Захищаючи “останню милю”

Джоул Снайдер, Журнал “Мережі

Перспектива захисту “останньої милі” виглядає лякаючою.

Захист даних у віртуальних приватних мережах (VPN), що поєднують переносні або домашні ПК з локальною мережею корпорації, вступає в протиріччя з двома основними заповідями, на яких грунтується підтримка обчислювальної мережі підприємства: ніколи не зачіпай настільну систему; ніколи не роби дій, які змушують користувачів змінити звичний стиль роботи за комп’ютером.

Бажання захистити свою корпоративну ЛВС змушує мережевих адміністраторів блокувати лінії зв’язку, що з’єднують з нею віддалених користувачів. Як же створювати, розширювати, підтримувати і управляти VPN, а також посилати повідомлення сотням або тисячам користувачів – клієнтів VPN?

Усім виробникам VPN-продуктів, які були нам відомі, ми запропонували брати участь у тестуванні. Хоча більшість з них відгукнулися і надіслали свої вироби в тестову лабораторію, деякі великі гравці даного ринку відмовилися. Так, компанія Cisco не побажала відчувати продукт до завершення бета-тестування. У компанії Xedia виявилися фінансові причини. Відмови, правда без зрозумілих пояснень, були отримані від фірм Compatible Systems, Nortel Networks і Network Associates.

У результаті ми протестували 11 клієнтських VPN-продуктів. Багато хто з них випускаються тими ж компаніями, які виробляють засоби для VPN, вже протестовані нами (див. “Мережі”, 1999, № 11, с. 92) на предмет сумісності, можливостей конфігурації і продуктивності. У даному огляді ми розглянемо, як VPN-системи працюють з клієнтами корпоративної мережі.

Велика частина протестованих продуктів продемонструвала цілком прийнятну продуктивність і достатній набір функцій управління. Підсумкові бали восьми з одинадцяти виробів різняться лише на одиницю. Блакитною стрічкою Network World був нагороджений продукт Permit Enterprise 1.2 компанії TimeStep за чудовий інструментарій управління, який дозволяє розгортати віртуальні мережі, що охоплюють дійсно гігантське число клієнтів.

Налаштування основних параметрів

Перше зіткнення користувача з VPN відбувається при інсталяції відповідного ПЗ. Як правило, ми не оцінюємо процедури установки клієнтського ПЗ. Однак, оскільки в даному випадку інсталяція зазвичай проводиться віддалено, нам захотілося подивитися, як це відбувається. Ми оцінювали, як в кожному “нашому” продукті здійснюється настройка процедури аутентифікації VPN-клієнта, конфігурування клієнтської програми і як встановлюються правила захисту.

Одна зі складностей при налаштуванні VPN-клієнта пов’язана з передачею ключів шифрування. Використовувати для цього процедуру розсилки сертифікатів загальнодоступного ключа, які забезпечують найкращий захист, – завдання довга і громіздка. Крім того, приватна клієнтська половина загальнодоступного ключа не передається по мережі, вона має бути створена безпосередньо на ПК клієнта і заблокована там спеціальним паролем.

Жоден з виробників не запропонував чарівного способу передачі інформації про ключі. Майже у всіх протестованих продуктах використовується досить простий і не надто захищений метод аутентифікації, а саме: кожному клієнту призначається ім’я користувача та пароль. Однак у багатьох додатково підтримується і цифрова сертифікація загальнодоступних ключів, яка базується або на стандартних, або на своїх власних наборах сертифікатів для присвоєння повноважень.

Компанія TimeStep в своєму продукті Permit Enterprise найбільш серйозно підійшла до вирішення проблеми цифрової сертифікації та побудові схеми привласнення повноважень. У комплект ПЗ для управління підприємством вона вбудувала засіб видачі сертифікатів компанії Entrust і довідник шифрування за стандартом X.500. Їх комбінація дозволяє масштабувати функції видачі сертифікатів для присвоєння повноважень, використовуючи спеціальний каталог бази даних.

