bei aktiviertem Intrusion Detection (suricata) nur 100 MBit bei 400er-Leitung?

Started by Marcel_75, March 14, 2018, 12:09:46 AM

Previous topic - Next topic
Ja, war so am Schnellsten - OPNsense per Terminal-Console vom USB-Stick wieder neu installiert, die Config konnte er sogar noch erfolgreich von der SSD auslesen, so dass ich gar nicht an die extra gesicherte auf dem Rechner musste.

Habe Suricata jetzt erst einmal bis auf weiteres nicht mehr im IPS-Modus (also protection mode mit traffic blocking), sondern im IDS-Modus.

Wo genau schaut man denn dann am besten, ob irgend etwas "nicht ganz knusper" ist? Ist in diesem "intrusion detection" Modus ein Log automatisch aktiv und macht es Sinn, da dann auch mal ab und an rein zu schauen?
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)

Hm..
Ich habe die rc.conf eigentlich nicht angelegt....
In der Website wird ja betont, dass die wichtigsten Tuning- Einstellungen in der sysctl.conf zu machen sind. Die Einstellungen per Copy/Paste in die Datei anfügen, abspeichern und neu starten.
Mein Rat ist, dies Stück für Stück zu machen und zu messen, ob die Einstellungen den gewünschten Effekt zeigen. Wenn erfolgreich, erst ein Backup und dann an die nächsten Einstellung(en) rangehen. So kannst du bei Misserfolg ein Rollback machen.
Ich weiss, es ist zeitraubend, aber vor dem Erfolg haben die Götter nun mal den Schweiß gesetzt. ;)
Wechsel auch mal das Pattern auf Hyperscan. Es ist schneller als Aho-Corasick.

Also auch auf die Gefahr hin, dass ich mich damit unbeliebt mache (*schämt sich schonmal im Voraus*) aber die Decisio Kiste - egal ob die teuer war oder nicht - ist von der CPU her auch nichts anderes als eine minimal stärkere APU2 (die den GX412 statt dem 416 hat) mit 4 Ports statt 3 und 128er SSD statt kleiner mSATA. Dass diese mit >150/200Mbps und voll aktivem IPS überfordert ist finde ich jetzt nicht so außergewöhnlich. Für alles was >200Mbps geht, rate ich jedem Kunden immer zu einem größeren Gerät als APU2 oder auch NCA1020 o.ä. - da gehen wir eher in Richtung 4- oder 8-Kern Atom mit höherer Taktung. Und für 750€ (so das realer Preis war) hättest du da auch mehr bekommen können, aber das ist meine private Meinung :)

Natürlich kann man jetzt noch mehr aus der HW rausholen, ist nur die Frage ob das dann zukunftssicher ist oder ob das jetzt eher noch Rausschinden von Performance ist und man sich lieber mit einem Auge was größeres anschauen sollte.

Grüß
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.

Bei dem kostenlosen IPS ist das so eine Sache... ist wie Jens andeutet ist das nur so schnell wie Geld dafür ausgegeben wurde. Eine fähige Hardware ist Pflicht für hohen Durchsatz und die findet man nur schwerlich im Embedded-Bereich.

Die Grundvoraussetzung ist allerdings immer geben: egal wie langsam, das gewünschte IPS funktioniert verlässlich, natürlich mit der Ausnahme von vereinzelter Hardware oder dem WAN-PPPoE.

Einigen wir uns auf das Ziel Lauffähigkeit auf Standardhardware? :)


Grüsse
Franco