In Netzwerken mit hohem Datenverkehr über einzelne Ports kann ein aktiviertes IDS zu Performanceproblemen führen. Um solche Lastspitzen zu vermeiden, lässt sich der zu überwachende Traffic gezielt eingrenzen. Dies geht durch den Ausschluss bestimmter Ports und/oder durch die Einschränkung auf ausgewählte IP-Bereiche.
Ab Pulsar-Version 6.4.17 steht Ihnen hierfür das Flag -windivert-filter zur Verfügung. Es ermöglicht die Definition individueller Filterregeln in der WinDivert-Syntax, mit denen sich der IDS-Datenstrom bedarfsgerecht steuern lässt.
Gezielte Port-Filterung
Um das IDS von datenintensiven Ports zu entlasten, können diese explizit ausgeschlossen werden. Dies ist insbesondere dann sinnvoll, wenn z. B. Backup-Systeme, Update-Server oder Management-Tools regelmäßig große Datenmengen übertragen.
- Dienste beenden
Stoppen Sie vor der Konfiguration den Pulsar und Supervisor-Dienst. - Filterregel einrichten
Die Konfiguration erfolgt über sc.exe in CMD oder PowerShell. Dabei wird die binpath-Konfiguration des Pulsar-Dienstes geändert, um den gewünschten Filter zu setzen.
Beispiel: Ausschluss der WSUS-Ports 5380 und 5381
exe config "Enginsight Pulsar" binpath= "C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'localPort != 5380 and localPort != 5381'"
Beispiel: Ausschluss des Subnetzes 10.0.0.0/24
sc.exe config "Enginsight Pulsar" binpath= "C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'remoteAddr <= 10.0.0.0 or remoteAddr > 10.0.0.255'"
Hinweis: Der gesamte Filterausdruck muss in einfache Anführungszeichen gesetzt werden. Andernfalls wird nur das erste Wort interpretiert, was zu fehlerhaftem Verhalten führt.
- Dienste neustarten
Starten Sie Pulsar neu nachdem Sie die Konfiguration entsprechend angepasst haben.
Weitere Maßnahmen zur Entlastung Ihres IDS
Zusätzlich zur gezielten Filterung von Ports und IP-Bereichen stehen Ihnen weitere Möglichkeiten zur Verfügung, um die Performance Ihres IDS zu verbessern:
- Pulsar auf Version 6.4.12 oder höher aktualisieren
Ab der Version 6.4.12 wurden umfassende Leistungsverbesserungen für das IDS implementiert. Wenn Sie noch eine ältere Version einsetzen, empfehlen wir ein Update – bereits ohne weitere Anpassungen profitieren Sie dadurch von einer stabileren und effizienteren Verarbeitung des Netzwerkverkehrs. - Shield-Whitelistregeln einsetzen
Über Shield-Whitelistregeln lassen sich gezielt Ports vom IDS ausnehmen. Diese Regeln greifen auch dann, wenn Shield auf dem betreffenden System nicht aktiviert ist, in diesem Fall wirken sie ausschließlich auf das IDS und helfen, unnötige Verarbeitungslast zu reduzieren. - Npcap installieren und -use-pcap aktivieren
Durch die Installation von Npcap und das Setzen des Flags -use-pcap nutzen Sie ein alternatives Capture-Backend. Auf manchen Systemen kann der Npcap-Treiber für eine bessere Performance im IDS sorgen. Wir empfehlen, Npcap dann einzusetzen, wenn IDS- und Shield-Whitelists noch nicht für ausreichende Performanceverbesserungen sorgen und ein WinDivert-Filterausdruck eine höhere Komplexität darstellen würde.