Побудова цілісної системи для організації, управління, захисту та анулювання цифрових сертифікатів означає створення інфраструктури загальнодоступного ключа (public-key infrastructure, PKI). Тут слід говорити саме про інфраструктуру, так як процедура інсталяції PKI може бути настільки ж складна, як і побудова будь-якої іншої частини вашої мережевої структури. Для коректної установки PKI необхідно, щоб мережевий адміністратор і адміністратор безпеки спільно визначили все коло правил і процедур, необхідних для ідентифікації користувачів мережі. Правильна організація PKI – справа дуже складна. Мабуть, з усіх розглянутих в цьому огляді компаній з ним вдалося справитися тільки TimeStep: лише в продукті Permit Enterprise підтримка PKI була закладена з самого початку його створення і не виглядала “Латкою”.

Процедура завдання правил захисту та конфігурації мережі. Попроще, ніж настройка ключів захисту, оскільки одне й те ж правило зазвичай поширюється на всю групу користувачів. У чотирьох продуктах – F-Secure VPN (Data Fellows), RiverWorks Enterprise VPN (Indus River), VPN Gateway Plus (Intel) і VPNWare (VPNet) інформація про правила захисту завантажується в ПК клієнта по мережі. У всіх інших ця задача вирішена більш традиційно. Ви повинні підготувати спеціальний комплект для інсталяції, що складається з призначених для певної мережі файлів ініціалізації і зображень, що поставляються виробником. Як тільки ці комплекти роздані, кінцеві користувачі отримують інформацію про корпоративні правила одночасно з установкою клієнтського ПЗ.

А ось продукти VPN Gateway Plus і VPNWare автоматично завантажують клієнту інформацію про його правилах захисту в процесі інсталяції, що дозволяє відразу визначити правила захисту даних в мережі.

У F-Secure VPN і RiverWorks ця функція отримала подальший розвиток: після того як клієнт закінчує початкову конфігурування, він автоматично отримує від керуючого сервера інформацію про всіх оновленнях в системі правил мережі.

Якщо ви використовуєте весь комплект ПЗ Data Fellows, включаючи антивірусну програму та інструментарій для шифрування файлів, модуль управління правилами координує посилку різних оновлень, в тому числі сигнатур вірусів і застосовуваних правил. Елегантне рішення, хоча воно працює тільки в середовищі Windows.

У ПО RiverWorks компанії Indus River передача правил клієнтові організована ще більш витончено і складно: на єдиній контрольній панелі управління, розміщеної на екрані ПК кінцевого користувача, відображаються параметри доступу в мережу по комутованій лінії та інформація, необхідна для VPN-аутентифікації.

River Pilot – компонент ПО RiverWorks – вносить в дані VPN-клієнта всі телефонні номери корпоративного постачальника Internet-послуг, коди та правила доступу. Коли користувач дає команду на з’єднання, ПО клієнта, використовуючи локальну інформацію про телефонні номери доступу, додзвонюється до Internet-провайдера і забезпечує користувачу будь-який тип зв’язку, від тонального виклику до шифрованого VPN-з’єднання.

Мережний адміністратор перевіряє буквально всі аспекти з’єднання: і чи дозволено використовувати номер служби 800, і який постачальник Internet-послуг є кращим у кожному місті – аж до того, які кінцеві користувачі підключені до корпоративної мережі. Ця інформація про встановлені правила разом з перепроверенним списком номерів дозвону завантажується на клієнти при підключенні. У деяких випадках, наприклад при розгортанні великої мережі VPN, ці закладені в Indus River можливості дають явні переваги. Наприклад, для організації, що має безліч постачальників Internet-послуг, яка рідко пов’язується з філіями та штаб-квартирою по комутованому каналу і нечасто використовує номер аварійної служби 800 (тобто сполуки, керовані з центральної консолі корпоративної мережі), River Pilot явно скоротить витрати на підтримку, одночасно покращивши управління.

