Astaro Bridge / Transparent Mode

'Network >> Bridging'

The bridged interfaces will have an IP.  What problem are you trying to solve?

Cheers - Bob

the whole purpose of a bridge mode, in addition to forwarding everything, was that it didn't require to have an IP address, to prevent Astaro to be seen by anything else in the network.

For example, look at this firewall http://www.stillsecure.com/docs/StillSecure_SG_InstallationGuide.pdf and go to page 60. Note that eth1 and eth2 do not have an IP address, making it truly invisible. So unless you are using eth0, you don't know this firewall exists. It appears that if Astaro assigns an IP address to the bridge, it voids the invisibility?

Yes?

-R

I believe that can be accomplished...
Start by setting up the admin interface, then go to Bridging, and enable bridging with "Bridge Selected Interfaces" on the other 2 NICs.

It doesn't ask for an IP for the bridge if you do it that way.

Barry

Barry, I must be doing something wrong.  If I do that with two available interfaces and choose to not convert one of the existing interfaces, I get "No bridge is currently configured" when I press [Create Bridge].

rmsech, I still don't understand what advantage you would have with the Astaro in some kind of invisible mode.  There has to be a public IP somewhere, and the internal network still needs a gateway.  If all you want is IPS, then maybe Astaro is overkill.

Cheers - Bob

Bob, you need at least 3 interfaces, one for management, and 2 for the bridge.

Barry

When I try to enable this feature, it asks me to pick an interface (Bridge or Internal) and even when I pick bridge, it requires me to enter an IP address.

-R

Barry, I must be doing something wrong.  If I do that with two available interfaces and choose to not convert one of the existing interfaces, I get "No bridge is currently configured" when I press [Create Bridge].

rmsech, I still don't understand what advantage you would have with the Astaro in some kind of invisible mode.  There has to be a public IP somewhere, and the internal network still needs a gateway.  If all you want is IPS, then maybe Astaro is overkill.

Cheers - Bob

The advantage is that if someone was breaking in, they can not tell that Astaro exists. If it doesn't exist, Astaro itself can't be attacked... theoretically. That's a big advantage. And Astaro would use its IPS in addition to the web filtering.

Barry, I must be doing something wrong.  If I do that with two available interfaces and choose to not convert one of the existing interfaces, I get "No bridge is currently configured" when I press [Create Bridge].

rmsech, I still don't understand what advantage you would have with the Astaro in some kind of invisible mode.  There has to be a public IP somewhere, and the internal network still needs a gateway.  If all you want is IPS, then maybe Astaro is overkill.

Cheers - Bob

The advantage is that if someone was breaking in, they can not tell that Astaro exists. If it doesn't exist, Astaro itself can't be attacked... theoretically. That's a big advantage. And Astaro would use its IPS in addition to the web filtering.

What benefits come with the design of a bridging firewall? 


1. Zero configuration. From a networking standpoint, there are virtually no changes. How can this be? Easy, the bridging firewall is plugged in-line with the network it is protecting. This means you can put it between two routers, or a router and a switch. You could even put it in front of a single machine. While it might be placed exactly where it should be if it were acting as a gateway or router, it's not. Remember, it merely moves frames after inspecting them between interfaces. This means that there's no need to make any changes to your existing network. It is completely transparent. No subnetting headaches or configuration updates are required with this device. 

2. Performance. Because they are simpler devices, there's less processing overhead. This cost cutting either boosts the capabilities of the machines or allows for deeper examination of the data. 

3. Stealth. A key aspect of this device is the fact that it operates at layer 2 of the OSI model. This means the network interfaces have no IP addresses. Such a feature carries more weight than merely ease of configuration. Without an IP address, this device is unreachable and invisible to the outside world. If it cannot be reached, how can anyone attack it? No network probes, denial of service floods or firewalking on this machine. Your attackers won't even know it's in place, silently inspecting everything they send.

