Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 78 replies
  • Subscribers 3 subscribers
  • Views 89273 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

5.020 License counting.

Simon Shaw
What is happening with this???  Some documentation and/or warning from Astaro would have been good to tell us what exactly this up2date will do for licensing  [:O]

Will excess licenses currently get blocked from accessing the net yet or is that still to come?  This should all be FULLY documented before it is implemented.

As far as I was aware there was still issues with the license counting/refresh intervals that needed resolving.

Earlier this evening I did a license count reset BEFORE installing 5.020

I have a 50IP license.

ASL Webmin reports 6 IP addresses currently in use.

ASL just emailed me:

"This email was sent by your Astaro Security Linux software to notify you that you have exceeded 100% of the user count for your license!

Additional users may not be able to reach the Internet through the Astaro Security Linux firewall. Astaro is not responsible for providing secure access for additional users.

You will be able to exceed the licensed user count by a small margin, but please act immediately to assure continuous, secure internet access for your users. Please contact your Astaro solutions partner or Astaro to discuss upgrading your license.

Thank you,

Astaro
http://www.astaro.com


--
Last WebAdmin login: admin at Fri Aug 27 19:21:18 from 192.168.3.30
System Uptime      : 0 days 1 hours 3 minutes
System Load        : 0.17
System Version     : Astaro Security Linux 5.020
License usage      : 13 of 50 users active"

Now webmin and the email notification do not agree...
"Current users (IPs) listing    Total 6 entries "

Not very impressed, especially since there are quite a few other issues open that would appear to me to be more important than license checking.


This thread was automatically locked due to age.
Parents
  • 0
    same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..
  • 0 in reply to pharse
    Maybe it's an initial implementation thing...

    Still all my comments above stand.

    Also, Executive Report says I'm using 15IP's whilst Admin-Licensing says I'm using 13 now....
  • 0 in reply to escolar
    Fair enough, let me coment back, please.

    1/ You'r smallest license count is 10, going up to 20, 50, 100, etc. One or two machines with extremely special configurations aren't likely to change the license needed by that sample company and Astaro isnb't going to miss the sale. Now, in my network, the complexity of the packet filtering rules is in direct propertion the the time I spend administering it and it's security. That means that because of it's way of counting licenses, Astaro is going to miss that sale because the only realistc way of handeling the problem is to buy far more licences that we have active IPs.

    2/ Let's forget for a second that Astaro implements smart spoofing protection (I've been bitten by this one). This is NOT an issue as the trigerring packets are comming from the inside of the network: As an admin, one can (and should) control the access to the internal equipement. I won't complain about licensing if someone inside my network decides that it wants to change it's IP address every minute and the uses it to traverse the firewall (same as spoofing, only you don't need programming skill). What I'll do is get to that user, give him a good wack and then reset the IP count (possibly getting myself in trouble for not locking down the workstations properly). In any case, this is not an Astaro problem: the IP DID exist and it DID initiate a connection to the outside and counting it seems fair enough.

    Do not forget that this is NOT a technical issue: it's a legal one. I am all for paying the Astaro people for their hard work, but I want to do it in a way that is also fair to me. Now, the technical implementation of the licensing system is flawed for two reasons, both being unfair to me: 1/ It is biaised toward counting non-existing IPs as requiring a license, even if I have no control over this trafic and 2/ If I want to avoid the previous issue, I must make my filtering much more complex, reducing security and increasing my own workload. What this translates to, in my language, is that the declaration stating that "The pricing of Astaro Security Linux depends on the number of users being protected and the number of optional subscriptions purchased" is wrong and misleading.

    I know there is no technical way to be perfectly fair to everyone in the way you count IPs. However, the current state of things seems overly biaised toward Astaro to me.
  • 0 in reply to StephaneGROBETY
    Well, this all really sucks for me as a power user.  I was told not to ever worry about the licensing thing when i brought it up before. 

    There are two people in my home.  My wife, and myself.  We however, probably aren't typical users, but with more devices using IP addresses every day, 10 users isn't gonna cut it for everyone.

    I have no less than the following on my home network.  Mind you that not all of these devices are used or connecting at the same time....

    1. 3 workstations (1 mac, 2 pc's)
    2. 2 servers ( 1 linux, 1 w2k3) - With multiple NICS in them.
    3. 3 xbox
    4. 1 ps2
    5. 1 gamecube
    6. 3 pda/smartphones
    7. 2 Tivos

    Thats 15 devices if you don't count my hubs/switches and the multiple intefaces on the servers.

    I really like this product a lot, but it looks like this issue won't go away, and I will have to start shopping around for something else if I am gonna be nagged by license emails, and if they start making it so things are blocked after going over the limit.

    Hoby
  • 0 in reply to HobyBrenner
    Astaro has already said that the only IPs that will be counted for licensing purposes are those that transit the firewall gateway.  If you have an active device in your network that doesn't pass traffic through the gateway, those devices will not be counted.  

    It's also important to note that Astaro is still working on the details of their licensing scheme, and it's MUCH too early to reach any conclusions.  This is just a hunch, but I'll bet that the final licensing plan will be quite reasonable.  Bear in mind, Astaro is a commercial enterprise, and they're not going to do anything to shoot themselves in the foot and run business away.  Also, they have to protect the product, satisfy their investors, and keep their Partners in business.  Hang in there...

    -Steve
  • 0 in reply to OfficeDefender
    fair enough.

    but if you have a few dmz's and windows update etc every box will transit the firewall in some way. even if its once a week for 5 mins they will still transit the firewall and therefore count.
  • 0 in reply to PenTest
    Hi!

    Sorry for dropping in so late, but i have some basic questions:

    - As told early in this thread, a counted IP, is when a PC accesses the Internet using a packet filter rule. So what about the HTTP Proxy? This is a connect ON the ASL box but not THROUGH.

    - My License usage graph shows 2 IPs, but when I try to list them using the  IPs listing feature, the list is empty... How can this be? And how comes, there are only 2 machines connecting to the internet? I think something is still not working that well...

    Maybe someone could explain this...

    Thanx, Thorsten
  • 0 in reply to THoehne
    What counts as going "through" the firewall?

    I have 5 network printers, which do not need to access the internet.

    However machines in my DMZ should be able to print... Will these count against the license count?  (ie traffic from one internal card to another internal card).

    Creating rules to block this sort of traffic is a PITA !

    One rule to block printers from accessing ANY, then other rules to allow printing across to wireless and DMZ LANs....
  • 0 in reply to Simon Shaw
    [ QUOTE ]
    What counts as going "through" the firewall?.

    [/ QUOTE ]

    Let me described the model I built after analysing my logs and license info. Please note that this is done as "blackbox" analysis and isn't based on the actual code so it might be wrong (if it is, hopefully someone from Astaro will correct me).

    When Astaro receives an IP packets, it checks the destination IP against it's firewall rules. If there is an "allow" rule for that packet, it then checks if the destination interface has a default gateway (public interface). If it does, it considers the pakets as outbound and add the source IP to the license list. If it doesn't, it considers it as an inbound rule and add the destination address to the license list.

    In adition to that, it might be that an IP that is added to the license list is checked against the known network list: if it's not in this list, the license isn't counted (to help prevent spoofed packets from adding random IPs to the list).

    Once again, I stress that this is purely based on log analysis: checking what IP are in the license list and, using the "first seen" and "last seen" timestamps, seeing what packets has triggered the entry.
  • 0 in reply to Simon Shaw
    [ QUOTE ]
    What counts as going "through" the firewall?

    I have 5 network printers, which do not need to access the internet.

    However machines in my DMZ should be able to print... Will these count against the license count?  (ie traffic from one internal card to another internal card).

    Creating rules to block this sort of traffic is a PITA !

    One rule to block printers from accessing ANY, then other rules to allow printing across to wireless and DMZ LANs.... 

    [/ QUOTE ]

    Your network printers are not counted as long as you don't expose them to traffic with the default gw interface or with a vpn tunnel.

    Although the communication between DMZ and the internal network is protected by the firewall's forwarding filter rules, that kind of transmission is free of charge by Astaro's IP count license model.
  • 0 in reply to escolar
    escolar, would it be possible for you to post an exact, technical description on how Astaro counts its licenses ? 

    It would probably be far more usefull that trying to analyse logs and bitching about what the suppose is doing against what it's supposed to do (as I have done in this thread). Even on a setup point of view, it would be really helpful since it could allow us to plan how many licenses we need instead of discovering it with trial and error.

    Thanks
  • 0 in reply to StephaneGROBETY
    [ QUOTE ]
    escolar, would it be possible for you to post an exact, technical description on how Astaro counts its licenses ? 

    It would probably be far more usefull that trying to analyse logs and bitching about what the suppose is doing against what it's supposed to do (as I have done in this thread). Even on a setup point of view, it would be really helpful since it could allow us to plan how many licenses we need instead of discovering it with trial and error.

    Thanks 

    [/ QUOTE ]

    I think that is a warrantable request. Although this thread now contains more than 50 followups, and all the aspects of counting rules have been mentioned already (among other rather important topics including Gert's fundamental statements about license philosophy), it makes sense to recollect the pieces on one place.

    But before reading on, see this little disclaimer: Please  consider this an "inofficial summary of an insider", helping the users of this forum understand the license counting algorithm; I'm neither a native English speaker, nor a lawyer, nor am I 100% sure of having understood all aspects of licensing myself :-).


    Background

    In contrast to proxy connections, which end in the firewall itself (and which may be subject to other license categories), the IP counter focuses on passed through (forwarded) connections, whose both end points are ip nodes on different interfaces of the ASL.

    One measure of the "benefit" of the firewall is the number of nodes (hosts, ip addresses) on the protected side, which can communicate 
     a) with the "dangerous" side OR
     b) via a secure tunnel through an unsecure communication line.

    The license category "NUMBER OF PROTECTED USERS" covers this benefit.

    -----------------------------------------------------------------------------
    IN ONE SENTENCE:
    The counter of the "number of protected users" in ASL5 maintains a permanent list of those HOSTS (= ip addresses) behind the protected interfaces of ASL, which at any time in the past had at least one direct - not necessarily bidirectional - communication THROUGH (= forward) the ASL with
     a) the external default interface (= pointing to the INTERNET)  OR
     b) a peer using an IP-Tunnel.
    -----------------------------------------------------------------------------

    Thinking that over you may realize which cases are _not_ charged by Astaro, compared with some competitors.

    And - yes, Astaro is aware that there have been many requests to implement a way of expiry in connection with the "last seen" field.
Reply
  • 0 in reply to StephaneGROBETY
    [ QUOTE ]
    escolar, would it be possible for you to post an exact, technical description on how Astaro counts its licenses ? 

    It would probably be far more usefull that trying to analyse logs and bitching about what the suppose is doing against what it's supposed to do (as I have done in this thread). Even on a setup point of view, it would be really helpful since it could allow us to plan how many licenses we need instead of discovering it with trial and error.

    Thanks 

    [/ QUOTE ]

    I think that is a warrantable request. Although this thread now contains more than 50 followups, and all the aspects of counting rules have been mentioned already (among other rather important topics including Gert's fundamental statements about license philosophy), it makes sense to recollect the pieces on one place.

    But before reading on, see this little disclaimer: Please  consider this an "inofficial summary of an insider", helping the users of this forum understand the license counting algorithm; I'm neither a native English speaker, nor a lawyer, nor am I 100% sure of having understood all aspects of licensing myself :-).


    Background

    In contrast to proxy connections, which end in the firewall itself (and which may be subject to other license categories), the IP counter focuses on passed through (forwarded) connections, whose both end points are ip nodes on different interfaces of the ASL.

    One measure of the "benefit" of the firewall is the number of nodes (hosts, ip addresses) on the protected side, which can communicate 
     a) with the "dangerous" side OR
     b) via a secure tunnel through an unsecure communication line.

    The license category "NUMBER OF PROTECTED USERS" covers this benefit.

    -----------------------------------------------------------------------------
    IN ONE SENTENCE:
    The counter of the "number of protected users" in ASL5 maintains a permanent list of those HOSTS (= ip addresses) behind the protected interfaces of ASL, which at any time in the past had at least one direct - not necessarily bidirectional - communication THROUGH (= forward) the ASL with
     a) the external default interface (= pointing to the INTERNET)  OR
     b) a peer using an IP-Tunnel.
    -----------------------------------------------------------------------------

    Thinking that over you may realize which cases are _not_ charged by Astaro, compared with some competitors.

    And - yes, Astaro is aware that there have been many requests to implement a way of expiry in connection with the "last seen" field.
Children