Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 35 replies
  • Subscribers 0 subscribers
  • Views 8980 views
  • Users 0 members are here
Options
Suggested

V8.2 Public Beta Overview

kbr
Hello and welcome to another public Beta for Astaro Security Gateway ASG-V8. This Beta offers you the chance to test and participate in a Beta for the upcoming version 8.200. The Beta will run for the next few months until approximately the end of June. During this time, we will be gathering your feedback (and adding it to our own considerable development and testing efforts), making changes, and getting this version into a release-ready state.
For the best Beta experience, you should read this post in its entirety!

We'll start with the usual disclaimer:

This is a BETA and not final, production-ready software.
This is a work-in-progress; there will be bugs, broken areas of functionality,
and parts where things just do not work as expected or planned. While much of
this release is stable and ready, there will likely be unexpected side-effects
as it is applied in various network types and situations.

If you decide to use this someplace in production you do so at your own risk and if it causes things to go horribly wrong for you, well...consider this a friendly word of caution. By offering you the chance to test the product early you need to be  aware that you will see stability and completeness issues. We use this opportunity to discover and quash bugs that we might not have otherwise discovered during our own testing, and greatly appreciate your feedback and comments. We will use them to further shape our product and polish things for the final GA release of ASG 8.200.

Being a Beta, some of the documentation and associated collateral's, online-help, language translations, and other written support information are not yet available.


[SIZE=3]Download Information[/SIZE]
The first public Beta release is numbered 8.160, and is available for both ASG Appliances or your own hardware. To use the V8 Beta ISO image, you need to download it (Download links are published in a separate thread here in this forum), burn it to a CD and install it, then restore a backup or build anew - there are no plans to offer an Up2Date from a previous 8.x to this Beta release.   Once you’re running V8.160, there shouldn’t be a need to re-install, because we’ll release Up2Date packages  for the duration of this Beta, and we plan (barring any unforeseen technical barriers) to also offer an Up2Date from the Beta to the official 8.200 release, so you won't need to re-install at the end of this testing period. 

Regarding the license: ASG Version 8.2 requires you to use the on-demand licensing scheme. You can simply use  your existing on-demand license for the V8.200 beta. If you are still stuck on the old (pre-V8) license scheme, please upgrade your license by visiting my.astaro.com. As usual, we’re also making available a time-limited separate license where all features are enabled, but this license will completely expire in with the end of this Beta on July 1st.

Please see the the latest "Beta Update Release" posting in this forum for current download information for the Beta. Remember, this Beta process is very important to us. We are here to help and assist your testing!
If you need anything, have feedback to report (both the good and the bad please), and otherwise want to participate in the V8 Beta feedback, post away here in this Beta forum.
Thanks in advance for donating your time.
  • 0
    [SIZE=4]Feature Overview of V8.200[/SIZE]

    [SIZE=2]Major New Things[/SIZE]

    •  Network Visibility and Application Control (L7 classification)
    •  New WebSecurity Reporting
    •  User Authentication (Windows Client) for Policies and Reporting


    [SIZE=2]Minor New Things[/SIZE]

    •  UMTS modem interface
    •  KVM virtio support
    •  WiFi improvements
    •  Web Application Security improvements
    •  Integration of Log Management cloud service
    •  IPv6 support for SMTP proxy and HTTP proxy in "full transparent" mode
    •  Packetfilter optimization (IPSet)
    •  HTTP proxy multi-threading performance optimization
  • 0 in reply to kbr
    [SIZE=3]Network Visibility and Application Control (L7 classification)[/SIZE]

    Also know as "Next Generation Firewall", this new classification engine will analyze all network traffic and determine which "Application" this traffic is for. "Application" in this context can simply be a protocol (e.g. SSH, DNS, Bittorrent), but if possible will be more specific (e.g. HTTP traffic will be classified more fine-grained for well-known Web Applications like Facebook or different Google Apps.

    You can enable this at Web Security >> Network Visibility. This information will be used (so far) for:


    • Web Security >> Network Visibility >> Application Control Rules: Block/Log application usage.
    • Reporting >> Network Usage >> Accounting: Top Apps, Top Categories, Top Users.
    • Interfaces & Routing >> Quality of Service: Shape traffic per application.
    • Dashboard: Enhanced Bandwidth monitor (Show User/Hostname/Apps)


    This is a superset of the functionality offered of the old IM/P2P classifier and so it completely replaces it.

