5.020 License counting.

same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..

Maybe it's an initial implementation thing...

Still all my comments above stand.

Also, Executive Report says I'm using 15IP's whilst Admin-Licensing says I'm using 13 now....

Gert,

Thanks for the additional info re the licensing.  I have a question -- you have stated that a user is counted if they go through the firewall or through a VPN.  But what if you have both a VPN and regular Internet access?  For example, we have some clients who use Astaro firewalls at multiple locations and connect via VPN to their main office (a VPN tunnel from Astaro-to-Astaro).  At the same time, traffic from those workstations that is not destined for the main office (e.g. Internet browsing) goes through the firewall as normal and out on the T-1 line.  Those traffic exchanges are not through the tunnel.  Are those users counted twice at the remote office?  And what about the main office -- are the users coming across the VPN tunnels (again, Astaro-to-Astaro tunnels) counted as users, in addition to the regular users at that location?  And what about the VPN tunnels themselves -- do they need to meet a licensing requirement, or is it only the users?

It seems to me that if you have a VPN tunnel running between Astaro firewalls and the users at Network A and Network B are all properly licensed for their networks, that they shouldn't have to pay for additional licenses at the other end of the tunnel.  However, if you have someone logging in with Road Warrior access, that should count as a user.  Also, if a VPN tunnel is not the result of a connection between two Astaro boxes, then those remote users should also add to the license count.  My point is that I feel that offices running a complete Astaro solution should be protected from having to be doubly-taxed on the licensing if a VPN is running between the Astaro firewalls.

For additional clarity, let me give you a real-life example.  Location A (the main office) is licensed for 25 users and already has 20 users active on the internal network.  Location B (the remote office) is licensed for 10 users.  Both locations have Astaro firewalls and both have their own T-1 lines.  A tunnel is established between the two firewalls, giving the remote office full access to the network at the main office.  My suggestion is that the users at the remote office, as they use the resources at the main office across the VPN tunnel, should NOT generate additional licensing requirements, because both locations are already using an Astaro firewall and they're paying for their licenses respectively.  The remote office would have access across the tunnel to the main office up to the remote office's license count.

Can you shed some light on this?

-Steve

Agree with OfficeDefender.

Gert, ASL is a GREAT product, but IMHO it is rather an expensive solution.  I'm going to have to upgrade our 50IP license soon to 100 Users anyway as we have at least 6 more staff starting and we are on the verge of hitting the 50IP limit already.

That said I want to minimise the number of licenses we do end up using and a frequent license refresh interval would do this.

Expensive?? Compared to what? Our company has had an extremely easy time selling Astaro because of it's cost and value. Let's not forget the funtionality that is wrapped into Astaro that would normaly have to be added by a third party with other products. I am comparing pricing to Check Point and not to "rinky dink" appliances. We would propose a Check Point/eSafe solution to an enterprise and it was common to see a $30K bottom line not  to mention the interop issues to deal with when having to integrate products...even if they are OPSEC compliant. With Astaro we are easily going into Check Point/PIX shops and replacing them with Astaro, and pricing is a major factor in that, especially when we give another quote using other products to get the same job done with a fat price tag. As far as the licensing issue goes, from dealing with Astaro they are extremely fair and I am sure that whatever model they go with will be good for the paying business customer.

ASL pricing is good for large installations, not so good for smaller ones.  I'll do a comparison shortly, have to take my daughter to a birthday party right now [:)]

[ QUOTE ]
Agree with OfficeDefender.

Gert, ASL is a GREAT product, but IMHO it is rather an expensive solution.  

[/ QUOTE ]

Simon, I have to respectfully disagree with you that Astaro is an expensive solution -- far from it, in fact.  My posting was not meant to imply that Astaro was expensive, I was only addressing the logic behind the licensing for VPN tunnels.  Furthermore, I was only addressing VPN tunnels between Astaro firewalls.  If you've got a remote office running some other type of router/firewall and you set up a VPN tunnel, the remote users *should* add to the licensing requirement.  If the remote office is also running an Astaro solution, my suggestion is that they not be taxed again on the licensing.  But it may very well be that Astaro wasn't planning on doing this, or possibly they have a different model in mind.  Whatever it is, I'm sure it will be fair.

If you truly compare apples to apples, there is nothing on the market that even comes close to the capability and performance of Astaro for the money.

-Steve

D-Link offer the DFL-1100 a pretty full featured firewall solution for around $3200AUS

Based on a 1000 user license ASL would cost about $10,340AUS and that's not including IDS  (Which adds $4485 PER ANNUM)

Try a 100 user license with IDS $2625 + $1410 per annum = $4035

Now don't get me wrong I'm a loyal customer, but it is expensive given whats around at the moment.  Sure a Cisco PIX system will set you back a bomb, but thats just Cisco being greedy coz they can.  Theres a ton of cheap but perfectly functional stuff around these days, even home ADSL routers are pretty sophisticated now.

