5.020 License counting.

same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..

Maybe it's an initial implementation thing...

Still all my comments above stand.

Also, Executive Report says I'm using 15IP's whilst Admin-Licensing says I'm using 13 now....

[ QUOTE ]
.... telling me I'm exceeding the license? This (sorry for the bad language) SUX!

What I did now is set a filter in thunderbird, to send these mails to /dev/null. 

I think it doesn't make any sense at all, bugging people with some functionality, that, if it was working, would useful, but at the moment is just using time, space (as in hard disk space) and capacity (as in processor time and bandwidth).

Why?

hey.. and why isn't there an angry smiley in the list??? *g* 

[/ QUOTE ]

Okay - (honestly): you are right.

Maybe we dedicate a V5.021 to you this evening.
And can continue using authentic smilies :-)

Hi there all, 

Wrong notifications
--------------------------
after investigating your and two other reports of falsely send licensing exceeded notification,
we found a small problem in the email notifier that sends out the email notifications.

If for any reason the  communication to the licensing daemon does not work correctly, 
it will send this notification.

This could happen during the installation of the up2date package on slower machines or on bigger configurations.
We are currently preparing a hotfix which solves this issue.

ASL V5 Licensing
------------------------
There are many dfferent views and opinions about the perfect licensing model for software.
This mostly depends on the role of the person, whether it is vendor or customer, a sales guy or an engineer.
We have thought long and hard about our model and we finally decided on what I described above.

We are selling our software into different markets and different sizes of companies.
On one hand we want a fair compensation for the value that our software delivers to the customer and  on the other hand we also want smaller companies to be able to afford our software. 
Combining these two options is not an easy task.

An ASL V5 license costs from $400 to $5000 depending on the size of your network.

The question is not if your network has 50 or 100 users and if it is fair to count this and that user,
but if you think that ASL is worth the price you need to pay for protecting your company network, based on our license definition?

I hope i found the right words to explain this sensitive issue, 
if not, please let me know.

best regards
Gert

Gert,

Thanks for the additional info re the licensing.  I have a question -- you have stated that a user is counted if they go through the firewall or through a VPN.  But what if you have both a VPN and regular Internet access?  For example, we have some clients who use Astaro firewalls at multiple locations and connect via VPN to their main office (a VPN tunnel from Astaro-to-Astaro).  At the same time, traffic from those workstations that is not destined for the main office (e.g. Internet browsing) goes through the firewall as normal and out on the T-1 line.  Those traffic exchanges are not through the tunnel.  Are those users counted twice at the remote office?  And what about the main office -- are the users coming across the VPN tunnels (again, Astaro-to-Astaro tunnels) counted as users, in addition to the regular users at that location?  And what about the VPN tunnels themselves -- do they need to meet a licensing requirement, or is it only the users?

It seems to me that if you have a VPN tunnel running between Astaro firewalls and the users at Network A and Network B are all properly licensed for their networks, that they shouldn't have to pay for additional licenses at the other end of the tunnel.  However, if you have someone logging in with Road Warrior access, that should count as a user.  Also, if a VPN tunnel is not the result of a connection between two Astaro boxes, then those remote users should also add to the license count.  My point is that I feel that offices running a complete Astaro solution should be protected from having to be doubly-taxed on the licensing if a VPN is running between the Astaro firewalls.

For additional clarity, let me give you a real-life example.  Location A (the main office) is licensed for 25 users and already has 20 users active on the internal network.  Location B (the remote office) is licensed for 10 users.  Both locations have Astaro firewalls and both have their own T-1 lines.  A tunnel is established between the two firewalls, giving the remote office full access to the network at the main office.  My suggestion is that the users at the remote office, as they use the resources at the main office across the VPN tunnel, should NOT generate additional licensing requirements, because both locations are already using an Astaro firewall and they're paying for their licenses respectively.  The remote office would have access across the tunnel to the main office up to the remote office's license count.

Can you shed some light on this?

-Steve

Agree with OfficeDefender.

Gert, ASL is a GREAT product, but IMHO it is rather an expensive solution.  I'm going to have to upgrade our 50IP license soon to 100 Users anyway as we have at least 6 more staff starting and we are on the verge of hitting the 50IP limit already.

That said I want to minimise the number of licenses we do end up using and a frequent license refresh interval would do this.

