AquaInspector или готовое решение для организации, контроля и защиты доступа в интернет
Введение
Систему предоставления и контроля доступа к глобальной сети, учёта и защиты пользовательского трафика Смарт-Софт Traffic Inspector нам несколько раз приходилось внедрять в различных небольших организациях и филиалах крупных компаний. При этом каждый раз требовалось выбирать аппаратную платформу, устанавливать операционную систему, производить первоначальную настройку всех компонентов, осуществлять поддержку реализованного решения. К счастью, сегодня можно приобрести уже готовую и полностью настроенную версию биллинговой системы – AquaInspector, возможности которой мы сегодня будем рассматривать.
Внешний вид
Программно-аппаратный комплекс AquaInspector поставляется в чёрном металлическом корпусе, габаритные размеры которого составляют 275х264х112 мм. Поддерживаются вертикальное и горизонтальное настольное размещение, для чего на двух сторонах корпуса присутствуют посадочные места под резиновые ножки, поставляемые в комплекте. Монтаж в стойку без специализированных полок не предусмотрен. Как нам стало известно, компания Смарт-Софт планирует в ближайшем будущем выпуск стоечных версий AquaInspector, что, на наш взгляд, будет весьма востребовано.
Рассмотрим элементы корпуса при вертикальном расположении. Верхняя панель имеет две неравные вентиляционные решётки с установленными за ними вентиляторами.
Боковые стороны и днище ничем не примечательны, кроме, разве что наклеек с ключом для операционной системы и названием продукта. На наш взгляд, белые бумажные наклейки на чёрном корпусе выглядят несколько неуместно и портят общий вид продукта. Конечно, мы понимаем, что такой узел не будет расположен на всеобщем обозрении, но коль скоро для корпуса был выбран вполне приятный дизайн, - можно было бы не портить картину аляповатыми наклейками.
На лицевой стороне расположены кнопки включения/выключения и перезагрузки устройства, световые индикаторы его состояния и активности жёсткого диска. Также здесь размещены два порта USB 2.0 и два гнезда для подключения микрофона и колонок.
Одна из панелей лицевой стороны открывается и предназначена для установки привода для чтения оптических дисков (по умолчанию не установлен).
Задняя сторона стандартна для большинства компьютеров: здесь расположен разъём для подключения питания, два разъёма PS/2 для клавиатуры и мыши, четыре порта USB 2.0, два сетевых интерфейса Gigabit Ethernet, три аудио разъёма, а также аналоговый выход для подключения монитора. Рядом с сетевыми интерфейсами присутствуют наклейки, поясняющие назначение каждого из них. Значительную часть задней поверхности занимает вентиляционная решётка. Стоит сказать, что решение по охлаждению корпуса нам кажется несколько странным, так как воздушный поток будет попадать в корпус через заднюю панель, а выходить сверху или сбоку (в зависимости от расположений блока), тогда как обычно забор холодного воздуха производится через переднюю панель устройства.
Заглянем теперь внутрь устройства.
Аппаратная платформа
Внутри AquaInspector представляет из себя обычный компьютер, построенный на базе материнской платы Intel D510MO с впаянным процессором Intel Atom D510, работающий на частоте 1,66 ГГц.
Стоит отметить, что кроме пломб на корпусе электронные компоненты AquaInspector «защищены» каплями клея, препятствующего замене комплектующих.
Оперативная память представлена двумя планками памяти DDR2 Hynix HYMP125U64CP8-S6 объёмом 2 Гбайта, таким образом, суммарный объём оперативной памяти составляет 4 Гбайта.
Один сетевой интерфейс является встроенным в материнскую плату, второй же представлен в виде отдельной сетевой карты Intel Pro/1000GT.
В качестве жёсткого диска была выбрана модель SATA III модель Seagate ST250DM000, объём которой составляет 250 Гбайт.
На этом мы завершаем изучение аппаратной составляющей устройства и переходим к рассмотрению его программной части.
Обзор веб-интерфейса
Для доступа к веб-интерфейсу устройства необходимо обратиться к адресу 192.168.0.1 по порту 8081 с помощью любого современного браузера.
При доступе к пункту меню администрирование требуется ввести логин и пароль. AquaInspector поставляется вместе с созданным пользователем admin/admin. Традиционно для такой ситуации мы рекомендуем сразу же сменить все стандартные пароли.
Возможности веб-интерфейса программы во многом повторяют функционал, предоставляемый консолью утилиты Traffic Inspector для управления пользователями и их группами. Так, например, с помощью подгруппы «Пользователи и группы» оператор может просмотреть параметры тарификации конкретного пользователя, получить список сессий выбранного абонента, добавить оплату и отправить сообщение.