I'm sticking with ASL but I like to keep an eye on reducing costs and paying to license devices that appear on my network twice a month seems wrong to me.  My boss is an accountant...

[ QUOTE ]
D-Link offer the DFL-1100 a pretty full featured firewall solution for around $3200AUS

[/ QUOTE ]

Full-featured?  There's almost no comparison between that D-Link box and an Astaro firewall.  That D-Link is primarily a VPN hardware device, with some firewall and some weak, proprietary IDS features thrown in for good measure.  It has no antivirus protection, no antispam, and since the throughput specs are conspicuously missing from their data sheets you can bet that it's nowhere near Astaro's 750 Mbps.  The D-Link, as far as I know, does not have  ICSA certification at the enterprise-class level, which Astaro does.  The D-Link is a partial solution with poor-to-fair performance, Astaro is a complete solution with stellar performance.  With a hardware box like the D-Link, you're stuck with whatever performance that little ASIC-based box can put out.  With Astaro, you can load it up on a faster machine for faster performance - at no additional licensing cost.

By the way, the parent company of Office Defender is an independent firm that probably wouldn't hesitate to jump ship if a better firewall came along at a lower cost.  Part of my job, as the senior engineer, is to be familiar with and fully investigate competitive solutions, on a constant basis.  Know what?  There's nothing out there for the money that can touch Astaro.  Not by a longshot.  At least not now.  There are companies with more recognizable names that try to represent mediocre firewalls as something spectacular, but once you sift through all the fancy technical jargon they've made up, the end result is almost always a half-baked solution.  That's why we're an Astaro partner -- Astaro makes a fiewall that blows the doors off of the competition, and the competition makes firewalls that blows goats (a little humor there).

Cost is relative and depends on what you're measuring against.  There's always going to be someone out there with a cheaper firewall, and the ultimate measurement is not dollar-for-dollar, but performance and protective features measured against the dollars that would be lost in the event of a network catastrophe.  Of what value is a cheaper firewall if the dollars you've saved are lost hundreds times over when the latest virus infects your network and takes you down for several days (or worse)?  The only good solution is one that is complete.  Astaro offers it. 

-Steve

I think the major flaw right now with the License IP counting is the reboot.  Any firewall that needs to be rebooted in order to correct that type of problem is not an Enterprise level product IMHO.  Reboot time on astaro is pretty quick, but when filtering 155Mbs of INET from 3 providers, the slightest bit of downtime will make the phone ring like crazy.  I'd rather stick with the Frankensien PIX 520's we have now.

Yes, the D-LINK box doesnt have antivirus or antispam... I don't have antivirus on my ASL either coz it's too expensive !

Yes they don't compare well on features.  But the firewall side is probably as strong as ASL's and the price is a hell of a lot cheaper for what you get !  Note it probably offers more than v3 ASL did at least.  As I said before I'm not jumping ship AT ALL, but trying to prove a point that ASL aint cheap.

[ QUOTE ]
Yes they don't compare well on features.  But the firewall side is probably as strong as ASL's and the price is a hell of a lot cheaper for what you get !

[/ QUOTE ]

A couple of thoughts here.  First of all, a key factor that many people accidently overlook is throughput.  The Astaro provides up to 750 Mbps of throughput, and most of the other devices fall way, way short:

Astaro Security Linux:  750 Mbps
Fortigate:  50 Mbps
Watchguard X500:  100 Mbps
Stonegate SG-500:  100 Mbps
Cisco PIX 501:  60 Mbps
Cisco 515E:  180 Mbps
Netscreen-25:  100 Mbps
Check Point:  150 Mbps
Sonicwall TZ170:  90 Mbps
Cyberguard SG300:  28 Mbps
Cyberguard 570/575:  140 Mbps

Note that those are all "rated" throughputs -- the products at their best.  When you turn on additional services (antivirus, antispam, IDS, etc), the throughput drops.  But wouldn't you rather have 750 Mbps at the top end?  

Secondly, Astaro's firewall is a deep-packet inspection, application-level beast.  By comparison, much of what the competition has to offer (with a few exceptions) are plain-vanilla IP packet filters.  

There's always someone out there with a cheaper firewall.  Astaro, however, provides true enterprise-level, blow-the-doors-down performance, and features that should make the competition blush.  And they do this at a fraction of the cost of what most of the other enterprise-level vendors charge.

We don't sell ASL based on cost - we sell it based on value.  Most businesses have a lot to lose if their network is damaged by hackers or malicious code, and dropping in something that is "just" a firewall, albeit cheaper, is flirting with disaster.  And while it is true that someone could go out and buy a firewall device (at a lower throughput), and then add on other devices and services for antivirus, antispam, IDS, etc., the end result is an octopus of equipment and a training and maintenance nightmare.  With ASL, it's all in one easily manageable box.