Expensive?? Compared to what? Our company has had an extremely easy time selling Astaro because of it's cost and value. Let's not forget the funtionality that is wrapped into Astaro that would normaly have to be added by a third party with other products. I am comparing pricing to Check Point and not to "rinky dink" appliances. We would propose a Check Point/eSafe solution to an enterprise and it was common to see a $30K bottom line not  to mention the interop issues to deal with when having to integrate products...even if they are OPSEC compliant. With Astaro we are easily going into Check Point/PIX shops and replacing them with Astaro, and pricing is a major factor in that, especially when we give another quote using other products to get the same job done with a fat price tag. As far as the licensing issue goes, from dealing with Astaro they are extremely fair and I am sure that whatever model they go with will be good for the paying business customer.

ASL pricing is good for large installations, not so good for smaller ones.  I'll do a comparison shortly, have to take my daughter to a birthday party right now [:)]

[ QUOTE ]
Agree with OfficeDefender.

Gert, ASL is a GREAT product, but IMHO it is rather an expensive solution.  

[/ QUOTE ]

Simon, I have to respectfully disagree with you that Astaro is an expensive solution -- far from it, in fact.  My posting was not meant to imply that Astaro was expensive, I was only addressing the logic behind the licensing for VPN tunnels.  Furthermore, I was only addressing VPN tunnels between Astaro firewalls.  If you've got a remote office running some other type of router/firewall and you set up a VPN tunnel, the remote users *should* add to the licensing requirement.  If the remote office is also running an Astaro solution, my suggestion is that they not be taxed again on the licensing.  But it may very well be that Astaro wasn't planning on doing this, or possibly they have a different model in mind.  Whatever it is, I'm sure it will be fair.

If you truly compare apples to apples, there is nothing on the market that even comes close to the capability and performance of Astaro for the money.

-Steve

D-Link offer the DFL-1100 a pretty full featured firewall solution for around $3200AUS

Based on a 1000 user license ASL would cost about $10,340AUS and that's not including IDS  (Which adds $4485 PER ANNUM)

Try a 100 user license with IDS $2625 + $1410 per annum = $4035

Now don't get me wrong I'm a loyal customer, but it is expensive given whats around at the moment.  Sure a Cisco PIX system will set you back a bomb, but thats just Cisco being greedy coz they can.  Theres a ton of cheap but perfectly functional stuff around these days, even home ADSL routers are pretty sophisticated now.

I'm sticking with ASL but I like to keep an eye on reducing costs and paying to license devices that appear on my network twice a month seems wrong to me.  My boss is an accountant...

[ QUOTE ]
D-Link offer the DFL-1100 a pretty full featured firewall solution for around $3200AUS

[/ QUOTE ]

Full-featured?  There's almost no comparison between that D-Link box and an Astaro firewall.  That D-Link is primarily a VPN hardware device, with some firewall and some weak, proprietary IDS features thrown in for good measure.  It has no antivirus protection, no antispam, and since the throughput specs are conspicuously missing from their data sheets you can bet that it's nowhere near Astaro's 750 Mbps.  The D-Link, as far as I know, does not have  ICSA certification at the enterprise-class level, which Astaro does.  The D-Link is a partial solution with poor-to-fair performance, Astaro is a complete solution with stellar performance.  With a hardware box like the D-Link, you're stuck with whatever performance that little ASIC-based box can put out.  With Astaro, you can load it up on a faster machine for faster performance - at no additional licensing cost.

By the way, the parent company of Office Defender is an independent firm that probably wouldn't hesitate to jump ship if a better firewall came along at a lower cost.  Part of my job, as the senior engineer, is to be familiar with and fully investigate competitive solutions, on a constant basis.  Know what?  There's nothing out there for the money that can touch Astaro.  Not by a longshot.  At least not now.  There are companies with more recognizable names that try to represent mediocre firewalls as something spectacular, but once you sift through all the fancy technical jargon they've made up, the end result is almost always a half-baked solution.  That's why we're an Astaro partner -- Astaro makes a fiewall that blows the doors off of the competition, and the competition makes firewalls that blows goats (a little humor there).

