Skydns ошибка системного сервиса

Если что-то работает не так, как ожидалось

Если фильтрация не работает, как ожидалось, то до обращения в техническую поддержку выполните следующие действия:

1. Если вы являетесь администратором сети организации, то в первую очередь обратитесь к разделу «Настройка использования DNS-фильтрации SkyDNS в локальной (корпоративной) сети».

2. Отключите любую фильтрацию, в том числе фильтрацию SkyDNS.

3. Убедитесь, что выход в интернет осуществляется через соединение, которое вы собираетесь защитить сервисом SkyDNS. Например, убедитесь, что со смартфона выход осуществляется по Wi-Fi через роутер, а не через сотового оператора. Удостоверьтесь, что настройки DNS получаются в автоматическом режиме с Wi-Fi роутера в этом случае.

4. В командной строке ОС Windows выполните команду «ping 193.58.251.251». Убедитесь, что получаете ответы от узла с указанным IP-адресом через вашего провайдера в данный момент времени. Возможно, в сети вашего провайдера существуют проблемы, и часть ресурсов в интернет недоступна в данный момент времени, в том числе один из наших серверов, на который маршрутизируются ваши запросы DNS. Обратитесь в техническую поддержку вашего провайдера.

5. В командной строке ОС Windows выполните команду «nslookup paypai.com. 193.58.251.251». Домен paypai.com должен разрешиться в IP-адрес из сети 193.58.251.0/24. Если получен ответ «не удалось найти paypai.com: Non-existent domain», то это означает, что ваши запросы DNS не доходят до наших серверов, а перенаправляются на какой-либо другой сервер DNS, скорее всего, вашим провайдером. Вы можете обратиться к вашему провайдеру с просьбой, открыть доступ к публичным DNS серверам в интернете. Или попробуйте воспользоваться сервисом SkyDNS, установив агент SkyDNS или активировав модуль SkyDNS в роутерах серии Zyxel Keenetic. Агент SkyDNS и модуль SkyDNS в роутерах Zyxel Keenetic с последними версиями прошивок используют нестандартный порт 1253 для запросов DNS. Или же можете воспользоваться экспериментальной версией агента SkyDNS CS, которую можете получить, обратившись в техническую поддержку. На Linux можно настроить обращение к нестандартному порту для запросов DNS по инструкции «Настройка средствами iptables использования нестандартного порта для запросов DNS».

6. Если вы используете Агент SkyDNS или модуль SkyDNS в роутерах Zyxel Keenetic, то убедитесь, что на шлюзе доступа в интернет, если он имеется, и провайдером открыт доступ к сайту https://www.skydns.ru и портам 1253 tcp и udp на адресе 193.58.251.251.

7. На время установки или удаления Агента SkyDNS отключите антивирус.

8. Проверьте, что на вашем компьютере не используется DNS сервер для протокола IPv6. Соответствующая опция DNS в настройках протокола, должна быть выставлена в ручное получение DNS и адрес DNS не должен быть заполнен. Либо произведите отключение протокола IPv6.
9. Проверьте, что на вашем компьютере не включены программы перехватывающие DNS трафик, такие как Avast Internet Security или Avast Premier. Эти программы производят перехват DNS запросов, их шифрацию и нарушают работу нашего фильтра. Если у вас используются такие программы, то необходимо в них выключить соответствующие опции (Secure DNS в Avast), нарушающие работу нашего фильтра.

10. Включите фильтрацию SkyDNS.

11. Если вы используете агент SkyDNS, то запустите графический интерфейс управления агентом. Затем перейдите «Настройки», «Общие настройки», «Соединения интернет». Проверьте, что выбраны все необходимые сетевые соединения.

12. Отключите расписание на всех профилях (если использовали) и убедитесь, что используете нужный профиль фильтрации.

13. Очистите кэш DNS. Для этого выключите и включите роутер (если используется) и перезагрузите компьютер (мобильное устройство).

14. Убедитесь, что файл hosts (обычно расположен по пути C:WindowsSystem32driversetchosts) не содержит лишних записей. Для этого откройте его в текстовом редакторе типа «Блокнот» и убедитесь, что все строки либо пустые, либо начинаются со знака # (решетка).

15. В командной строке ОС Windows выполните команду «nslookup paypai.com.» (без указания адреса сервера DNS). Домен paypai.com должен разрешиться в IP-адрес из сети 193.58.251.0/24.

16. На странице узнайте к какой категории относится какой-либо домен (например, youtube.com). Заблокируйте эту категорию. Подождите 5 минут пока изменения в настройках вступят в действие на наших серверах. В командной строке ОС Windows выполните команду «nslookup youtube.com.». Домен youtube.com должен разрешиться в IP-адрес из сети 193.58.251.0/24. Зайдите на сайт youtube.com и убедитесь, что отображается страница блокировки.

17. Если ваш компьютер находится за прозрачным прокси-сервером (не под вашим управлением), то активируйте опцию «Пустой DNS-ответ» в настройках страницы блокировки в Личном кабинете на сайте www.skydns.ru. В этом случае сайт не будет доступен. Страница блокировки так же отображаться не будет.

Время прочтения
6 мин

Просмотры 36K

Алгоритм тестирования

Факты, потом предыстория. Тестирование проходило на пяти идентичных виртуальных машинах:

• Первая — YandexDNS с семейной, т.е. максимальной фильтрацией;
• Вторая — SkyDNS в тестовом режиме с настройками по умолчанию;
• Третья — SkyDNS в тестовом режиме с настройками, рекомендованными для школ;
• Четвертая — DansGuardian + SquidGuard с опцией SafeSearch, которые были настроены 2 года назад и в которые периодически докидывался федеральный список запрещенных материалов;
• Пятая — референсная машина, на которой проверялся, существует ли доступ к информации напрямую через провайдера.

Сразу замечу, что SquidGuard во время тестирования не сработал ни разу, так что его наличие ни на что не повлияло.

Поскольку далеко не для каждого пункта федерального списка можно придумать способ проверки, да и вообще иногда трудно понять, что там написано, алгоритм тестирования по нему был следующий:
1. Ткнув в случайный пункт списка, идем по нему вниз, пока не найдем что-то, что можно попробовать найти в Интернете. Например, это может быть некий текст, электронная книга, URL, IP-адрес, видеоролик, музыкальная запись, которые можно так или иначе идентифицировать.
2. Пытаемся найти эту информацию через Google или безопасный поиск SkyDNS, если Google заблокирован.
3. Все, что находится на первых двух страницах выдачи, пытаемся открыть и смотрим результаты.

Федеральный список

Всего было проверено 30 случайных пунктов федерального списка. Результат:
12 пунктов заблокированы провайдером. Из оставшихся 18 пунктов:

• YandexDNS заблокировал 2;
• SkyDNS с настройками по умолчанию заблокировал 5;
• SkyDNS с настройками для школ заблокировал 9;
• DansGuardian заблокировал 13, если считать, что книгу на арабском мало кто сможет прочитать.

