need some techn. background

Hi, Peter, and welcome to the User BB!

Although Astaro does do OSPF, it doesn't do BGP, and BGP is old enough that I doubt Astaro ever will adopt it.  Although it doessn't do VRRP, Astaro's approach to High Availability, Uplink Balancing and Failover and NIC bonding (teaming, link aggregation or whatever you want to call it) offers all of the robustness that any organization could demand.

In short, the answer to almost every question is, "Yes, and then some!"

But, the real answer to your post is that a good reseller can answer your questions and help you help your organization understand why Astaro is their best choice.

Perhaps others here could PM recommendations to Peter for a very-knowledgeable Astaro reseller in Belgium or in the Köln/Bonn area.

Cheers - Bob

Hello Peter,

Short versions of answers:
SUSE enterprise, thoroughly stripped down and hardened (including extensive use of chroot jails)

Astaro uses a mix of Open Source, internally developed (both Open Source and proprietary), and commercial (third party) software.

OSPF and multicast routing are supported.

High availablity is available via HA (active/passive or "warm-standby") or active clustering (up to ten-way clustering).  We do not use VRRP, we use our own protocol, extremely easy to configure)

I am not sure exactly what you are asking, but we use multiple proxies for various systems, and L7 analysis for IM/P2P management.

We offer both SSL (OpenVPN based) and IPSec (currently StrongSwan) site-to-site VPNs.

As far as certification, Astaro Security Gateway Version 8 is EAL 4+.

I'll be happy to connect you with a partner/reseller in your area, and answer any specific questions you may have.  Send an email to jdaniel at astaro.com

so my questions are:
* which linux distribution do astaro use for all the basics? in which version? is it someway hardened?

A: It is a fully hardened, custom linux OS yes. As a core, we are based on a SUSE Enterprise 11 kernel, currently running a 2.6.32-xx build.

* does astaro use opensource software or are there some self developed parts in it? i need to know that for: nameserver, web- and mailproxy, logging, reporting, the MTA, IDS/IPS, spam-protection, antivirus, firewall (iptables) and of course for every other sensitive part.

A: Astaro uses a complete blend of custom-created property, 3rd party OEM technologies, and open-source. For example we use our own http proxy, wan connection balancer, HA/Clustering daemon, WebAdmin GUI, and many other parts. To quickly overview a few of your areas there, we are happy to provide all component breakdowns if you need them, mail proxy is Exim, the IDS/IPS is snort/sourcefire based, antivirus is currently ClamAV and Avira for dual engines, the firewall is Netfilter, and unlike other vendors we are very open and can easily let you know whatever you need there in this area, after all, what's the point of using excellent technologies like Commtouch (anti-spam) if we don't leverage that?

* does astaro know any kind of dynamic routing? (maybe i can replace some ciscos). dynamic routing i am thinking of OSPF and BGP.

A: We have implemented support for OSPF yes, we do not (and have not roadmapped) BGP support.

* is high-availability easy to use (working with VRRP) or do i need a 
   loadbalancer or something else?

A: Our HA is simply awesome. You can auto configure it just by connecting eth3 of two devices together, or provide some custom parameters if you need. Once setup, you can run a ping to google and experience how fast it will fail over if you unplug/reboot the "master" node. In most cases you will lose only a single ping! It wouldn't take you longer than a few minutes to setup, provided you have done your redundant cabling and splitting of course. From there, you can easily expand to active/active for 2 units up to 10, all operating as a single large "ASG" without needing to be an expert in this area or learn anything at all in multi-box management. You just use it like a single unit, albeit now with bigger capacity.

* for firewalling. is there any kind of application or circuit level gateway 
   functionality inside? or is astaro a packet filter with some application 
   intellegence (like checkpoints or cisco)? with circuit/application level 
   gatewaying i am thinking on a real proxy like inside the mcaffee firewall (sidewinder) ... a real IP-termination up to OSI-layer4.

A: We currently have application control for IM and P2P programs, and are roadmapping a much more intense focus in this area now. It is something we are heavily working on.

* i need also some side-2-side VPN connection. is it IPsec that astaro uses? what implementation do they use? freeswan? can i connect traveling users easy?