--- Excerpt from Transparent, Bridging Firewall Devices @ Transparent, Bridging Firewall Devices

OK, if you don't want to do VPN, don't want to do Masquerading, don't need Web Security, don't need Mail Security or any of the other advanced capabilities of the Astaro like load balancing, uplink balancing, multipathing, etc., then it seems like you don't need a UTM like Astaro.  Since one can't do any of those things with a bridged, invisible firewall, it seems unlikely that the specialized niche you're discussing is likely to be addressed by Astaro.

Anyway, that's just my 2 cents worth.

Cheers - Bob
PS Has anyone heard of a properly-configured Astaro that was attacked successfully?

I too am not sure of the benefits of "invisible" mode.  Note: none of this is to suggest that this shouldn't be implemented, it's just a few random thoughts for consideration:

First, about the conjecture that hiding that you have protective measures are in place, is a good idea.  I certainly can see if one were the principal of a school, the principal would want to know the specific identities of the students trying to steal the final exam.  So in that sense, hiding the camera, so to speak, I get.

But if one is the president of a bank, would they want to give a thief access to the door so the thieves can beat on it for a while?  Even if it's extremely reinforced and the door is secured with a great lock?  Wouldn't it make more sense if potential thieves knew in advance that the bank has great security system?  Wouldin't the desire be that thieves wouldn't bother in the first place?

Everywhere you go you see signs indicating protective measures in place.  Everything from "Beware of Dog" to advance warning of a "sobriety checkpoint", alarm company decals on the windows of stores, and notices of video camera's and recording.  One has to assume the purpose is to dissuade as many criminals as possible from even trying in the first place.

If the police told you that they guaranteed that they will be on the highway all day tomorrow with radar, would you: take another street, or maybe watch your speed.  How many, in possession of that info, would still speed right past the cop just begging for a ticket?

Let's bring this back to someone who might want to break into your network. Would a hacker more likely attack a network he thought was vulnerable, or one he thought was secure?  If he had a specific target in mind, the ease with which the attack could be made might matter less.  But for everyone else, the choice is easy.

For the hacker with a specific target in mind - unless they're a rank amateur, after trying a few well honed techniques, wouldn't they quickly figure out that something is blocking access to their target.  And wouldn't they therefore know that that has to be some sort of firewall?

So now that they've gotten to this point, what's the advantage of the stealth?  Don't get me wrong, higher performance, I get.  Ease of install I get too, though I'm not sure the configuration advantages mean much.  And even after bridging the Astaro, wouldn't the network still have an IP on it's outside edge device? Therefore, I'm not sure that advantages like no DoS hold.  And finally, "hiding" that there is a firewall at all?  That will probably be the least secure secret this configuration would have.

OK, if you don't want to do VPN, don't want to do Masquerading, don't need Web Security, don't need Mail Security or any of the other advanced capabilities of the Astaro like load balancing, uplink balancing, multipathing, etc., then it seems like you don't need a UTM like Astaro.  Since one can't do any of those things with a bridged, invisible firewall, it seems unlikely that the specialized niche you're discussing is unlikely to be addressed by Astaro.

Anyway, that's just my 2 cents worth.

Cheers - Bob
PS Has anyone heard of a properly-configured Astaro that was attacked successfully?

I do want web security, packet filtering, IPS, automatic updates etc and Astaro has a very nice interface... and if you scroll up, my very first question was "is this possible with Astaro?" - and you just told me it's not, so that's all I needed to know. Transparent firewalls are the new way to go (in addition to layer 3 firewalls and honeypots), for the same reasons listed above. I don't see why the features wouldn't be able to work at layer 2 with no IP addresses. Btw, Strata Guard has many of the same features as Astaro and it does work @ layer 2, you just have to manually update the firewall.

Thank you.

-R

I too am not sure of the benefits of "invisible" mode.  Note: none of this is to suggest that this shouldn't be implemented, it's just a few random thoughts for consideration:

First, about the conjecture that hiding, that protective measures are in place, is a good idea.  I certainly can see if one were the principal of a school, the principal would want to know the specific identities of the students trying to steal the final exam.  So in that sense, hiding the camera, so to speak, I get.