-Steve

[ QUOTE ]
Yes they don't compare well on features.  But the firewall side is probably as strong as ASL's and the price is a hell of a lot cheaper for what you get !

[/ QUOTE ]

A couple of thoughts here.  First of all, a key factor that many people accidently overlook is throughput.  The Astaro provides up to 750 Mbps of throughput, and most of the other devices fall way, way short:

Astaro Security Linux:  750 Mbps
Fortigate:  50 Mbps
Watchguard X500:  100 Mbps
Stonegate SG-500:  100 Mbps
Cisco PIX 501:  60 Mbps
Cisco 515E:  180 Mbps
Netscreen-25:  100 Mbps
Check Point:  150 Mbps
Sonicwall TZ170:  90 Mbps
Cyberguard SG300:  28 Mbps
Cyberguard 570/575:  140 Mbps

Note that those are all "rated" throughputs -- the products at their best.  When you turn on additional services (antivirus, antispam, IDS, etc), the throughput drops.  But wouldn't you rather have 750 Mbps at the top end?  

Secondly, Astaro's firewall is a deep-packet inspection, application-level beast.  By comparison, much of what the competition has to offer (with a few exceptions) are plain-vanilla IP packet filters.  

There's always someone out there with a cheaper firewall.  Astaro, however, provides true enterprise-level, blow-the-doors-down performance, and features that should make the competition blush.  And they do this at a fraction of the cost of what most of the other enterprise-level vendors charge.

We don't sell ASL based on cost - we sell it based on value.  Most businesses have a lot to lose if their network is damaged by hackers or malicious code, and dropping in something that is "just" a firewall, albeit cheaper, is flirting with disaster.  And while it is true that someone could go out and buy a firewall device (at a lower throughput), and then add on other devices and services for antivirus, antispam, IDS, etc., the end result is an octopus of equipment and a training and maintenance nightmare.  With ASL, it's all in one easily manageable box.

-Steve

[ QUOTE ]
Secondly, Astaro's firewall is a deep-packet inspection, application-level beast.  By comparison, much of what the competition has to offer (with a few exceptions) are plain-vanilla IP packet filters.  

[/ QUOTE ]

Ah, I must be missing something here: where is that application-level packet inspection taking place exactly ? Îf you're talking about the IDS, then no, this is not application-level packet inspection (at least, not in the firewall/access control sense).

 If your talking about the packet filter rules, then I have apparently missed the part of the configuration where I can specify that I want only HTTP to go through port 80, only SMTP to go though port 25 and that I allow connections to 8081 as HTTP.

If this feature exists, I'd be really happy to find out how to use it and, if possible, to write my own filters: with the generalization of the use of web services, it's getting harder and harder to know what you're exactly letting go through your firewall.

 [ QUOTE ]
 If your talking about the packet filter rules, then I have apparently missed the part of the configuration where I can specify that I want only HTTP to go through port 80, only SMTP to go though port 25 and that I allow connections to 8081 as HTTP.
 

[/ QUOTE ] 

Wow.. is seems we have the same wish list !! When will Astaro implement advanced filtering rules like those mentioned above...

Yes, I love Astaro (As a consultant I strongly recomend it to many of my clients) but I still think it´s expensive for most of its users which are in the 50 - 100 IP range. My sugestion is a SMB version/pack of ASL at a fixed price for corporate users in the 50 -100 IP range.

Cheers !!

That would be nice !

[ QUOTE ]
 [ QUOTE ]
 If your talking about the packet filter rules, then I have apparently missed the part of the configuration where I can specify that I want only HTTP to go through port 80, only SMTP to go though port 25 and that I allow connections to 8081 as HTTP.
 

[/ QUOTE ] 

Wow.. is seems we have the same wish list !! When will Astaro implement advanced filtering rules like those mentioned above...
 

[/ QUOTE ]

i am not quite sure if i understand your question correctly.
In the packetfilter you can allow certain services to communicate through  the firewall.

All those services can be modified or added in the WebAdmin section Definitions > Services.
There you can change the port number of HTTP to 8081 or create a new services 'HTTP alternatice' with this port number.
All those services get listed in the PacketFilter > Rules page.

Does that solve your need?

The idea here is to say: "I want to open communication on port 8081 but only if it's HTTP". The idea is to control what goes through an open port without having to rely on proxy.

That can come in handy in several situations: First is SOAP. To control what service goes through, you need a much better control on what's inside the data that just the protocol and port number. Another exemple is to allow SMTP traffic between a front end server and the backend without using the default port and without allowing other traffic through tzhat port.

I know it's difficult but it can probably be done with snort.

That being said, my biggest wish if for the license counting to be inproved so I can finally simplyfy my rules and allow ICMP out (currently, all my monitoring is down because I have to disable ICMP at the gateway to avoid having a license issue)