snort excessive cpu

William and Barry are absolutely right.

a) 1Gig Mem is out of date for todays UTMs. 2Gig is absolute Minimum for a productive enviroment, from 4Gigs upwards its fun.
b) a P4 is in view of todays CPU performance a "old snail". If we compare a really fast, high clocked 3,6GHz P4 to actual CPUs, see yourself here: P4 vs. todays CPUs - I think the chart speaks for itself [;)]

So you won't be able to get any useable IPS performance out of a P4, because it's not only missing CPU performance, it's also slow caches, slow memory and chipset around the CPU...

I also like to tweak and tune undersized machines for fun to see what the're still capable of....but I'd never would recommend that for daily or productive use...

[H]

Hi Sascha and Barry

Thanks for your replies.

Since I have reconfigured the network and tuned the snort settings, its been running ok for my 
environment, hardly any swapping, cpu 

Sophos support for PAID licenses is very good.  This is unpaid support..not sanctioned by the vendor so to include it in your evaluations isn't really fair to Sophos.  I've explained what Snort requires and shown you examples.  I've also explained that any kind of product that provides modern features AND high security is going to require modern hardware.  This is why all but the lowest end appliance starts at 4 gig and goes up from there.

What id comes down to s this:
1.  if you are truly interested in good security for a reasonable costs the best around is UTM by Sophos.  I've evaluated many many security products and Sophos wins out.  That's why I became not only a home user but a partner who sells their UTM products.

2.  If cost is your overarching considerination then endian, untangle, smoothwall are options.

3.  Nothing else for the price can hold up against Sophos.  Untangle is priced on par with Sophos UTM in the software install realm and their appliances aren't much cheaper either.  You do get reduced security abilities for your money though.  UT is a good beginner UTM.  The others...they are good if you either cannot or will not spend some money.

Aimee,

Read this thread where Snort is explained in detail and see the costs involved in getting Snort to GE speeds.  

Snort is extremely cpu intensive no matter what.

https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22475

Sophos support for PAID licenses is very good.  This is unpaid support..not sanctioned by the vendor so to include it in your evaluations isn't really fair to Sophos.  I've explained what Snort requires and shown you examples.  I've also explained that any kind of product that provides modern features AND high security is going to require modern hardware.  This is why all but the lowest end appliance starts at 4 gig and goes up from there.

What id comes down to s this:
1.  if you are truly interested in good security for a reasonable costs the best around is UTM by Sophos.  I've evaluated many many security products and Sophos wins out.  That's why I became not only a home user but a partner who sells their UTM products.

2.  If cost is your overarching considerination then endian, untangle, smoothwall are options.

3.  Nothing else for the price can hold up against Sophos.  Untangle is priced on par with Sophos UTM in the software install realm and their appliances aren't much cheaper either.  You do get reduced security abilities for your money though.  UT is a good beginner UTM.  The others...they are good if you either cannot or will not spend some money.

I am not doubting the UTM product, just snort, you have made your point.

Aimee

NO need to doubt snort.  It is currently the premier intrusion engine out right now.  There are others yes..but none that have the proven track record in the past and the ongoing ability to detect and thwart threats.  There are competitors but they are either highly highly expensive or basically in beta.  For right now unless you really want to pay some serious $$$$$$ snort is a plus in the feature list not a minus.

You could probably still use your P4, IF (only IF) you disable all IPS patterns which you don't need in your protected environment (for example if you dont have MSSQL DB Servers, you should disable those patterns)
AND it heavily depends on the WAN troughput. If you have a 16Mbit/s DSL line, the P4 should still be "okay". for a 100Mbit/s line you need a more powerful cpu like a Core i3 (since snort is single-threaded, a dual-core with higher clock is better than a slow quad-core)

You could probably still use your P4, IF (only IF) you disable all IPS patterns which you don't need in your protected environment (for example if you dont have MSSQL DB Servers, you should disable those patterns)
AND it heavily depends on the WAN troughput. If you have a 16Mbit/s DSL line, the P4 should still be "okay". for a 100Mbit/s line you need a more powerful cpu like a Core i3 (since snort is single-threaded, a dual-core with higher clock is better than a slow quad-core)

Hi

Thanks for the response, rules have been trimmed and its more stable now.

UTM and iView are being tested in a low throughput environment for functionality and support, stress testing not possible at this site
due to low broadband rates. 

This thread was started in good faith to alert the vendor and other users of a particular problem, however it seems to have escalated into a sales pitch re hardware and how good snort is.

Cest La Vie

Aimee