Реестр Роскомнадзора

Выбирались случайные пункты из тех, что внесли за последние три-четыре дня и на которые пустил провайдер. В результате из 15 проверочных пунктов заблокировано:

• YandexDNS — 6;
• SkyDNS с настройками по умолчанию — 12;
• SkyDNS с настройками для школ — 13;
• DansGuardian — 10.

Поиск в Google

Обычный поиск для школьного возраста: «Курительная смесь купить», «Порно скачать бесплатно» и то же самое в нескольких вариантах написания. Результат по первым страницам результатов поисковой выдачи:

• YandexDNS позволил найти и зайти на 3 сайта с порнографией, 7 сайтов по продаже курительных смесей;
• SkyDNS с настройками по умолчанию позволил посмотреть 7 сайтов с порнографией, 3 магазина с курительными смесями;
• SkyDNS с настройками для школ позволил посмотреть 0 сайтов с порнографией, 0 магазинов с курительными смесями;
• DansGuardian на порносайты не пустил, открыл один сайт с легкой эротикой и 2 магазина с курительными смесями.

Замечания по настройке SkyDNS

При настройках SkyDNS по умолчанию фильтруются: Федеральный список Минюста, наркотики, прокси, фишинг, сайты с вирусами, алкоголь и табак, порнография, сайты для взрослых и что-то там еще по-мелочи.
При настройках SkyDNS для школ фильтруется все, что было по умолчанию, плюс к фильтрации добавляются: радио и музыка, файловые архивы и p2p сети, фильмы и фото, развлечение, реклама, форумы, соцсети, новости и СМИ. Основная же фишка здесь, что блокируются все неизвестный SkyDNS сайты и используется безопасный поиск.
Поскольку SkyDNS в школьном режиме использует большую часть своего арсенала фильтрации, я, проводя тестирование, менял падежи, порядок слов и т.п., не меня смысл поискового запроса. Если на третьей-четвертой манипуляции мне не удавалось найти открывающихся сайтов, я засчитывал очко в пользу SkyDNS

Выводы

1. Что касается фильтрации, как и ожидалось, SkyDNS с настройками по умолчанию заборол семейный YandexDNS, но значительно проиграл DansGuardian в полевых условиях.
2. SkyDNS с настройками для школ сравнивать непросто, поскольку мы, фактически, получаем интернет по белому списку, т.е. все, что неизвестно SkyDNS будет блокироваться. При этом, результаты хорошие, но до DansGuardian при поиске конкретной информации все равно не дотягивают.
3. SkyDNS не является контент-фильтром, несмотря на заявление самой компании. В моем понимании контент-фильтр должен отслеживать содержимое страниц, а не адреса интернет-ресурсов.
4. Правильно настроенные и обновляемые DansGuardian+SquidGuard покажут результаты еще лучше, поскольку тот SquidGuard, который участвовал в тестировании, ничего не знает про Роскомнадзор и два года не обновлял черные списки.
5. Со всей собранной информацией меня ждут неплохие выходные.

Почему и для кого написано

В одно муниципальное учреждение, за которым я присматриваю, стали массово поступать письма от SkyDNS, в которых они напирали, что они — единственное решение для контент-фильтрации, что одобрены госорганами, что за смешные деньги, что Интернет после них чист, как снег в Альпах. Намекали, что проверка прокуратуры, услышав их название, сразу разворачивается и уходит в пыльные кабинеты пахнуть коньяком и плакать от бессилия. А тут еще начальник автоматизации, женщина со сложной судьбой, решила поддаться на уговоры и сменить работающий DansGuardian на этот волшебный SkyDNS. И я подумал: «А вдруг!?» Но нет, всё как ожидалось.

Уважаемые работники государственных учреждений, учителя информатики, другие администраторы поневоле и их руководители! Возможности SkyDNS ограничены технологией. SkyDNS НЕ фильтрует IP-адреса, не фильтрует по содержимому интернет-страниц, не фильтрует по типам и по названиям скачиваемых файлов. Это просто белый и черный список интернет-адресов, которые вы можете настраивать и использовать для ваших нужд. Если вас это устраивает, то все хорошо.

Однако, поскольку я был очевидцем проверки прокуратурой интернет-доступа к запрещенным материалам, общался с другими пострадавшими в других организациях, а также имел удовольствие беседовать с работниками прокуратуры и минюста, которые организуют и проводят эти проверки, могу вас заверить, что терминалы, блокирующие доступ по черным спискам SkyDNS, проверку прокуратуры не проходят, разве что вам повезет или у вас есть особые соглашение с проверяющими.

Прокуратуре фиолетово, что вы там себе поставили, с кем заключили договор. Они проверяют именно вас. Их задача получить доступ к материалам из федерального списка, и они обязательно его получат при некоторой настойчивости. Ваш единственный шанс пройти проверку — это всегда использовать белый список адресов или хотя бы успеть переключиться на него до того, как проверка начнется.

Появляется логичный вопрос — как можно требовать исполнения закона, который невозможно исполнить? К сожалению, для прокуратуры все просто: есть закон — надо выполнять. Не выполняете — наказываем. При этом все всё понимают и могут войти в положение, но предписание все равно будет.

Статья имеет практическую задачу показать эффективность разных способов фильтрации. Я с уважением отношусь к желанию людей заработать денег и обычно не мешаю их зарабатывать. Но в данном случае мне не нравится, что ребята из SkyDNS позиционируют себя как безальтернативное решение, ведут агрессивную рекламную компанию, используя административные государственные ресурсы и запугивание статьями уголовного кодекса, при этом не давая никакой, я повторюсь, НИКАКОЙ гарантии за результат и официально отказываясь от любой ответственности перед вами или прокуратурой за качество фильтрации, что и прописано у них в юридических документах.

Итого, простые рецепты по фильтрации

Если вы можете составить этот белый список сами и положить на прокси — SkyDNS вам не нужен.
Если вам нужен нормальный контент-фильтр, у вас есть руки и голова, которые могут его настроить (не обязательно ваши) — берите DansGuardian и занимайтесь.
Если рук или головы нет — ставьте SkyDNS или YandexDNS. SkyDNS, конечно, лучше и удобнее, но тут все зависит от бюджета.

На всякий случай — перечень запросов, которые я, в результате, использовал для поиска по федеральному списку: таблица Google spreadsheet

Update:

Первая редакция заметки была действительно некорректной, поскольку я проводил проверку, будучи уверенным, что проверяю SkyDNS со школьными настройками, в то время как добрые люди, уже сбросили настройки в состояние по умолчанию. После комментария от представителя SkyDNS я засомневался, убедился, что был не прав, и провел еще одно тестирование на еще одной виртуалке. Приношу извинения, и надеюсь, что все, кому этот материал был интересен посмотрят на обновленные результаты.

Ощущения от SkyDNS на школьных настройках с работой через безопасный поиск и с блокировкой неизвестных доменов были более убедительные и я готов подтвердить, что организация использующая этот вариант с большей вероятностью проверку пройдет, чем не пройдет. Есть одно «но» — как упомянули в комментариях hell0w0rd и Lerk, странно, что этот режим не стоит по умолчанию, поскольку, я уверен, многие конторы просто забудут его включить.