Подгруппа «Отчёты» позволяет получить информацию о потреблённом трафике и текущих соединениях, просмотреть сетевую статистику и пользовательские счета, изучить запросы через прокси-сервер, использующий порт TCP-8080, и пользовательскую активность (при наличии соответствующей лицензии).
Подпункт диагностика может потребоваться для решения возникающих проблем: здесь представлена разнообразная журнальная информация, а также встроенный сервис Whois.
Веб-портал Traffic Inspector предназначен не только для администраторов, но и для простых пользователей, где последние могут ознакомиться с параметрами собственного тарифного плана, просмотреть собственные сессии и потреблённый трафик, получить информацию о текущих соединениях и истории своей учётной записи, изменить параметры работы веб-портала.
Биллинговая система Traffic Inspector поддерживает несколько вариантов аутентификации пользователей, среди них присутствует веб-агент и клиентская утилита, доступ к которым может быть получен с помощью пунктов «Клиентский агент» и «Запустить веб-агент».
На этом мы завершаем обзор возможностей веб-интерфейса, доступного пользователям AquaInspector, и переходим к рассмотрению возможностей консоли управления.
Консоль управления
Большинство настроек биллинговой системы доступны для просмотра и изменения с помощью консоли администратора Traffic Inspector, которая может быть запущена как на самом сервере, так и на любом другом компьютере администратора. При подключении необходимо ввести логин и пароль пользователя, существующего в операционной системе самого сервера, либо же локального администратора Traffic Inspector. Стоит отметить, что при удалённом подключении может возникнуть ряд проблем, связанных с существующими правилами доступа к компонентам DCOM, описание решения которых присутствует на сайте производителя.
После ввода корректных учётных данных пользователь попадает на главную страницу консоли управления, где представлена краткая информация о сервере и используемой лицензии, а также отображены активные предупреждения. AquaInspector поставляется вместе с предустановленной версией программы Traffic Inspector, основные настройки которой уже произведены, однако при необходимости администратор может самостоятельно запустить конфигуратор для переопределения ролей интерфейсов или проведения иных изменений.
Рассмотрим некоторые возможности, предоставляемые консолью управления. Группа «Общие списки» позволяет администратору определить списки IP-адресов локальных сетей, различных классов адресов и категорий контента, а также пользовательских скриптов.
Создание пользователей и их групп, управление списками доступа, ведение тарифных планов, просмотр информации о состоянии пользовательских учётных записей производится с помощью пунктов группы «Управление пользователями».
Параметры работы встроенного прокси-сервера представлены в группе «Прокси-сервер».
Управление брандмауэром и настройка доступа из внешних сетей, а также просмотр значений разнообразных счётчиков производится с помощью группы «Внешние сети».
Организация шлюза SMTP производится с использованием группы «SMTP-службы». Использование такого шлюза может быть продиктовано необходимостью фильтрации входящих сообщений с внешних серверов, а также тарификацией входящей корреспонденции.
Управление встроенным веб-сервером производится в группе «Web-сервер».
Для настройки модулей расширения администратору необходимо обратиться к группе «Модули расширения», с помощью которых производится проверка пользовательского трафика на наличие вирусов, спама, фишинговых ссылок, а также осуществляется регистрация DDNS и поддержка входящих RAS/VPN соединений.
Управление административными учётными записями производится с помощью группы «Администрирование».
С помощью группы «Отчеты» администратор может получить статистические данные об использовании контролируемых ресурсов за интересующий период.
Операции по настройке выполнения резервного копирования, очистки и синхронизации данных производится в группе «Обслуживание».
При возникновении проблем администратору придётся обратиться к группе «Диагностика» для получения более детальных сведений о настройках системы и просмотра журнальной информации.
Управление активацией программы производится с помощью одноимённого пункта меню.
На этом мы завершаем беглый обзор возможностей консоли управления и переходим к рассмотрению операций по обслуживанию сервера и дополнительных возможностей, предоставляемых биллинговой системой.
Обслуживание и дополнительные возможности
После приобретения сервера AquaInspector на администратора ложится бремя поддержания биллинговой системы в рабочем состоянии. К числу необходимых действий можно отнести установку обновлений операционной системы, драйверов и BIOS материнской платы, обновление приложения Traffic Inspector, антивирусную проверку и прочие похожие действия. Чаще всего будет требоваться производить установку обновлений операционной системы и Traffic Inspector. Указанные процедуры стандартны и могут быть выполнены системным администратором без особых затруднений.
После смены версии Traffic Inspector может потребоваться произвести повторную активацию программы.
