Astaro Bridge / Transparent Mode

'Network >> Bridging'

The bridged interfaces will have an IP.  What problem are you trying to solve?

Cheers - Bob

the whole purpose of a bridge mode, in addition to forwarding everything, was that it didn't require to have an IP address, to prevent Astaro to be seen by anything else in the network.

For example, look at this firewall http://www.stillsecure.com/docs/StillSecure_SG_InstallationGuide.pdf and go to page 60. Note that eth1 and eth2 do not have an IP address, making it truly invisible. So unless you are using eth0, you don't know this firewall exists. It appears that if Astaro assigns an IP address to the bridge, it voids the invisibility?

Yes?

-R

I believe that can be accomplished...
Start by setting up the admin interface, then go to Bridging, and enable bridging with "Bridge Selected Interfaces" on the other 2 NICs.

It doesn't ask for an IP for the bridge if you do it that way.

Barry

Barry, I must be doing something wrong.  If I do that with two available interfaces and choose to not convert one of the existing interfaces, I get "No bridge is currently configured" when I press [Create Bridge].

rmsech, I still don't understand what advantage you would have with the Astaro in some kind of invisible mode.  There has to be a public IP somewhere, and the internal network still needs a gateway.  If all you want is IPS, then maybe Astaro is overkill.

Cheers - Bob

Bob, you need at least 3 interfaces, one for management, and 2 for the bridge.

Barry

When I try to enable this feature, it asks me to pick an interface (Bridge or Internal) and even when I pick bridge, it requires me to enter an IP address.

-R

Barry, I must be doing something wrong.  If I do that with two available interfaces and choose to not convert one of the existing interfaces, I get "No bridge is currently configured" when I press [Create Bridge].

rmsech, I still don't understand what advantage you would have with the Astaro in some kind of invisible mode.  There has to be a public IP somewhere, and the internal network still needs a gateway.  If all you want is IPS, then maybe Astaro is overkill.

Cheers - Bob

The advantage is that if someone was breaking in, they can not tell that Astaro exists. If it doesn't exist, Astaro itself can't be attacked... theoretically. That's a big advantage. And Astaro would use its IPS in addition to the web filtering.

What benefits come with the design of a bridging firewall? 


1. Zero configuration. From a networking standpoint, there are virtually no changes. How can this be? Easy, the bridging firewall is plugged in-line with the network it is protecting. This means you can put it between two routers, or a router and a switch. You could even put it in front of a single machine. While it might be placed exactly where it should be if it were acting as a gateway or router, it's not. Remember, it merely moves frames after inspecting them between interfaces. This means that there's no need to make any changes to your existing network. It is completely transparent. No subnetting headaches or configuration updates are required with this device. 

2. Performance. Because they are simpler devices, there's less processing overhead. This cost cutting either boosts the capabilities of the machines or allows for deeper examination of the data. 

3. Stealth. A key aspect of this device is the fact that it operates at layer 2 of the OSI model. This means the network interfaces have no IP addresses. Such a feature carries more weight than merely ease of configuration. Without an IP address, this device is unreachable and invisible to the outside world. If it cannot be reached, how can anyone attack it? No network probes, denial of service floods or firewalking on this machine. Your attackers won't even know it's in place, silently inspecting everything they send.

--- Excerpt from Transparent, Bridging Firewall Devices @ Transparent, Bridging Firewall Devices

OK, if you don't want to do VPN, don't want to do Masquerading, don't need Web Security, don't need Mail Security or any of the other advanced capabilities of the Astaro like load balancing, uplink balancing, multipathing, etc., then it seems like you don't need a UTM like Astaro.  Since one can't do any of those things with a bridged, invisible firewall, it seems unlikely that the specialized niche you're discussing is likely to be addressed by Astaro.

Anyway, that's just my 2 cents worth.

Cheers - Bob
PS Has anyone heard of a properly-configured Astaro that was attacked successfully?

I too am not sure of the benefits of "invisible" mode.  Note: none of this is to suggest that this shouldn't be implemented, it's just a few random thoughts for consideration:

First, about the conjecture that hiding that you have protective measures are in place, is a good idea.  I certainly can see if one were the principal of a school, the principal would want to know the specific identities of the students trying to steal the final exam.  So in that sense, hiding the camera, so to speak, I get.

But if one is the president of a bank, would they want to give a thief access to the door so the thieves can beat on it for a while?  Even if it's extremely reinforced and the door is secured with a great lock?  Wouldn't it make more sense if potential thieves knew in advance that the bank has great security system?  Wouldin't the desire be that thieves wouldn't bother in the first place?

Everywhere you go you see signs indicating protective measures in place.  Everything from "Beware of Dog" to advance warning of a "sobriety checkpoint", alarm company decals on the windows of stores, and notices of video camera's and recording.  One has to assume the purpose is to dissuade as many criminals as possible from even trying in the first place.

If the police told you that they guaranteed that they will be on the highway all day tomorrow with radar, would you: take another street, or maybe watch your speed.  How many, in possession of that info, would still speed right past the cop just begging for a ticket?

Let's bring this back to someone who might want to break into your network. Would a hacker more likely attack a network he thought was vulnerable, or one he thought was secure?  If he had a specific target in mind, the ease with which the attack could be made might matter less.  But for everyone else, the choice is easy.

For the hacker with a specific target in mind - unless they're a rank amateur, after trying a few well honed techniques, wouldn't they quickly figure out that something is blocking access to their target.  And wouldn't they therefore know that that has to be some sort of firewall?

So now that they've gotten to this point, what's the advantage of the stealth?  Don't get me wrong, higher performance, I get.  Ease of install I get too, though I'm not sure the configuration advantages mean much.  And even after bridging the Astaro, wouldn't the network still have an IP on it's outside edge device? Therefore, I'm not sure that advantages like no DoS hold.  And finally, "hiding" that there is a firewall at all?  That will probably be the least secure secret this configuration would have.