5.020 License counting.

same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..

Maybe it's an initial implementation thing...

Still all my comments above stand.

Also, Executive Report says I'm using 15IP's whilst Admin-Licensing says I'm using 13 now....

I have checked this on my home firewall, 
and all three occurences show the same number.

regards
Gert

Well, it doesn't "cut me off" if I'm using too many licenses. Great. But what is it good for then? I have a ten IP license here and 2 systems using it. I had a disk-crash last night, so started from scratch this morning. Right now there is one system running. Webadmin tells me there is one IP using the box. So okay, but still I get a mail from the box telling me I'm exceeding the license? This (sorry for the bad language) SUX!

What I did now is set a filter in thunderbird, to send these mails to /dev/null. 

I think it doesn't make any sense at all, bugging people with some functionality, that, if it was working, would useful, but at the moment is just using time, space (as in hard disk space) and capacity (as in processor time and bandwidth).

Why?

hey.. and why isn't there an angry smiley in the list??? *g*

Gert, thanks for the acknowledge and clarifications.  I think you should have posted that message first before putting up the up2date but *shrug*. [:)]

I guess my main concern is the cumulative IP counting that the license counter uses and how long a period an IP will be counted before it's no longer considered "protected" under the license.

IMHO an IP should stop being counted against the license limit the moment it's switched off, removed, disconnects or whatever.  I know this would be difficult to implement but just what is the time limit going to be?

We have a number of transient IP's used and this issue concerns me.  (ie Staff / Clients visiting often with laptops, training room PC's, PDA's coming and going etc.)

[ QUOTE ]
.... telling me I'm exceeding the license? This (sorry for the bad language) SUX!

What I did now is set a filter in thunderbird, to send these mails to /dev/null. 

I think it doesn't make any sense at all, bugging people with some functionality, that, if it was working, would useful, but at the moment is just using time, space (as in hard disk space) and capacity (as in processor time and bandwidth).

Why?

hey.. and why isn't there an angry smiley in the list??? *g* 

[/ QUOTE ]

Okay - (honestly): you are right.

Maybe we dedicate a V5.021 to you this evening.
And can continue using authentic smilies :-)

Hi there all, 

Wrong notifications
--------------------------
after investigating your and two other reports of falsely send licensing exceeded notification,
we found a small problem in the email notifier that sends out the email notifications.

If for any reason the  communication to the licensing daemon does not work correctly, 
it will send this notification.

This could happen during the installation of the up2date package on slower machines or on bigger configurations.
We are currently preparing a hotfix which solves this issue.

ASL V5 Licensing
------------------------
There are many dfferent views and opinions about the perfect licensing model for software.
This mostly depends on the role of the person, whether it is vendor or customer, a sales guy or an engineer.
We have thought long and hard about our model and we finally decided on what I described above.

We are selling our software into different markets and different sizes of companies.
On one hand we want a fair compensation for the value that our software delivers to the customer and  on the other hand we also want smaller companies to be able to afford our software. 
Combining these two options is not an easy task.

An ASL V5 license costs from $400 to $5000 depending on the size of your network.

The question is not if your network has 50 or 100 users and if it is fair to count this and that user,
but if you think that ASL is worth the price you need to pay for protecting your company network, based on our license definition?

I hope i found the right words to explain this sensitive issue, 
if not, please let me know.

best regards
Gert

Gert,

Thanks for the additional info re the licensing.  I have a question -- you have stated that a user is counted if they go through the firewall or through a VPN.  But what if you have both a VPN and regular Internet access?  For example, we have some clients who use Astaro firewalls at multiple locations and connect via VPN to their main office (a VPN tunnel from Astaro-to-Astaro).  At the same time, traffic from those workstations that is not destined for the main office (e.g. Internet browsing) goes through the firewall as normal and out on the T-1 line.  Those traffic exchanges are not through the tunnel.  Are those users counted twice at the remote office?  And what about the main office -- are the users coming across the VPN tunnels (again, Astaro-to-Astaro tunnels) counted as users, in addition to the regular users at that location?  And what about the VPN tunnels themselves -- do they need to meet a licensing requirement, or is it only the users?

It seems to me that if you have a VPN tunnel running between Astaro firewalls and the users at Network A and Network B are all properly licensed for their networks, that they shouldn't have to pay for additional licenses at the other end of the tunnel.  However, if you have someone logging in with Road Warrior access, that should count as a user.  Also, if a VPN tunnel is not the result of a connection between two Astaro boxes, then those remote users should also add to the license count.  My point is that I feel that offices running a complete Astaro solution should be protected from having to be doubly-taxed on the licensing if a VPN is running between the Astaro firewalls.

