Тестирование модуля Cisco NME-RVPN + ПО KAV
7 октября 2013
Не так давно пришлось тестировать модуль Cisco NME-RVPN с ПО KAV, в изготовлении которого поучаствовали 3 вендора:
— Cisco — которая предоставила аппаратную платформу;
— S-Terra — российская компания разработчик, которая разработала ПО реализующее ГОСТ'овую криптографию
— Лаборатория Касперского — предоставила решение по проверке http, ftp и smtp -трафика на вредоносный код, а также решение по проверке почтовых сообщений на спам (для тех, кто знаком с продуктами Kaspersky Lab, на модуле были установлены KAV 4 Proxy и SMTP Mail Gateway).
Описываемый модуль представляет из себя компьютер с двумя Ethernet инерфейсами 10/100/1000 (один интерфейс располагается на внешней панели модуля, второй интерфейс располагается на внутренней шине, с помощью которой модуль подключается к маршрутизаторц Cisco), процессором 1,5 ГГц, и памятью 512 Мб. В качестве жёсткого диска используется карточка Compact Flash.
Модуль может быть установлен в Cisco ISR 2800 и 3800 серий.
Для тестирования был собран стенд, который имитировал работу двух офисов: центрального офиса и филиала. В центральном офисе раполагались почтовый сервер, web-сервер иммитирующий работу корпоративного порта, Cisco Call Manager. В каждом офисе был собственный выход в интернет. Весь HTTP и FTP трафик проходил через KAV 4 Proxy и проверялся «на лету» на наличие вредоносного кода. Была сэмулирована работа одновременно 30 пользователей, которые просматривали различные Web-ресурсы. Каких-либо задержек на проверку трафика замечено не было.
Весь трафик между офисами заворачивался в VPN-тунель, построенный на основе ГОСТ'овых алгоритмов. Web-трафик, идущей в туннеле из центрального офиса в филиал, так же проверется на вредоносный код.
Почтовый трафик, идущий на почтовый сервер, расположенный в центральном офисе заворачивается на smpt mail gateway, который представляет из себя smtp-relay, на котором происходит проверка smtp-трафика на вредоносный код и на спам.
Для настройки сервиса VPN, на модуле, используется cisco-like интерфейс, который абсолютно аналогичен интерфейсу Cisco IOS. Для настройки VPN-туннеля специалисту достаточно иметь опыт работки с маршрутизаторами Cisco.
Настройка anti-virus и anti-spam сервисов производиться через linux-like нитерфейс. Для настройки этих сервисов необходимо иметь небольшой опыт работы с linux-системами.
Для настройки модуля не требуется каких-либо специфических знаний, и не занимает много времени.
Во время тестирования модуля были проведены следующие измерения:
• Измерение маскимальной пропускной способности VPN-туннеля, без проверки трафика на содержание вредоносного кода.
С помощью утилиты iperf нагружали VPN-туннель повышая скорость. Как показали измерения, пропускная способность туннеля была около 75 mbps и загрузка процессора на модуле колебалась в районе 10-11%. То есть при загрузке туннеля, процессор способен выполнять ополнительные функции без ущерба для VPN.
• Измерение максимальной загрузки процессора при проверки http трафика на вредоносный код.
При установленном, но ненаргуженном VPN-туннеле, производилось скачивание заражённого тестовым вирусом eicar zip-архива объёмом 100 Mb. Измерения показали что средняя загрузка процессора при проверка трафика на вредоносный код составляет 6-8%, при этом пиковая нагрузка составляет 25-30%.
• Измерение максимальной загрузки процессора при проверке почтового трафика на наличие вредоносного кода и спам.
Антиспам сервис, запушенный на модуле, настроен в виде smtp-relay. Все сообщения проверяются на модуле и затем, пересылаются на сервер. Измерения показали, что загрузка процессока при проверке сообщие составляет 45-50%.
• Проверка задержки приоритизированного трафика при одновременной проверке http и smtp трафика на вредоносный код.
В данном тесте были сведены все вышеописанные с неюольшими изменениями. Одновременно, при нагруженом VPN-туннеле, трафик, пропускаемый через туннель ограничели 60 mbps, при этом из филиала скачивали с корпоративного портала заражённый zip-архив и пересылали на корпоративный почтовый сервер сообщения, 10 сообщений в секунду. Каждое сообщение содержало 1 Mb вложение с тестовым вирусом eicar. Результаты измерений показали, что загрузка процессора при одновременной работе этих трёх сервисов сосавила 70-80%. То есть ещё оставался небольшой запас.
• Проверка задержек приоритизированного трафика при одновременной загрузке исследуемых сервисов.
К предыдущему эксперименту добавили голосовой трафик. В дополнение к предыдущему тесту одновременно с загрузкой описываемых сервисов совершили звонок по IP-телефонии из центрального офиса в филиал, предварительно настроив QoS на модуле. Измерения показали, что заметной задержки приоритезированного трафика не происходит, голос не рвался и не искажался.
