Browsen sehr langsam

Hi Community,

 

ich habe ein Problem mit einer Sophos XG 105 Firewall.

Es wird stark über die Internet Geschwndigkeit, bzw. das Browsen im Internet geklagt, dass es sehr langsam sei.

 

Mir ist es nun schon mehrfach aufgefallen, dass beim einschalten von IPS (Firewall Regeln) die Geschwindigkeit abnimmt, bzw. der Seitenaufbau um einiges länger dauert als Normal.

Ich habe bereits eigene IPS Regeln angelegt, damit ich die IPS Regeln aufs minimale begrenze. Z.B. wird die IPS Regel nur auf Clients angewandt (Gruppe Clients).

 

Nun die Fragen an euch:

- Kennt ihr die Probleme mit IPS auch?

- Wie sieht euer Best Practice für IPS aus?

- Gibts TIpps hierzu?

 

Danke im Voraus.

 

Grüße Phil

  • Hallo Phil,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    How fast is your Internet connection?  How many computers are protected behind your XG 105?

    Best Practices:

    • Disable all rules that don't apply to your situation.
    • Keep all devices updated with latest anti-malware and OS versions.
    • Reduce rule times to 12 months.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • Hallo Phil,

    Ich bin zwar eher experte bei den SG UTMs aber die XG sind ja doch recht ähnlich deswegen werden die Grundeinstellungen ähnlich/gleich sein.

    Nun die Fragen an euch:

    - Kennt ihr die Probleme mit IPS auch?

    Das ist im Grunde kein Problem, Sophos weißt explizit darauf hin, dass die IPS ein Modul ist, welches viel Resourcen verbraucht, wenn man Sie aktiviert ohne sie zu konfigurieren bzw. zu wissen was man eigentlich macht, ist es sehr gut möglich, dass das System langsamer wird oder auch gar nichts mehr funktioniert.

    - Wie sieht euer Best Practice für IPS aus?

    1. Der einfachste Weg ist abzusichern, dass nur Regel für Clients und Server existieren die auch im Netzwerk existieren, hört sich trivial an, viele machen das aber eben nicht so.

    2. Das Rule Age Feature, nachdem die Regeln ein gewisses Alter in der Datenbank haben, werden diese nicht mehr getestet z.B. wenn Rule age 12 dann werden Regeln die älter als 12 Monate sind ignoriert. Grund dafür ist, dass man davon ausgeht, dass Systeme auch gepatch werden und diese Angrifsflächen später nicht mehr existieren.

    3. Definiere im IPS/Advanced unbedingt deine Servertypen z.B. Trage hier einen MySQL Server ein, dann muss dieser nicht auf HTTP Anfrangen geprüft werden oder umgekehrt ein Webserver muss keine MySQL Checks erhalten.

    4. WICHTIG: Wenn du Lansegment hast, Sophos sagt hier, dass es kritische Auswirkungen auf die UTM haben kann, wenn diese von der IPS gescant werden also umbedingt abwiegen ob das notwendig ist.

    5. Regeln deaktivieren, wenn du keine Linux Server hast braucht er diese auch nicht zu prüfen, wichtig ist, dass jedes Paket alle Regel durchläuft deshalb muss man hier alles exakt konfigurieren.

    6. Exceptions, siehst du, dass ein Host inkorrekt blockiert wird, leg eine Exception für diese Prüfung an.

    - Gibts Tipps hierzu?

    Optional kannst du mir noch mitteilen wie viele User, Endgeräte und Server du im Netzwerk hast dann kann ich auch mal die Auslastung deiner XG Berechnen/ einschätzen. Wichte wäre noch die Info welche Module du alle an hast. Firewall, Mail, IPS, VPN, Proxy ...? Dann wäre dennoch interessant was für einen Anschluss habt ihr? ADSL ? SDSL? Wie schnell?

  • In reply to Jason Klein:

    Hi Jason,

    danke dir für die ausführliche Antwort zum Thema IPS.

    Generell handelt es sich um ein eher kleines Netzwerk. Es sind 5 PCs und 2 Notebooks im Netzwerk vorhanden.

    Zusätzlich sind noch zwei drei Smartphones im Netzwerk vorhanden.

    Momentan wird nur Network und Wireless Protection verwendet. Die Mail Protection wird demnächst noch hinzu kommen.

    Wie bereits erwähnt ist das Problem nur beim Browsen im Internet.

    InternetAnschlusus müsste ich zunächst noch einmal nachsen, zwecks der Geschwindigkeit.

    ###

    Die IPS Einstellungen habe ich angepasst und nicht die Standard Richtlinien verwendet.