    [SIZE=3]New Web Security Reporting[/SIZE]

    The Web Security Reporting was completely overhauled to give a better user experience.


    • Reactive filtering (filters build as you click)
    • Save custom filters, subscribe to periodical mail reports based on saved filters
    • Everything clickable, sortable, no dead ends
    • Search Engine report (search terms, users)


    [SIZE=2]User Authentication (Windows Client) for Policies and Reporting[/SIZE]

    With the new Astaro Authentication Client (AAC) for Windows users can directly authenticate to the ASG.
    This has two advantages:

    • Reporting will display user names instead of raw IPs if possible
    • You can use User Network and Group Network objects in e.g. packetfilter rules and they will only match for logged in users

    (You can get similar benefits from a combination of static DHCP and DNS mappings, but with probably much more effort)

    See Users >> Client Authentication for the configuration. You can also download the client there or in User Portal.
    You can also use this authentication for the HTTP proxy, choose Transparent Client Authentication as operation mode.

    [SIZE=2]WAS (Web-Application Security) Improvements:[/SIZE]

    Form Hardening

    Form hardening will check HTML form data submitted by clients. It ensures that clients do not submit fields they weren't offered, will make basic sanity checks of the submitted values according to their HTML specification.

    Reputation-based Client blocking

    The Web Application Firewall can now check clients against certain blacklists.

    Block clients with bad reputation will currently block open proxies by using certain DNSBLs.

    Block anonymizer proxies uses a static list updated by the pattern mechanism.

    Sitemap-XML Support

    If you have a Google Sitemap you can now use it in your Web Application Firewall profile to specify valid entry pages for URL Hardening. You can either upload the file or tell the ASG to download it from a given URL. In the latter case the ASG can also check the URL periodically for updates.

    [SIZE=2]UMTS Modem Interface[/SIZE]

    Support for 3G/UMTS modems is now official (it was already present in 8.100 but not officially supported and only visible if you had a modem connected). Configure as usual over Interfaces & Routing >> Interfaces, type 3G/UMTS. Note that new modems will only be detected on boot-up, so you need to reboot your ASG if you connect a new one.

    [SIZE=2]KVM performance optimization[/SIZE]

    When run in KVM, ASG now has support for VirtIO devices (disks/NICs), which results in increased performance for IO operations.

    [SIZE=2]Wireless Improvements[/SIZE]

    Firmware:

    • New WLAN driver
    • Rebootless reconfiguration (for majority of cases)
    • Dynamic VLAN tagging


    ASG-side:

    • SSID-to-AP Group Matrix
    • Ability to group APs
    • Push configuration without disconnect
    • Perform key negotiation only when confirming AP


    [SIZE=2]Integration of Log Management Service[/SIZE]

    Astaro will offer a new cloud-based Log Management service, which is integrated with ASG 8.2. A preview version of this service is available and can be used free of charge with this beta.

    See Log Management and Thank You for your Interest in Astaro Log Management! for details.

    [SIZE=2]IPv6 Improvements[/SIZE]

    • IPv6 support for SMTP proxy
    • IPv6 support for HTTP proxy in "full transparent" mode
    • ICMPv6 service definitions


    [SIZE="2"]Packet filter optimization (IPset)[/SIZE]

    Packet filter rules that contain list of networks/IPs, either explicit (via network/DNS groups) or implicit (via lists in WebAdmin) now use IPset (IP sets) to reduce the number of generated iptables rules. This should improve memory consumption and performance.
    This affects both user-generated packet filter rules (Network Security >> Firewall) and auto-generated rules (e.g. via Allowed Networks for services or Auto packet filter rules for VPNs).

