Защищая "последнюю милю"

Журнал "Сети", #02/2000
Джоул СНАЙДЕР

Таблица

Результаты тестирования
За и против

Перспектива защиты "последней мили" выглядит пугающей.

Защита данных в виртуальных частных сетях (VPN), объединяющих переносные или домашние ПК с локальной сетью корпорации, вступает в противоречие с двумя основными заповедями, на которых зиждется поддержка вычислительной сети предприятия: никогда не затрагивай настольную систему; никогда не предпринимай действий, заставляющих пользователей изменить привычный стиль работы за компьютером.

Желание защитить свою корпоративную ЛВС заставляет сетевых администраторов блокировать линии связи, соединяющие с ней удаленных пользователей. Как же создавать, расширять, поддерживать и управлять VPN, а также посылать сообщения сотням или тысячам пользователей - клиентов VPN?

Всем производителям VPN-продуктов, какие были нам известны, мы предложили участвовать в тестировании. Хотя большинство из них откликнулись и прислали свои изделия в тестовую лабораторию, некоторые крупные игроки данного рынка отказались. Так, компания Cisco не пожелала испытывать продукт до завершения бета-тестирования. У компании Xedia обнаружились финансовые причины. Отказы, правда без вразумительных объяснений, были получены от фирм Compatible Systems, Nortel Networks и Network Associates.

В результате мы протестировали 11 клиентских VPN-продуктов. Многие из них выпускаются теми же компаниями, которые производят средства для VPN, уже протестированные нами (см. "Сети", 1999, № 11, с. 92) на предмет совместимости, возможностей конфигурирования и производительности. В данном обзоре мы рассмотрим, как VPN-системы работают с клиентами корпоративной сети.

Большая часть протестированных продуктов продемонстрировала вполне приемлемую производительность и достаточный набор функций управления. Итоговые баллы восьми из одиннадцати изделий разнятся лишь на единицу. Голубой лентой Network World был награжден продукт Permit Enterprise 1.2 компании TimeStep за превосходный инструментарий управления, который позволяет развертывать виртуальные сети, охватывающие действительно гигантское число клиентов.

Настройка основных параметров

Первое столкновение пользователя с VPN происходит при инсталляции соответствующего ПО. Как правило, мы не оцениваем процедуры установки клиентского ПО. Однако, поскольку в данном случае инсталляция обычно производится удаленно, нам захотелось посмотреть, как это происходит. Мы оценивали, как в каждом "нашем" продукте осуществляется настройка процедуры аутентификации VPN-клиента, конфигурирование клиентской программы и как устанавливаются правила защиты.

Одна из сложностей при настройке VPN-клиента связана с передачей ключей шифрования. Использовать для этого процедуру рассылки сертификатов общедоступного ключа, которые обеспечивают наилучшую защиту, - задача долгая и громоздкая. Кроме того, частная клиентская половина общедоступного ключа не передается по сети, она должна быть создана непосредственно на ПК клиента и заблокирована там специальным паролем.

Ни один из производителей не предложил волшебного способа передачи информации о ключе. Почти во всех протестированных продуктах используется довольно простой и не слишком защищенный метод аутентификации, а именно: каждому клиенту назначается имя пользователя и пароль. Однако во многих дополнительно поддерживается и цифровая сертификация общедоступных ключей, которая базируется либо на стандартных, либо на своих собственных наборах сертификатов для присвоения полномочий.

Компания TimeStep в своем продукте Permit Enterprise наиболее серьезно подошла к решению проблемы цифровой сертификации и построению схемы присвоения полномочий. В комплект ПО для управления предприятием она встроила средство выдачи сертификатов компании Entrust и справочник шифрования по стандарту X.500. Их комбинация позволяет масштабировать функции выдачи сертификатов для присвоения полномочий, используя специальный каталог базы данных.

Построение целостной системы для организации, управления, защиты и аннулирования цифровых сертификатов означает создание инфраструктуры общедоступного ключа (public-key infrastructure, PKI). Тут следует говорить именно об инфраструктуре, так как процедура инсталляции PKI может быть столь же сложна, как и построение любой другой части вашей сетевой структуры. Для корректной установки PKI необходимо, чтобы сетевой администратор и администратор безопасности совместно определили весь круг правил и процедур, необходимых для идентификации пользователей сети. Правильная организация PKI - дело весьма сложное. Пожалуй, изо всех рассматриваемых в этом обзоре компаний с ним удалось справиться только TimeStep: лишь в продукте Permit Enterprise поддержка PKI была заложена с самого начала его создания и не выглядела "заплаткой".