A: For all areas of VPN, ASG is extremely strong. We can impress you here I am sure. We are very capable, can talk to almost anything, and have no silly proprietary restrictions. We have site to site IPSEC as well as full-ip site-to-site SSL via TCP and UDP. For configuration between two boxes both running ASG, it will take no time at all, or you can use our FREE Central management Astaro Command Center to build vpns automatically between sites using a deployment wizard. It is very slick. Roadwarriors can connect in 4 different, separate ways, with PPTP, L2TP, IPSec using a paid client from us, or SSL (clients are totally free for that, and its a full IP connection too, not a portal). ASG even supports IPsec connections from Cisco IPSec client, so if you have a number of those already in the field you can take your time migrating if you like by using those to connect to us.

* i also need some government clearance for our encrypted traffic. right know we use thales-boxes. does astaro have some kind of EU-clearance? are there any plans for that?

A: Do you mean for VPN, or Management of the ASG's themselves, or client VPNS? I'd need a bit more information there. Our IPSec VPN client is FIPS-certified if that helps.

* because of our government closeness i am interested in certification. i read the forum already a bit. why does astaro "just" have EAL2 and what is the background for the corporation with secuwall? on the BSI homepage i found evaluations for the astaro-box and the secuwall (EAL4). will there be a difference between those 2 systems or doesn't it matter if i buy something the astaro or the other system, because they're the same?

A: We are currently well underway in the EAL4+ process, and look forward to having a full certification soon as we move through the certification.

so i hope you guys can help me. i really don't like some salesman visiting me (anoying people with no real knowledge) and the web is just filled with marketing stuff ;-)

A: I totally understand that, i am the same way. Rest assured if you'd like to know more, we can put you in touch with a partner in your area, or you could arrange to talk to one of our pre-sales engineers who have all the tech-savvy needed to answer your questions in full details.

Sorry for the long post, you asked quite a lot of questions. [:)] The best way is to get an eval box from us, once you are in front of it, we are easy to love.

hi guys,

thanks a lot for the warm welcome and all your help!

A: We currently have application control for IM and P2P programs, and are roadmapping a much more intense focus in this area now. It is something we are heavily working on.

can you say something about whats coming up?
our firewall setup is a cisco and the mcaffe firewall right now. cisco does "packetfiltering", mcaffee is the proxy-firewall with application control. 

our CSO really believes in the mcaffee box. that will be the hard part. he really wants that IP-seperation on an proxy level. so we have a real outside/DMZ IP-world and a seperated one on the inside. his point is that packetfilter-firewalls (like astaro?) are just better "routers".

A: Do you mean for VPN, or Management of the ASG's themselves, or client VPNS? I'd need a bit more information there. Our IPSec VPN client is FIPS-certified if that helps.

it ist some kind of EU-restreint we need here (Classified information - Wikipedia, the free encyclopedia). for me it is "beperkte verspreiding". but a EU thing will do (i hope). so i am talking about the clearance of the VPN traffic. our german partner usually use the sina-boxes for that. we have the thales-boxes for the "interesting" tunnels.

A: We are currently well underway in the EAL4+ process, and look forward to having a full certification soon as we move through the certification.

any ideas about the release? and is there know a difference between your system and the secuwall? or is it a smart sales offensive and all the money comes to you (and the astaro wifes/husbands) :-D ?

A: I totally understand that, i am the same way. Rest assured if you'd like to know more, we can put you in touch with a partner in your area, or you could arrange to talk to one of our pre-sales engineers who have all the tech-savvy needed to answer your questions in full details.

Sorry for the long post, you asked quite a lot of questions. [:)] The best way is to get an eval box from us, once you are in front of it, we are easy to love.

i will do do that, for sure. but it is to early. first convince my boss then let him do this. you know i am not in the position do do boss-decisions ;-)

if i can convince him i will look at your partner locator and will go on. at this point i need just the arguments for our meetings. but change we believe in  [:D]

thanks a lot 

peter

Peter, Astaro is not just a "packet-filter firewall" - take a quick look at the Live Demo, and you'll see that Astaro offers more than you're getting with Cisco and McAfee combined.  Everthing in Layer 4 is handled; Angelo's comment about "roadmapping a more-intense focus" is about Application-Level (Layer 7) filtering.

By the way, this is a user BB - no one from Astaro is paid to participate here although many do so in their spare time. Jack and Angelo both offered to put you in touch with someone.  To reach Jack or Angelo from here, click on his name beside his avatar/picture, and PM or email him.

Try it - you like it! [;)]

Cheers - Bob