For additional clarity, let me give you a real-life example.  Location A (the main office) is licensed for 25 users and already has 20 users active on the internal network.  Location B (the remote office) is licensed for 10 users.  Both locations have Astaro firewalls and both have their own T-1 lines.  A tunnel is established between the two firewalls, giving the remote office full access to the network at the main office.  My suggestion is that the users at the remote office, as they use the resources at the main office across the VPN tunnel, should NOT generate additional licensing requirements, because both locations are already using an Astaro firewall and they're paying for their licenses respectively.  The remote office would have access across the tunnel to the main office up to the remote office's license count.

Can you shed some light on this?

-Steve

Agree with OfficeDefender.

Gert, ASL is a GREAT product, but IMHO it is rather an expensive solution.  I'm going to have to upgrade our 50IP license soon to 100 Users anyway as we have at least 6 more staff starting and we are on the verge of hitting the 50IP limit already.

That said I want to minimise the number of licenses we do end up using and a frequent license refresh interval would do this.

Expensive?? Compared to what? Our company has had an extremely easy time selling Astaro because of it's cost and value. Let's not forget the funtionality that is wrapped into Astaro that would normaly have to be added by a third party with other products. I am comparing pricing to Check Point and not to "rinky dink" appliances. We would propose a Check Point/eSafe solution to an enterprise and it was common to see a $30K bottom line not  to mention the interop issues to deal with when having to integrate products...even if they are OPSEC compliant. With Astaro we are easily going into Check Point/PIX shops and replacing them with Astaro, and pricing is a major factor in that, especially when we give another quote using other products to get the same job done with a fat price tag. As far as the licensing issue goes, from dealing with Astaro they are extremely fair and I am sure that whatever model they go with will be good for the paying business customer.

ASL pricing is good for large installations, not so good for smaller ones.  I'll do a comparison shortly, have to take my daughter to a birthday party right now [:)]

[ QUOTE ]
Agree with OfficeDefender.

Gert, ASL is a GREAT product, but IMHO it is rather an expensive solution.  

[/ QUOTE ]

Simon, I have to respectfully disagree with you that Astaro is an expensive solution -- far from it, in fact.  My posting was not meant to imply that Astaro was expensive, I was only addressing the logic behind the licensing for VPN tunnels.  Furthermore, I was only addressing VPN tunnels between Astaro firewalls.  If you've got a remote office running some other type of router/firewall and you set up a VPN tunnel, the remote users *should* add to the licensing requirement.  If the remote office is also running an Astaro solution, my suggestion is that they not be taxed again on the licensing.  But it may very well be that Astaro wasn't planning on doing this, or possibly they have a different model in mind.  Whatever it is, I'm sure it will be fair.

If you truly compare apples to apples, there is nothing on the market that even comes close to the capability and performance of Astaro for the money.

-Steve

[ QUOTE ]
Agree with OfficeDefender.

Gert, ASL is a GREAT product, but IMHO it is rather an expensive solution.  

[/ QUOTE ]

Simon, I have to respectfully disagree with you that Astaro is an expensive solution -- far from it, in fact.  My posting was not meant to imply that Astaro was expensive, I was only addressing the logic behind the licensing for VPN tunnels.  Furthermore, I was only addressing VPN tunnels between Astaro firewalls.  If you've got a remote office running some other type of router/firewall and you set up a VPN tunnel, the remote users *should* add to the licensing requirement.  If the remote office is also running an Astaro solution, my suggestion is that they not be taxed again on the licensing.  But it may very well be that Astaro wasn't planning on doing this, or possibly they have a different model in mind.  Whatever it is, I'm sure it will be fair.

If you truly compare apples to apples, there is nothing on the market that even comes close to the capability and performance of Astaro for the money.

-Steve

D-Link offer the DFL-1100 a pretty full featured firewall solution for around $3200AUS

Based on a 1000 user license ASL would cost about $10,340AUS and that's not including IDS  (Which adds $4485 PER ANNUM)

Try a 100 user license with IDS $2625 + $1410 per annum = $4035

Now don't get me wrong I'm a loyal customer, but it is expensive given whats around at the moment.  Sure a Cisco PIX system will set you back a bomb, but thats just Cisco being greedy coz they can.  Theres a ton of cheap but perfectly functional stuff around these days, even home ADSL routers are pretty sophisticated now.

