Sophos Ltd - mangelende Softwarequalität - 100% CPU - super

Hallo,

wie bereits woanders geschrieben kann ich die extrem schlechten Erfahrungen nur bestätigen. Vor allem jene, die die Hardware erst innert des letzten Jahres gekauft haben, dürften dieselbe Erfahrung wie wir gemacht haben. Die 320 sprengt bei minimal besserer Hardware jeden finanziellen Rahmen - vor allem, da die jährlichen Lizenzen für eine Nutzerzahl ausgelegt sind, für welche die Hardware mit den neuen "Featuritis-Versionen" wieder viel zu schwach ist.

Die 220 wurde ab Version 8.x einfach total überlastet. Schon komplett ohne Auslastung durch Nutzer (also über Nacht) geht bei bestimmten Updates die Auslastung dieser putzigen Celeron-CPU hoch. 
Dann diese Festplatte aus der Consumer-Serie; sowas würde ich nicht mal in einem SoHo PC verbauen. Die bringt weder die nötigen IOs noch die geforderte MTBF.
Dann der Premium/Escalation Support. De facto nie JIT erreichbar. Manchmal nach drei Arbeitstagen bei dringenden Problemen. Was ist denn hier passiert, seit der Übernahme durch Sophos?
Ich erinnere mich noch daran, dass die UTM die Sophos AV-Updates per IPS blockte - so gut sind die Produkte aufeinander abgestimmt?
Dann die versprochenen Endpoint-Verwaltungsupdates. Nix ist passiert. Updates sind unter Windows 8.1 immer noch um bis zu eine Stunde nach Hochfahren verzögert.

Zum Technischen:
Die SWAP-Auslastung liegt bei uns permanent bei mindestens 40% - was OK wäre. Bei Up2Date Paketen schießt die Auslastung von RAM auf 80-90% hoch und die Kiste beginnt massiv zu swappen, bis über 90%. Die HDD Auslastung ist dann bei über 100% und das ganze System inklusive aller Daemons reagiert nicht mehr.

Zudem haben wir noch den Verdacht, dass der WebAdmin ein Memory Leak hat - länger als 15 Minuten sollte man die Seite jedenfalls nicht geöffnet haben - auch ohne Graphen.

Als wir mit der 8.xx gestartet sind, konnten wir alles aktiv lassen, das komplette IPS, beide Scanner-Engines, alles lief entsprechend durch den Proxy verzögert, aber nie wirklich lahm. Seitdem haben wir nur mehr Regeln und RegEx gelöscht, IPS Regeln deaktiviert, die eine noch laufende Scanner-Engine von Avira massiv eingeschränkt.

Dass das Teil als reine Firewall mit möglicherweise dem IPS die Leistung bringen würde ist uns schon klar - dafür nehme ich mir dann aber ein Produkt, bei welchem ich die IPS Regeln halbwegs vernünftig einstellen kann.

Von Anfang an wurde massiv mit dem proprietären, ach so gut funktionierenden HTTP(S)-Proxy geworben. Ein Witz. Dagegen ist selbst eine Amateur-Installation von Squid noch leichter zu zähmen.

Und die Reaktion der Herren in der wahrscheinlich nicht mehr existierenden Verwaltung in Karlsruhe? Null, nada, zero, niente. Mehrfache schriftliche und telefonische Anfragen wurden ignoriert. Ja gibt's die Firma überhaupt noch?

Danke für den Tipp, bez dem zu lang laufenden Webadmin. Habe hier den timeout mal verkürzt.

Der Gag bei uns war, daß der Re$eller uns zwei 220er durch zwei 220 er neueren Datums ersetzt hat - war vor meiner Zeit. Ursache der alten 220er war, daß die alten zu lahm waren. Man hätte dann wohl auch nur die Gehäuse tauschen können. Kompetenz wohin man schaut.

Ich denke wirklich schlimm wurde es mit der 9.2. Vorher war mir das nicht derart bekannt. Vielleicht erhört uns die Sophos Ltd und setzt da mal einen Pratikaten darauf an.

