Com o passar do tempo,a função IPS/SNORT do Endian Firewall, ficou velha e mal desenvolvida, porque as velocidades de conexão a internet , estao cada vez maiores, o hardware usado nas instalações estão cada vez mais potentes e baratos e esse serviço não mais entrega desempenho satisfatório.
Por exemplo, a 10 anos usava-se um Atom single ou dual core, com pouco mais de 1Ghz, e atualmente temos noticias de instalações usando Ryzen3, Athlon 3000, que são processadores , centenas de vezes mais rápidos que os antigos de 10 ou mais anos atraz .
O mesmo ocorre com as conexões. a 10 anos tínhamos, pelo menos aqui no Brasil, 10, 15, até no máximo 25Mbits.
Conseguíamos uma velocidade de navegação na internet, sempre bem próxima da nominal, via o Endian, quando fazíamos os testes com o Speed Test e outros.
A medida que as velocidades de conexão foram aumentando, começamos a perceber que as redes sob Endian, não mais atingiam as velocidades nominais das conexões empregadas.
Alguns clientes tem me reclamado disso de uns meses pra cá, e todos eles sem exceção, fizeram aumentos em seus links de 100MBits para 1Gib
Temos relatos aqui mesmo neste e no EFWSupport.com fórum, de 2013, 14, 16, 17 ate os dias atuais, constatando esse problema.
Atualmente, mesmo com os hardwares modernos, poderosos e rápidos, quando temos o IPS/SNORT habilitado, esse serviço causa um debito enorme na velocidade de conexão, a gente diz que o ” firewall está amarrando a rede ” !!
No meu caso, da minha rede, meu Endian esta rodando num Pentium E5800, com 4Gigas de RAM dual Channel e duas placas de rede Intel recentes, de 2018.
A conexão atual eh de 500Mbits, via Cable Modem, que direto no cabo chega a 480Mbits nas estações, via EFW 460Mbits com IPS desabilitado e 90Mbits com IPS habilitado.
O meu cliente que tem hj 1Gbit, o Endian dele está instalado em um hardware poderoso, um Intel I7 4790 com 16 gigas 1600Mhze placas NIC Intel de 2017, e lá não passava de 160Mbits.
Já tem alguns tópicos tratando desse assunto, e muitas são as tentativas de contornar o problema, editando o arquivo com os métodos de procura , (search methods), lá em snort.conf ( /etc/snort/snort.conf.tmpl ), sendo que eh sugerido colocar em AC.
Eu mesmo já tentei muitas variáveis e opções e o máximo que consegui foi 260mbits !
Acho que algo deveria ser feito, a nível dos desenvolvedores, quem sabe alguém daqui tem acesso a eles, e poderia informa-los desse problema com o SNORT que eh hoje a maior falha, o “ponto-fraco”, o “pomo-de-Adão” do Endian .
Por hora , até que não exista uma solução para o problema aqui na minha rede e na dos meus clientes que tem mais de 100Mbits, estão rodando com o IPS desabilitado .