Было бы неправильным не упомянуть, что после окончания тестирования, у меня ушло около минуты, чтобы найти и проверить механизм обхода SkyDNS, не ставя дополнительных программ и не изменяя при этом настроек операционной системы или браузера. При этом, я не считаю себя сильно умнее грамотного школьника.

Также, я спросил у своих юристов, что они думают по поводу блокировки сайтов по белому списку, и получил несколько различных мнений, одно из которых, например, состоит в том, что Конституцию РФ еще никто пока не отменял, поэтому предоставлять доступ к одним сайтам и не предоставлять к другим, как это происходит в случае использования опции «блокировать неизвестные сайты» — это неплохой повод для судебного разбирательства.

Доброго времени суток, дорогие друзья. Сегодня, как Вы поняли, я оставлю свой отзыв о SkyDNS

Делов в том, что меня частенько спрашивают по поводу якобы этого «волшебного» сервиса SkyDNS, фильтрующего трафик и, по заявлениям его разработчиков, защищающего от опасных и нежелательных сайтов, назойливой рекламы, ботнетов и вирусов, сделав ежедневную работу в Интернете спокойной и безопасной.

Особенно часто меня об оном спрашивали, когда сервис был еще бесплатен (в принципе он частично сейчас сохраняет эту бесплатность, но якобы в урезанном режиме).

В рамках данной статьи я поведаю Вам почему же все таки не стоит пользоваться подобными решениями, а так же любыми другими DNS-серверами, отличными от Вашего провайдера (за исключением, разве что, GooglePublicDNS, но и его стоит использовать не всегда и с осторожностью, о чем, собственно, я расскажу ниже по тексту).

Поехали.

к содержанию ↑

Что такое DNS и зачем он нужен

Давайте для начала я поведаю Вам о том, что же представляет из себя DNS и с чем его вообще едят, дабы Вами были понятны принципы работы сего счастья, а следовательно и всё, что я буду рассказывать по ходу текста (к слову, возможно, что для понимания некоторых терминов Вам будет полезно ознакомиться с моей статьей «Терминология компьютерной сети или что есть что [IP, TCP, UPD, ICMP, MAC и пр.]»).

DNS (англ. Domain Name System — Система Доменных Имён) представляет из себя нечто вроде системы (вообще говоря, сервера) отвечающего за сопоставление домена (аля, google.ru) и IP хоста (аля, 192.168.1.1) где этот домен живет (там есть еще понятие зоны, но мы его сейчас опустим, дабы не морочить голову).

Говоря совсем упрощенно и на примере: можно зайти в Google, вбив в адресной строке браузера google.ru, а можно введя 209.85.148.104 . Так вот, чтобы Вы не сошли с ума, запоминая IP-шники всех сайтов, которые хотите посещать и мучительно вбивая их в адресную строку, собственно, и существует этот DNS, который, когда Вы вбиваете имя домена знаетпо какому IP этот домен живет и пускает Вас на сайт. Не будь DNS — путешествие по интернету было бы веселеньким дельцем по вводу тонн цифр вместо адресов сайтов.

Так сказать, локальным примером DNS может служить файл hosts (запрос к которому, кстати, имеет приоритет перед обращением к DNS-серверам), где, при необходимости, списком указываются домены и сопоставляемые им IP-адреса (чем, к слову, нередко пользуются вирусы и прочие пакости, указывая, скажем, домену vkontakte.ru совсем иной, отличный от реального, IP-адрес, и когда Вы заходите на этот самый свой контакт, то в адресной строке у Вас правильный домен, но на практике видите совершенно левый сайт, представляющий собой зеркало, созданное с целью увести Ваш пароль).

к содержанию ↑

Почему не стоит использовать SkyDNS — нюанс первый

Дело в том, что на получение (сопоставление) домена и IP, серверу нужно время на получение, обработку запроса, ответ и тп. Естественно, что это время отчасти определяет скорость загрузки у Вас сайтов и чем оно (время) выше, тем медленнее Вы путешествуете по интернету.

Естественно, что провайдеры, предоставляющие Вам доступ не дураки и имеют свои собственные DNS-ы, которые сейчас (если Вы ничего не меняли) и указаны у Вас в настройках сетевого подключения (либо в настройках роутера).

Само собой, что оные, в силу того, что находятся к Вам ближе всего и в одной (или почти в одной) с Вами сети конечно же будут отзываться на запросы в разы шустрее чем расположенные где-то там в лесу далеко сервера непонятной фирмы непонятной мощности.

Убедится в сим можно используя программу Namebench, которая наглядно показывает, что по сравнению с провайдерским (и 7-ю другими), этот самый SkyDNS прямо скажем.. Грустноват с точки зрения скорости (на скриншоте результат поочередного тестирования нескольких DNS’ов путем запросов к 8000+ сайтов в размере 250 запросов на каждый, где DNS’ы проранжированы в соответствии с их скоростью):

Для роутера прописаны провайдерские DNS’ы, которые находятся вторыми в списке тестируемых + ко всему роутер кеширует их.

И это первая из причин по которой нет смысла использовать подобную «радость». Дело даже, если хотите, не в скорости запроса как такового (хотя он играет огромную роль не смотря на, казалось бы, малые значения), а в скорости делегирования различных адресов, реакции на смену IP-шников и тд и тп, что, в обычном случае может занимать несколько часов до суток, а в случае всяких скаев по несколько недель и более.

к содержанию ↑

Остальные нюансы про SkyDNS

Дальнейшие причины заключается в том, что все эти обещанные чудо безопасности довольно сомнительны. Почему?

• Во-первых, это не антивирус, не антиspyware и вообще не программа (даже реализованная путем облачных технологий), а простой DNS, т.е защитить Вас от вредоносных скриптов, скаченных и запущенных файлов-вирусов, подгруженных в кеш гадостей и тп, он попросту не может;
• Во-вторых, что вытекает из первого и вышесказанного вообще, насколько я понимаю, оное представляет собой нечто вроде решения с иммунизацией при помощи Spybot, когда тот попросту добавляет тысячи известных ему вредоносных доменов в файл hosts, запрещая им доступ путем сопоставления домену старый добрый локальный 127.0.0.1 (IP-адрес, с помощью которого компьютер может обратиться по сети к самому себе, независимо от наличия у него подключения к сети, вида оной и адреса компьютера в ней). Только в данном случае оное реализовано на стороне DNS‘а в который забито некое количество имен гадких сайтов при запросах которых просто идет блокировка доступа (т.е DNS попросту не отдает IP-шник для какого-нибудь завирусованного сайта супер-халява-ххх.ру). Только вот, думается мне, что списки этих вредоносных сайтов.. взяты с Google или еще чего-нибудь вроде сети и плагина WOT для браузеров 

Для тех кто не знает — поясню. При индексации сайтов, любимый мной Google, так же анализирует оные на вредоносный код, скрипты файлы и тп, и, соответственно, в случае, если находит какую-нибудь пакость, то предупреждает об оном как людей пытающихся на сайт зайти, так и владельца сайта, что, условно говоря, является дополнительным эффективным способом борьбы с вирусами.

