5.020 License counting.

same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..

Maybe it's an initial implementation thing...

Still all my comments above stand.

Also, Executive Report says I'm using 15IP's whilst Admin-Licensing says I'm using 13 now....

[ QUOTE ]
Yes they don't compare well on features.  But the firewall side is probably as strong as ASL's and the price is a hell of a lot cheaper for what you get !

[/ QUOTE ]

A couple of thoughts here.  First of all, a key factor that many people accidently overlook is throughput.  The Astaro provides up to 750 Mbps of throughput, and most of the other devices fall way, way short:

Astaro Security Linux:  750 Mbps
Fortigate:  50 Mbps
Watchguard X500:  100 Mbps
Stonegate SG-500:  100 Mbps
Cisco PIX 501:  60 Mbps
Cisco 515E:  180 Mbps
Netscreen-25:  100 Mbps
Check Point:  150 Mbps
Sonicwall TZ170:  90 Mbps
Cyberguard SG300:  28 Mbps
Cyberguard 570/575:  140 Mbps

Note that those are all "rated" throughputs -- the products at their best.  When you turn on additional services (antivirus, antispam, IDS, etc), the throughput drops.  But wouldn't you rather have 750 Mbps at the top end?  

Secondly, Astaro's firewall is a deep-packet inspection, application-level beast.  By comparison, much of what the competition has to offer (with a few exceptions) are plain-vanilla IP packet filters.  

There's always someone out there with a cheaper firewall.  Astaro, however, provides true enterprise-level, blow-the-doors-down performance, and features that should make the competition blush.  And they do this at a fraction of the cost of what most of the other enterprise-level vendors charge.

We don't sell ASL based on cost - we sell it based on value.  Most businesses have a lot to lose if their network is damaged by hackers or malicious code, and dropping in something that is "just" a firewall, albeit cheaper, is flirting with disaster.  And while it is true that someone could go out and buy a firewall device (at a lower throughput), and then add on other devices and services for antivirus, antispam, IDS, etc., the end result is an octopus of equipment and a training and maintenance nightmare.  With ASL, it's all in one easily manageable box.

-Steve

[ QUOTE ]
I think the major flaw right now with the License IP counting is the reboot. 

[/ QUOTE ]

I can't speak for Astaro directly of course, but the License IP counting is relatively new and to our knowledge is still being developed.  In fact, it isn't even fully implemented yet.  I would look for Astaro to address this issue soon.  Feel free to call our office (1-866-888-2898) and we'll keep you informed.

-Steve

Yes, ASL has very high throughput.

But:
Most countries outside of the USA and Europe don't require high throughput because there is no need.  (Our internet connections are so slow it becomes irrelevant).

My 2mbps fibre costs us over $1000 per month and that's more speed than most businesses have.  Most Australian businesses use ADSL 256/128 to connect because thats basically all there is.  (Yes yes there are other solutions but $$$$$)

Deep packet inspection aka SNORT is new in v5.  I'd be curious to know how many people have purchased an ASL IPS license.  (Again cost).

I'm just worried since Astaro seem to be targetting large organisations and neglecting smaller sites.

If I had the money I'd run out, buy a 100IP license, IDS, Virusscan, the works but alas...  I have to compromise and maximumise the protection per dollar factor...

Ok, here are my thoughts on the subject.

First, off, the IP counting in AstaroV5 is bugged. At least, it was bugged in v5.019 (I don't know for 5.021 yet). It will count licenses for IPs that do not exist on the network. I expect that to be fixes eventually but, today, it is causing quite a bit of trouble in our small installation.

Second, ASTARO IS an expensive solution for small offices. It might be very cost-effective in larger installations but for 50-100 user networks, it is not. The argument about thouroughtput simply doesn't mean anything: very, very few networks have a need for 750MB-capable firewall and we, without our two 2 megs line, do not need it. Same goes for IDS: I really love that functionality and, as a network security freak, I can see it's value but there is really no way I can convince my boss that this is worth the money because it's not. We've lived without dynamic firewalling so far and, browser issue put asside, I see no reason why we should need it or, at least, pay extra for this (it doesn't really lower the risks since the issues it mitigates, outdated or misconfigured software, must be fixed anyway by other means (managed updates, central configuration, global policies, etc).

