Тестирование модуля Cisco NME-RVPN + ПО KAV

    Не так давно пришлось тестировать модуль Cisco NME-RVPN с ПО KAV, в изготовлении которого поучаствовали 3 вендора:
    — Cisco — которая предоставила аппаратную платформу;
    — S-Terra — российская компания разработчик, которая разработала ПО реализующее ГОСТ'овую криптографию
    — Лаборатория Касперского — предоставила решение по проверке http, ftp и smtp -трафика на вредоносный код, а также решение по проверке почтовых сообщений на спам (для тех, кто знаком с продуктами Kaspersky Lab, на модуле были установлены KAV 4 Proxy и SMTP Mail Gateway).

    Описываемый модуль представляет из себя компьютер с двумя Ethernet инерфейсами 10/100/1000 (один интерфейс располагается на внешней панели модуля, второй интерфейс располагается на внутренней шине, с помощью которой модуль подключается к маршрутизаторц Cisco), процессором 1,5 ГГц, и памятью 512 Мб. В качестве жёсткого диска используется карточка Compact Flash.
    Модуль может быть установлен в Cisco ISR 2800 и 3800 серий.

    Для тестирования был собран стенд, который имитировал работу двух офисов: центрального офиса и филиала. В центральном офисе раполагались почтовый сервер, web-сервер иммитирующий работу корпоративного порта, Cisco Call Manager. В каждом офисе был собственный выход в интернет. Весь HTTP и FTP трафик проходил через KAV 4 Proxy и проверялся «на лету» на наличие вредоносного кода. Была сэмулирована работа одновременно 30 пользователей, которые просматривали различные Web-ресурсы. Каких-либо задержек на проверку трафика замечено не было.

    Весь трафик между офисами заворачивался в VPN-тунель, построенный на основе ГОСТ'овых алгоритмов. Web-трафик, идущей в туннеле из центрального офиса в филиал, так же проверется на вредоносный код.

    Почтовый трафик, идущий на почтовый сервер, расположенный в центральном офисе заворачивается на smpt mail gateway, который представляет из себя smtp-relay, на котором происходит проверка smtp-трафика на вредоносный код и на спам.

    Для настройки сервиса VPN, на модуле, используется cisco-like интерфейс, который абсолютно аналогичен интерфейсу Cisco IOS. Для настройки VPN-туннеля специалисту достаточно иметь опыт работки с маршрутизаторами Cisco.
    Настройка anti-virus и anti-spam сервисов производиться через linux-like нитерфейс. Для настройки этих сервисов необходимо иметь небольшой опыт работы с linux-системами.
    Для настройки модуля не требуется каких-либо специфических знаний, и не занимает много времени.

    Во время тестирования модуля были проведены следующие измерения:
    • Измерение маскимальной пропускной способности VPN-туннеля, без проверки трафика на содержание вредоносного кода.
    С помощью утилиты iperf нагружали VPN-туннель повышая скорость. Как показали измерения, пропускная способность туннеля была около 75 mbps и загрузка процессора на модуле колебалась в районе 10-11%. То есть при загрузке туннеля, процессор способен выполнять ополнительные функции без ущерба для VPN.
    • Измерение максимальной загрузки процессора при проверки http трафика на вредоносный код.
    При установленном, но ненаргуженном VPN-туннеле, производилось скачивание заражённого тестовым вирусом eicar zip-архива объёмом 100 Mb. Измерения показали что средняя загрузка процессора при проверка трафика на вредоносный код составляет 6-8%, при этом пиковая нагрузка составляет 25-30%.
    • Измерение максимальной загрузки процессора при проверке почтового трафика на наличие вредоносного кода и спам.
    Антиспам сервис, запушенный на модуле, настроен в виде smtp-relay. Все сообщения проверяются на модуле и затем, пересылаются на сервер. Измерения показали, что загрузка процессока при проверке сообщие составляет 45-50%.
    • Проверка задержки приоритизированного трафика при одновременной проверке http и smtp трафика на вредоносный код.
    В данном тесте были сведены все вышеописанные с неюольшими изменениями. Одновременно, при нагруженом VPN-туннеле, трафик, пропускаемый через туннель ограничели 60 mbps, при этом из филиала скачивали с корпоративного портала заражённый zip-архив и пересылали на корпоративный почтовый сервер сообщения, 10 сообщений в секунду. Каждое сообщение содержало 1 Mb вложение с тестовым вирусом eicar. Результаты измерений показали, что загрузка процессора при одновременной работе этих трёх сервисов сосавила 70-80%. То есть ещё оставался небольшой запас.
    • Проверка задержек приоритизированного трафика при одновременной загрузке исследуемых сервисов.
    К предыдущему эксперименту добавили голосовой трафик. В дополнение к предыдущему тесту одновременно с загрузкой описываемых сервисов совершили звонок по IP-телефонии из центрального офиса в филиал, предварительно настроив QoS на модуле. Измерения показали, что заметной задержки приоритезированного трафика не происходит, голос не рвался и не искажался.

    По реультатам проведённых испытаний можно сделать вывод, что тестируемое решение справляется с возложенными на него функциями и при этом имеет небольшой запас прочности.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 6

      0
      1) Как насчет 7206 VXR? Туда вставить можно? Заработает?
      2) Сколько максимально пользователей оно способно выдержать?
      3) Как происходит лицензирование KAV?
      4) Что оно делает со спам сообщениями?
      5) Цена?
        0
        1) Нет нельзя
        5) Спросите у ваших диллеров. Я не нашел в GPL прайсе, но у меня он старый. Цены могут разные давать.
        0
        Интересная штука, конечно интересует и цена.
          +1
          1. На данный момент модули могут встраиваться на Cisco ISR 2800 и 3800 серии. Но как говорили коллеги из Cisco Systems — это маркетинговое, а не техническое ограничение, и при интересе со стороны потребителей, данное решение доработают для возможности встраивания в другие устройства Cisco.
          2. Ну из опыта могу предположить, что на данный модуль можно посадить до 500 нормальных пользователей (при тестировании эмулировалась работа ОЧЕНЬ активных пользователей :-), и пиковая загрузка процессора составляла 25-30%, при ненагруженном VPN и Mail Gateway сервисах). При полной загрузке всех сервисов загрузка процессора доходила до 80%, однако это опять же при ОЧЕНЬ активных пользователях. Так же на данный момент существуют варианты NME-модулей с более мощной конфигурацией.
          3. По поводу лицензирования сейчас ответить не смогу, постараюсь уточнить у коллег из Лаборатории Касперского, могу лишь предположить из разговоров, что будет годовая лицензия на безлимитное количество сессий.
          4. Действия на спам-сообщения настраиваются. В решении используется обычный Kaspersky Mail Gateway (я с ним столкнулся впервые), и у него очень много настроек. По умолчанию, он помечает письмо как спам и пересылает без изменений.
          5. По поводу цены, думаю лучше уточнить у компании S-Terra (сайт www.s-terra.com). Так как я не владею вопросом цены. Но насколько я знаю поставки данного решения будт идти через них.
            0
            1. Думаю будет достаточно разговора с Accounting Team в которым вы их убедите что вам нужно много таких штук и поддержка будет включена в IOS релизы для других серии.
            0
            Насколько я знаю, на данный момент не продано ни одного такого модуля, равно как и модуля просто с КАВ

            Не совсем понятно, кому адресован этот продукт.

            Может есть подвижки в этом вопросе? Я читаю курсик по продукту S-Terra (только с шифрованием) и мне часто задают вопросы по поводу КАВ, мол, где его применить.

            Only users with full accounts can post comments. Log in, please.