    [SIZE="2"]Fixed Issues[/SIZE]

    Of course we also fixed a few bugs in this release. Here a list of the most prominent ones:


    • [14019] [UBB][7.920] SMTP relay attempts shown as webadmin logins
    • [14073] [UBB][7.921] WAF: SSL support for multiple DNS names (subjectAlternativeName certificates)
    • [14186] [UBB][7.950] WebAdmin last failed session count doesn't match executive report
    • [14782] UTF-8 characters in realname of imported keys are not displayed correctly
    • [14820] Virus uploads don't get blocked if XSS or SQL Injection filter (mod_security) is enabled
    • [15438] [UBB][8.050] Sortable tables and Batch-Operation use same GUI element
    • [15440] [UBB][8.050] Improve input validation for advanced bridge settings
    • [15654] [UBB][8.050] Packets mislabeled as connections in reporting
    • [15972] Exceptions do not work for Cross Site Scripting, SQL-Injection or Cookie Signing
    • [16103] [UBB][8.080] missing table header at NAT and SNAT/DNAT
    • [16153] Radius secret containing backtick character (`) doesn't work
    • [16255] Exception for Certificate Trust Check does not work in transparent mode
    • [16438] Self signed certificate in chain and an exception for all requests going to this category will not work for some banking sites
  • 0 in reply to kbr
    Astaro introduced a new "On Demand licensing" model in February 2010 (for questions about the new model you can ask your Astaro sales-contact, partner, or distributor) and for Version 8.2 only this  model is supported. For the Beta, we of course will provide you with the licenses you need, they are attached to this post for Software and Astaro ASG Appliances.

    For Software installations use the text file, for Astaro Hardware installations use the matching one from the .zip.
    V8.2-Beta-Licenses.zip
  • 0 in reply to kbr
    Is the memory/disk caching for the HTTP Proxy supported by this release? Maybe it was forgotten in the feature list.
  • 0 in reply to x-cimo
    Is the memory/disk caching for the HTTP Proxy supported by this release? Maybe it was forgotten in the feature list.


    Hi x-cimo, this feature is already available since v8.100 but only accessible "under the hood" via confd client 'cc' at MAIN >> http >> $sc_local_db (listpick: disk, mem, none). After changing to 'disk' or 'mem', restart the HTTP-Proxy and give it some time to download the database.

    AFAICT it's not planned to make this feature accessible via the GUI in v8.200.
  • 0
     
    AFAICT it's not planned to make this feature accessible via the GUI in v8.200. 

     
    Then, IMO, the feature should be removed until Astaro is ready to add it to WebAdmin. You're only increasing the difficulty of configuration and likelyhood of misconfiguration by not having this set in WebAdmin.  I would venture a guess that if you took a poll, the majority of Astaro admins and supporters (resellers) do not want half finished "secret" or "hidden" features.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Hi Scott. Certainly your point is valid. However this by very nature a test beta only ,and a very early one at that. Offical ga features are always controlled by webadmin.
  • 0
    Hiya Angelo.
     
    I've no problem with local DB control being shell only for beta, but trollvottel says that this won't be in WebAdmin for 8.200, which implies GA.  If it's added to WebAdmin at some point over the next few months of beta, then we're all good.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Personally I think this feature should be added to 8.200, as it was intented to be, also so far, I think nobody reported issue with it.
  • 0 in reply to x-cimo
    Personally I think this feature should be added to 8.200, as it was intented to be, also so far, I think nobody reported issue with it.


    I agree that it should be added via webadmin. As far as no reported issues, I don't think the feature was enabled by a large user base. 

    I tried it with 1Gb ram and opted for the disk option. I didn't see a lot of disk thrashing but the proxy would stop responding every 10-15 minutes for about 30 seconds. Almost around the time when it is polling the content servers. I don't understand why it needs to poll the cffs servers when the database resides locally but I am just seeing a very small picture of the setup as an end user and don't understand the magic that takes place on the programming side.

    I have since kicked my old hardware and have been running on ESXi with 2gb ram without any noticeable issues.

    The point of my whole post is that there is still a large user base with 1GB ram devices and for those people the local database option is not reliable and never will be reliable enough. Astaro is moving with too many new technologies too fast which is excellent on decent hardware but you pay the price with older hardware. So we are in a situation where software is pushing the limits of the available hardware for some people who will blame the software for the shortcomings of the hardware[;)]

    Regards
    Bill.
Unfiltered HTML