5.020 License counting.

same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..

Maybe it's an initial implementation thing...

Still all my comments above stand.

Also, Executive Report says I'm using 15IP's whilst Admin-Licensing says I'm using 13 now....

[ QUOTE ]
Where is my thinking wrong? If it is impossible to make sure that 100% of internet based scans etc etc do not trigger a licnese count surely this is a DOS waiting to happen.?

All we do is figure out what kind of traffic trigger a license count. Sculpt these packets using the tool of your choice. Spoof the source address and then scan a few hundred thousand machines.


[/ QUOTE ]

Fortunately, you overlooked one thing: egress filtering (also called spoof protection). Astaro will not forward a packet that has it's source IP coming from a network that it knows is behind another interface. That means that is someone forges a packet with one of your internal IP as source, for instance, Astaro will reject it because the packet landed on it's external interface, the one with the default gateway.

Where you are right, however, is that the current licensing model does have a potential for DOS: A port sweep will add every IP that is reachable to the license list even if there is no machine sitting on that IP (it just need a rule to allow the packets through).

Hopefuly, it seems that the license count is not strongly enforced by astaro at this day so you have plenty of time to reset your IP count after a scan put all your IPs in the license count (this is what I did a few time before I found out exactly how IPs are counted and created host-specific rules).

[ QUOTE ]

This is a fancy way of saying that Astaro counts every SYN packets that it lets through as requiring a license, ... 
 

[/ QUOTE ]

Let me answer with two (not necessarily realistic, but instructive) examples:

1. A company builds up a traffic counting environment on motorways, or a collection of temperature measuring wheather stations which permanently send UDP data over the Internet through a firewall to a central server. This server never responds to any datagram it receives.
Astaro wants this server to be counted.

2.  A school is protected by one of our firewalls. Simplicity in mind, the admin opens a /22 internal network to the Internet, knowing that maximal 30 pupils use the workstations at the same time: What if one of them shows her creativity by programming an elegant forging loop like:
 foreach source_address_in_internal_network
 do
   connect source_address_in_internal_network to www.whatsoever.com
 done
 How should the ASL know that there is no hardware behind the IPs?

Perhaps you know the IP conntrack module is a part of the Linux Netfilter Framework. The contributors have more and longer discussed the "connection semantics" and the problem of uni- and bidrirectional traffic, than we'll ever be able to in  this forum. From a technical standpoint a forwarded SYN packet is information transmission.

If we would not use "IP Conntrack", but write our own connection tracker- always waiting for responses from the internal network? Linux would loose performance, difficulties with SMP systems etc.

And: As my examples  hopefully show, the fundamental problems would not disappear.

Please use the packet filters, and (in case of a rapid changing user community with connection right to the Internet) DHCP.

What concerns me most is that most ASL users probably don't know enough on how to setup such filters in the first place.

Astaro seem to be placing the onus on us to create packet filters to ensure we don't exceed license count.  If we don't or we stuff them up somehow then we face being DoS'ed by a scanner when the license count is exceeded.  This is very poor in my opinion.

The onus should be on Astaro to ensure that IP's are counted in a valid manner.  My packet filter works to protect our site from this type of hit, but I have already seen queries from users who don't have this set up correctly.

Why can't Astaro use an honour system like just about every vendor does these days.  ie MS CAL's ?
Yes you will get people who cheat but I'd like to think most wouldn't.

I'd even be happy with Astaro getting an email say once a week or once a month from my ASL with used license info so they can check to see if I'm cheating or not on my license count.  (yeah yeah I know a lot of you are thinking No Way but hey what do you have to fear?).

All's I know is I have roughly 50 IP's in use and that the IP counter gradually creeps up as people drop in and out of my network, but the average number is 50.

I have 32 workstations and a few servers that use another 15 or so IP's....  A few 33.6 K dialin users.  That's a 50IP license IMHO.

Fair enough, let me coment back, please.

1/ You'r smallest license count is 10, going up to 20, 50, 100, etc. One or two machines with extremely special configurations aren't likely to change the license needed by that sample company and Astaro isnb't going to miss the sale. Now, in my network, the complexity of the packet filtering rules is in direct propertion the the time I spend administering it and it's security. That means that because of it's way of counting licenses, Astaro is going to miss that sale because the only realistc way of handeling the problem is to buy far more licences that we have active IPs.