The AV functionality should actually not be needed in most config as it is redundant. Since it's not free, I see no reason to use it. The spam filtering option is nice, but it could be replaced easily with cheaper and easier to maintain client or server-based solutions.

My conclusion is this: Astaro is really a great product. It has a tone of features and  it's relatively easy to use and manage (except the VPN and IPsec stuff that still need some work). It is, however, not competitive on small or medium network except if you absolutely need one of it's unique features, a rare case. We've bought it specially for that: because it allows a better control of a hosted server rack that can't be easily reached and managed and should have very strict usage policies.I've also deployed a temporary license here because of an emergency (I hate Novell) but we will probably pick another solution because of the cost.

and lets not forget the power user.

Whilst the head count in my house is low the box count is quite high. I have lots of boxes that do lots of things but if I activate them all over a period of time i will bust the IP count significantly. To cover this with the current licnesing i would have to buy a SME type license. No way I can do that as a home user.

Licensing per IP is a simple solution and I can fully understand why Astaro went for it but unfortunatley the excpetions to the rule (of which I am one) make it really inflexible.

A nice solution would be average IP count. WHist my max IP count which is sporadic and greater than the home license count my average would be much less.

Fullgan spoke my feelings entirely.  50-100IP's aint so cost effective.

Pentests idea of the license being based on average number of IP's is good, but it brings me back to my original question of how often will the IP count be reset?

Maybe lower end license counts could go a bit cheaper?  My main pricing objection is the IPS.  Content filtering / virus checking prices aint too bad.  Though as Fulgan states, antivirus is usually deployed throughout companies anyway already so ASL antivirus is basically icing on the cake for most people. 

Cobion surf protection is hell expensive and isnt too important IMHO anyway, I can easily live without it.

(For schools etc I can see it would be far more appropriate).

btw: Ver 5.021 IP counting appears to be working except in some portscan situations which seem related to ICMP filtering setup.  Unsure how this can be fixed.

Astaro DO NOT want valid licensed people suddenly getting locked out due to somone outside scanning and sucking up all the IP addresses...

[ QUOTE ]
Secondly, Astaro's firewall is a deep-packet inspection, application-level beast.  By comparison, much of what the competition has to offer (with a few exceptions) are plain-vanilla IP packet filters.  

[/ QUOTE ]

Ah, I must be missing something here: where is that application-level packet inspection taking place exactly ? Îf you're talking about the IDS, then no, this is not application-level packet inspection (at least, not in the firewall/access control sense).

 If your talking about the packet filter rules, then I have apparently missed the part of the configuration where I can specify that I want only HTTP to go through port 80, only SMTP to go though port 25 and that I allow connections to 8081 as HTTP.

If this feature exists, I'd be really happy to find out how to use it and, if possible, to write my own filters: with the generalization of the use of web services, it's getting harder and harder to know what you're exactly letting go through your firewall.

True.

We just bought Astaro v5 for our main offices, because the 700+ computers and 3 DMZs were much cheaper to protect with an unlimited Astaro than any other serious firewalls out there 

As for our little sites, we investigated the possibility of buying 50 or 100-user licences, but we prolly won't chose this as the functionality we need are quite few and the price isn't very friendly

As others said, Astaro is a great product - but plz improve the update service, it needs a reboot to often !

[ QUOTE ]
I'm just worried since Astaro seem to be targetting large organisations and neglecting smaller sites. 

[/ QUOTE ]

That is just simply not the case.  Whether or not a business uses Astaro, or any particular brand of firewall for that matter, depends on the equities they're trying to protect, not the size of the business.  There are small businesses with 5-10 people that urgently need ASL to protect their network, and there are larger businesses that don't.  No one vendor, including Astaro, can lay claim to have a one-size-fits-all solution.  Any business, regardless of their size, that has customer-sensitive information on their systems (such as medical histories, credit card numbers, social security numbers, etc) has an urgent and genuine need for ASL and the total protection it provides.  This covers a HUGE portion of the SMB market -- doctor's offices, law firms, real estate and mortgage companies, insurance offices, etc.  The issue is not how much ASL costs (within reason, of course), but what will it cost them if they don't have it.  Spend a few hours with an attorney after your company has been sued for leaking information to hackers, and you've more than exceeded the cost of an Astaro.  True, there are other solutions on the market, but most of them don't provide what Astaro does -- everything all in one box, relatively easy to manage.  For the SMB market, most of which has limited onsite technical help, this is a very critical point.  We have no troubles selling ASL - business is booming and customers are extremely pleased with the performance, protection, and the cost.

