Du är här: > > Nyheter > Niðavellir mark II och VPN - Benchmarkning och köprådgivning

Niðavellir mark II och VPN - Benchmarkning och köprådgivning

Du som redan läst på lite om Niðavellir™ vet kanske att denna smidiga brandväggslösning har stöd för det mesta man kan önska sig och skalar väl men kanske är VPN en sådan sak som är extra viktig vid ert företags val av brandväggar för kontor, serverrummet och hemarbetsplatserna.

I denna artikel djupdyker vi i VPN och visar hur en realistisk miljö med en hemarbetsplats som ansluter till kontoret kan se ut och fungera.

 

Vi börjar med att slå hål på en vanlig myt - VPN är inte alls krångligt och ja, det är säkert.


Genom att välja Niðavellir plattformen får ni så mycket mer än en prisvärd, högpresterande och säker brandvägg, ni får stöd för VPN på alla möjliga tänkbara sätt. Hur ska man då tänka?

 

Vi tycker att man ska tänka OpenVPN. Det finns flera anledningar till detta. Det går såklart att välja någon av de många andra tekniker som stöds men här är några av fördelarna med att välja just denna "smak" av VPN:

 - Ingen licenskostnad. OpenVPN är kostnadsfritt att använda även kommersiellt och ni betalar inte heller för programmen som används på klientdatorerna.

 - Stöd för många olika plattformar, tex Android, Linux, Unix, Windows, Mac.

 - Enkelt att använda. Stöd för stark kryptering.

 

Just det sistnämnda är något som många är rädda för. I många andra (läs: klenare) brandväggar kan man inte använda riktigt stark kryptering. Faktum är att i många vanliga företagsbrandväggar använder så pass svag kryptering att det knappast innebär något "riktigt" skydd.

Är det tex bland annat företagshemligheter ni ska hantera, varför inte använda genomgående stark kryptering. På allt. Med Niðavellir så "kostar" det inget - tvärt om, ni har redan möjlighet att använda ordentligt stark kryptering och varför då inte skruva upp allt så högt det går.

 

Rekommendationen år 2012 var att använda minst 1024 bitars kryptering för tjänster som VPN. Faktum är att än idag förekommer massvis av tjänster som använder så svag kryptering som 256 bitar. Med den utveckling som skett sista tiden inom bland annat processorer så ser vi inte någon anledning att inte välja 4096 bitars kryptering idag. Detta kommer att räcka "gott och väl" i några år så ni slipper göra om inställningarna på ett tag om ni inte behöver det av någon annan anledning.

 

Det som händer när ni väljer att använda stark kryptering som 4096 bitar är att:

 - VPN-servern (i er Niðavellir) kommer att jobba lite hårdare ju starkare kryptering ni väljer.

 - VPN-klienten (i era användares datorer) kommer att jobba lite hårdare just starkare kryptering ni väljer.

 

Har ni några "klena" netbook-datorer kanske det kan vara en idé att prova först, blir det för långsamnt eller för "tungt" för dem, välj lite svagare kryptering i värsta fall. Är man på tjänsteresa eller semester och bara har tillgång till en access med lite lägre bandbredd så kommer man ändå att märka av att det går långsammare så om huvudsaken snarare är ATT man kan logga in och inte att det tar några sekunder längre tid här och där så förordar vi ändå att man väljer stark kryptering - datorn belastas ju bara när man har VPN-tunneln igång och inte annars så ingen större försämring av användarupplevelsen inträffar.

 

Rent tekniskt behöver du en Niðavellir-brandvägg på varje plats där du vill att dina klienter ska gå ut på Internet. Ska alla gå ut via kontoret så räcker det med andra ord med en Niðavellir och varje användardator installerar den kostnadsfria VPN-klienten.

Inställningarna för varje användare görs en gång på brandväggen och varje användare skyddas med både certifikat, användarnamn och lösenord. Skulle någon av användarnas dator hamna på villovägar så blockerar man just den användarens VPN-certifikat och det går även att se i brandväggen när användare är inloggade, hur mycket data som skickas osv.

En annan styrka med Niðavellir är såklart att man även kan upprätta brandväggsregler. Vill man exempelvis begränsa access för vissa användare eller låta användare nå varandra, särskilda resurser osv så kan man självfallet styra detta i detalj precis så som man vill ha det. Där andra brandväggar fungerar mer som "på eller av" får ni med Niðavellir ett kraftfull verktyg där ni i detalj kan anpassa varje parameter om ni så önskar.