Wahrscheinlich geht es der Sophos Ltd wie halt so üblich um reine Gewinnmaximierung. Ergo ist einfach, daß die 220 er mit paar Features aktiv eher so für 10 User ausreicht. Das  mußt man halt wissen und 2 Klassen größer kaufen.

Dir soll es auch nicht besser gehen [:D]

wir hatten unsere ASG 220 aufgerüstet mit 4 GB RAM hatten auch große Performance Probleme - vor allem lag es damals an der IPS.

Am besten man schaltet bei der UTM 220 so ziemlich alle Sicherheitsfeatures ab oder stellt einfach eine Fritzbox hin.

Siehe Grafik im Anhang. CPU Usage Graph stimmt aber nicht, da die CPU öfters mal auf 100% läuft. Da wird wohl großzügig abgerundet. 

http://www.sophos.com/de-de/medialib...tingreport.pdf
Eine Celeron CPU ist da wohl nicht mehr drin.

Ach übrigens: da die Systemlast derart hoch ist und alle Daemons zurückgestellt werden, stimmen auch alle Statistiken, vor allem die Graphen nicht. Sogar in den Log-Dateien fehlen dann viele der nötigen Einträge, um das Problem zu diagnostizieren. Das macht die Sache wirklich nicht einfacher, weil man dies erstmal den Mitarbeitern des Sophos Support erklären muss!

Ich hoffe nicht, dass du sein (Ex) Reseller bist [:P]  durch so eine Aussage erhälst du ein dementsprechendes Ergebnis! Einfach so schätzen ist nicht professionell!

Nice greetings

Ich bin nicht sein EX.
Kann aber nachvollziehen wie sein Reseller sich auf die SizigGuide verlassen hat, und ihm die 220 verkauft hat.
Wahrscheinlich hats damals auch gepasst, aber danach kam Übernahme durch Sophos , und ein weiterer HardwareRefresh innerhalb eines (!) Jahres.
Dieses brachte nur neue Blende und marginale Verbesserungen.
Danach kam die Featureritis von Sophos, und die Astaro Hardware ist/war nicht mehr zu gebrauchen.
Aus diesen Problem hat Sophos gelernt und endlich mal bei der Hardware nicht gespart. Mit neuer SG Hardware läuft das 1a.

Blöd ist das nur für Kunden, welche kurz vor Einführung der SG, noch eine "alte" neugekauft , oder verlängert haben.

Mit dem öffnen der Kiste wird es wohl im Support-Fall problematisch. Muß mich da mal genau mit den Garantiebestimmungen befassen. Dann noch die Celeron CPU gegen was aus dem 21 Jahrhundert tauschen, dann kommen wir so langsam an, wo es sein sollte.

@SmallAdmin
Im anderen Beitrag wird empfohlen, die langsamen UTM-220 im Cluster-Betrieb laufen zu lassen. Hattet ihr eine HA Lösung und das mal probiert ? Ggf probiere ich das mal aus. Das Handbuch ist da nicht so ergiebig. Die Frage ist, ob im Cluster-Modus dann auch die HA Funktionalität da ist. Als stirbt eine UTM 220 wieder weg, ich die rebooten kann und die andere übernimmt.

Ich darf ja mit meiner Lizenz nicht mal direkt Sophos ansprechen, sondern muß über den Distributor/Dienstleister gehen. Und der macht für unter 100€ die Stunde auch keinen Finger gerade ...  

Was gab es nochmals für andere Firewall-Hersteller [:P]

Mit dem öffnen der Kiste wird es wohl im Support-Fall problematisch. Muß mich da mal genau mit den Garantiebestimmungen befassen. Dann noch die Celeron CPU gegen was aus dem 21 Jahrhundert tauschen, dann kommen wir so langsam an, wo es sein sollte.

@SmallAdmin
Im anderen Beitrag wird empfohlen, die langsamen UTM-220 im Cluster-Betrieb laufen zu lassen. Hattet ihr eine HA Lösung und das mal probiert ? Ggf probiere ich das mal aus. Das Handbuch ist da nicht so ergiebig. Die Frage ist, ob im Cluster-Modus dann auch die HA Funktionalität da ist. Als stirbt eine UTM 220 wieder weg, ich die rebooten kann und die andere übernimmt.

