Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Ltd - mangelende Softwarequalität - 100% CPU - super

Kaum wurde Astaro von Sophos Ltd gekauft, schon rennt die CPU der lahmen Celeron (!) ASG-220 Firewall sehr oft auf 100% - und das bei nur ca 70 "aktiven" User und bei Version 9.2
Bitte bewerbt doch die ASG 220 als eine Firewall, die maximal 40 User versorgen kann und keine >100 Oder liebe Sophos Ltd programmiert doch mal ein bischen performanter als die mangelende Softwarequalität durch mehr Hardware ausgleichen zu müssen.
Zudem wäre es nützlich, wenn man schon eine HA hat, und wenn mal wieder die Sophos Ltd Firewall spinnt, daß wenigstens die Master FW automatisch neu startet.

Ist die Firewall so schlecht geworden. Ich glaube ich muß meine einstmal gute Meinung der Astaro (RIP) Firewall korrigieren und was gescheites fürs Business kaufen. Daheim - von mir aus - aber im Geschäft - furchtbar super lahm.


This thread was automatically locked due to age.
  • Ich habe hier mal was dazu gepostet.

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22394

    ASG Hardware, also hast du höchstens die Revision 4.
    70 User bei allen aktivierten Funktionen, das ist schon sportlich.

    Das wichtigste ist das Sizing!
    Die Anforderungen müssen geprüft werden, um dann die richtige Hardware zu empfehlen. Natürlich mit Blick nach vorne, für die nächsten x Jahre.
    Seitdem die anfänglichen Probleme bei der Version 9.0 und 9.1 behoben sind, kann ich diese Probleme nicht mehr verstehen.

    Wenn falsch beraten wurde, erzeugt das Frust, aber dann liegt das Problem beim Reseller und nicht bei Sophos. Denn Sophos gibt hier (inzwischen) wirklich alles benötigte an die Hand, damit auch Kunden die richtigen Systeme erhalten.

    Hinzu zum Sizing kommt natürlich auch die richtige Konfiguration.
    Ich kann auch eine richtige UTM/SG so konfigurieren, dass diese so langsam wird, dass das Arbeiten keinen Spaß mehr macht.
    Also korrektes Sizing + gute Konfiguration, dies vermeidet diesen Frust, den du aktuell hast.

    Nice greetings
  • Wie schon im englischen Forum geschrieben:

    Wende dich direkt an Sophos, sollte dein/euer (ehemaliger) Reseller nicht reagieren.
    Evtl. wandeln sie die vorhandene hw-lizenz in eine Software-/VM-Lizenz, welche du auf eigener Hardware (vorher natürlich HCL prüfen!) laufen lassen kannst, auch HA.
  • Wobei hier musst du wissen, wieviele IPs du in deinem Netzwerk hast, da sind leider schon viele auf die Nase gefallen.

    Bin selber nen Freund von Hardware Appliance [;)]

    Ich gehe fest davon aus, dass Sophos hier sehr korrekt reagieren wird, bzw. ein anderer Reseller mit der aktuellen Situation sicherlich mithilfe von Sophos/Distributor eine gute Lösung finden wird.

    Kurz mal zu deiner Situation, um ein "Gefühl" zu bekommen, was die Lösung dafür sein könnte:
    [LIST=1]
    • Welche exakte Hardware setzt du aktuell ein?
    • Wie viele User habt ihr?
    • Wieviel Clients/Server werden durch die UTM geschützt?
    • Welche Software-Version?
    • Welche Funktionen der Sophos werden genutzt?
    [/LIST]

    Alternativ schau dir mal den Link mit dem Sizing Guide an, den ich gepostet habe und fülle den mal aus und sag, auf welche Sophos SG du kommst.

    Spontan kann ich dir nur empfehlen die IPS Systeme zu prüfen und auf 6-12 Monate herabzusenken, die Reportings auf 1-2 Wochen zu stellen.
    Ausgehende Mails nicht zu scannen etc. dies senkt schon einmal deine Systemlast und ermöglicht dir JETZT bissl besseres Arbeiten.

    Nice greetings
  • Das sind schöne Tipps für jetzt und später - wenn man eh wechseln will. Aber insgesamt zeichnet er das tatsächliche Bild: Die Qualität und vor allem dessen Management ist teilweise sehr schlecht geworden. 

    Das Sizing Argument kann nicht stimmen, da es innerhalb der 8.3 und auch innerhalb der 9.1 z. B. von 60% RAM und 0% Swap plötzlich auf 90% RAM und 30% Swap ging, was bei den ASG/UTM-SATAs viel Spaß machte. Denn es schlicht kein gutes Produktmanagement, wenn die "alten" Versionen Updates erhalten, die 99% der Hardware, auf denen diese ausgeliefert wurden, schlicht die Ressourcen dafür nicht haben. Sicherheitsupdates erhält man, wenn überhaupt, nur mit Featureupdates, die man nicht haben will, oder nicht für die Hardware geeignet sind - wenn der Kunde schon alle zwei Jahre neues Handy kriegt, dann kann er sich auch alle zwei Jahre neue UTM Hardware kaufen [[;)]]

    Vor ein paar Wochen gab es mal eine Spruch, woran man erkennt, dass die Entwickler der UTMs den "üblichen" Weg gehen: Performance durch Ressourcen - wie bei Java- und Datenbankentwicklern.

    Gut, mit den SSGs sollte das erstmal wieder erledigt sein. Das nächste "Spielchen" werden dann wieder die Subscription ... [[;)]]
  • @michaelxy

    scheiXX auf die Sizing Guide und hol dir TotalProtect SG210 + HA
    Das rennt dann wieder flott. Und in 3 Jahren sehen wir mal weiter...
    Im Moment kannst du auch noch guten Rabatt raushandeln, bei dem Durcheinander.