But if one is the president of a bank, would they want to give a thief access to the door so the thieves can beat on it for a while?  Even if it's extremely reinforced and the door is secured with a great lock?  Wouldn't it make more sense if potential thieves knew in advance that the bank has great security system?  Wouldin't the desire be that thieves wouldn't bother in the first place?

Everywhere you go you see signs indicating protective measures in place.  Everything from "Beware of Dog" to advance warning of a "sobriety checkpoint", alarm company decals on the windows of stores, and notices of video camera's and recording.  One has to assume the purpose is to dissuade as many criminals as possible from even trying in the first place.

If the police told you that they guaranteed that they will be on the highway all day tomorrow with radar, would you: take another street, or maybe watch your speed.  How many, in possession of that info, would still speed right past the cop just begging for a ticket?

Let's bring this back to someone who might want to break into your network. Would a hacker more likely attack a network he thought was vulnerable, or one he thought was secure?  If he had a specific target in mind, the ease with which the attack could be made might matter less.  But for everyone else, the choice is easy.

For the hacker with a specific target in mind - unless they're a rank amateur, after trying a few well honed techniques, wouldn't they quickly figure out that something is blocking access to their target.  And wouldn't they therefore know that that has to be some sort of firewall?

So now that they've gotten to this point, what's the advantage of the stealth?  Don't get me wrong, higher performance, I get.  Ease of install I get too, though I'm not sure the configuration advantages mean much.  And even after bridging the Astaro, wouldn't the network still have an IP on it's outside edge device? Therefore, I'm not sure that advantages like no DoS hold.  And finally, "hiding" that there is a firewall at all?  That will probably be the least secure secret this configuration would have.

I could talk about network security all day long, and how most people don't even acknowledge the fact that right now there are attacks from from China (among other countries) constantly and taking over PC's in the US and all over the world. You see it more and more in the news...

Anyhow, a layer 2 and layer 3 both have their strengths and I'm not looking to chose one or the other, as mentioned before, I'm setting up many layers of security. Essentially, the layer 2 devices will protect the layer 3 devices and so forth. So if suspicious packets come in, the layer 2 device could just drop them and they will never even reach the firewall. If Astaro for example could sit somewhere in the middle and additionally filter for viruses, spyware, spam etc using different engines and algorithms than other firewalls, that would be very beneficial. Since layer 2 devices can be plugged in anywhere and they can't be attacked, just the better.

So if suspicious packets come in, the layer 2 device could just drop them and they will never even reach the firewall.

Astaro takes a different approach all together and the IDS is behind the firewall, not in front of it. So you don't get alerts about a script kiddy using some fancy ICMP technique for finger printing your OS. Those packets are just dropped. 
As eganders pointed out, your DOS argument doesn't hold at all because of the parameter IP still available. Unless your ISP got involved with DOS prevention, anybody telling you that you are covered from a DOS is just blowing smoke. 

As others have pointed out, use what you think will protect you and you can manage. Every product is not for everybody.[:)]

So I have to work with what I have and place the products in the sequence they work best... that's essentially all I'm trying to figure out. [:)]

Thanks!

-R

As added info, here are two excerpts worth repeating from the document Rmsech quoted, that was published in October 2003.  I think the second quote sounds a lot like an Astaro as is.

From the beginning of the article (a design for 2003):
"While the traditional implementation of a firewall as a router works well in most situations, [a bridging or transparent firewall] can strengthen existing configurations or succeed where its brethren fail."

And then, from the end of the article (sounds more like Astaro in 2009):
Soon, we will be managing in-line devices that handle the routing, filtering and analysis of packets for very large networks, reducing the complexity, deployment time and management headaches of the multiple machines required today.

Article Transparent, Bridging Firewall Devices