Процедура задания правил защиты и конфигурации сети. Попроще, чем настройка ключей защиты, поскольку одно и то же правило обычно распространяется на всю группу пользователей. В четырех продуктах - F-Secure VPN (Data Fellows), RiverWorks Enterprise VPN (Indus River), VPN Gateway Plus (Intel) и VPNWare (VPNet) информация о правилах защиты загружается в ПК клиента по сети. Во всех остальных эта задача решена более традиционно. Вы должны подготовить специальный комплект для инсталляции, состоящий из предназначенных для определенной сети файлов инициализации и изображений, поставляемых производителем. Как только эти комплекты розданы, конечные пользователи получают информацию о корпоративных правилах одновременно с установкой клиентского ПО.

А вот продукты VPN Gateway Plus и VPNWare автоматически загружают клиенту информацию о его правилах защиты в процессе инсталляции, что позволяет тут же определить правила защиты данных в сети.

В F-Secure VPN и RiverWorks эта функция получила дальнейшее развитие: после того как клиент заканчивает начальное конфигурирование, он автоматически получает от управляющего сервера информацию обо всех обновлениях в системе правил сети.

Если вы используете весь комплект ПО Data Fellows, включая антивирусную программу и инструментарий для шифрования файлов, модуль управления правилами координирует посылку разных обновлений, в том числе сигнатур вирусов и применяемых правил. Элегантное решение, хотя оно работает только в среде Windows.

В ПО RiverWorks компании Indus River передача правил клиенту организована еще более изощренно и сложно: на единой контрольной панели управления, размещенной на экране ПК конечного пользователя, отображаются параметры доступа в сеть по коммутируемой линии и информация, необходимая для VPN-аутентификации.

River Pilot - компонент ПО RiverWorks - вносит в данные VPN-клиента все телефонные номера корпоративного поставщика Internet-услуг, коды и правила доступа. Когда пользователь дает команду на соединение, ПО клиента, используя локальную информацию о телефонных номерах доступа, дозванивается до Internet-провайдера и обеспечивает пользователю любой тип связи, от тонального вызова до шифрованного VPN-соединения.

Сетевой администратор проверяет буквально все аспекты соединения: и разрешено ли использовать номер службы 800, и какой поставщик Internet-услуг является предпочтительным в каждом городе - вплоть до того, какие конечные пользователи подключены к корпоративной сети. Эта информация об установленных правилах вместе с перепроверенным списком номеров дозвона загружается на клиенты при подключении. В некоторых случаях, например при развертывании большой сети VPN, эти заложенные в Indus River возможности дают явные преимущества. Например, для организации, имеющей множество поставщиков Internet-услуг, которая редко связывается с филиалами и штаб-квартирой по коммутируемому каналу и нечасто использует номер аварийной службы 800 (т. е. соединения, управляемые с центральной консоли корпоративной сети), River Pilot явно сократит затраты на поддержку, одновременно улучшив управление.

У всех других протестированных продуктов ПО шифрования является дополнительной к Windows сетевой службой. Их производители считают, что пользователь уже настроил сетевое соединение либо через ЛВС, либо по коммутируемой линии связи.

Еще одно свойство, выделяющее некоторые из протестированных продуктов, - возможность блокировки правил. После загрузки информации о правилах и конфигурации некоторые продукты, например VPN Gateway Plus (Intel) и VPN-1 Gateway (Check Point Software), позволяют заблокировать эти данные таким образом, что клиент не может изменить их. RiverWorks (Indus River), VPN Concentrator Series (Altiga Networks) и Security Management Server (Lucent) работают только в этом режиме. А вот Ravlin 7100 (RedCreek) и F-Secure VPN+ 4.2 (Data Fellows) в любое время полностью контролируют работу пользователя.

Какой из подходов к обеспечению безопасности лучше - зависит от рабочей среды. К сожалению, пока нет такого продукта, который один удовлетворял бы всем потребностям рынка. Так что у вас всегда есть возможность выбирать между полной свободой и полным контролем за каждым из клиентов.