Ich darf ja mit meiner Lizenz nicht mal direkt Sophos ansprechen, sondern muß über den Distributor/Dienstleister gehen. Und der macht für unter 100€ die Stunde auch keinen Finger gerade ...  

Was gab es nochmals für andere Firewall-Hersteller [:P]

Du bist aber schon angefressen.
Falls du schon 2 weisse Sophos 220 hast, die sollten bei deiner Userzahl laufen.
Ram könnte ein Problem werden, aber ansonsten habe ich ca. 5 solche Konstellationen am laufen.

Eventuell setzt du die FW neu auf, und machst alle Regeln neu (also kein Backup einspielen)

Dem kann ich nur zustimmen,
hier hat sich verständlicherweise viel Frust angesammelt.
Trotz einiger Problem mit der Software, kann man an der Konfiguration auch noch einiges optimieren!

Also wenn man jetzt nicht problem- sondern lösungsorientiert an diese Störungen ran geht, dann bin ich mir sicher, dass nicht nur das Sizing etwas vermasselt wurde, sondern auch die Konfiguration bescheiden ist.
Wir haben diverse Kunden, wo sich aus Kostengründen für kleine UTMs entschieden wurde und irgendwann hat man mal den Punkt, dass das Unternehmen so groß für die UTM ist, oder die UTM zu klein fürs Unternehmen, denn auch der Bedarf und die Anforderungen steigen.
Wenn dies allerdings schon ein Jahr her ist, dann ist das ärgerlich, aber da wurdest du nicht gut beraten, denn eine UTM sollte (wenn nicht zusätzliche Funktionen ungeplant hinzugefügt werden), für mindestens 3 Jahre reichen (Zeitraum der Lizenz, wenn möglich länger).
Es kostet auch entsprechend Geld, keine Frage, aber wenn man sieht, was es monatliche Kosten erzeugt, mit den umfangreichen Funktionen, dann werden die Kosten relativ.

Zu dem Thema mit den Graphen, dort wird nicht jeder 100% für 1 Sekunde eingetragen, sondern es handelt sich hier um Durchschnittswerte. Daher unterscheiden sich die Graphen zwischen täglich, monatlich und jährlich auch so stark.
An sich, sieht deine Auslastung verhältnismäßig gut aus.


Geh mal auf die Console und führe folgende Befehle aus und poste mal die Ausgaben.

cd /var/log/

grep oom- kernel.log | wc

und

ps aux | grep Z

und

ps ax -o pcpu,cmd|sort -n -r|head



ps ax -o rss,cmd |sort -n -r|head

und 

top

und am Ende (gegen Feierabend), kannste noch einmal manuell das Maintenance Script ausführen [;)]

/usr/local/bin/adbs-maintenance.plx

Nice greetings

Hi,

Zu dem Thema mit den Graphen, dort wird nicht jeder 100% für 1 Sekunde

 Bei 1800 Sekunden sollte das schon eingetragen werden. Wenn der httpproxy auf 100% läuft, loggt die UTM wohl auch nicht mehr ordentlich.

 loginuser@mail:/var/log > grep oom- kernel.log | wc
      0       0       0

 loginuser@mail:/var/log > ps aux | grep Z
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root      3462  0.1  0.0      0     0 ?        Z    10:48   0:00 [aua.bin] 
root      3578  6.0  0.0      0     0 ?        Z    10:50   0:00 [confd.plx] 
100       3630  0.0  0.0   3612   748 pts/1    S+   10:50   0:00 grep Z


 loginuser@mail:/var/log > ps ax -o pcpu,cmd|sort -n -r|head
12.5 [confd.plx] 
 1.9 /var/chroot-http/usr/bin/httpproxy -f -c /var/chroot-http -u httpproxy
 0.9 smtpd [scanner]
 0.6 /usr/local/bin/selfmonng.plx
 0.5 postgres: reporting reporting [local] idle
 0.5 ./ctipd.bin -l /usr/lib/ctipd
 0.3 /usr/sbin/ulogd -c /etc/ulogd.conf -d
 0.2 /usr/sbin/syslog-ng -f /etc/syslog-ng.conf
 0.2 top
 0.1 /var/mdw/mdw.plx