Cost is relative and depends on what you're measuring against.  There's always going to be someone out there with a cheaper firewall, and the ultimate measurement is not dollar-for-dollar, but performance and protective features measured against the dollars that would be lost in the event of a network catastrophe.  Of what value is a cheaper firewall if the dollars you've saved are lost hundreds times over when the latest virus infects your network and takes you down for several days (or worse)?  The only good solution is one that is complete.  Astaro offers it. 

-Steve

I think the major flaw right now with the License IP counting is the reboot.  Any firewall that needs to be rebooted in order to correct that type of problem is not an Enterprise level product IMHO.  Reboot time on astaro is pretty quick, but when filtering 155Mbs of INET from 3 providers, the slightest bit of downtime will make the phone ring like crazy.  I'd rather stick with the Frankensien PIX 520's we have now.

I think the major flaw right now with the License IP counting is the reboot.  Any firewall that needs to be rebooted in order to correct that type of problem is not an Enterprise level product IMHO.  Reboot time on astaro is pretty quick, but when filtering 155Mbs of INET from 3 providers, the slightest bit of downtime will make the phone ring like crazy.  I'd rather stick with the Frankensien PIX 520's we have now.

[ QUOTE ]
I think the major flaw right now with the License IP counting is the reboot. 

[/ QUOTE ]

I can't speak for Astaro directly of course, but the License IP counting is relatively new and to our knowledge is still being developed.  In fact, it isn't even fully implemented yet.  I would look for Astaro to address this issue soon.  Feel free to call our office (1-866-888-2898) and we'll keep you informed.

-Steve

Yes, ASL has very high throughput.

But:
Most countries outside of the USA and Europe don't require high throughput because there is no need.  (Our internet connections are so slow it becomes irrelevant).

My 2mbps fibre costs us over $1000 per month and that's more speed than most businesses have.  Most Australian businesses use ADSL 256/128 to connect because thats basically all there is.  (Yes yes there are other solutions but $$$$$)

Deep packet inspection aka SNORT is new in v5.  I'd be curious to know how many people have purchased an ASL IPS license.  (Again cost).

I'm just worried since Astaro seem to be targetting large organisations and neglecting smaller sites.

If I had the money I'd run out, buy a 100IP license, IDS, Virusscan, the works but alas...  I have to compromise and maximumise the protection per dollar factor...

Ok, here are my thoughts on the subject.

First, off, the IP counting in AstaroV5 is bugged. At least, it was bugged in v5.019 (I don't know for 5.021 yet). It will count licenses for IPs that do not exist on the network. I expect that to be fixes eventually but, today, it is causing quite a bit of trouble in our small installation.

Second, ASTARO IS an expensive solution for small offices. It might be very cost-effective in larger installations but for 50-100 user networks, it is not. The argument about thouroughtput simply doesn't mean anything: very, very few networks have a need for 750MB-capable firewall and we, without our two 2 megs line, do not need it. Same goes for IDS: I really love that functionality and, as a network security freak, I can see it's value but there is really no way I can convince my boss that this is worth the money because it's not. We've lived without dynamic firewalling so far and, browser issue put asside, I see no reason why we should need it or, at least, pay extra for this (it doesn't really lower the risks since the issues it mitigates, outdated or misconfigured software, must be fixed anyway by other means (managed updates, central configuration, global policies, etc).

The AV functionality should actually not be needed in most config as it is redundant. Since it's not free, I see no reason to use it. The spam filtering option is nice, but it could be replaced easily with cheaper and easier to maintain client or server-based solutions.

My conclusion is this: Astaro is really a great product. It has a tone of features and  it's relatively easy to use and manage (except the VPN and IPsec stuff that still need some work). It is, however, not competitive on small or medium network except if you absolutely need one of it's unique features, a rare case. We've bought it specially for that: because it allows a better control of a hosted server rack that can't be easily reached and managed and should have very strict usage policies.I've also deployed a temporary license here because of an emergency (I hate Novell) but we will probably pick another solution because of the cost.

and lets not forget the power user.

Whilst the head count in my house is low the box count is quite high. I have lots of boxes that do lots of things but if I activate them all over a period of time i will bust the IP count significantly. To cover this with the current licnesing i would have to buy a SME type license. No way I can do that as a home user.

Licensing per IP is a simple solution and I can fully understand why Astaro went for it but unfortunatley the excpetions to the rule (of which I am one) make it really inflexible.

A nice solution would be average IP count. WHist my max IP count which is sporadic and greater than the home license count my average would be much less.

Fullgan spoke my feelings entirely.  50-100IP's aint so cost effective.

Pentests idea of the license being based on average number of IP's is good, but it brings me back to my original question of how often will the IP count be reset?

Maybe lower end license counts could go a bit cheaper?  My main pricing objection is the IPS.  Content filtering / virus checking prices aint too bad.  Though as Fulgan states, antivirus is usually deployed throughout companies anyway already so ASL antivirus is basically icing on the cake for most people. 

Cobion surf protection is hell expensive and isnt too important IMHO anyway, I can easily live without it.

(For schools etc I can see it would be far more appropriate).

btw: Ver 5.021 IP counting appears to be working except in some portscan situations which seem related to ICMP filtering setup.  Unsure how this can be fixed.

Astaro DO NOT want valid licensed people suddenly getting locked out due to somone outside scanning and sucking up all the IP addresses...

True.

We just bought Astaro v5 for our main offices, because the 700+ computers and 3 DMZs were much cheaper to protect with an unlimited Astaro than any other serious firewalls out there 

As for our little sites, we investigated the possibility of buying 50 or 100-user licences, but we prolly won't chose this as the functionality we need are quite few and the price isn't very friendly

As others said, Astaro is a great product - but plz improve the update service, it needs a reboot to often !

[ QUOTE ]
I'm just worried since Astaro seem to be targetting large organisations and neglecting smaller sites. 

[/ QUOTE ]

That is just simply not the case.  Whether or not a business uses Astaro, or any particular brand of firewall for that matter, depends on the equities they're trying to protect, not the size of the business.  There are small businesses with 5-10 people that urgently need ASL to protect their network, and there are larger businesses that don't.  No one vendor, including Astaro, can lay claim to have a one-size-fits-all solution.  Any business, regardless of their size, that has customer-sensitive information on their systems (such as medical histories, credit card numbers, social security numbers, etc) has an urgent and genuine need for ASL and the total protection it provides.  This covers a HUGE portion of the SMB market -- doctor's offices, law firms, real estate and mortgage companies, insurance offices, etc.  The issue is not how much ASL costs (within reason, of course), but what will it cost them if they don't have it.  Spend a few hours with an attorney after your company has been sued for leaking information to hackers, and you've more than exceeded the cost of an Astaro.  True, there are other solutions on the market, but most of them don't provide what Astaro does -- everything all in one box, relatively easy to manage.  For the SMB market, most of which has limited onsite technical help, this is a very critical point.  We have no troubles selling ASL - business is booming and customers are extremely pleased with the performance, protection, and the cost.

-Steve

Hi all,
as i know right the salesman of Checkpoint said to me :" How many IPs are in your Network? Count them and you know wich license you need. No matter they communicate through your firewall or not. They are protected and thats the thing."
Astaro counts the IPs wich communicates through the device and thats more than fair.

Making the way to handle the ip-counter and the reset of it to easy makes it workless. If a PC is at your office on every Monday from 8:00 to 10:00 than it has to be counted all the time.
 Tell me what should Astaro say to the Companys wich are using an HTTP-Proxy other than ASL ? Maybe 1000 Clients go to the Internet but only 1IP is counted and paid. 
Iif a D-Link Device is so good and much cheaper why dont use it ?
Our IT-Security-Officer comes to knock me out if i do so. Maybe its possible to homeusers to use such a thing but why should they do cause ASL is free of cost for them.
So always remember whats it is wich you compare against ASL and how high is your wish to have real Security.
Many things are wishfull for a firewall many of these are realised from the astaro-staff just only cause we wish to have it. 
So please call checkpoint tell them your wishes and let us know what they say.

By the way all the time the IP-counter is not running well there is nothing happend for the false positives without sending you an eMail.

Thanks for reading this
firebear

--------------------------------
7 ASL Enterprise Licenses
1 ASL 100 User license
2 ASL 25 User licenses
2 ASL home user licenses
-------------------------------

Well, I'm just relaying how I and others feel in my situation.  *shrug*

[ QUOTE ]
Well, I'm just relaying how I and others feel in my situation.  *shrug* 

[/ QUOTE ]

Of course, and no one here is always right (and certainly not me -- I learned a long time ago that the longer I worked in the IT field, the less I know).   [;)] haven't offended you.

-Steve