Защита клиента

После того как правила доступа клиента установлены, следует позаботиться о защите пересылаемых ему данных. Мы в основном рассматривали продукты, использующие в качестве IP-протоколов шифрования IP Security (IPSec) и Internet Key Exchange (IKE), так как они являются наиболее распространенными. IPSec определяет методы шифрования и аутентификации IP-пакетов данных. IKE описывает, как происходит настройка туннелей для передачи данных, а также как создается информация о ключах и происходит ее обмен через Internet.

В продуктах компаний RedCreek и Check Point поддерживается шифрование как по протоколам IPSec/ IKE, так и по своим фирменным.

Клиентская часть продукта VPNWare компании VPNet поддерживает систему шифрования только в соответствии с протоколом Simple Key Management Internet Protocol (SKIP). Однако это не очень нас беспокоило, поскольку SKIP - очень понятный стандарт. А вот в продукте VTCP/Secure компании InfoExpress имеется только система шифрования собственной разработки. Правда, на некоторых платформах поддерживается бета-версия кода IPSec, но не на тех, которые мы использовали для тестирования.

Некоторое беспокойство вызывают также продукты компаний Indus River и Intel. Первый не поддерживает IKE для обмена ключами, второй требует собственных протоколов для создания новых VPN-клиентов, если вы используете для этого входящие в LAN Rover средства. Но эти недостатки не смертельны.

Позиция стандарта Layer 2 Tunneling Protocol (L2TP) на рынке еще не очень крепка и, вероятно, не улучшится вплоть до повсеместного распространения ОС Windows 2000, куда встроен VPN-клиент туннелирования по протоколу L2TP. Поэтому в продуктах, с которыми мы имели дело, поддержка L2TP была представлена весьма слабо. Практически, туннелирование по этому протоколу обеспечивает лишь VPN Concentrator Series фирмы Altiga.

Протокол L2TP базируется на совершенно другой стратегии создания туннеля передачи данных (между прочим, не зашифрованных) от корпоративной сети до конечного пользователя. Его преимущество состоит в том, что пользователь может создать туннель до сервера не на базе IP-протокола (а, например, на основе IPX). Но если конечный пользователь аутентифицируется L2TP-механизмом (отличным от IPSec и дополняющим его), то он может получить IP-адрес, назначаемый с центральной консоли корпоративной сети стандартным образом.

В продукты RiverWorks и VPN Concentrator Series компании Indus Rivers включена поддержка протокола Point-to-Point Tunneling Protocol (PPTP), обычно используемого в ОС Windows 3.1 и Macintosh, для которых клиентская часть протокола IPSec пока отсутствует.

Помимо стандартов шифрования и туннелирования сетевому администратору необходимо обратить внимание на наличие в некоторых из протестированных продуктов брандмауэров, встроенных в клиентское ПО. Действительно, если клиентский ПК - окно в вашу сеть, почему бы не защитить его от риска вторжения? В таких продуктах, как F-Secure VPN, VTCP/Secure и VPN-1 Gateway, некоторые функции брандмауэров имеются и в серверной, и в клиентской части ПО. Компания Check Point в пакете Secure Client предлагает полнофункциональный брандмауэр, правда, с довольно ограниченным набором сценариев защиты.

По сути этот брандмауэр - один из видов брандмауэра с фильтрацией пакетов, работающий со статусными данными обо всех соединениях, что позволяет сопоставлять информацию, передаваемую в обоих направлениях. Без полного анализа трафика возможности брандмауэра с фильтрацией пакетов ограничены. При наличии этой функции защита гораздо более эффективна, так как пропускаются лишь те пакеты, которые относятся к санкционированному соединению. В продуктах VTCP/Secure и F-Secure VPN клиентское ПО выполняет только фильтрацию пакетов, что обеспечивает более низкий уровень защиты.

Брандмауэры с туннелированием, имеющиеся почти во всех протестированных продуктах, дополняют средствами защиты сервер туннелирования. Однако в Permit Enterprise, RiverWorks, VPNWare и Ravlin 7100 такие функции представлены весьма слабо. Если вы с помощью одного из этих продуктов собираетесь организовать для своей корпорации VPN-сети с серьезными ограничениями (например, всем пользователям запрещен доступ во все сети, которые находятся в ведении определенного департамента), то вам придется дополнительно установить еще один брандмауэр.