-Steve

Hi all,
as i know right the salesman of Checkpoint said to me :" How many IPs are in your Network? Count them and you know wich license you need. No matter they communicate through your firewall or not. They are protected and thats the thing."
Astaro counts the IPs wich communicates through the device and thats more than fair.

Making the way to handle the ip-counter and the reset of it to easy makes it workless. If a PC is at your office on every Monday from 8:00 to 10:00 than it has to be counted all the time.
 Tell me what should Astaro say to the Companys wich are using an HTTP-Proxy other than ASL ? Maybe 1000 Clients go to the Internet but only 1IP is counted and paid. 
Iif a D-Link Device is so good and much cheaper why dont use it ?
Our IT-Security-Officer comes to knock me out if i do so. Maybe its possible to homeusers to use such a thing but why should they do cause ASL is free of cost for them.
So always remember whats it is wich you compare against ASL and how high is your wish to have real Security.
Many things are wishfull for a firewall many of these are realised from the astaro-staff just only cause we wish to have it. 
So please call checkpoint tell them your wishes and let us know what they say.

By the way all the time the IP-counter is not running well there is nothing happend for the false positives without sending you an eMail.

Thanks for reading this
firebear

--------------------------------
7 ASL Enterprise Licenses
1 ASL 100 User license
2 ASL 25 User licenses
2 ASL home user licenses
-------------------------------

Hi all,
as i know right the salesman of Checkpoint said to me :" How many IPs are in your Network? Count them and you know wich license you need. No matter they communicate through your firewall or not. They are protected and thats the thing."
Astaro counts the IPs wich communicates through the device and thats more than fair.

Making the way to handle the ip-counter and the reset of it to easy makes it workless. If a PC is at your office on every Monday from 8:00 to 10:00 than it has to be counted all the time.
 Tell me what should Astaro say to the Companys wich are using an HTTP-Proxy other than ASL ? Maybe 1000 Clients go to the Internet but only 1IP is counted and paid. 
Iif a D-Link Device is so good and much cheaper why dont use it ?
Our IT-Security-Officer comes to knock me out if i do so. Maybe its possible to homeusers to use such a thing but why should they do cause ASL is free of cost for them.
So always remember whats it is wich you compare against ASL and how high is your wish to have real Security.
Many things are wishfull for a firewall many of these are realised from the astaro-staff just only cause we wish to have it. 
So please call checkpoint tell them your wishes and let us know what they say.

By the way all the time the IP-counter is not running well there is nothing happend for the false positives without sending you an eMail.

Thanks for reading this
firebear

--------------------------------
7 ASL Enterprise Licenses
1 ASL 100 User license
2 ASL 25 User licenses
2 ASL home user licenses
-------------------------------

Well, I'm just relaying how I and others feel in my situation.  *shrug*

[ QUOTE ]
Well, I'm just relaying how I and others feel in my situation.  *shrug* 

[/ QUOTE ]

Of course, and no one here is always right (and certainly not me -- I learned a long time ago that the longer I worked in the IT field, the less I know).   [;)] haven't offended you.

-Steve

Not at all [;)]

It is commendable that such an emmotive topic can have such an ammiable discusion.

I agree that Astaro IP counting policy is far more reasonable than checkpoints. I work with Checkpoint every day and can catagorically say that Astaro is more user friendly. Anyone that works with checkpoint knows that there is a black art to making it work correctly with as much security being gained/lost with setings outwith the ruleset than on.

However I believe that the Astaro license could still be levelled for a greater user base without a loss in revenue.

For instance at the moment I am at my home by myself but have approx 6 devices activated. I freely admit I am a power user and an extreme example. However if I activate auto update on all my boxes whilst I am a single person I will have used virtually all my licnese. The key here is that on average 2-3 boxes use Astaro to connect to the net most of the time whilst the others only sporadically connect for updates etc.