I'm sticking with ASL but I like to keep an eye on reducing costs and paying to license devices that appear on my network twice a month seems wrong to me.  My boss is an accountant...

[ QUOTE ]
D-Link offer the DFL-1100 a pretty full featured firewall solution for around $3200AUS

[/ QUOTE ]

Full-featured?  There's almost no comparison between that D-Link box and an Astaro firewall.  That D-Link is primarily a VPN hardware device, with some firewall and some weak, proprietary IDS features thrown in for good measure.  It has no antivirus protection, no antispam, and since the throughput specs are conspicuously missing from their data sheets you can bet that it's nowhere near Astaro's 750 Mbps.  The D-Link, as far as I know, does not have  ICSA certification at the enterprise-class level, which Astaro does.  The D-Link is a partial solution with poor-to-fair performance, Astaro is a complete solution with stellar performance.  With a hardware box like the D-Link, you're stuck with whatever performance that little ASIC-based box can put out.  With Astaro, you can load it up on a faster machine for faster performance - at no additional licensing cost.

By the way, the parent company of Office Defender is an independent firm that probably wouldn't hesitate to jump ship if a better firewall came along at a lower cost.  Part of my job, as the senior engineer, is to be familiar with and fully investigate competitive solutions, on a constant basis.  Know what?  There's nothing out there for the money that can touch Astaro.  Not by a longshot.  At least not now.  There are companies with more recognizable names that try to represent mediocre firewalls as something spectacular, but once you sift through all the fancy technical jargon they've made up, the end result is almost always a half-baked solution.  That's why we're an Astaro partner -- Astaro makes a fiewall that blows the doors off of the competition, and the competition makes firewalls that blows goats (a little humor there).

Cost is relative and depends on what you're measuring against.  There's always going to be someone out there with a cheaper firewall, and the ultimate measurement is not dollar-for-dollar, but performance and protective features measured against the dollars that would be lost in the event of a network catastrophe.  Of what value is a cheaper firewall if the dollars you've saved are lost hundreds times over when the latest virus infects your network and takes you down for several days (or worse)?  The only good solution is one that is complete.  Astaro offers it. 

-Steve

I think the major flaw right now with the License IP counting is the reboot.  Any firewall that needs to be rebooted in order to correct that type of problem is not an Enterprise level product IMHO.  Reboot time on astaro is pretty quick, but when filtering 155Mbs of INET from 3 providers, the slightest bit of downtime will make the phone ring like crazy.  I'd rather stick with the Frankensien PIX 520's we have now.

Yes, the D-LINK box doesnt have antivirus or antispam... I don't have antivirus on my ASL either coz it's too expensive !

Yes they don't compare well on features.  But the firewall side is probably as strong as ASL's and the price is a hell of a lot cheaper for what you get !  Note it probably offers more than v3 ASL did at least.  As I said before I'm not jumping ship AT ALL, but trying to prove a point that ASL aint cheap.

[ QUOTE ]
Yes they don't compare well on features.  But the firewall side is probably as strong as ASL's and the price is a hell of a lot cheaper for what you get !

[/ QUOTE ]

A couple of thoughts here.  First of all, a key factor that many people accidently overlook is throughput.  The Astaro provides up to 750 Mbps of throughput, and most of the other devices fall way, way short:

Astaro Security Linux:  750 Mbps
Fortigate:  50 Mbps
Watchguard X500:  100 Mbps
Stonegate SG-500:  100 Mbps
Cisco PIX 501:  60 Mbps
Cisco 515E:  180 Mbps
Netscreen-25:  100 Mbps
Check Point:  150 Mbps
Sonicwall TZ170:  90 Mbps
Cyberguard SG300:  28 Mbps
Cyberguard 570/575:  140 Mbps

Note that those are all "rated" throughputs -- the products at their best.  When you turn on additional services (antivirus, antispam, IDS, etc), the throughput drops.  But wouldn't you rather have 750 Mbps at the top end?  

Secondly, Astaro's firewall is a deep-packet inspection, application-level beast.  By comparison, much of what the competition has to offer (with a few exceptions) are plain-vanilla IP packet filters.  

There's always someone out there with a cheaper firewall.  Astaro, however, provides true enterprise-level, blow-the-doors-down performance, and features that should make the competition blush.  And they do this at a fraction of the cost of what most of the other enterprise-level vendors charge.