У всіх інших протестованих продуктів ПО шифрування є додатковою до Windows мережевий службою. Їх виробники вважають, що користувач вже налаштував мережеве з’єднання або через ЛОМ, або по комутованій лінії зв’язку.

Ще одна властивість, що виділяє деякі з протестованих продуктів, – можливість блокування правил. Після завантаження інформації про правила і конфігурації деякі продукти, наприклад VPN Gateway Plus (Intel) і VPN-1 Gateway (Check Point Software), дозволяють заблокувати ці дані таким чином, що клієнт не може змінити їх. RiverWorks (Indus River), VPN Concentrator Series (Altiga Networks) і Security Management Server (Lucent) працюють тільки в цьому режимі. А ось Ravlin 7100 (RedCreek) і F-Secure VPN + 4.2 (Data Fellows) в будь-який час повністю контролюють роботу користувача.

Який з підходів до забезпечення безпеки краще – залежить від робочого середовища. На жаль, поки немає такого продукту, який один задовольняв би всім потребам ринку. Так що у вас завжди є можливість вибирати між повною свободою і повним контролем за кожним із клієнтів.

Захист клієнта

Після того як правила доступу клієнта встановлені, слід подбати про захист пересилаються йому даних. Ми в основному розглядали продукти, що використовують як IP-протоколів шифрування IP Security (IPSec) і Internet Key Exchange (IKE), так як вони є найбільш поширеними. IPSec визначає методи шифрування і аутентифікації IP-пакетів даних. IKE описує, як відбувається настройка тунелів для передачі даних, а також як створюється інформація про ключі і відбувається її обмін через Internet.

У продуктах компаній RedCreek і Check Point підтримується шифрування як по протоколах IPSec / IKE, так і по своїм фірмовим.

Клієнтська частина продукту VPNWare компанії VPNet підтримує систему шифрування тільки відповідно до протоколу Simple Key Management Internet Protocol (SKIP). Однак це не дуже нас турбувало, оскільки SKIP – дуже зрозумілий стандарт. А ось в продукті VTCP / Secure компанії InfoExpress є тільки система шифрування власної розробки. Правда, на деяких платформах підтримується бета-версія коду IPSec, але не на тих, які ми використовували для тестування.

Деяке занепокоєння викликають також продукти компаній Indus River і Intel. Перший не підтримує IKE для обміну ключами, другий вимагає власних протоколів для створення нових VPN-клієнтів, якщо ви використовуєте для цього входять до LAN Rover засоби. Але ці недоліки не смертельні.

Позиція стандарту Layer 2 Tunneling Protocol (L2TP) на ринку ще не дуже міцна і, ймовірно, не покращиться аж до повсюдного поширення ОС Windows 2000, куди вбудований VPN-клієнт тунелювання по протоколу L2TP. Тому в продуктах, з якими ми мали справу, підтримка L2TP була представлена ​​вельми слабо. Практично, тунелювання з цього протоколу забезпечує лише VPN Concentrator Series фірми Altiga.

Протокол L2TP базується на абсолютно іншої стратегії створення тунелю передачі даних (між іншим, не зашифрованих) від корпоративної мережі до кінцевого користувача. Його перевага полягає в тому, що користувач може створити тунель до сервера не на базі IP-протоколу (а, наприклад, на основі IPX). Але якщо кінцевий користувач аутентифицирующей L2TP-механізмом (відмінним від IPSec і доповнюючим його), то він може отримати IP-адресу, який призначається з центральної консолі корпоративної мережі стандартним чином.

В продукти RiverWorks і VPN Concentrator Series компанії Indus Rivers включена підтримка протоколу Point-to-Point Tunneling Protocol (PPTP), який зазвичай використовується в ОС Windows 3.1 і Macintosh, для яких клієнтська частина протоколу IPSec поки відсутня.