По реультатам проведённых испытаний можно сделать вывод, что тестируемое решение справляется с возложенными на него функциями и при этом имеет небольшой запас прочности. (http://habrahabr.ru/post/67297/)
— Cisco — которая предоставила аппаратную платформу;
— S-Terra — российская компания разработчик, которая разработала ПО реализующее ГОСТ'овую криптографию
— Лаборатория Касперского — предоставила решение по проверке http, ftp и smtp -трафика на вредоносный код, а также решение по проверке почтовых сообщений на спам (для тех, кто знаком с продуктами Kaspersky Lab, на модуле были установлены KAV 4 Proxy и SMTP Mail Gateway).
Описываемый модуль представляет из себя компьютер с двумя Ethernet инерфейсами 10/100/1000 (один интерфейс располагается на внешней панели модуля, второй интерфейс располагается на внутренней шине, с помощью которой модуль подключается к маршрутизаторц Cisco), процессором 1,5 ГГц, и памятью 512 Мб. В качестве жёсткого диска используется карточка Compact Flash.
Модуль может быть установлен в Cisco ISR 2800 и 3800 серий.
Для тестирования был собран стенд, который имитировал работу двух офисов: центрального офиса и филиала. В центральном офисе раполагались почтовый сервер, web-сервер иммитирующий работу корпоративного порта, Cisco Call Manager. В каждом офисе был собственный выход в интернет. Весь HTTP и FTP трафик проходил через KAV 4 Proxy и проверялся «на лету» на наличие вредоносного кода. Была сэмулирована работа одновременно 30 пользователей, которые просматривали различные Web-ресурсы. Каких-либо задержек на проверку трафика замечено не было.
Весь трафик между офисами заворачивался в VPN-тунель, построенный на основе ГОСТ'овых алгоритмов. Web-трафик, идущей в туннеле из центрального офиса в филиал, так же проверется на вредоносный код.
Почтовый трафик, идущий на почтовый сервер, расположенный в центральном офисе заворачивается на smpt mail gateway, который представляет из себя smtp-relay, на котором происходит проверка smtp-трафика на вредоносный код и на спам.
Для настройки сервиса VPN, на модуле, используется cisco-like интерфейс, который абсолютно аналогичен интерфейсу Cisco IOS. Для настройки VPN-туннеля специалисту достаточно иметь опыт работки с маршрутизаторами Cisco.
Настройка anti-virus и anti-spam сервисов производиться через linux-like нитерфейс. Для настройки этих сервисов необходимо иметь небольшой опыт работы с linux-системами.
Для настройки модуля не требуется каких-либо специфических знаний, и не занимает много времени.
Во время тестирования модуля были проведены следующие измерения:
• Измерение маскимальной пропускной способности VPN-туннеля, без проверки трафика на содержание вредоносного кода.
С помощью утилиты iperf нагружали VPN-туннель повышая скорость. Как показали измерения, пропускная способность туннеля была около 75 mbps и загрузка процессора на модуле колебалась в районе 10-11%. То есть при загрузке туннеля, процессор способен выполнять ополнительные функции без ущерба для VPN.
• Измерение максимальной загрузки процессора при проверки http трафика на вредоносный код.
При установленном, но ненаргуженном VPN-туннеле, производилось скачивание заражённого тестовым вирусом eicar zip-архива объёмом 100 Mb. Измерения показали что средняя загрузка процессора при проверка трафика на вредоносный код составляет 6-8%, при этом пиковая нагрузка составляет 25-30%.
• Измерение максимальной загрузки процессора при проверке почтового трафика на наличие вредоносного кода и спам.
Антиспам сервис, запушенный на модуле, настроен в виде smtp-relay. Все сообщения проверяются на модуле и затем, пересылаются на сервер. Измерения показали, что загрузка процессока при проверке сообщие составляет 45-50%.
• Проверка задержки приоритизированного трафика при одновременной проверке http и smtp трафика на вредоносный код.
В данном тесте были сведены все вышеописанные с неюольшими изменениями. Одновременно, при нагруженом VPN-туннеле, трафик, пропускаемый через туннель ограничели 60 mbps, при этом из филиала скачивали с корпоративного портала заражённый zip-архив и пересылали на корпоративный почтовый сервер сообщения, 10 сообщений в секунду. Каждое сообщение содержало 1 Mb вложение с тестовым вирусом eicar. Результаты измерений показали, что загрузка процессора при одновременной работе этих трёх сервисов сосавила 70-80%. То есть ещё оставался небольшой запас.
• Проверка задержек приоритизированного трафика при одновременной загрузке исследуемых сервисов.
К предыдущему эксперименту добавили голосовой трафик. В дополнение к предыдущему тесту одновременно с загрузкой описываемых сервисов совершили звонок по IP-телефонии из центрального офиса в филиал, предварительно настроив QoS на модуле. Измерения показали, что заметной задержки приоритезированного трафика не происходит, голос не рвался и не искажался.
По реультатам проведённых испытаний можно сделать вывод, что тестируемое решение справляется с возложенными на него функциями и при этом имеет небольшой запас прочности. (http://habrahabr.ru/post/67297/)