В состав AquaInspector не входит антивирусное программное обеспечение, защищающее сам сервер от заражения, поэтому мы рекомендовали бы пользователю самостоятельно установить антивирусный пакет. Хотелось бы особо подчеркнуть, что речь идёт именно о защите самой операционной системы, пользовательский трафик защищается с помощью антивирусных модулей для программы Traffic Inspector. Производитель рекомендует отказаться от использования антивирусных программ, содержащих компоненты брандмауэра, либо же произвести их полное отключение и выгрузку драйверов. Столь жёсткие требования обусловлены возможными конфликтами с приложением Traffic Inspector. Также рекомендуется с осторожностью использовать антивирусы, обеспечивающие проверку объектов в реальном времени, так как это может привести к значительному падению производительности всей системы. Ограничение доступа к серверу и регулярные проверки системы во время простоя в большинстве случаев смогут полностью обезопасить тестируемый комплекс от вредоносного программного обеспечения.
В крайних случаях допускается также смена версии BIOS, перед началом которой необходимо обеспечить бесперебойное питание сервера в течение всего процесса обновления. Это очень ответственный процесс, ошибки при проведении которого могут привести к полной неработоспособности всей системы. И хотя обновление BIOS для использованной материнской платы (Intel D510MO) производится с помощью утилиты из-под Windows и может быть выполнено удалённо, мы всё же рекомендуем иметь непосредственный доступ к оборудованию перед началом этого процесса.
В дополнение к указанным выше процедурам, безусловно, полезным будет выполнение периодического резервного копирования конфигурационных файлов, очистки устаревших данных и синхронизации с внешним сервером SQL. Данные действия выполняются с помощью группы «Обслуживание» консоли управления Traffic Inspector.
При возникновении глобальных проблем с операционной системой работоспособная версия программного обеспечения может быть восстановлена из скрытого раздела жёсткого диска, предназначенного для хранения заводской копии операционной системой. Такой откат приведёт к потере всех пользовательских настроек и данных, поэтому мы рекомендуем регулярно выполнять резервное копирование базы данных биллинговой системы и прочих настроек. Если же сбой был очень серьёзным, например, отказ жёсткого диска, то для восстановления системы потребуется обратиться в службу технической поддержки производителя, которая предоставит образ соответствующего раздела диска, а также подробнейшие инструкции по самой процедуре восстановления.
Кроме выполнения основных функций (учёта потреблённого интернет-трафика) программно-аппаратный комплекс может потихоньку шпионить за пользователями выполнять расширенные функции обеспечения безопасности, обеспечивать работу IP-телефонии, а также поддерживать работу с беспроводными сетями Wi-Fi (в режиме точки доступа) и 3G. И если организация поддержки беспроводной сети выглядит вполне тривиальной задачей (путём использования беспроводного USB-адаптера), то на дополнительных мерах обеспечения безопасности хотелось бы остановиться подробнее. К числу таких мер относятся система видеонаблюдения и контроля активности пользователя. Для организации видеонаблюдения вместе с AquaInspector может поставляться IP-камера D-Link DCS-930, а также программное обеспечение D-Link D-ViewCam, поддерживающее до 32 камер и позволяющее записывать и проигрывать получаемые с камер видео-данные, организовывать запись по расписанию и событиям, управлять параметрами работы камер. Также возможно расширить возможности указанной системы путём подключения к услуге «Видеонаблюдение» от МегаФон.
Контроль активности пользователя осуществляется с помощью утилиты Mipko Employee Monitor, которая централизованно сохраняет вводимую с клавиатуры информацию, сведения о запускаемых приложениях и интернет-активности, съёмки экрана и так далее. Естественно, клиентские «агенты» должны быть установлены на компьютеры рядовых пользователей.
На этом раздел, посвящённый процедурам обслуживания сервера, завершается, а мы переходим к тестированию программно-аппаратного комплекса AquaInspector.
Тестирование
Как всегда раздел тестирования мы начинаем с установления времени загрузки устройства, под которым мы понимаем интервал времени, прошедший с момента подачи питания до получения первого эхо-ответа по протоколу ICMP. Смарт-Софт AquaInspector загружается за 51 секунду. Мы считаем это нормальным результатом для подобного рода устройств.
Вторым традиционным тестом стала проверка защищённости устройства, для чего мы использовали сканер сетевой безопасности Positive Technologies XSpider 7.7 (Demo Build 3100). Сканирование производилось со стороны локальной сети, в системе был установлен Traffic Inspector версии 2.0.1.724. Всего было обнаружено двадцать открытых портов: TCP-53 (DNS), UDP-53 (DNS), TCP-135 (Microsoft RPC), UDP-137 (NetBIOS Name), TCP-139 (NetBIOS), TCP-445 (Microsoft DS), TCP-3389 (MsRDP), TCP-5432 (PostgreSql), TCP-8080 (HTTP), TCP-8081 (HTTP), TCP-47001 (unknown), TCP-49152 (RPC Windows), TCP-49153 (RPC services.exe), TCP-49154 (RPC services.exe), TCP-49155 (RPC LSASS.exe), TCP-49156 (RPC dns.exe), TCP-49159 (RPC tcpsvcs.exe), TCP-49160 (RPC services.exe), TCP-49161 (RPC Windows) и TCP-49174 (RPC Windows). Наиболее интересные из обнаруженных сведений представлены ниже.