We don't sell ASL based on cost - we sell it based on value.  Most businesses have a lot to lose if their network is damaged by hackers or malicious code, and dropping in something that is "just" a firewall, albeit cheaper, is flirting with disaster.  And while it is true that someone could go out and buy a firewall device (at a lower throughput), and then add on other devices and services for antivirus, antispam, IDS, etc., the end result is an octopus of equipment and a training and maintenance nightmare.  With ASL, it's all in one easily manageable box.

-Steve

[ QUOTE ]
I think the major flaw right now with the License IP counting is the reboot. 

[/ QUOTE ]

I can't speak for Astaro directly of course, but the License IP counting is relatively new and to our knowledge is still being developed.  In fact, it isn't even fully implemented yet.  I would look for Astaro to address this issue soon.  Feel free to call our office (1-866-888-2898) and we'll keep you informed.

-Steve

Yes, ASL has very high throughput.

But:
Most countries outside of the USA and Europe don't require high throughput because there is no need.  (Our internet connections are so slow it becomes irrelevant).

My 2mbps fibre costs us over $1000 per month and that's more speed than most businesses have.  Most Australian businesses use ADSL 256/128 to connect because thats basically all there is.  (Yes yes there are other solutions but $$$$$)

Deep packet inspection aka SNORT is new in v5.  I'd be curious to know how many people have purchased an ASL IPS license.  (Again cost).

I'm just worried since Astaro seem to be targetting large organisations and neglecting smaller sites.

If I had the money I'd run out, buy a 100IP license, IDS, Virusscan, the works but alas...  I have to compromise and maximumise the protection per dollar factor...

Ok, here are my thoughts on the subject.

First, off, the IP counting in AstaroV5 is bugged. At least, it was bugged in v5.019 (I don't know for 5.021 yet). It will count licenses for IPs that do not exist on the network. I expect that to be fixes eventually but, today, it is causing quite a bit of trouble in our small installation.

Second, ASTARO IS an expensive solution for small offices. It might be very cost-effective in larger installations but for 50-100 user networks, it is not. The argument about thouroughtput simply doesn't mean anything: very, very few networks have a need for 750MB-capable firewall and we, without our two 2 megs line, do not need it. Same goes for IDS: I really love that functionality and, as a network security freak, I can see it's value but there is really no way I can convince my boss that this is worth the money because it's not. We've lived without dynamic firewalling so far and, browser issue put asside, I see no reason why we should need it or, at least, pay extra for this (it doesn't really lower the risks since the issues it mitigates, outdated or misconfigured software, must be fixed anyway by other means (managed updates, central configuration, global policies, etc).

The AV functionality should actually not be needed in most config as it is redundant. Since it's not free, I see no reason to use it. The spam filtering option is nice, but it could be replaced easily with cheaper and easier to maintain client or server-based solutions.

My conclusion is this: Astaro is really a great product. It has a tone of features and  it's relatively easy to use and manage (except the VPN and IPsec stuff that still need some work). It is, however, not competitive on small or medium network except if you absolutely need one of it's unique features, a rare case. We've bought it specially for that: because it allows a better control of a hosted server rack that can't be easily reached and managed and should have very strict usage policies.I've also deployed a temporary license here because of an emergency (I hate Novell) but we will probably pick another solution because of the cost.

and lets not forget the power user.

Whilst the head count in my house is low the box count is quite high. I have lots of boxes that do lots of things but if I activate them all over a period of time i will bust the IP count significantly. To cover this with the current licnesing i would have to buy a SME type license. No way I can do that as a home user.

Licensing per IP is a simple solution and I can fully understand why Astaro went for it but unfortunatley the excpetions to the rule (of which I am one) make it really inflexible.

A nice solution would be average IP count. WHist my max IP count which is sporadic and greater than the home license count my average would be much less.

Fullgan spoke my feelings entirely.  50-100IP's aint so cost effective.

Pentests idea of the license being based on average number of IP's is good, but it brings me back to my original question of how often will the IP count be reset?

Maybe lower end license counts could go a bit cheaper?  My main pricing objection is the IPS.  Content filtering / virus checking prices aint too bad.  Though as Fulgan states, antivirus is usually deployed throughout companies anyway already so ASL antivirus is basically icing on the cake for most people. 

Cobion surf protection is hell expensive and isnt too important IMHO anyway, I can easily live without it.

(For schools etc I can see it would be far more appropriate).

btw: Ver 5.021 IP counting appears to be working except in some portscan situations which seem related to ICMP filtering setup.  Unsure how this can be fixed.

Astaro DO NOT want valid licensed people suddenly getting locked out due to somone outside scanning and sucking up all the IP addresses...