Так вот, почему я думаю, что списки утянуты откуда-то оттуда? Да потому, что для того, чтобы иметь собственные, как заявляют разработчики, адреса миллионов опасных и гадких (по содержанию) сайтов нужно иметь, как минимум, собственную поисковую машину и проиндексировать весь интернет, попутно сканируя сайты на вирусы, порнографическое/насильственное/другое-страшное содержание и тп.

Чего у компании подобных масштабов, думается мне попросту нет, т.е, всё что оно делает это просто запрещает доступы на якобы небезопасные сайты, а уж так оно или нет, что там небезопасного и полная ли вообще информация у них — неизвестно. Отсюда вывод.. Хотите SkyDNS? Просто ищите необходимую информацию через Google;

Если же SkyDNS составляет свои списки, то это значит, что они имеют функционал и мощности поисковой системы, постоянно сканируют миллионы сайтов на контент, содержание, изменение, вредоносность, файлы и прочее прочее, что само по себе бред и почти невозможно.

• Четвёртое, — все эти заявления и попытки пользователям продать безопасность подобного уровня довольно комичны, особенно на фоне того, что списки сами по себе являются закрытыми, полноценно увидеть и полностью изменить их содержание невозможно и, опять же, мы имеем в качестве примера тот же WOT, который был скомпроментирован (ищите новости в сети);

к содержанию ↑

И далее далее далее

Еще одна причина почему, на мой профессиональный взгляд, прибегать к использованию этого «чуда» SkyDNS  человеческой мысли не стоит:

Как написано на сайте самого сервиса, бесплатная его версия методично подпихивает Вам контекстную рекламу.

К слову, всякий раз, когда я думаю об этом, оное вызывает широкую улыбку, ибо, согласитесь, что довольно комично слышать: сервис который позиционирует себя как стремящийся сделать Ваше путешествие по интернету чистым, уютным и безопасным, сам подпихивает Вам рекламу даже там где её нет :). И дело тут вот в чем:

1. Как бы не божились эти милые разработчики, что всё конфиденциально и тд и тп, но всё таки нормальная контекстная реклама всегда позиционировалась (и будет позиционироваться) на собираемой статистике, ибо в этом случае она в разы эффективней и приносит больший доход (что логично, ибо если рекламодатель знает, что Вы посещаете в большинстве своём только сайты с играми, то нет смысла наобум подпихивать Вам рекламу про валенки, ибо куда эффективней будет показать оную про какую-нибудь супер-интересную свежую игрушку);
2. Как Вы надеюсь уже поняли, в этом плане, DNS один из мощных способов сбора этой статистики, благо известны все Ваши запросы ко всем сайтам, что, я уверен, обязательно используется, т.е о какой-то супер-конфиденциальности речи идти не может. Частичная — да. Полная? Маловероятно.

Подозреваю, что и в платном варианте статистика собирается, то есть Вы за свои же деньги позволяете каким-то дядечкам из SkyDNS не только ограничивать Ваш доступ куда-либо (как я говорил, полные списки Вам всё равно не посмотреть и не отредактировать), но еще и собирать о Вас статистику, которой кстати неизвестно куда и зачем можно приторговывать.

к содержанию ↑

Что можно использовать самому как альтернативу SkyDNS

Пользователь может организовать подобную защиту куда проще, бесплатно и — в разы! — эффективней:

• Достаточно поставить какой-нибудь аналогичный и бесплатный плагин для браузера (тысячи их);
• Провести иммунизацию Spybot (заполнит браузеры, hosts и тп, тысячями адресов и фактически заблокирует к ним доступ, как это делает ваш SkyDNS);
• Пользоваться Google (ну или Яндексом) как поисковиком (там достаточно фильтров и безопасного поиска, стоит только настроить) и браузером от одного из них;
• Установить и настроить для браузера NoScript и Ghostery;
• Банально установить, настроить и использовать uBlock или вообще Adguard (последний еще и защитит конфиденциальность);
• Поставить и настроить антивирус и фаерволл, — защита в комплексе будет всё равно мощней при использовании подобного сервиса с якобы защитой от вирусов;
• Хотите сложный многоступенчатый, но адекватный вариант, чтобы с фильтрацией трафика и контента? Хороший роутер позволит настроить правила как спискам адресов, так и по типам файлов, частям URL в запросе, типам трафика (видео, торренты и тп) и даже контенту;
• Лень делать всё вышенаписанное? Используйте файл hosts, — готовые варианты уже есть;
• Не знаете кому заплатить денег? Поищите программы для фильтрации контента по трафику, — не надо нести свои деньги закрытым сервисам. Да и заплатите один раз всего.

Несложный комплекс всего этого не просто избавит Вас от кучи проблем, рекламы, левого контента, вирусов и много чего еще, но и сделает это бесплатно, а заодно и подтянет Вашу компьютерную грамотность, чтобы Вы не писали глупые комментарии, которые люди пишут под этой статьёй.

к содержанию ↑

Использование альтернативных DNS-серверов вместо SkyDNS

Не смотря на всё вышесказанное порой бывает необходимо на некоторое время прибегнуть к альтернативным DNS-серверам (под альтернативными я имею ввиду отличные от провайдерских).

Когда это бывает нужно? Обычно в тех случаях, когда DNS‘ы провайдера глючат в каком-либо виде, не желая открывать те или иные сайты, т.е интернет сам по себе есть, но из-за отсутствия сопоставления доменов к хостам, сайты доступны лишь по IP.

Естественно, что в этом случае приходится прибегать к альтернативным решениям, но при этом, само собой, хорошо бы пользоваться не SkyDNS, а чем-нибудь более человечным, вроде GooglePublicDNS (адрес 8.8.4.4 или 8.8.8.8).

Для этого заходим в:

• «Пуск — Настройка — Панель управления — Сетевые подключения (для Windows 7 здесь: «Центр управления сетями и общим доступом — Изменение параметров адаптера«);
• Правая кнопка мышки по сетевому подключению — Свойства — Протокол Интернета версии 4 (TCP/IPv4) — Свойства«;
• В строке «Предпочитаемый DNS-сервер» указываем 8.8.4.4 или 8.8.8.8, жмакаем «ОК — ОК»;
• Пробуем (возможно потребуется включить-выключить соединение: правая кнопка мышки на оном — «Отключить» — затем снова правая кнопка мышки — «Включить»).

Конфиденциальность тут так же не гарантируется, но зато и платить некому не нужно. Про способы же остальные, я уже писал выше.

к содержанию ↑

Отдельный подзаголовок для тех, кто хочет написать комментарий про SkyDNS

Не надо. Я серьезно. Тема полностью раскрыта в статье и на 150++ комментариев под ней. Раскрыта технически подкованными людьми, скушавшими не одну собачку на этой теме, работающими в этой сфере и тд и тп.