2/ Let's forget for a second that Astaro implements smart spoofing protection (I've been bitten by this one). This is NOT an issue as the trigerring packets are comming from the inside of the network: As an admin, one can (and should) control the access to the internal equipement. I won't complain about licensing if someone inside my network decides that it wants to change it's IP address every minute and the uses it to traverse the firewall (same as spoofing, only you don't need programming skill). What I'll do is get to that user, give him a good wack and then reset the IP count (possibly getting myself in trouble for not locking down the workstations properly). In any case, this is not an Astaro problem: the IP DID exist and it DID initiate a connection to the outside and counting it seems fair enough.

Do not forget that this is NOT a technical issue: it's a legal one. I am all for paying the Astaro people for their hard work, but I want to do it in a way that is also fair to me. Now, the technical implementation of the licensing system is flawed for two reasons, both being unfair to me: 1/ It is biaised toward counting non-existing IPs as requiring a license, even if I have no control over this trafic and 2/ If I want to avoid the previous issue, I must make my filtering much more complex, reducing security and increasing my own workload. What this translates to, in my language, is that the declaration stating that "The pricing of Astaro Security Linux depends on the number of users being protected and the number of optional subscriptions purchased" is wrong and misleading.

I know there is no technical way to be perfectly fair to everyone in the way you count IPs. However, the current state of things seems overly biaised toward Astaro to me.

Well, this all really sucks for me as a power user.  I was told not to ever worry about the licensing thing when i brought it up before. 

There are two people in my home.  My wife, and myself.  We however, probably aren't typical users, but with more devices using IP addresses every day, 10 users isn't gonna cut it for everyone.

I have no less than the following on my home network.  Mind you that not all of these devices are used or connecting at the same time....

1. 3 workstations (1 mac, 2 pc's)
2. 2 servers ( 1 linux, 1 w2k3) - With multiple NICS in them.
3. 3 xbox
4. 1 ps2
5. 1 gamecube
6. 3 pda/smartphones
7. 2 Tivos

Thats 15 devices if you don't count my hubs/switches and the multiple intefaces on the servers.

I really like this product a lot, but it looks like this issue won't go away, and I will have to start shopping around for something else if I am gonna be nagged by license emails, and if they start making it so things are blocked after going over the limit.

Hoby

Astaro has already said that the only IPs that will be counted for licensing purposes are those that transit the firewall gateway.  If you have an active device in your network that doesn't pass traffic through the gateway, those devices will not be counted.  

It's also important to note that Astaro is still working on the details of their licensing scheme, and it's MUCH too early to reach any conclusions.  This is just a hunch, but I'll bet that the final licensing plan will be quite reasonable.  Bear in mind, Astaro is a commercial enterprise, and they're not going to do anything to shoot themselves in the foot and run business away.  Also, they have to protect the product, satisfy their investors, and keep their Partners in business.  Hang in there...

-Steve

fair enough.

but if you have a few dmz's and windows update etc every box will transit the firewall in some way. even if its once a week for 5 mins they will still transit the firewall and therefore count.

Hi!

Sorry for dropping in so late, but i have some basic questions:

- As told early in this thread, a counted IP, is when a PC accesses the Internet using a packet filter rule. So what about the HTTP Proxy? This is a connect ON the ASL box but not THROUGH.

- My License usage graph shows 2 IPs, but when I try to list them using the  IPs listing feature, the list is empty... How can this be? And how comes, there are only 2 machines connecting to the internet? I think something is still not working that well...

Maybe someone could explain this...

Thanx, Thorsten

What counts as going "through" the firewall?

I have 5 network printers, which do not need to access the internet.

However machines in my DMZ should be able to print... Will these count against the license count?  (ie traffic from one internal card to another internal card).

Creating rules to block this sort of traffic is a PITA !

One rule to block printers from accessing ANY, then other rules to allow printing across to wireless and DMZ LANs....

[ QUOTE ]
What counts as going "through" the firewall?.

[/ QUOTE ]

Let me described the model I built after analysing my logs and license info. Please note that this is done as "blackbox" analysis and isn't based on the actual code so it might be wrong (if it is, hopefully someone from Astaro will correct me).