Мы не считаем обнаруженные уязвимости критическими.
Также мы не могли обойти своим вниманием тесты производительности устройства, для чего использовали тестовый стенд, основные параметры которого представлены ниже.
Компонент | ПК | Ноутбук |
Материнская плата | ASUS Maximus IV Extreme-Z | ASUS M60J |
Процессор | Intel Core i7 3770 3.4 ГГц | Intel Core i7 720QM 1.6 ГГц |
Оперативная память | DDR3 PC3-10700 SEC 32 Гбайта | DDR3 PC3-10700 SEC 16 Гбайт |
Сетевая карта | Intel 82579V Intel 82583V |
Atheros AR8131 Atheros AR9285 |
Операционная система | Windows 7 x64 SP1 Rus | Windows 7 x64 SP1 Rus |
Сначала мы провели эксперимент с измерением скорости передачи обычного TCP-трафика с помощью утилиты JPerf 2.0.2 для одного, пяти и пятнадцати одновременных потоков. Результаты измерений представлены ниже на диаграмме.
Далее мы на тестовом ПК и ноутбуке создали виртуальные диски в оперативной памяти, чтобы исключить влияние собственных дисковых подсистем. На одном из узлов был запущен HTTP-сервер Apache, который мы использовали для передачи больших файлов. На втором узле был установлен менеджер закачек, позволяющий производить скачивание файлов с HTTP-серверов в несколько одновременных потоков (1, 5, 10 и 50) в направлении WAN->LAN. Результаты измерений представлены ниже.
Так как предустановленная в AquaInspector утилита Traffic Inspector позволяет выполнять функции прокси-сервера, мы решили установить, какие скорости будут доступны пользователям при использовании AquaInspector в качестве HTTP прокси-сервера.
Нам кажется удивительным такой «выброс скорости» при использовании десяти одновременных подключений, но результат неоднократно повторялся, поэтому мы посчитали это истинным значением.
К числу востребованных, на наш взгляд, возможностей программы Traffic Inspector можно отнести антивирусную проверку пользовательского трафика даже несколькими антивирусными модулями последовательно. Результаты измерения скоростей работы прокси-сервера при активированной проверке антивирусными модулями представлены на диаграммах ниже. И хотя для передачи мы использовали достаточно большие файлы, мы всё же их размер выбирали таким образом, чтобы они удовлетворяли ограничениям антивирусного программного обеспечения.
Во время всего тестирования мы наблюдали за загрузкой ядер процессора. Оказывается, из четырёх потоков (два физических ядра с двумя виртуальными потоками каждое) полностью используются только два, что может быть обусловлено, либо наличием иного (не процессор) узкого места в системе, либо не совсем корректным распределением нагрузки операционной системой. В любом случае, мы считаем что ресурсов аппаратной платформы на сегодняшний день будет достаточно для большинства небольших офисов и мелких компаний, однако уже в самое ближайшее время может потребоваться модернизация использованного оборудования. Надеемся, компания Смарт-Софт представит своим клиентам в обозримом будущем более производительную биллинговую платформу.
На этом мы завершаем раздел тестирования и переходим к подведению итогов.
Заключение
Протестированное нами комплексное решение для организации и контроля доступа в интернет Смарт-Софт AquaInspector вызвал у нас противоречивые ощущения. С одной стороны, это гибкое и недорогое решение по контролю и учёту действий пользователей, как в глобальной сети, так и на собственных компьютерах, но, с другой стороны, уже в самом ближайшем будущем производительности данной платформы может не хватить для полного использования предоставляемой провайдерами полосы доступа в интернет.
Сильные стороны AquaInspector перечислены ниже.
- Гибкость настройки.
- Корпус небольших размеров.
- Возможность удалённого управления.
- Поддержка различных типов аутентификации пользователей.
- Наличие модулей расширения.
- Поддержка IP-телефонии.
- Возможность организации системы видео-наблюдения.
- Поддержка коллективных счетов.
- Возможность работы в режиме прокси-сервера.
К сожалению, мы не можем не упомянуть и о недостатках системы.
- Нестандартная организация вентиляции корпуса.
- Несколько заторможенный веб-интерфейс.
- Отсутствие поддержки IPv6 (планируется).
- Невысокие скорости передачи данных.
- Отсутствуют механизмы обеспечения высокой доступности системы.
На момент написания статьи приобрести программно-аппаратный комплекс AquaInspector можно было по цене от 33500 рублей за лицензию GOLD на десять пользователей до 71900 за версию без ограничений и имеющую сертификат ФСТЭК (FSTEC).