Прочитайте их (и статью) до полного просветления ровно столько раз, сколько Вам необходимо для понимания того, что SkyDNS в Вашей защите не нуждается, во всяком случае не на этом сайте.

Ваше бесценное, эпическое мнение, если оно не содержит столь же эпической (по объёмам, в символах и контенте, — как минимум в размере статьи + всех комментов) аргументации (желательно с графиками, скриншотами и другими фактами, вплоть до Вашей биографии, трудового стажа и репутации) нам не очень нужно.

Вы уже который год старательно пишите комментарии под статьёй, но злобный модератор их якобы удаляет? Прочитайте еще раз статью, еще раз все 150++ комментариев и правила сайта. Если Вам всё еще ничего не понятно, то можем только посочувствовать.

Если Вы маркетологи, — а судя по комментам, об этом можно судять вполне явно, — из этого самого сервиса, то, пожалуйста, присылайте технически подкованных людей, чтобы они не позорились, неся откровенную ересь или хотя бы придумывайте более правдоподобные истории. А лучше перестаньте тратить деньги компании и напишите мне через форму обратной связи, мы с Вами обсудим и статью, и сервис, и Ваши аргументы.

Спасибо за внимание.

к содержанию ↑

Послесловие

Вот как-то так. Надеюсь, что информация была Вам полезна как с точки зрения общих знаний, так и в качестве полезного практического предостережения.

Как и всегда, если есть какие-то вопросы, дополнения и иже с ними, то буду рад услышать оные в комментариях к этой записи.

Оставайтесь со мной

I installed successfully Kubernetes 1.1.2 on CoreOS alpha (877.1.0) will the service files as link https://gist.github.com/thanhson1085/5a005e92245cb2288dee

After that, I want to run SkyDNS AddOn for my Kubernetes as a Service Discovery. And I followed this guide: https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/dns

But it does not work:

core@coreos-1 ~/projects $ sudo kubectl exec busybox -- nslookup kubernetes.default.cluster.local
Server:    10.100.100.100
Address 1: 10.100.100.100

nslookup: can't resolve 'kubernetes.default.cluster.local'
error: error executing remote command: Error executing command in container: Error executing in Docker Container: 1
core@coreos-1 ~/projects $ sudo kubectl exec busybox -- nslookup kubernetes.default              
Server:    10.100.100.100
Address 1: 10.100.100.100

nslookup: can't resolve 'kubernetes.default'
error: error executing remote command: Error executing command in container: Error executing in Docker Container: 1
core@coreos-1 ~/projects $ sudo kubectl exec busybox -- nslookup kubernetes.default.svc.cluster.local
Server:    10.100.100.100
Address 1: 10.100.100.100

nslookup: can't resolve 'kubernetes.default.svc.cluster.local'
error: error executing remote command: Error executing command in container: Error executing in Docker Container: 1

It works if i lookup global domain:

core@coreos-1 ~/projects $ sudo kubectl exec busybox -- nslookup google.com  
Server:    10.100.100.100
Address 1: 10.100.100.100

Name:      google.com
Address 1: 2404:6800:4003:c02::64 sc-in-x64.1e100.net
Address 2: 74.125.200.138 sa-in-f138.1e100.net
Address 3: 74.125.200.139 sa-in-f139.1e100.net
Address 4: 74.125.200.100 sa-in-f100.1e100.net
Address 5: 74.125.200.113 sa-in-f113.1e100.net
Address 6: 74.125.200.102 sa-in-f102.1e100.net
Address 7: 74.125.200.101 sa-in-f101.1e100.net

LOGS:

core@coreos-1 ~/projects $ sudo docker logs k8s_skydns.ed0ae89c_kube-dns-v9-a5afs_kube-system_b45f88f2-9684-11e5-9f5a-04018a53d701_32d98a24
2015/11/29 10:47:00 skydns: falling back to default configuration, could not read from etcd: 100: Key not found (/skydns) [2]
2015/11/29 10:47:00 skydns: ready for queries on cluster.local. for tcp://0.0.0.0:53 [rcache 0]
2015/11/29 10:47:00 skydns: ready for queries on cluster.local. for udp://0.0.0.0:53 [rcache 0]

kube2sky logs:

Failed to list *api.Service: couldn't get version/kind; json parse error: invalid character '<' looking for beginning of value
Failed to list *api.Endpoints: couldn't get version/kind; json parse error: invalid character '<' looking for beginning of value

And the below is the information for my installation:

core@coreos-1 ~/projects $ sudo kubectl get endpoints -a --all-namespaces
NAMESPACE     NAME           ENDPOINTS                           AGE
default       frontend       10.100.21.7:80,10.100.21.9:80       1d
default       kubernetes     128.199.134.19:6443                 1d
default       redis-master   10.100.21.2:6379                    1d
default       redis-slave    10.100.21.5:6379,10.100.21.6:6379   1d
kube-system   kube-dns                                           51m
core@coreos-1 ~/projects $ sudo kubectl get pods -a --all-namespaces
NAMESPACE     NAME                 READY     STATUS    RESTARTS   AGE
default       busybox              1/1       Running   0          51m
default       frontend-1w89q       1/1       Running   0          1d
default       frontend-w44qx       1/1       Running   0          1d
default       redis-master-qde8g   1/1       Running   0          1d
default       redis-slave-3m0t3    1/1       Running   0          1d
default       redis-slave-m6fc8    1/1       Running   0          1d
kube-system   kube-dns-v9-zrd22    3/4       Running   96         52m
core@coreos-1 ~/projects $ sudo kubectl get services -a --all-namespaces
NAMESPACE     NAME           CLUSTER_IP       EXTERNAL_IP   PORT(S)         SELECTOR            AGE
default       frontend       10.100.192.188   nodes         80/TCP          name=frontend       1d
default       kubernetes     10.100.0.1       <none>        443/TCP         <none>              1d
default       redis-master   10.100.180.191   <none>        6379/TCP        name=redis-master   1d
default       redis-slave    10.100.146.91    <none>        6379/TCP        name=redis-slave    1d
kube-system   kube-dns       10.100.100.100   <none>        53/UDP,53/TCP   k8s-app=kube-dns    52m
core@coreos-1 ~/projects $ sudo kubectl get rc -a --all-namespaces
NAMESPACE     CONTROLLER     CONTAINER(S)   IMAGE(S)                                             SELECTOR                      REPLICAS   AGE
default       frontend       php-redis      gcr.io/google_samples/gb-frontend:v3                 name=frontend                 2          1d
default       redis-master   master         redis                                                name=redis-master             1          1d
default       redis-slave    worker         gcr.io/google_samples/gb-redisslave:v1               name=redis-slave              2          1d
kube-system   kube-dns-v9    etcd           gcr.io/google_containers/etcd:2.0.9                  k8s-app=kube-dns,version=v9   1          52m
                             kube2sky       gcr.io/google_containers/kube2sky:1.11                                             
                             skydns         gcr.io/google_containers/skydns:2015-10-13-8c72f8c                                 
                             healthz        gcr.io/google_containers/exechealthz:1.0 