Крім стандартів шифрування і тунелювання мережному адміністратору необхідно звернути увагу на наявність у деяких з протестованих продуктів брандмауерів, вбудованих в клієнтське ПЗ. Дійсно, якщо клієнтський ПК – вікно у вашу мережу, чому б не захистити його від ризику вторгнення? У таких продуктах, як F-Secure VPN, VTCP / Secure і VPN-1 Gateway, деякі функції брандмауерів є і в серверній, і в клієнтській частині ПЗ. Компанія Check Point в пакеті Secure Client пропонує повнофункціональний брандмауер, правда, з досить обмеженим набором сценаріїв захисту.

По суті цей брандмауер – один з видів брандмауера з фільтрацією пакетів, що працює зі статусними даними про всі з’єднання, що дозволяє зіставляти інформацію, передану в обох напрямках. Без повного аналізу трафіку можливості брандмауера з фільтрацією пакетів обмежені. При наявності цієї функції захист набагато більш ефективна, так як пропускаються лише ті пакети, які відносяться до санкціонованою з’єднанню. У продуктах VTCP / Secure і F-Secure VPN клієнтське ПЗ виконує тільки фільтрацію пакетів, що забезпечує більш низький рівень захисту.

Брандмауери з тунелюванням, наявні майже у всіх протестованих продуктах, доповнюють засобами захисту сервер тунелювання. Однак у Permit Enterprise, RiverWorks, VPNWare і Ravlin 7100 такі функції представлені досить слабо. Якщо ви за допомогою одного з цих продуктів збираєтеся організувати для своєї корпорації VPN-мережі з серйозними обмеженнями (наприклад, всім користувачам заборонений доступ в усі мережі, які перебувають у віданні певного департаменту), то вам доведеться додатково встановити ще один брандмауер.

Функції брандмауера на ПК-клієнті можуть бути надмірними, оскільки VPN-клієнти зазвичай підключаються через Internet. Цілком достатньо функції відключення Internet-трафіку на час з’єднання з VPN-мережею. Саме такий підхід реалізований у VPN Concentrator Series компанії Altiga. Коли клієнт з’єднаний з VPN-сервером Altiga, шлях для будь-якого іншого Internet-трафіку закритий: кожен пакет клієнта, перш ніж потрапити в Мережу, направляється на сервер тунелювання. У Permit Enterprise, RiverWorks, Ravlin 7100 і cIPro System кінцевому користувачеві надається можливість вирішити, чи блокувати Internet-трафік в разі активності віртуальної приватної мережі. А в продуктах VPN Gateway Plus (Intel) і VPN-1 Gateway (Check Point) це віддано на розсуд адміністратора.

Все для кінцевого користувача

Ми побоювалися невдоволення кінцевого користувача з приводу програмних засобів VPN, якщо вони суттєво уповільнюють роботу в Internet. Тому було проведено тестування на продуктивність, заміри часу затримки і пропускної здатності. Всі продукти, окрім двох, продемонстрували приблизно однакову продуктивність.

Винятки – це RiverWorks і VTCP / Secure, в яких реалізована функція стиснення. При активізації цієї функції вони забезпечували збільшення продуктивності від 5 до 15% залежно від виду даних і розмірів використовуваних пакетів. Найкращу продуктивність продемонстрував пакет VTCP / Secure, хоча в ньому використовуються фірмові (нестандартні) протоколи.

У клієнтських VPN-продуктах, де стиск не використовується (тобто у всіх, крім двох вищеназваних), мережева продуктивність в середньому зменшувалася на 20%, трафік віртуальної приватної мережі сповільнювався на 16-24%. Для поширених Web-додатків, типу браузера та електронної пошти, таке зниження продуктивності не занадто відчутно. Але для інтерактивних додатків, наприклад віртуальних терміналів, погіршення продуктивності (для них збільшення часу затримки досягало 60%) явно не обрадує користувачів.

