SSL-Interception bremst ungemein

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Wichtel
Beiträge: 2
Registriert: Di 14.08.2018, 15:59

SSL-Interception bremst ungemein

Beitrag von Wichtel »

Hallo,

wir haben frisch die RC200 bekommen und den transparenten Proxy eingerichtet. Nachdem die SSL-Interception eingeschaltet wurde brach die HTTP-Geschwindigkeit gefühlt um 2/3 ein! Wir haben 5MBit in beide Richtungen und nicht einmal 20 User dran. Bin heute mal extra früh gekommen, so das garantiert niemand sonst auf der Leitung hockt. Das Ergebnis war ernüchternd. Selbst bei Google.de bleibt der TLS-Handshake oft 10 Sekunden sichtbar.

Woran liegt das? Was kann ich tun?
Wenn ich das Feature wieder ausschalten muss, benötige ich ja fast keine UTM mehr. Der GAF (Geschäftsführer Acceptance Factor) tendiert momentan gegen null...

Danke im Voraus!

Tante Edit: Das Ganze ist Browserunabhängig. IE und FF getestet - sowie unter Win 7 und 10.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

als erstes mal vor weg. Die ssl-interception im transparenten Modus zu betreiben wird Ihnen noch sehr sehr sehr viel arbeit bescheren. Beispiel Windowsupdates, Virenscanner etc. All dies wird nicht mehr gehen. Hier müssen Sie die Ziel-IPs per exclude ausnehmen. Das wird bei Microsoft schon eine massive arbeit alles zu ermitteln.

Der HTTP-Proxy arbeitet per default nur auf einem Kern. Man kann nun den Proxy über über eine EXTC_VARIABLE auf mehr als einen Kern setzten. Dies erreichen Sie mit STRG+ALT+A und dann unter Extras => Erweiterte Einstellungen => EXTC-VARIABLEN. Hier ist es die Variable NUM_WORKERS von der Anwendung http_proxy. Wenn Sie den Wert zum Beispiel auf 2 oder 4 Setzen sollte es besser werden. 

Dabei ist aber immer Vorsicht geboten. Solche Änderungen werden offiziell nicht supportet wenn es hier zu Problemen kommt.


Gruß Björn

Wichtel
Beiträge: 2
Registriert: Di 14.08.2018, 15:59

Beitrag von Wichtel »

Danke Euch. Proxy läuft erstmal ohne SSL-Interception.

Antworten