Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 4696 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Bridge / Transparent Mode

rmsech
I can't find details anywhere on how to setup Astaro in bridge mode. I have 3 NIC's installed and was thinking that ETH0 would be for administration, ETH1 would be WAN and ETH2 would be LAN. There fore Astaro can only be managed by using ETH0 and then ETH1/2 would act as a bridge with no IP addresses assigned to them... virtually invisible.

Can this be done with Astaro and how?

Thanks for any help!

-R


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    OK, if you don't want to do VPN, don't want to do Masquerading, don't need Web Security, don't need Mail Security or any of the other advanced capabilities of the Astaro like load balancing, uplink balancing, multipathing, etc., then it seems like you don't need a UTM like Astaro.  Since one can't do any of those things with a bridged, invisible firewall, it seems unlikely that the specialized niche you're discussing is unlikely to be addressed by Astaro.

    Anyway, that's just my 2 cents worth.

    Cheers - Bob
    PS Has anyone heard of a properly-configured Astaro that was attacked successfully?


    I do want web security, packet filtering, IPS, automatic updates etc and Astaro has a very nice interface... and if you scroll up, my very first question was "is this possible with Astaro?" - and you just told me it's not, so that's all I needed to know. Transparent firewalls are the new way to go (in addition to layer 3 firewalls and honeypots), for the same reasons listed above. I don't see why the features wouldn't be able to work at layer 2 with no IP addresses. Btw, Strata Guard has many of the same features as Astaro and it does work @ layer 2, you just have to manually update the firewall.

    Thank you.

    -R
  • 0 in reply to eganders_01
    I too am not sure of the benefits of "invisible" mode.  Note: none of this is to suggest that this shouldn't be implemented, it's just a few random thoughts for consideration:

    First, about the conjecture that hiding, that protective measures are in place, is a good idea.  I certainly can see if one were the principal of a school, the principal would want to know the specific identities of the students trying to steal the final exam.  So in that sense, hiding the camera, so to speak, I get.

    But if one is the president of a bank, would they want to give a thief access to the door so the thieves can beat on it for a while?  Even if it's extremely reinforced and the door is secured with a great lock?  Wouldn't it make more sense if potential thieves knew in advance that the bank has great security system?  Wouldin't the desire be that thieves wouldn't bother in the first place?

    Everywhere you go you see signs indicating protective measures in place.  Everything from "Beware of Dog" to advance warning of a "sobriety checkpoint", alarm company decals on the windows of stores, and notices of video camera's and recording.  One has to assume the purpose is to dissuade as many criminals as possible from even trying in the first place.

    If the police told you that they guaranteed that they will be on the highway all day tomorrow with radar, would you: take another street, or maybe watch your speed.  How many, in possession of that info, would still speed right past the cop just begging for a ticket?

    Let's bring this back to someone who might want to break into your network. Would a hacker more likely attack a network he thought was vulnerable, or one he thought was secure?  If he had a specific target in mind, the ease with which the attack could be made might matter less.  But for everyone else, the choice is easy.

    For the hacker with a specific target in mind - unless they're a rank amateur, after trying a few well honed techniques, wouldn't they quickly figure out that something is blocking access to their target.  And wouldn't they therefore know that that has to be some sort of firewall?

    So now that they've gotten to this point, what's the advantage of the stealth?  Don't get me wrong, higher performance, I get.  Ease of install I get too, though I'm not sure the configuration advantages mean much.  And even after bridging the Astaro, wouldn't the network still have an IP on it's outside edge device? Therefore, I'm not sure that advantages like no DoS hold.  And finally, "hiding" that there is a firewall at all?  That will probably be the least secure secret this configuration would have.


    I could talk about network security all day long, and how most people don't even acknowledge the fact that right now there are attacks from from China (among other countries) constantly and taking over PC's in the US and all over the world. You see it more and more in the news...

    Anyhow, a layer 2 and layer 3 both have their strengths and I'm not looking to chose one or the other, as mentioned before, I'm setting up many layers of security. Essentially, the layer 2 devices will protect the layer 3 devices and so forth. So if suspicious packets come in, the layer 2 device could just drop them and they will never even reach the firewall. If Astaro for example could sit somewhere in the middle and additionally filter for viruses, spyware, spam etc using different engines and algorithms than other firewalls, that would be very beneficial. Since layer 2 devices can be plugged in anywhere and they can't be attacked, just the better.
  • 0 in reply to rmsech

    So if suspicious packets come in, the layer 2 device could just drop them and they will never even reach the firewall.


    Astaro takes a different approach all together and the IDS is behind the firewall, not in front of it. So you don't get alerts about a script kiddy using some fancy ICMP technique for finger printing your OS. Those packets are just dropped. 
    As eganders pointed out, your DOS argument doesn't hold at all because of the parameter IP still available. Unless your ISP got involved with DOS prevention, anybody telling you that you are covered from a DOS is just blowing smoke. 

    As others have pointed out, use what you think will protect you and you can manage. Every product is not for everybody.[:)]
  • 0 in reply to Billybob
    So I have to work with what I have and place the products in the sequence they work best... that's essentially all I'm trying to figure out. [:)]

    Thanks!

    -R
  • 0 in reply to rmsech
    As added info, here are two excerpts worth repeating from the document Rmsech quoted, that was published in October 2003.  I think the second quote sounds a lot like an Astaro as is.

    From the beginning of the article (a design for 2003):
    "While the traditional implementation of a firewall as a router works well in most situations, [a bridging or transparent firewall] can strengthen existing configurations or succeed where its brethren fail."

    And then, from the end of the article (sounds more like Astaro in 2009):
    Soon, we will be managing in-line devices that handle the routing, filtering and analysis of packets for very large networks, reducing the complexity, deployment time and management headaches of the multiple machines required today.

    Article Transparent, Bridging Firewall Devices