    Ich habe in der Sophos XG alle Server als Hosts und in eine Gruppe gepackt.

    In den Firewall Einstellungen habe ich zwei Outgoing Regeln erstellt. Eine Matched auf die Server und eine auf den Rest.

    Dementpsrechend habe  ich wie von dir beschrieben die IPS Richtlinien an die vorhanden Geräte im Netzwerk angepasst.

    Das Thema mit den 12 Monaten Age werde ich mir nochmals ansehen.

    ##

    Hierzu noch ein zwei Fragen zu IPS::

    - Du schreibst unbedingt die Server Typen deklariern. Generell dann in eine Firewall Policy eine Richtlinie für alle Server packen, richtig?

      Oder mehrere Firewall Policys erstellen, welche mit verschiedenen IPS Richtlinien gematched werden?

    - Wie benutzt ihr IPS?

     Auf was für Regeltypen sind die IPS Einstellungen generell sinvoll ?

    Bisher setzte ich IPS nicht auf LAN to LAN Policys ein.

    Wird emfpohlen IPS auf ausgehende Policys zu konfigurieren oder sollte überwiegend auf eingehenden Verkehr IPS konfiguriert werden?

    Wie sieht hierfür dein Best Practice aus?

    Danke im Voraus.

    Grüße Phil

  • In reply to Phil-:

    Hallo Phil,

    - Du schreibst unbedingt die Server Typen deklariern. Generell dann in eine Firewall Policy eine Richtlinie für alle Server packen, richtig?

    Ich glaube hier gibt es einen Unterschied zwischen XG und SG UTMs, bei den SG UTMs kann man seine Objekte z.B. zuordnen zu MySQL Server oder HTTP Webserver, somit

    weiß die IPS für was diese Server genutzt werden.

      Oder mehrere Firewall Policys erstellen, welche mit verschiedenen IPS Richtlinien gematched werden?

    - Wie benutzt ihr IPS?

     Auf was für Regeltypen sind die IPS Einstellungen generell sinvoll ?

    Die Dienste die dein Netzwerk nutzt, wenn Ihr z.B. keinen eigenen MySQL Server habt, brauchst du die Regeln für MySQL nicht aktivieren.

    Bisher setzte ich IPS nicht auf LAN to LAN Policys ein.

    Wird emfpohlen IPS auf ausgehende Policys zu konfigurieren oder sollte überwiegend auf eingehenden Verkehr IPS konfiguriert werden?

    Wie sieht hierfür dein Best Practice aus?

    Ich finde das kommt immer auf die Sicherheitsanforderungen an, eingehend ist meines Erachtens nach sinnvoller. Wenn du eine große Enterprise Sicherheitskonzepte aufbaust

    vielleicht auch von innen nach außen, aber bei 5 Computern denke ich mal, dass es eingehend ausreicht.

  • In reply to Jason Klein:

    Hi Jason,

     

    danke dir für die Antwort.

    Hier hast du Recht. Bei der Sophos XG Firewall werden IPS Richtlinien an Firewall Regeln gebunden.

    Bedeutet ich müsste für verschiedenste Clients oder Hosts mehrere Firewall Regeln anlegen und die IPS Richtlinien darauf binden.

     

    ###

     

    Hier hast du natürlich Recht, dass es sich bei 5 Clients weniger auswirkt als bei größeren Umgebungen.

    Für mich zum Verständnis:

     

    Wenn ich eine LAN to WAN Regel mit IPS anlege, dann wird im gleichen Zug auf der Incoming Traffic zwecks der Regel geprüft, richtig?

     

    Wenn ich natürlich nur auf eingehenden Traffic die IPS anwenden will, dann muss ich eine extra Regel für den Incoming Traffic zu den Clients erstellen, welche vor der LAN to WAN Regel gestellt wird, richtig?

    ###

    Grüße Phil

  • In reply to Phil-:

    Hi,

    da das bei den XG Firewalls an die Regeln gebunden wird, würde das theoretisch so richtig sein, ja. Da ich keine XG Firewalls im Einsatz habe kann ich dir dies nicht zu 100% sagen.

  • In reply to Jason Klein:

    Bei allgemeinen Problemen mit dem Internet gebe ich gerne diese Anleitung weiter https://www.dslregional.de/faq/kein-internet/ - In dem Fall würde ich auf jeden Fall überprüfen, ob bei den Clients die AV-Software aktuell ist. Wenn es nur beim Browsen ist, dann wäre der nächste Schritt die Browsererweiterungen zu checken. Da könnte es Konflikte geben.

    Die zusätzlichen "Rules", die du nicht unbedingt brauchst, würde ich auch deaktivieren.