See Kubelet Service Status:

core@coreos-1 ~ $ sudo systemctl status kubelet
● kubelet.service - Kubernetes Kubelet
   Loaded: loaded (/etc/systemd/system/kubelet.service; enabled; vendor preset: disabled)
   Active: active (running) since Sat 2015-11-28 07:17:28 UTC; 52min ago
 Main PID: 27007 (kubelet)
   Memory: 2.9M
      CPU: 944ms
   CGroup: /system.slice/kubelet.service
           ├─27007 /opt/bin/kubelet --port=10250 --cluster-dns=10.100.100.100 --cluster-domain=cluster.local --hostname-override=coreos-1 --api-servers=http://127.0.0.1:8080 --logtostderr=true
           └─27018 journalctl -k -f

Nov 28 08:09:26 coreos-1 kubelet[27007]: E1128 08:09:26.690587   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:27 coreos-1 kubelet[27007]: E1128 08:09:27.689255   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:28 coreos-1 kubelet[27007]: E1128 08:09:28.696916   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:29 coreos-1 kubelet[27007]: E1128 08:09:29.697705   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:30 coreos-1 kubelet[27007]: E1128 08:09:30.691816   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:31 coreos-1 kubelet[27007]: E1128 08:09:31.684655   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:32 coreos-1 kubelet[27007]: I1128 08:09:32.008987   27007 manager.go:1769] pod "kube-dns-v9-zrd22_kube-system" container "skydns" is unhealthy (probe result: failure), it will be killed and re-created.
Nov 28 08:09:32 coreos-1 kubelet[27007]: E1128 08:09:32.708600   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:33 coreos-1 kubelet[27007]: E1128 08:09:33.708741   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:34 coreos-1 kubelet[27007]: E1128 08:09:34.685334   27007 fs.go:211] Stat fs failed. Error: no such file or directory

Please help me to fix it.
And can I use Consul to place of SkyDNS in this case?

I installed successfully Kubernetes 1.1.2 on CoreOS alpha (877.1.0) will the service files as link https://gist.github.com/thanhson1085/5a005e92245cb2288dee

After that, I want to run SkyDNS AddOn for my Kubernetes as a Service Discovery. And I followed this guide: https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/dns

But it does not work:

core@coreos-1 ~/projects $ sudo kubectl exec busybox -- nslookup kubernetes.default.cluster.local
Server:    10.100.100.100
Address 1: 10.100.100.100

nslookup: can't resolve 'kubernetes.default.cluster.local'
error: error executing remote command: Error executing command in container: Error executing in Docker Container: 1
core@coreos-1 ~/projects $ sudo kubectl exec busybox -- nslookup kubernetes.default              
Server:    10.100.100.100
Address 1: 10.100.100.100

nslookup: can't resolve 'kubernetes.default'
error: error executing remote command: Error executing command in container: Error executing in Docker Container: 1
core@coreos-1 ~/projects $ sudo kubectl exec busybox -- nslookup kubernetes.default.svc.cluster.local
Server:    10.100.100.100
Address 1: 10.100.100.100

nslookup: can't resolve 'kubernetes.default.svc.cluster.local'
error: error executing remote command: Error executing command in container: Error executing in Docker Container: 1

It works if i lookup global domain:

core@coreos-1 ~/projects $ sudo kubectl exec busybox -- nslookup google.com  
Server:    10.100.100.100
Address 1: 10.100.100.100

Name:      google.com
Address 1: 2404:6800:4003:c02::64 sc-in-x64.1e100.net
Address 2: 74.125.200.138 sa-in-f138.1e100.net
Address 3: 74.125.200.139 sa-in-f139.1e100.net
Address 4: 74.125.200.100 sa-in-f100.1e100.net
Address 5: 74.125.200.113 sa-in-f113.1e100.net
Address 6: 74.125.200.102 sa-in-f102.1e100.net
Address 7: 74.125.200.101 sa-in-f101.1e100.net

LOGS:

core@coreos-1 ~/projects $ sudo docker logs k8s_skydns.ed0ae89c_kube-dns-v9-a5afs_kube-system_b45f88f2-9684-11e5-9f5a-04018a53d701_32d98a24
2015/11/29 10:47:00 skydns: falling back to default configuration, could not read from etcd: 100: Key not found (/skydns) [2]
2015/11/29 10:47:00 skydns: ready for queries on cluster.local. for tcp://0.0.0.0:53 [rcache 0]
2015/11/29 10:47:00 skydns: ready for queries on cluster.local. for udp://0.0.0.0:53 [rcache 0]

kube2sky logs:

Failed to list *api.Service: couldn't get version/kind; json parse error: invalid character '<' looking for beginning of value
Failed to list *api.Endpoints: couldn't get version/kind; json parse error: invalid character '<' looking for beginning of value

And the below is the information for my installation:

core@coreos-1 ~/projects $ sudo kubectl get endpoints -a --all-namespaces
NAMESPACE     NAME           ENDPOINTS                           AGE
default       frontend       10.100.21.7:80,10.100.21.9:80       1d
default       kubernetes     128.199.134.19:6443                 1d
default       redis-master   10.100.21.2:6379                    1d
default       redis-slave    10.100.21.5:6379,10.100.21.6:6379   1d
kube-system   kube-dns                                           51m
core@coreos-1 ~/projects $ sudo kubectl get pods -a --all-namespaces
NAMESPACE     NAME                 READY     STATUS    RESTARTS   AGE
default       busybox              1/1       Running   0          51m
default       frontend-1w89q       1/1       Running   0          1d
default       frontend-w44qx       1/1       Running   0          1d
default       redis-master-qde8g   1/1       Running   0          1d
default       redis-slave-3m0t3    1/1       Running   0          1d
default       redis-slave-m6fc8    1/1       Running   0          1d
kube-system   kube-dns-v9-zrd22    3/4       Running   96         52m
core@coreos-1 ~/projects $ sudo kubectl get services -a --all-namespaces
NAMESPACE     NAME           CLUSTER_IP       EXTERNAL_IP   PORT(S)         SELECTOR            AGE
default       frontend       10.100.192.188   nodes         80/TCP          name=frontend       1d
default       kubernetes     10.100.0.1       <none>        443/TCP         <none>              1d
default       redis-master   10.100.180.191   <none>        6379/TCP        name=redis-master   1d
default       redis-slave    10.100.146.91    <none>        6379/TCP        name=redis-slave    1d
kube-system   kube-dns       10.100.100.100   <none>        53/UDP,53/TCP   k8s-app=kube-dns    52m
core@coreos-1 ~/projects $ sudo kubectl get rc -a --all-namespaces
NAMESPACE     CONTROLLER     CONTAINER(S)   IMAGE(S)                                             SELECTOR                      REPLICAS   AGE
default       frontend       php-redis      gcr.io/google_samples/gb-frontend:v3                 name=frontend                 2          1d
default       redis-master   master         redis                                                name=redis-master             1          1d
default       redis-slave    worker         gcr.io/google_samples/gb-redisslave:v1               name=redis-slave              2          1d
kube-system   kube-dns-v9    etcd           gcr.io/google_containers/etcd:2.0.9                  k8s-app=kube-dns,version=v9   1          52m
                             kube2sky       gcr.io/google_containers/kube2sky:1.11                                             
                             skydns         gcr.io/google_containers/skydns:2015-10-13-8c72f8c                                 
                             healthz        gcr.io/google_containers/exechealthz:1.0 

See Kubelet Service Status:

core@coreos-1 ~ $ sudo systemctl status kubelet
● kubelet.service - Kubernetes Kubelet
   Loaded: loaded (/etc/systemd/system/kubelet.service; enabled; vendor preset: disabled)
   Active: active (running) since Sat 2015-11-28 07:17:28 UTC; 52min ago
 Main PID: 27007 (kubelet)
   Memory: 2.9M
      CPU: 944ms
   CGroup: /system.slice/kubelet.service
           ├─27007 /opt/bin/kubelet --port=10250 --cluster-dns=10.100.100.100 --cluster-domain=cluster.local --hostname-override=coreos-1 --api-servers=http://127.0.0.1:8080 --logtostderr=true
           └─27018 journalctl -k -f

Nov 28 08:09:26 coreos-1 kubelet[27007]: E1128 08:09:26.690587   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:27 coreos-1 kubelet[27007]: E1128 08:09:27.689255   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:28 coreos-1 kubelet[27007]: E1128 08:09:28.696916   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:29 coreos-1 kubelet[27007]: E1128 08:09:29.697705   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:30 coreos-1 kubelet[27007]: E1128 08:09:30.691816   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:31 coreos-1 kubelet[27007]: E1128 08:09:31.684655   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:32 coreos-1 kubelet[27007]: I1128 08:09:32.008987   27007 manager.go:1769] pod "kube-dns-v9-zrd22_kube-system" container "skydns" is unhealthy (probe result: failure), it will be killed and re-created.
Nov 28 08:09:32 coreos-1 kubelet[27007]: E1128 08:09:32.708600   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:33 coreos-1 kubelet[27007]: E1128 08:09:33.708741   27007 fs.go:211] Stat fs failed. Error: no such file or directory
Nov 28 08:09:34 coreos-1 kubelet[27007]: E1128 08:09:34.685334   27007 fs.go:211] Stat fs failed. Error: no such file or directory

Please help me to fix it.
And can I use Consul to place of SkyDNS in this case?

SkyDNS победил, но общую проблему не решил, видимо не в этом было дело.

Проблема — часть компьютеров теряет соединение с интернетом, страницы сайтов открываются через раз и очень медленно, причем есть компы которые подсоединен к роутеру через WiFi и через LAN.

Роутер только приобрел, до этого стоял дешёвый китайский, проблем не было, провайдер Beeline IPOE.

Интересная особенность, если кинетик подключить к интернету не напрямую к провайдеру, а через старый роутер — все работает нормально.

Раньше было много разных роутеров, но таких танцев с бубнами совершать не приходилось.

Вот пример лога, не пойму что происходит с 10:0b:a9:e6:62:60

[I] Oct 22 11:53:58 wmond: WifiMaster0/AccessPoint0: (MT7615) STA(10:0b:a9:e6:62:60) had deauthenticated by STA (reason: unspecified). 
[I] Oct 22 11:54:04 wmond: WifiMaster0/AccessPoint0: (MT7615) STA(10:0b:a9:e6:62:60) had associated successfully. 
[I] Oct 22 11:54:04 wmond: WifiMaster0/AccessPoint0: (MT7615) STA(10:0b:a9:e6:62:60) set key done in WPA2/WPA2PSK. 
[I] Oct 22 11:54:04 ndhcps: DHCPREQUEST received (STATE_INIT) for 192.168.1.41 from 10:0b:a9:e6:62:60. 
[I] Oct 22 11:54:04 ndhcps: sending ACK of 192.168.1.41 to 10:0b:a9:e6:62:60. 
[I] Oct 22 11:54:04 ndhcps: DHCPDISCOVER received from 10:0b:a9:e6:62:60. 
[I] Oct 22 11:54:04 ndhcps: making OFFER of 192.168.1.41 to 10:0b:a9:e6:62:60. 
[I] Oct 22 11:55:08 wmond: WifiMaster0/AccessPoint0: (MT7615) STA(10:0b:a9:e6:62:60) had deauthenticated by STA (reason: unspecified). 
[I] Oct 22 11:56:09 wmond: WifiMaster0/AccessPoint0: (MT7615) STA(10:0b:a9:e6:62:60) had associated successfully. 
[I] Oct 22 11:56:09 wmond: WifiMaster0/AccessPoint0: (MT7615) STA(10:0b:a9:e6:62:60) set key done in WPA2/WPA2PSK. 
[I] Oct 22 11:56:09 ndhcps: DHCPREQUEST received (STATE_INIT) for 192.168.1.41 from 10:0b:a9:e6:62:60. 
[I] Oct 22 11:56:09 ndhcps: sending ACK of 192.168.1.41 to 10:0b:a9:e6:62:60. 
[I] Oct 22 11:57:42 ndhcpc: GigabitEthernet1: received ACK for 100.123.229.117 from 100.123.0.1 lease 600 sec. 
 

1. Введение
2. Функциональные возможности SkyDNS
   1. 2.1. Блокировка сайтов по категориям
   2. 2.2. Чёрные и белые списки
   3. 2.3. Поддержка профилей фильтрации
   4. 2.4. Расписание фильтрации
   5. 2.5. Сбор статистики
   6. 2.6. Страница блокировки
3. Схема работы SkyDNS
4. Сценарии работы SkyDNS
   1. 4.1. Пример 1: эффективность сотрудников
   2. 4.2. Пример 2: загруженность интернет-соединения
   3. 4.3. Пример 3: скрытый майнинг
   4. 4.4. Пример 4: подработка сотрудников
   5. 4.5. Пример 5: работа с пиратским софтом
5. Тарифы SkyDNS для бизнеса
6. Развёртывание системы SkyDNS
7. Работа с системой SkyDNS
   1. 7.1. Регистрация для использования сервиса SkyDNS
   2. 7.2. Настройка и управление через личный кабинет SkyDNS
   3. 7.3. Установка и настройка «SkyDNS Агента»
8. Выводы

Введение

Многие компании по всему миру несут убытки из-за многочисленных интернет-угроз. Так, по данным исследования Cybersecurity Ventures, в 2021 г. ущерб от действий киберпреступников во всём мире превысит 6 трлн долларов США. В эту сумму входят убытки от повреждения и уничтожения данных, от кражи денег, от хищения личных и финансовых сведений, от нарушения деятельности бизнеса, от репутационного ущерба и т. п. Использование человеческого фактора всё так же остаётся одним из самых популярных векторов проникновения в корпоративную сеть. Злоумышленники часто применяют вредоносные фишинговые вложения и ссылки, которые перенаправляют пользователей на опасные сайты. Такие методы в последнее время стали популярны в том числе из-за пандемии COVID-19 и работы из дома без применения корпоративных решений для защиты доступа во внешние сети. Риски возникновения этих угроз можно снизить с помощью интернет-фильтрации, которая позволяет запретить доступ ко вредоносным и подозрительным сайтам.