When Astaro receives an IP packets, it checks the destination IP against it's firewall rules. If there is an "allow" rule for that packet, it then checks if the destination interface has a default gateway (public interface). If it does, it considers the pakets as outbound and add the source IP to the license list. If it doesn't, it considers it as an inbound rule and add the destination address to the license list.

In adition to that, it might be that an IP that is added to the license list is checked against the known network list: if it's not in this list, the license isn't counted (to help prevent spoofed packets from adding random IPs to the list).

Once again, I stress that this is purely based on log analysis: checking what IP are in the license list and, using the "first seen" and "last seen" timestamps, seeing what packets has triggered the entry.

[ QUOTE ]
What counts as going "through" the firewall?.

[/ QUOTE ]

Let me described the model I built after analysing my logs and license info. Please note that this is done as "blackbox" analysis and isn't based on the actual code so it might be wrong (if it is, hopefully someone from Astaro will correct me).

When Astaro receives an IP packets, it checks the destination IP against it's firewall rules. If there is an "allow" rule for that packet, it then checks if the destination interface has a default gateway (public interface). If it does, it considers the pakets as outbound and add the source IP to the license list. If it doesn't, it considers it as an inbound rule and add the destination address to the license list.

In adition to that, it might be that an IP that is added to the license list is checked against the known network list: if it's not in this list, the license isn't counted (to help prevent spoofed packets from adding random IPs to the list).

Once again, I stress that this is purely based on log analysis: checking what IP are in the license list and, using the "first seen" and "last seen" timestamps, seeing what packets has triggered the entry.

Cool [:)]

hi,

i'm christian from germany and don't have a lot of experience with the astaro firewall. we get the error message:

"License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux"

and i think i'm right in this thread.

could you please tell me, what this message means because i couldn't follow the whole thread. we use release 5.022.
sorry for my bad english ;-)

greets
christian

it maeans Astaro thinks you have more machines hooked into your network than your license allows.  How macnymachines are on your network and which license did you purchase?

The interesting thing about this message is this. I have an unlimited license, with only about 20 machines active right now, yet I got the error. How do you exceed 100% of unlimited? 

[ QUOTE ]
The interesting thing about this message is this. I have an unlimited license, with only about 20 machines active right now, yet I got the error. How do you exceed 100% of unlimited?  

[/ QUOTE ]
the license counter is still quite knackered..just wait for them to get it fixed..[:)]

[ QUOTE ]
The interesting thing about this message is this. I have an unlimited license, with only about 20 machines active right now, yet I got the error. How do you exceed 100% of unlimited?  

[/ QUOTE ]

Can you please confirm that you are running the current version ASL 5.022 with an unlimited license and still get this e-mail notification?
Somebody else out there ?

The moment of updating to 5.022 should have been the last possible point of time when this annoying message had been sent.

[ QUOTE ]
[ QUOTE ]
The interesting thing about this message is this. I have an unlimited license, with only about 20 machines active right now, yet I got the error. How do you exceed 100% of unlimited?  

[/ QUOTE ]

Can you please confirm that you are running the current version ASL 5.022 with an unlimited license and still get this e-mail notification?
Somebody else out there ?

The moment of updating to 5.022 should have been the last possible point of time when this annoying message had been sent. 

[/ QUOTE ]
even if he is running 5.021 when he installs 5.022 he may be able to look forward to multiple daemons restarting for no known reason..[:)]

It was 5.021 when I got this message, haven't seen it since.. however now with 5.022 (which I upgraded to to get rid of the message), now I get socksd not running messages a few times a day.

[ QUOTE ]
[ QUOTE ]
The interesting thing about this message is this. I have an unlimited license, with only about 20 machines active right now, yet I got the error. How do you exceed 100% of unlimited?  

[/ QUOTE ]

Can you please confirm that you are running the current version ASL 5.022 with an unlimited license and still get this e-mail notification?
Somebody else out there ?

The moment of updating to 5.022 should have been the last possible point of time when this annoying message had been sent. 

[/ QUOTE ]

..when I posted in this tread the message regarding excess usage,Astaro still have unlimited license..after upgraded to 022 and installed home license,the problem it seems to be resolved..

Does anybody know when astaro send out a fix for this problem...and if i get this correctly then my users will not be blocked if we get over 50 user limit...we have 50 user license.
im running on 5.022 and get alot of emails on license useage...wrongly

L