Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3498 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

False positives & performance issues

dcline97
We are running a UTM220 and protecting a single web server which runs customer and sales portals as well as our company website.  Everything is written ASP.NET.  Firmware version is 9.204-20.  I'm aware of the WAF issue in this release and am following the workaround (disable XSS Attacks, turn on the WAF, then re-enable XXS Attacks).

When anyone access our portals (which are highly interactive) the performance is degraded quite a bit.  I have looked at the live log and can see that a ton of warnings and errors are being generated.  The sites function properly and all the interactive features are working, but I am concerned about the performance hit and the fact that the WAF thinks these are genuine attacks.

I am currently only skipping a single rule (981176), but I would have to add 14 or 15 more rules to stop all the false positives.  Is this normal?  Would bypassing these additional rules improve the performance?  Any other suggestions for dealing with this excessive logging and the associated performance hit?  I am attaching a snippet of my live log that was filtered to my IP and I only visited 3 pages.

Thanks for any help!

Dave


This thread was automatically locked due to age.
LiveLog.zip
  • 0
    Hi,

    Disabling those rules with false positives would be preferred, as they may also be interfering with the sites' functionality.

    You should also check the CPU and RAM load on the UTM.

    Barry
  • 0
    CPU averages about 10%, RAM 55-60%.

    We have done extensive testing and even with all the warnings/errors you see in the live log, the site functionality does not seem to be affected.  

    Question, when the WAF is running does the IPS also inspect the traffic or does it ignore it?  The reason I ask is prior to running the WAF I ran some pen testing against the sites and the IPS caught a tone of legitimate hack attempts with no false positives.  I'm just concerned that by disabling so many WAF rules it may become somewhat pointless.

    Thoughts?
  • 0
    I'm pretty sure the IPS is on the WAF I have BOT attacks showing in IPS for a site I have published in the WAF.

    I also am seeing quite a few matches in the logs and like you the site seems to work without issues as far as I'm aware!

    As you have tested I assume having no protection profile speeds up the sites a fair bit?
  • 0 in reply to Ross86
    Yes, If I turn off Common Threats Filter everything moves at full speed.
  • 0
    Common Threats Filter

    Great!  In that case, you'll want to do the Up2Date to 9.205 where the KIL claims this is fixed, Dave.  Please confirm!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    We are now running 9.205-12.  I am bypassing 24 rules.  CPU ranges from 5% to 15% and RAM runs around 59%.  Performance is still lackluster, especially on highly interactive pages.  When I turn off Common Threats filter the performance is back to normal.

    Is this the new norm when running the WAF?
  • 0
    I bet it's an unsquashed bug.  Apparently, there's still an issue with the CTF and individual Exceptions.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML