potthoff
Goto Top

PfSense ClamAV frisst zu viel Ressourcen

Hallo zusammen ich bin der Dennis 32 Jahre alt und neu hier im Forum, ich mache zurzeit eine Umschulung zum Fachinformatiker in Systemintegration bin im 2 Lehrjahr.

Ich habe zuhause mein Heimnetz ein wenig überarbeitet um einen gewissen grad an sicherheit ins Netzwerk zu bringen da ich eingie Geräte hier im Netz betreibe wie eine IP-Cam, NAS, Mailserver etc. Aber leider noch ein paar Performance probleme habe was meine PfSense betrifft.

Zu meinem Setup Zuhause:

Internetanschluss: Telekom Entertain M 100Mbit

Erster Router: FritzBox 7490
Angeschlossen sind dort, 2 Media Receiver, und die PfSense als ExpostHost in der FritzBox
Und die Telefonie handelt Sie noch ab.

Zweiter Router: PfSense
Zur Hardware: Sie läuft auf einem Asrock J4205 mit 4Gb DDR3 Arbeitsspeicher und 300GB Festplatten Speicher.
Installiert sind als Pakete nur der Squid als Cach mit ClamAV.

Die PfSense übernimmt noch den DHCP
Macht das Hauptnetz und 2 Vlans
Die aufgabe des DNS übernimmt ein PiHole

Bis jetzt läuft das Setup echt klasse bis auf bei ein paar dingen die mir jetzt aufgefallen sind nach ein Paar Wochen betrieb!

Bei normalen Downloads von Webseiten oder schauen von Streams keine Probleme, es sind überall auch die 100Mbit meines anschlusses zu erreichen bis auf bei ein Paar Spiele Lunchern. Starte ich als bsp. Steam und ein Spiel braucht dort ein Update bekomme ich ganze 5 von 10Mbit und die PfSense ist auf vollauslastung! Warum klappen die meisten Spiele Luncher und bei Steam gibt es dann so Performance probleme? Sind es falsche einstellungen im Squid?

Content-Key: 399714

Url: https://administrator.de/contentid/399714

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 29.01.2019 um 09:23:11 Uhr
Goto Top
Moin,

die Frage ist eher wieso du ClamAV über haupt einsetzen möchtest. Das Tool bietet so gut wie keinen Mehrwert. Die Erkennungsrate ist grottig und ohne aufbrechen von SSL Traffic lohnt das ganze noch weniger.
Zu empfehlen ist an der Stelle eher Snort.

Ohne deine Squid Konfig zu kennen lässt du uns nur mutmaßen.
In den Erweiterten Einstellung lässt sich Traffic wie Media Streams am Squid vorbei schleusen. Dann greift dort such der AV nicht.

Die Leistung wird von dem Tool tatsächlich ungemein gedrückt.

Gruß
Spirit
Mitglied: Potthoff
Potthoff 29.01.2019 um 09:42:03 Uhr
Goto Top
Das hatte ich ganze vergessen entschuldige, hier ein paar Daten zu meiner Squid Config:

Local Cache
Hard Disk Cache Size: 1000000
Hard Disk Cache System: aufs
Level 1 Directories: 16
Maximum Object Size: 6MB
Memory Cache Size: 512MB
Maximum Object Size in RAM: 1024kb
Memory Replacement Policy: Heap GDSF
Cache Dynamic Content: Yes

Antivirus
Client Forward Options: Default
Enable Manual Configuration: deaktiviert
Exclude Audio/Video Streams: aktiviert (klappt auch bei fast allen dingen bis auf in Game Luncher)

Transparent Proxy Settings
Transparent HTTP Proxy: aktiviert

SSL Man In the Middle Filtering
HTTPS/SSL Interception: deaktiviert

Ich hab den ClamAV am laufen weil ich dachte das er schon was bringt aber wenn das nicht der fall ist lohnt es ja nicht weiter dran rum zu stellen und ihn besser zu deaktivieren.

Könnten du mir das mit dem Snort ein wenig erläutern?
Mitglied: Spirit-of-Eli
Lösung Spirit-of-Eli 29.01.2019 um 09:58:17 Uhr
Goto Top
Laut der Konfig kann es ganz simple daran liegen, das Steam den Download nicht verschlüsselt. Daher wird der Traffic analysiert.

Ich habe die Plattformen selbst noch nicht verglichen aber das wäre eine Erklärung.

Ohne SSL Interception hilft dir der AV mittlerweile nicht mehr wirklich da die meisten Seiten auf Https setzen und meist verschlüsselt wird.

Ein IDS/IPS system bevorzuge ich persönlich.
Ich habe lange Suricata eingesetzt aber auf Grund dessen, das der InlineMode nicht mit Pppoe arbeiten möchte bin ich zu Snort gewechselt.
Mitglied: spec1re
spec1re 29.01.2019 aktualisiert um 10:17:31 Uhr
Goto Top
Squid + SquidGuard + ClamAV bringt schon etwas, WENN man HTTPS aufbricht und zusätzliche Virendefinitionen lädt, potente Hardware vorausgesetzt (z.B.: min. i5/i7 und 8/16GB RAM). Caching würde ich komplett aus machen, hat heutzutage fast keinen Mehrwert.

Ansonsten, kannst du auch Squid + SquidGuard mit Splice All fahren.
Splice All: 
This configuration is suitable if you want to use the SquidGuard package for web filtering.
All destinations will be spliced. SquidGuard can do its job of denying or allowing destinations according its rules, as it does with HTTP.
You do not need to install the CA certificate configured below on clients.
Content filtering (such as Antivirus) will not be available for SSL sites. 

Achja, pfBlockerNG ist auch noch eine Ressourcen schonende Option.

Gruß Spec.
Mitglied: Potthoff
Potthoff 29.01.2019 um 18:39:20 Uhr
Goto Top
Ja der Steam Download Sendet alles in http, ich denke das ich dann auch aus Performance Gründen wohl auf den ClamAV verzichten werden.

Ich hab mir Heute dann mal einiges über Snort durch gelesen von dem Thema hatte ich ja noch gar kein wissen.
Es gibt von Netgate selbst ein tolles Video wo er es mal erklärt und auch mal Konfiguriert, aber das Snort gibt nur eine Alarmmeldung wenn es was entdeckt und blockt das ganze nicht selber oder?

hier einmal der Link zu dem Video:

Link

Hi spec1re,

An sich reizt mich das ganze ja schon mit dem Virenscanner weil er halt vor allen Geräten Arbeitet aber wenn der Scan eh schon nicht so der Hit sein soll, und ich HTTPS verbindungen Privat nicht zwingend anfassen wollte und das Hardware Upgrad für Privat auch keine alternative ist, werde ich wohl auf den ClamAV verzichten müssen. Ich hätte nicht gedacht der er so Resorrcen hungrig ist.

Als pfBlocker nutze ich hier im Privat Netz ja schon einen Pihole als Werbefilter das klappt auf DNS basis auch ganz gut!