Управління тисячами користувачів

Всі протестовані VPN-продукти забезпечують аутентифікацію користувачів. У більшості з них ця можливість реалізована на локальному рівні. Система переглядає інформацію про користувача, яка зберігається в базі даних, на VPN-пристрої або на станції управління віртуальною приватною мережею. Однак, щоб не створювати новий пароль (якщо користувач забув його), слід мати шлюз до зовнішньої базі даних аутентифікації.

Служба дистанційної аутентифікації користувачів, що підключаються по телефонній лінії (Remote Authentication Dial-In User Service, RADIUS), стала стандартом де-факто для організації аутентифікації в мережі. Створені хороші сервери стандарту RADIUS, які працюють з різними базами даних аутентифікації, від NT Security Access Manager і до безлічі систем єдиного пароля, таких як SecurID і Cryptocard, використовують жетони або смарт-карти.

Ми протестували кожен сервер, що підтримує RADIUS, порівнюючи його з нашим. Всі вони продемонстрували чудову можливість взаємодії. Робота практично з кожною з підтримуючих RADIUS VPN-мереж була простіше. Єдиним винятком виявився продукт VPN-1 Gateway: в кінцевому рахунку ми домоглися, щоб він запрацював, але це виявилося не так просто, як з іншими. Тільки F-Secure VPN (Data Fellows) і Permit Enterprise (TimeStep) в даний час не підтримують RADIUS.

Тим не менше доводиться констатувати, що деякі з продуктів не дуже вдало спроектовані. Наприклад, в VPN-1 Gateway дані про кожного користувача потрібно заносити і в свою базу даних, і в базу даних RADIUS – а це не найкраща ідея.

У VPNWare і VPN Concentrator Series реалізований інший підхід. Вони не тільки зберігають інформацію про користувача і паролі в базі даних RADIUS, але й додатково дозволяють завантажувати дані про конфігурацію кожного користувача з сервера RADIUS. Ймовірно, вам сподобається рішення, запропоноване компанією Indus River в RiverWorks. Це ПО вимагає від сервера RADIUS повернення спеціального прапора, який і є дозволом на доступ користувача до віртуальної мережі.

А як йдуть справи з відстеженням “маршрутів” користувачів? Ми вивчили можливості цього роду у тестованих продуктів і, треба сказати, були розчаровані.

Найкращі можливості обліку в серверах VPN-тунелю надає сервіс RADIUS; він забезпечує доступ до облікових записів цих серверів, дозволяючи використовувати будь-які засоби для створення звітів. Security Management Server компанії Lucent і VPN Concentrator Series фірми Altiga підтримують наявну в RADIUS функцію обліку, а LANRover VPN Gateway від Intel надає цей сервіс RADIUS тільки користувачам сервера Shiva Smart Tunnel.

У всіх інших продуктах функції обліку і створення звітів розвинені дуже слабко. Наприклад, в RiverWorks ви можете подивитися інформацію тільки за минулі дні, але не отримаєте дані за ранок сьогоднішнього дня. Гірше того, продукт сам створює файл звітів за день, так що отримати інформацію про підключених користувача за період, більший ніж 24 години, не дуже-то просто. Компанії InfoExpress і Check Point трошки краще організували роботу свого ПЗ. Однак Check Point пропонує заплатити додатково 1500 дол за засіб об’єднання файлів реєстрації, що створює поганенькі звіти з неповними даними, хоча нам здається, що ця функція повинна бути включена в базовий комплект.

Але все-таки краще щось, ніж нічого. А саме так йдуть справи з VPNWare, cIPro System і Ravlin. Ці три продукти або взагалі не надавали ніякої звітності, або відкидали стільки даних, що інформація, яку нам вдавалося отримати, виявлялася марною.