Функции брандмауэра на ПК-клиенте могут быть избыточными, так как VPN-клиенты обычно подключаются через Internet. Вполне достаточно функции отключения Internet-трафика на время соединения с VPN-сетью. Именно такой подход реализован в VPN Concentrator Series компании Altiga. Когда клиент соединен с VPN-сервером Altiga, путь для любого другого Internet-трафика закрыт: каждый пакет клиента, прежде чем попасть в Сеть, направляется на сервер туннелирования. В Permit Enterprise, RiverWorks, Ravlin 7100 и cIPro System конечному пользователю предоставляется возможность решить, блокировать ли Internet-трафик в случае активности виртуальной частной сети. А в продуктах VPN Gateway Plus (Intel) и VPN-1 Gateway (Check Point) это отдано на усмотрение сетевого администратора.

Все для конечного пользователя

Мы опасались недовольства конечного пользователя по поводу программных средств VPN, если они существенно замедляют работу в Internet. Поэтому было проведено тестирование на производительность, замеры времени задержки и пропускной способности. Все продукты, кроме двух, продемонстрировали примерно одинаковую производительность.

Исключения - это RiverWorks и VTCP/Secure, в которых реализована функция сжатия. При активизации этой функции они обеспечивали увеличение производительности от 5 до 15% в зависимости от вида данных и размеров используемых пакетов. Наилучшую производительность продемонстрировал пакет VTCP/Secure, хотя в нем используются фирменные (нестандартные) протоколы.

В клиентских VPN-продуктах, где сжатие не используется (т. е. во всех, кроме двух вышеназванных), сетевая производительность в среднем уменьшалась на 20%, трафик виртуальной частной сети замедлялся на 16-24%. Для распространенных Web-приложений, типа браузера и электронной почты, такое снижение производительности не слишком ощутимо. Но для интерактивных приложений, например виртуальных терминалов, ухудшение производительности (для них увеличение времени задержки достигало 60%) явно не обрадует пользователей.

Управление тысячами пользователей

Все протестированные VPN-продукты обеспечивают аутентификацию пользователей. В большинстве из них эта возможность реализована на локальном уровне. Система просматривает информацию о пользователе, которая хранится в базе данных, на VPN-устройстве или на станции управления виртуальной частной сетью. Однако, чтобы не создавать новый пароль (если пользователь забыл его), следует иметь шлюз к внешней базе данных аутентификации.

Служба дистанционной аутентификации пользователей, подключающихся по телефонной линии (Remote Authentication Dial-In User Service, RADIUS), стала стандартом де-факто для организации аутентификации в сети. Созданы хорошие серверы стандарта RADIUS, которые работают с различными базами данных аутентификации, от NT Security Access Manager и до множества систем единого пароля, таких как SecurID и Cryptocard, использующих жетоны или смарт-карты.

Мы протестировали каждый сервер, поддерживающий RADIUS, сравнивая его с нашим. Все они продемонстрировали великолепную возможность взаимодействия. Работа практически с каждой из поддерживающих RADIUS VPN-сетей была проще. Единственным исключением оказался продукт VPN-1 Gateway: в конечном счете мы добились, чтобы он заработал, но это оказалось не так просто, как с другими. Только F-Secure VPN (Data Fellows) и Permit Enterprise (TimeStep) в настоящее время не поддерживают RADIUS.

Тем не менее приходится констатировать, что некоторые из продуктов не очень удачно спроектированы. Например, в VPN-1 Gateway данные о каждом пользователе нужно заносить и в свою базу данных, и в базу данных RADIUS - а это не самая лучшая идея.

В VPNWare и VPN Concentrator Series реализован другой подход. Они не только хранят информацию о пользователе и паролях в базе данных RADIUS, но и дополнительно позволяют загружать данные о конфигурации каждого пользователя с сервера RADIUS. Вероятно, вам понравится решение, предложенное компанией Indus River в RiverWorks. Это ПО требует от сервера RADIUS возврата специального флага, который и является разрешением на доступ пользователя к виртуальной сети.

А как обстоят дела с отслеживанием "маршрутов" пользователей? Мы изучили возможности этого рода у тестируемых продуктов и, надо сказать, были разочарованы.

Наилучшие возможности учета в серверах VPN-туннеля предоставляет сервис RADIUS; он обеспечивает доступ к учетным записям этих серверов, позволяя использовать любые средства для создания отчетов. Security Management Server компании Lucent и VPN Concentrator Series фирмы Altiga поддерживают имеющуюся в RADIUS функцию учета, а LANRover VPN Gateway от Intel предоставляет этот сервис RADIUS только пользователям сервера Shiva Smart Tunnel.

