http://suricata-ids.org
    Dazu müssen sie aber sehr viel am Grundsystem selbst ändern. Mal sehen was die Zukunft bringt.

    [Blocked Image: http://www.endian.com/uploads/tx_userendianreseller/endian_AuthorizedPartner_black_web.png]
    Ich habe die deutsche Übersetzung der Endian Firewall verbrochen ;)

  • sandmann
    Student
    Posts
    65
    • January 30, 2014 at 1:01 PM
    • #34

    und? Braucht man zum ändern der Option in der Enterprise Endian?

    Man mus ja nicht alles sagen...

  • Alexandro1000
    Beginner
    Posts
    26
    • January 30, 2014 at 2:29 PM
    • #35

    So hab jetzt probiert in der 3.0 Final alle Werte die Snort anbietet zu ändern und getestet leider funktioniert das wie von aender gesagt nicht da nur 1 Core verwendet wird und die FW über längere Zeit einen Cache Overflow produziert durch das ändern und nicht erreichbar ist ich will aber nicht mehr downgraden von 3.0 auf 2.5.1. Die 3.0 dürfte eine neue Version von SNORT nutzen oder es wurde anders implementiert das diese Option nicht richtig greift. Also Kompromiss wer mehr Sichert durch IDS haben will sollte 2.5.1 verwenden oder neueres GUI mit 3.0 (VPN User Verwaltung usw....... Bugfixes)....

  • aender
    Intermediate
    Posts
    198
    • January 30, 2014 at 2:34 PM
    • #36
    Quote

    Also Kompromiss wer mehr Sichert durch IDS haben will sollte 2.5.1 verwenden

    Kann man sicher nicht sagen. IDS funktioniert ja in der 3.0 einwandfrei. Es lässt sich halt nicht mehr "tunen" und erreicht halt nur an die 30Mbit/s Datendurchsatz.

    [Blocked Image: http://www.endian.com/uploads/tx_userendianreseller/endian_AuthorizedPartner_black_web.png]
    Ich habe die deutsche Übersetzung der Endian Firewall verbrochen ;)

  • Alexandro1000
    Beginner
    Posts
    26
    • January 30, 2014 at 2:35 PM
    • #37

    Ja stimmt mein Fehler hab ich vergessen für ALLE die nicht mehr benötigen ist das richtig. :)

  • Alexandro1000
    Beginner
    Posts
    26
    • January 30, 2014 at 5:02 PM
    • #38

    Was ich mich nur Frage warum schafft es eine ipfire und eine pfsense dies in Snort so zu programmieren das es die Volle Geschwindigkeit also alle Resourcen der Hardware ausnutzen kann und Endian nicht ????? :waiting:

  • aender
    Intermediate
    Posts
    198
    • January 30, 2014 at 5:14 PM
    • #39

    Also das mit der iPFire glaub ich mal nicht. Das ist eine Firewall die so halb auf der alten Endian 2.2 und der iPCop basiert und halt weiterentwickelt wurde.
    Da läuft genauso Snort drauf das nur einen Thread laufen lassen kann. Mag sein, dass die die Einstellung so machen, dass Snort sich halt die 4GB RAM schnappen darf.

    Und bei pfSense ist mal per Default gar kein IDS dabei. Das kann man höchstens als Package nachinstallieren. Und dann gibt es eben diesen tollen Punkt um die diskutierte Lösung zu aktivieren. Siehe anbei. Und dann mag noch sein, dass pfSense auf BSD basiert und schon ganz einen anderen Filter für die Firewall-Rules verwendet als die Endian. Die verwenden p0f mit dem sich sogar sogenanntes advanced passive OS/network fingerprinting machen lässt. http://lcamtuf.coredump.cx/p0f3/

    Also nicht Äpfel mit Birnen vergleichen ;)

    Images

    • 3914981316_8f4e8bf445_o.png
      • 295.25 kB
      • 800 × 734

    [Blocked Image: http://www.endian.com/uploads/tx_userendianreseller/endian_AuthorizedPartner_black_web.png]
    Ich habe die deutsche Übersetzung der Endian Firewall verbrochen ;)

  • sandmann
    Student
    Posts
    65
    • January 31, 2014 at 9:17 PM
    • #40

    Mal ne frage:
    Bei mir läuft eine 3.0 mit dem SNORT Parameter "ac" seit ca. 3 Tagen. Keine Probleme, kein Cache Overflow, nichts.
    Alles Problemlos. Nur einer der 4 Kerne steht seitdem permanent bei 100%.
    2 GB RAM sind ca. 91% ausgelastet.

    Ist bei der 3.0 der Parameter "ac" komplett wirkungslos?

    Lt. Hotline (ich habe neben der Community noch eine Hardware UTM) sollte "ac" auch in der 3er funktionieren...

Unterstützt von

  1. Privacy Policy
  2. Legal Notice
Powered by WoltLab Suite™