Адміністрування та моніторинг

Засоби управління входом в систему у всіх протестованих продуктах виявилися явно не на висоті, проте в інших областях управління справи йдуть краще. Більш ніж у половини продуктів є можливість у разі яких-небудь неполадок послати повідомлення на пейджер або відправити його по електронній пошті. Найкращим чином управління і моніторинг організовані в продуктах компаній Altiga і Lucent.

У VPN Concentrator Series (Altiga) кожна «дрібниця» в роботі сервера тунелювання відбивається на екрані модуля управління. Можна навіть проконтролювати число обертів вентиляторів в здвоєних джерелах харчування, якщо це когось зацікавить.

Можливості продукту Security Management Server (Lucent) ще ширше. Наприклад, у ньому реалізовані два рівні управління: він дозволяє задати, хто повинен отримувати дані моніторингу і хто може змінювати установки. Крім того, Lucent включила в свій продукт міні-аналізатор протоколу – дуже симпатична функція.

Нам сподобалися також системи з обмеженим числом функцій управління, що запускаються з командного рядка. Це продукти компаній TimeStep, Intel, RadGuard і VPNet. Звичайно, навряд чи ви захочете будувати віртуальну приватну мережу для підприємства, вводячи команди з командного рядка, але підключитися до VPN-серверу, використовуючи емулятор терміналу, щоб змінити один параметр або перевірити сумісність роботи апаратури різних виробників, – вельми приваблива можливість.

Адміністратори мережі, які хотіли б керувати VPN, керуючись формулою “настрой і забудь”, можуть задовольнитися обмеженими засобами управління продуктів компаній Red Creek і Intel. Хоча вони і дозволяють побачити, що відбувається в мережі, але процес втілення цих можливостей вельми обтяжливий. У VTCP / Secure фірми InfoExpress функції управління ще менш дружні по відношенню до користувача: це єдиний VPN-продукт, в якому конфігурування проводиться за допомогою меню в ASCII-кодах в сеансі MS-DOS. Якщо потрібно подивитися, хто зареєструвався, необхідно запустити генерацію звіту, а єдиний спосіб “викинути” користувача, який “погано поводиться”, – це перезапустити VPN-сервер цілком.

Досить дивно, але всі протестовані нами продукти працювали майже в повній відповідності з тим, що виробники заявляли про них в рекламі, хоча деякі невідповідності виявилися в наших тестах на час затримки і пропускну здатність. В основному найбільша нестабільність спостерігалася в разі тривалої роботи клієнтів, незалежно від того, були вони підключені до VPN чи ні. Отримати повторювані відхилення від норми для таких вимірів досить складно.

У деяких продуктів відмова виникав, якщо час життя тунелю було занадто велике (більше 24 годин), хоча всі, з ким ми обговорювали цю проблему, запевняли нас, що система буде працювати нормально після внесення наступної серії виправлень або заміни ОС, параметрів захисту, часу роботи ключів. Якщо ви дійсно плануєте працювати з “довгоживучими” тунелями, перш ніж купувати систему, протестуйте їх роботу в своєму середовищі зі своїми параметрами безпеки.

Набагато гірші справи зі стабільністю роботи консолей управління. Наприклад, в RiverWorks графічний інтерфейс користувача кілька разів “рухнув”. А в VPNWare час від часу не працювали Java-засоби і програму доводилося перезапускати. У деяких випадках причина появи проблем коренилася в невдалому проектуванні продукту. Так, архітектура VTCP / Secure не забезпечувала підтримку всіх IP-протоколів, що може викликати помилки несумісності при роботі з певними додатками. Через об’єднання в Security Management Server (Lucent) функцій VPN з брандмауером виникали проблеми підключення до нашого FTP-серверу.

* * *

Продукти, які ми протестували, дуже різні. Щоб вибрати потрібний, слід врахувати розмір вашої віртуальної приватної мережі, спосіб підключення до Internet і багато інших, більш складні, питання.

Продукти серії Ravlin (RedCreek) перевершують всі інші по простоті інсталяції та роботи. Тим не менш Ravlin доставить вам масу клопоту, якщо число віртуальних користувачів буде вимірюватися тисячами.