Also if you have multiple DMZ's every box will pass Astaro.

I believe some sort of average or a faster IP refresh time would be fairer (fairer is the wrong word.... cover more situations is more appropriate).

Saying all this I realise that Astaro is a company and HAS to make money. That is a given.

Agreed.  I'd be very happy with a 24 hour license refresh.  Or at a pinch... 1 week.

Preferably have this happen at night, better for Astaro as well since most work is done during day.

This way we know if we are using more than X licenses at a time rather than just slowly accumulating them from odd logins.  I'd be interested to see policy for an ISP where every IP will get used for dialin users; but only a certain pool are ever connected at one time.  ie, 10,000 customers, only 1 in 10 ever connected at same time...

Well, I have got some news, and it's anoying. After submiting a ticket to Astaro support about the inconsistent IP count resulting from port sweeps and network ping scan, I got the follwoing answer:

 [ QUOTE ]
 I have contacted the responsible devel guys and say say that the behaviour is correct since it is impossible to determine if it is a portscan or not in case of UDP whithout flowcontrol and unidirectional traffic all check routines are out of the race.  

[/ QUOTE ] 

So, what it actually means is that you need a license for:

1/ each IP (wethe routable or unroutable) that will connect through the firewall (fair enough).
2/ each VPN client (fair enough).
3/ each routable IP in your internal network.

Point 3 is the one that causes me problem, of course. Not only do I find it hard to justify technically (since we know that pseudo-connection state can be maintained even for stateless protocols by the NAT subsystem) but I also feel cheated on the commercial side: now, I need a license for every routable IP IN ADDITION to my normal NATed clients, regardless of the fact that they aren't used in any way and that the "connection" that triggered that IP to be counted is, not only coming from a 3rd party, but by a hostile one as well. 

I've submited the same comments to the Astaro support team but I doubt I will get an answer from that chanel (they are, after all, not the one that decide what is a bug, what is a feature, how licenses should be counted and how the product should be marketed).

I am NOT paying for IP's that don't exist.

That would add up to a possible 765 licensed IP's for me !
(DMZ+Wireless+Internal LAN)

[ QUOTE ]
I am NOT paying for IP's that don't exist.

That would add up to a possible 765 licensed IP's for me !
(DMZ+Wireless+Internal LAN) 

[/ QUOTE ]

You definitely don't have to pay for IPs that don't exist:
In maximum you "pay" for the packet forwarding windows in IP address space which you open between internal IPs at one side  and  vpn tunnels/respective the default gateway at the other side (Effectively counted are only those IPs which are seen by the ASL, however).

 ==> Licensed Users Management is Packet Filter Management.   

[ QUOTE ]

In maximum you "pay" for the packet forwarding windows in IP address space which you open between internal IPs at one side and vpn tunnels/respective the default gateway at the other side (Effectively counted are only those IPs which are seen by the ASL, however).

[/ QUOTE ]

This is a fancy way of saying that Astaro counts every SYN packets that it lets through as requiring a license, which means that you have to pay for any IP that could potentially be reached from outside, regardless of the fact that this IP doesn't exists (I'm not even talking about UDP/ICMP here).

In effect, the only way you have to avoid non-existing IP to be counted by astaro is to make sure they do not apear anywhere in your filter: you have to setup an explicit rule for every hosts that can be reached from outside (we're only talking about incoming conections, here, not outgoing ones).

This is disturbing news: on a network with 5 IPs that needs to communicate through Astaro, this has forced me to create 21 rules when 8 would have been enough if the licensing subsystem was just slightly smarter (that is: if it counted SYN-ACK or RST-ACK packets FROM my internal net instead of relying on SYN TO my internal network)

Where is my thinking wrong? If it is impossible to make sure that 100% of internet based scans etc etc do not trigger a licnese count surely this is a DOS waiting to happen.?

All we do is figure out what kind of traffic trigger a license count. Sculpt these packets using the tool of your choice. Spoof the source address and then scan a few hundred thousand machines.

If i am correct surely this is a show stopper in itself?