    Das Problem liegt an dem Wunschgedanken alles in einer Kiste zu haben.
    Selbst wenn man kaum Funktionen benutzt , verursacht das Hintergrundrauschen auf "alten" Firewalls zu viel Last.
    Solange es alle 3 Jahre im TotalProtect wirklich neue Hardware gibt (also nicht nur neue Blende), kann ich das verkaufen, und damit gut leben.

  • scheiXX auf die Sizing Guide und hol dir TotalProtect SG210 + HA


    Ich hoffe nicht, dass du sein (Ex) Reseller bist [:P]  durch so eine Aussage erhälst du ein dementsprechendes Ergebnis! Einfach so schätzen ist nicht professionell!

    Nice greetings
  • Moin,

    ASG wegen der Historie :-) Es sind schon 2 x UTM 220er mit dem häßlich weißen Sophos Kleber. Revision - an der Kiste steht nicht, welche Revision. Auf der Web-GUI sehe ich spontan auch nichts, welche das wäre. Jedenfalls ist eine Celeron CPU aus der CPU Steinzeit verbaut und hat 2 GB Ram. Dieser liegt in der Benutzung aber im Schnitt bei ca 62%.

    - Welche exakte Hardware setzt du aktuell ein?
    UTM-220, sieht recht neu aus :-)

    - Wie viele User habt ihr?
    Sagen wir so, aktiv parallel surfen, gefühlt ca 30. User gibt es ca 90.

    - Wieviel Clients/Server werden durch die UTM geschützt?
    Eigentlich keine. DMZ gibt es keine. Es gibt für ActiveSync und OWA diese WebApplicationFirewall. Da synct aber selten jemand bzw. nutzt OWA.

    - Welche Software-Version?
    9.205-12 

    - Welche Funktionen der Sophos werden genutzt?

    [Status: Enabled]  Firewall is active with 47 rules
    [Status: Disabled]  Intrusion Prevention is inactive
    [Status: Enabled]  Web Filtering is active, 17820 requests served today
    [Status: Enabled]  Network Visibility is active, 3 Application Control rules active
    [Status: Enabled]  SMTP Proxy is active, 128 emails processed, 5 emails blocked
    [Status: Disabled]  POP3 Proxy is inactive
    [Status: Disabled]  RED is inactive
    [Status: Enabled]  Wireless Protection is active, 3 APs connected
    [Status: Disabled]  Endpoint Protection is inactive
    [Status: Enabled]  Site-to-Site VPN is active with 1 of 1 tunnels
    [Status: Enabled]  Remote Access is active with 1 online users
    [Status: Enabled]  Web Application Firewall is active, 419 requests served today
    [Status: Disabled]  Sophos UTM Manager is not configured
    [Status: Disabled]  Sophos Mobile Control is inactive
    [Status: Enabled]  HA/Cluster is active in mode HA with 2/2 nodes
    [Status: Enabled]  Antivirus is active for protocols HTTP/S, FTP, SMTP
    [Status: Enabled]  AntiSpam is active for protocols SMTP
    [Status: Enabled]  AntiSpyware is active

    Wie debuge ich diesen httpproxy um zu erfahren, warum er bei Zeiten kollabiert ?

    Vor ein paar Wochen gab es mal eine Spruch, woran man erkennt, dass die Entwickler der UTMs den "üblichen" Weg gehen: Performance durch Ressourcen - wie bei Java- und Datenbankentwicklern.
     So sieht es wohl aus. Entwickler beschäftigen die möglichst billig sind. Die produzieren dann Code der minder optimiert ist und der Ltd. posaunen schon die nächsten Features raus, bevor die alten überhaupt mal performant laufen.

    Grüße
  • Ich werde nun mal mal den http/s Traffic throtteln. Mal schauen, ob das was hilft. Wobei wir nur eine 16 MBit/s Leitung haben.
  • Ich kämpfe hier mit den gleichen Problemen. Sizing ist das eine, für mich ist die HW-Ausstattung der neuen SG-Serie aber ein klares Zeichen dafür, dass bei den "alten" UTMs/ASGs die HW zu klein dimensioniert war. 2GB Arbeitsspeicher ist einfach eine Witz. Das konnte ich damals aber nicht einschätzen. Natürlich hätte ich theoretisch eine größere kaufen können, dann würde ich aber dreimal überlegen, ob ich für den Preis eine Lösung von Sophos kaufen würde. Und genau das haben die anscheinend erkannt und statten die neue HW entsprechend aus. Ich sitze hier mit einer 1 Jahr alten UTM-HW und könnte fast jeden Tag kotzen [:@]    

    Inzwischen wird ja mit "Blitzschnelle Performance" geworben. Mich würde es ja interessieren, wie der Vergleich (http://www.sophos.com/de-de/medialibrary/Gated%20Assets/white%20papers/miercomutmperformancetestingreport.pdf) mit der "alten" HW ausgesehen hätte.

    Mir bleibt jetzt nichts anderes übrig, als zu schauen, an welchen Stellschrauben gedreht werden kann, damit die Kiste einigermaßen läuft.
    Manchmal hilft aber auch nur ein Neustart, damit man wieder 3-4 Tage ruhe hat.

    @michaelxy: Wie sieht bei dir die Swap-Auslastung aus?
  • Am besten man schaltet bei der UTM 220 so ziemlich alle Sicherheitsfeatures ab oder stellt einfach eine Fritzbox hin.

    Siehe Grafik im Anhang. CPU Usage Graph stimmt aber nicht, da die CPU öfters mal auf 100% läuft. Da wird wohl großzügig abgerundet. 

    http://www.sophos.com/de-de/medialib...tingreport.pdf
    Eine Celeron CPU ist da wohl nicht mehr drin.