Во всех остальных продуктах функции учета и создания отчетов развиты очень слабо. Например, в RiverWorks вы можете посмотреть информацию только за прошлые дни, но не получите данные за утро сегодняшнего дня. Хуже того, продукт сам создает файл отчетов за день, так что получить информацию о подключениях пользователя за период, больший чем 24 часа, не очень-то просто. Компании InfoExpress и Check Point немножко лучше организовали работу своего ПО. Однако Check Point предлагает заплатить дополнительно 1500 долл. за средство объединения файлов регистрации, создающее плохонькие отчеты с неполными данными, хотя нам кажется, что эта функция должна быть включена в базовый комплект.

Но все-таки лучше что-то, чем ничего. А именно так обстоят дела с VPNWare, cIPro System и Ravlin. Эти три продукта или вообще не предоставляли никакой отчетности, или отбрасывали столько данных, что информация, которую нам удавалось получить, оказывалась бесполезной.

Администрирование и мониторинг

Средства управления входом в систему во всех протестированных продуктах оказались явно не на высоте, однако в других областях управления дела обстоят лучше. Более чем у половины продуктов имеется возможность в случае каких-либо неполадок послать сообщение на пейджер или отправить его по электронной почте. Наилучшим образом управление и мониторинг организованы в продуктах компаний Altiga и Lucent.

В VPN Concentrator Series (Altiga) каждая "мелочь" в работе сервера туннелирования отражается на экране модуля управления. Можно даже проконтролировать число оборотов вентиляторов в сдвоенных источниках питания, если это кого-то заинтересует.

Возможности продукта Security Management Server (Lucent) еще шире. Например, в нем реализованы два уровня управления: он позволяет задать, кто должен получать данные мониторинга и кто может изменять установки. Кроме того, Lucent включила в свой продукт мини-анализатор протокола - очень симпатичная функция.

Нам понравились также системы с ограниченным числом функций управления, запускаемых из командной строки. Это продукты компаний TimeStep, Intel, RadGuard и VPNet. Конечно, вряд ли вы захотите строить виртуальную частную сеть для предприятия, вводя команды из командной строки, но подключиться к VPN-серверу, используя эмулятор терминала, чтобы изменить один параметр или проверить совместимость работы аппаратуры разных производителей, - весьма привлекательная возможность.

Администраторы сети, которые хотели бы управлять VPN, руководствуясь формулой "настрой и забудь", могут удовлетвориться ограниченными средствами управления продуктов компаний Red Creek и Intel. Хотя они и позволяют увидеть, что происходит в сети, но процесс воплощения этих возможностей весьма тягостный. В VTCP/Secure фирмы InfoExpress функции управления еще менее дружественны по отношению к пользователю: это единственный VPN-продукт, в котором конфигурирование производится с помощью меню в ASCII-кодах в сеансе MS-DOS. Если нужно посмотреть, кто зарегистрировался, необходимо запустить генерацию отчета, а единственный способ "вышвырнуть" пользователя, который "плохо себя ведет", - это перезапустить VPN-сервер целиком.

Довольно удивительно, но все протестированные нами продукты работали почти в полном соответствии с тем, что производители заявляли о них в рекламе, хотя некоторые несоответствия обнаружились в наших тестах на время задержки и пропускную способность. В основном наибольшая нестабильность наблюдалась в случае длительной работы клиентов, независимо от того, были они подключены к VPN или нет. Получить повторяемые отклонения от нормы для таких измерений достаточно сложно.

У некоторых продуктов отказ возникал, если время жизни туннеля было слишком большое (более 24 часов), хотя все, с кем мы обсуждали эту проблему, уверяли нас, что система будет работать нормально после внесения следующей серии исправлений или замены ОС, параметров защиты, времени работы ключей. Если вы действительно планируете работать с "долгоживущими" туннелями, прежде чем приобретать систему, протестируйте их работу в своей среде со своими параметрами безопасности.