Для Cети із середньою кількістю користувачів відмінним рішенням буде VPN Concentrator Series фірми Altiga. У нього і ціна непогана, і інтерфейс управління зрозумілий: настройка і робота з ним не викликала труднощів. Продукти компаній Lucent і Check Point по цих позиціях також отримали хороші бали, однак інтерфейси управління у них на порядок складніше, ніж у VPN Concentrator Series, причому від цього їх функціональність не зросла у стільки ж разів.

Якщо необхідно розгорнути дуже велику віртуальну мережу, уважно придивіться до пропозицій компаній Indus River і TimeStep – продуктам RiverWorks і Permit Enterprise відповідно. У цих компаніях добре уявляють собі, як організувати віртуальну мережу для 10 тис. і більше клієнтів. Хоча в обох продуктах засоби створення звітів не позбавлені недоліків, високі показники по інших позиціях дають їм явну перевагу перед іншими. Можна також скористатися пропозиціями компаній Lucent, VPNet і Intel, сильною стороною яких є вдала архітектура.

Однак такий розподіл на продукти для малих, середніх та великих систем не повинно впливати на вибір, якщо якийсь “претендент” краще за інших відповідає вашим вимогам.

Призер в номінації Блакитна стрічка

Продукт: Permit Enterprise 1.2
Виробник: TimeStep

Блакитну стрічку заслужив продукт Permit Enterprise 1.2 компанії TimeStep, хоча суперники “дихали прямо в потилицю”. Він забезпечує найкращу підтримку інфраструктури загальнодоступних ключів (PKI) і найпотужніші функції управління для розгортання VPN-мережі підприємства.

Як ми тестували

Тестовий стенд складався з однієї клієнтської робочої станції, підключеної до сервера тунелювання. На іншій стороні тунелю знаходився сервер, який ми використовували для перевірки можливостей підключення і продуктивності. В якості тестового сервера застосовувався комп’ютер на базі процесора Alpha (500-МГц) з пам’яттю об’ємом 256 Мбайт, що працює під ОС Digital UNIX. А клієнтської робочої станцією для емуляції робочих характеристик типового ноутбука користувача, пов’язаного з мережею по телефонній лінії, служила більш повільна система (ПК з 200-МГц Pentium Windows 95 OSR 2.5). Для кожного тестованого продукту оцінювалися процес інсталяції та конфігурування клієнтської робочої станції, а також вимірювалася її продуктивність, щоб зрозуміти, як установка програмного засобу VPN впливає на роботу кінцевого користувача. Сумісність не тестувалася, так як на практиці організації рідко використовують клієнтське ПО одного виробника, а брандмауер – іншого.

Було б, звичайно, добре перевірити, чи підтримують продукти в дійсності то сумарне число тунелів, про який заявляють виробники, однак єдиний надійний метод проведення даного тесту – Створення сотень тисяч робочих станцій, підключених до корпоративної мережі по комутованих каналах, що в лабораторних умовах нездійсненно. Тому ми лише оцінили вплив VPN-шифрування на продуктивність роботи в мережі і час затримки для кінцевого користувача. Для цього використовувалося з’єднання по одному каналу мережі ISDN (64 кбіт / с), який давав приблизно ту ж затримку, що при модемного зв’язку, але зате забезпечував повторюваність тестових умов.

Для вимірювання пропускної здатності та затримки на робочій станції і сервері встановлювалося тестове ПЗ, що використовує протокол TCP / IP, яке дозволяє виміряти час затримки проходження великих і малих IP-пакетів компрессіруемих даних від робочої станції до тестового сервера. Пропускна здатність вимірювалася при передачі даних по протоколу TCP у односпрямованої режимі. Це досить типова ситуація при скачуванні по протоколу HTTP злегка стисненого файлу, наприклад графічного зображення або виконуваної програми.

[Вперед]

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*