 

I vårt exempel nedan, som vi självfallet även genomfört tester med på riktigt i en realistisk miljö har vi utgått från nedanstående:

 

Niðavellir-brandväggen, en "vanlig" Niðavellir Mk II med 6st Gigabit-portar, ansluten på en typisk företagsförbindelse idag, en fiberaccess med massvis av annan trafik, ett antal olika servrar och andra datorer som genererar trafik och belastar brandväggen. Vissa klienter laddar ned och upp stora filer och det sker även annan tung trafik via brandväggen som epost och websidor. Det är således inte bara VPN-trafik som brandväggen får jobba med, tvärt om, den får jobba ganska hårt med blandade uppgifter under hela testet.

Bandbredden som allokerats till brandväggen är 100Mbps på WAN-sidan (utåt mot Internet) och inåt mot LAN-sidan så körs Gigabit-ethernet med en vanlig Gigabit-ethernet-switch.

På klient-sidan har vi använt en klen netbook-dator, dvs en liten bärbar dator med enbart en fyrkärnig Atom-processor och lite arbetsminne. Vi har använt Windows 7. Anslutningen är en vanlig ADSL-anslutning med 10Mbps nedströms, men med den begränsning som de flesta enklare ADSL-anslutningar har uppströms på 0.7Mbps. Detta kommer såklart att bli vår flaskhals. Eftersom det ser ut på det här sättet i många sommarstugor, hemarbetsplatser och liknande så blir det dock en realistisk miljö att testa. Det kan helt enkelt inte gå snabbare än 0.7Mbps uppströms men som vi kommer att visa nedan så räcker det mycket långt ändå.

Klienten installeras på netbook-datorn, certifikat och installationsfiler hämtas smidigt direkt från brandväggen eller kan distribueras via tex ett USB-minne till användarna. Det är viktigt att alla certifikat, lösenord och användarnamn samt informationen om hur VPN-accessen fungerar hanteras varsamt. Skulle tex datorn bli stulen så måste man ha användarnament och lösenordet för att kunna ansluta till företagsnätverket via VPN, något som innebär ett extra (sista) lager av skydd om det värsta skulle inträffa.

Vi ansluter VPN-klienten. Det tar några sekunder medan klient och server "handskakar" och anslutningen kopplas upp. Nu sätter vi igång och belastar förbindelsen så mycket vi kan, laddar ned stora filer, skickar mail, laddar upp stora filer samtidit som vi mäter kvaliteten på förbindelsen både i brandväggen och på klientsidan med bland annat pingplottrar och mätning av jitter, förlorade paket och hur långa svarstiderna blir.

Betyget är faktiskt enastående. Inte ett enda paket tappades bort i vårt test, svarstiderna var bra men överföringshastigheten blev lidande då vår begränsning uppströms på ADSL-accessen innebär att alla de "ack"-paket som behöver skickas för nedladdningen inte kan skickas tillräckligt snabbt - vi får inte ens ut våra 10Mbps utan vi kommer ned i ca 6Mbps nedströms och fortfarande ca 0.7Mbps uppströms. Helt godkänt ändå och framför allt såg vi följande intressanta resultat:

 - Inte ett enda paket tappades bort, dvs inga paketförluster.

 - Systembelastningen på brandväggen låg stadigt på mellan 1% och 3%, dvs brandväggen behöver knappt jobba alls. Trots att vi tryckte på med så mycket data vi kunde och lät brandväggen jobba hårt i övrigt.

 - Svarstiderna såg riktigt bra ut, antagligen pga att Niðavellir-brandväggen aldrig kom i närheten av en situation där den skulle behöva prioritera mellan olika "uppgifter".

 

Slutsatsen vi kan dra är att standardmodellen på Niðavellir Mk II i grundutförande lätt skulle kunna klara av 30st samtidiga användare under liknande förhållanden.

Notera att vi skrev grundutförande. Det finns som bekant olika modeller av Niðavellir, för de lite större företagen där man behöver hundratals samtidiga VPN-användare så dimensionerar vi helt enkelt utifrån detta. För de riktigt stora företagsnätverken sätter vi naturligtvis upp en eller två separata VPN-system som ej berörs av övrigt trafik.

Eftersom det är enkelt att skala upp med Niðavellir är det aldrig ett problem om ert behov skulle öka.

Eftersom Niðavellir går ned i strömförbrukning vid låg belastning får ni dessutom en så energismart, sval och miljövänlig lösning.

 

Annonsplatser:
co-location