Гораздо хуже обстоит дело со стабильностью работы консолей управления. Например, в RiverWorks графический интерфейс пользователя несколько раз "рушился". А в VPNWare время от времени не работали Java-средства и программу приходилось перезапускать. В некоторых случаях причина появления проблем коренилась в неудачном проектировании продукта. Так, архитектура VTCP/Secure не обеспечивала поддержку всех IP-протоколов, что может вызвать ошибки несовместимости при работе с определенными приложениями. Из-за объединения в Security Management Server (Lucent) функций VPN с брандмауэром возникали проблемы подключения к нашему FTP-серверу.

* * *

Продукты, которые мы протестировали, очень разные. Чтобы выбрать нужный, следует учесть размер вашей виртуальной частной сети, способ подключения к Internet и многие другие, более сложные, вопросы.

Продукты серии Ravlin (RedCreek) превосходят все прочие по простоте инсталляции и работы. Тем не менее Ravlin доставит вам массу хлопот, если число виртуальных пользователей будет измеряться тысячами.

Для cети со средним количеством пользователей отличным решением будет VPN Concentrator Series фирмы Altiga. У него и цена неплохая, и интерфейс управления понятный: настройка и работа с ним не вызвала затруднений. Продукты компаний Lucent и Check Point по этим позициям также получили хорошие баллы, однако интерфейсы управления у них на порядок сложнее, чем у VPN Concentrator Series, причем от этого их функциональность не возросла во столько же раз.

Если необходимо развернуть очень большую виртуальную сеть, внимательно присмотритесь к предложениям компаний Indus River и TimeStep - продуктам RiverWorks и Permit Enterprise соответственно. В этих компаниях хорошо представляют себе, как организовать виртуальную сеть для 10 тыс. и более клиентов. Хотя в обоих продуктах средства создания отчетов не лишены недостатков, высокие показатели по другим позициям дают им явное преимущество перед остальными. Можно также воспользоваться предложениями компаний Lucent, VPNet и Intel, сильной стороной которых является удачная архитектура.

Однако такое деление на продукты для малых, средних и больших систем не должно влиять на выбор, если какой-то "претендент" лучше других соответствует вашим требованиям.


Призер в номинации Голубая лента

Продукт: Permit Enterprise 1.2
Производитель: TimeStep

Голубую ленту заслужил продукт Permit Enterprise 1.2 компании TimeStep, хотя соперники "дышали прямо в затылок". Он обеспечивает наилучшую поддержку инфраструктуры общедоступных ключей (PKI) и самые мощные функции управления для развертывания VPN-сети предприятия.


Как мы тестировали

Тестовый стенд состоял из одной клиентской рабочей станции, подключенной к серверу туннелирования. На другой стороне туннеля находился сервер, который мы использовали для проверки возможностей подключения и производительности. В качестве тестового сервера применялся компьютер на базе процессора Alpha (500-МГц) с памятью объемом 256 Мбайт, работающий под ОС Digital UNIX. А клиентской рабочей станцией для эмуляции рабочих характеристик типичного ноутбука пользователя, связанного с сетью по телефонной линии, служила более медленная система (ПК с 200-МГц Pentium Windows 95 OSR 2.5). Для каждого тестируемого продукта оценивались процесс инсталляции и конфигурирование клиентской рабочей станции, а также измерялась ее производительность, чтобы понять, как установка программного средства VPN влияет на работу конечного пользователя. Совместимость не тестировалась, так как на практике организации редко используют клиентское ПО одного производителя, а брандмауэр - другого.

Было бы, конечно, хорошо проверить, поддерживают ли продукты в действительности то суммарное число туннелей, о котором заявляют производители, однако единственный надежный метод проведения данного теста - создание сотен тысяч рабочих станций, подключенных к корпоративной сети по коммутируемым каналам, что в лабораторных условиях невыполнимо. Поэтому мы лишь оценили воздействие VPN-шифрования на производительность работы в сети и время задержки для конечного пользователя. Для этого использовалось соединение по одному каналу сети ISDN (64 кбит/с), который давал примерно ту же задержку, что при модемной связи, но зато обеспечивал повторяемость тестовых условий.

Для измерения пропускной способности и задержки на рабочей станции и сервере устанавливалось тестовое ПО, использующее протокол TCP/IP, которое позволяет измерить время задержки прохождения больших и малых IP-пакетов компрессируемых данных от рабочей станции до тестового сервера. Пропускная способность измерялась при передаче данных по протоколу TCP в однонаправленном режиме. Это достаточно типичная ситуация при скачивании по протоколу HTTP слегка сжатого файла, например графического изображения или исполняемой программы.