 loginuser@mail:/var/log > ps ax -o rss,cmd |sort -n -r|head
736372 /var/chroot-http/usr/bin/httpproxy -f -c /var/chroot-http -u httpproxy
133564 /usr/bin/cssd -d
46072 postgres: reporting reporting [local] idle
29316 /usr/lib/ctasd/ctasd -p /var/run/ctasd_inbound.pid -l /usr/lib/ctasd -c /etc/ctasd/ctasd_inbound.conf
28260 postgres: reporting reporting [local] idle
27828 postgres: checkpointer process
20924 smtpd [scanner]
18008 postgres: repmgr repmgr 198.19.250.2(53201) idle
17000 postgres: wal writer process
15132 /usr/lib/ctasd/ctasd -p /var/run/ctasd_outbound.pid -l /usr/lib/ctasd -c /etc/ctasd/ctasd_outbound.conf

Cpu(s):  3.7%us,  1.7%sy,  0.0%ni, 93.1%id,  1.0%wa,  0.0%hi,  0.5%si,  0.0%st
Mem:   2021576k total,  1995368k used,    26208k free,     6364k buffers
Swap:  2097144k total,  1092256k used,  1004888k free,   831756k cached

  PID USER      PR  NI  VIRT  RES  SHR S   %CPU %MEM    TIME+  COMMAND
 6116 httpprox  20   0 1655m 719m 4500 S      4 36.4 135:51.62 httpproxy
 3710 postgres  20   0  603m  45m 4856 S      2  2.3   0:01.10 postgres
 4192 root      20   0 12116 3548 1340 S      1  0.2  45:48.97 selfmonng.plx
 5568 root      20   0 31936 1324  240 S      1  0.1  38:56.30 ctipd.bin
 4410 root      15  -5  9360 5260  616 S      1  0.3  12:29.59 conntrackd
   10 root      20   0     0    0    0 S      0  0.0   1:13.63 rcu_sched
 6174 postgres  20   0  560m  16m  16m S      0  0.8   0:47.20 postgres
 6831 root      20   0 41064 9588 1296 S      0  0.5   1:34.57 awed
13058 root      19  -1 34972 3152  680 S      0  0.2   5:52.83 ulogd
13062 postgres  20   0  563m  27m  26m S      0  1.4   8:15.92 postgres
14071 postgres  20   0  563m 5824 4884 S      0  0.3   0:17.59 postgres
22321 loginuse  20   0  2704  988  708 S      0  0.0   6:57.97 top
    1 root      20   0  1916  392  368 S      0  0.0   0:02.73 init
    2 root      20   0     0    0    0 S      0  0.0   0:00.00 kthreadd
    3 root      20   0     0    0    0 S      0  0.0   0:02.73 ksoftirqd/0
    5 root       0 -20     0    0    0 S      0  0.0   0:00.00 kworker/0:0H
    7 root       0 -20     0    0    0 S      0  0.0   0:00.00 kworker/u:0H

Gruß
Michael

Ich kann mich den Klagen leider nur anschließen - die aktuellen 220er sind mit ihren 2Gb RAM leider unabhängig des dahinter liegenden Netzes überfordert.

Jegliche Optimierungsversuche (Logging, Berichte, Reihenfolge Firewallregeln, Abschaltung IPS) führen letztlich nur zu einer geringfügigen Verbesserung. Letztlich swappen die Maschinen viel zu oft und haben ständige Auslastungsspitzen im Bereich CPU und RAM.

Klar wird das letztendlich spätestens dann, wenn man die 220er unsupported auf 4Gb RAM aufrüstet und alle Probleme damit beseitigt sind.

Eine offizielle Freigabe incl Support von RAM-Upgrades würde das Leben schon ein wenig vereinfachen.

Grüße
Sebastian