Другую опасность представляет собой нецелевой расход рабочего времени персонала. Это стало особенно актуальным в связи с массовым переходом организаций на удалённый режим работы. Руководители хотят понимать, чем на самом деле занимаются их сотрудники: подчинённые могут тратить большое количество времени на личные нужды, в том числе на посещение сайтов, которые не связаны с работой, на онлайн-игры, просмотр фильмов и т. д. И эту проблему можно решить с помощью внедрения сервиса интернет-фильтрации — ограничения доступа к выбранным веб-сайтам.

Для реализации веб-фильтрации можно использовать сетевые шлюзы (UTM), различные системы предотвращения утечек информации (DLP), прокси-серверы и тому подобное. Внедрение и поддержка этих систем требует значительных финансовых затрат и выделения квалифицированных специалистов.

Компания SkyDNS предлагает для решения проблем разграничения доступа к интернет-ресурсам недорогой продукт по фильтрации с помощью специализированного DNS-сервера. Такой вариант не требует большого количества времени и высокой квалификации для внедрения и применения. Сервис SkyDNS даёт много возможностей для управления интернет-доступом и анализа использования веб-ресурсов.

Функциональные возможности SkyDNS

SkyDNS — сервис интернет-фильтрации, в основе которого лежит технология доменных имён DNS. DNS-протокол используется для связывания доменного имени сайта с его IP-адресом.

К основным целям работы SkyDNS можно отнести:

• Ограничение интернет-доступа на рабочем месте для повышения эффективности работников. Реализована возможность настраивать разные политики доступа к разным ресурсам сети «Интернет» в зависимости от отдела и обязанностей конкретных сотрудников (например, SMM-специалисту доступ к социальным сетям необходим, а специалистам других департаментов необязателен).
• Сбор статистики по интернет-активности сотрудников для анализа их производительности.
• Защита от киберугроз использующих DNS-протокол.
• Блокировка фишинговых сайтов и распространяющих вредоносные программы интернет-ресурсов.
• Защита от использования устройств в корпоративной сети в качестве частей ботнетов.

Рассмотрим подробнее основные функции решения SkyDNS.

Блокировка сайтов по категориям

Фильтрация по категориям — гранулярная настройка доступа к сайтам по категориям изо встроенной базы данных SkyDNS. Фильтр SkyDNS содержит 61 категорию сайтов, и этот реестр постоянно актуализируется.

Все категории разделены на группы. Перечень доступных групп и категорий:

• «Безопасность» — ботнеты, сайты распространяющие вредоносные программы, запаркованные домены, фишинг. Для ряда категорий, связанных с безопасностью, возможна отправка уведомлений администратору при попытке доступа к ним.
• «Чёрные сайты» — агрессия, расизм, терроризм, криптомайнинг, плагиат, грубость, наркотики и т. п.
• «Информация для взрослых» — интернет-площадки с рекламой и пропагандой алкоголя и табака, сайты знакомств, онлайн-казино, лотереи, тотализаторы, сайты с информацией порнографического содержания.
• «Пожиратели трафика» — музыкальные сайты, торренты, файлохранилища, фотогалереи и онлайн-кинотеатры, сервисы онлайн-стриминга, радиостанции.
• «Пожиратели времени» — социальные сети, форумы, чаты и мессенджеры, развлекательные сайты.
• «Прочие сайты» — большой набор интернет-ресурсов различных категорий: юмор, туризм, новости и СМИ, недвижимость и т. п.

Чёрные и белые списки

Сервис SkyDNS позволяет администратору создавать свои чёрные и белые списки. Чёрный список помогает блокировать конкретные сайты, белый — открывать только заданные интернет-ресурсы. Важно подчеркнуть, что ресурсы из чёрных и белых списков всегда заблокированы / доступны вне зависимости от настроек категорий. Если конкретная категория не заблокирована, а относящийся к этой категории сайт добавлен в чёрный список, то сайт будет заблокирован. Если же, наоборот, категория заблокирована, а входящий в неё сайт внесён в белый список, то пользователь будет иметь доступ к этому сайту.

Рисунок 1. Личный кабинет SkyDNS. Чёрные и белые списки

Поддержка профилей фильтрации

Для обеспечения определённого поведения контентного фильтра для разных пользователей (например, для сотрудников различных отделов) сервис SkyDNS поддерживает возможность создания разных профилей, разделение на которые осуществляется с помощью приложения SkyDNS (в том числе для разных учётных записей одного компьютера), модуля в роутерах Zyxel Keenetic или путём привязки профиля к конкретному внешнему IP-адресу. Также профили используются при настройке расписания.

Расписание фильтрации

Сервис SkyDNS позволяет администратору гибко настраивать время и режимы фильтрации под любые нужды и сценарии работы. В качестве примера, актуального для бизнеса, можно привести установку различных правил фильтрации по времени суток для разрешения доступа сотрудников к запрещённым сайтам в нерабочее время. Расписание в сервисе реализуется через дополнительные профили настроек, в каждом из которых можно задать свой график включения или отключения этого профиля.

Рисунок 2. Личный кабинет SkyDNS. Расписание блокировки

Сбор статистики

Фильтр SkyDNS позволяет получать детальную статистику по интернет-активности пользователей сети. Всего предусмотрено пять видов отображения данных за указанный период:

• Суммарная диаграмма DNS-запросов и блокировок.
• Диаграмма наиболее популярных сайтов.
• Таблица со списком заблокированных сайтов.
• Почасовая статистика обращений к сайтам.

Благодаря функции сбора статистики руководитель может провести анализ посещённых в рабочее время сайтов и сделать заключение об эффективности сотрудника, выяснить, ищет ли подчинённый другое место работы или, возможно, уже работает на фрилансе.

Доступна выгрузка данных в форматах CSV и PDF. Также есть опция отправки ежемесячной статистики на почтовый ящик администратора.

Страница блокировки

Контент-фильтр SkyDNS позволяет администраторам настраивать страницу блокировки. Предусмотрено пять вариантов оформления:

• Стандартная страница блокировки.
• Персональная страница блокировки. Можно загрузить картинку и сопроводить её текстом.
• HTML-страница блокировки. В её коде можно использовать переменные.
• Страница блокировки с эмуляцией ошибки сервера. Выглядит как неработающий сайт.
• Пустой DNS-ответ. Выглядит так, как если бы заблокированный сайт не существовал.

Рисунок 3. Стандартная страница блокировки SkyDNS

Схема работы SkyDNS

Рассмотрим порядок работы со SkyDNS. Для начала пользователю необходимо выбрать категории сайтов, которые должны блокироваться: в личном кабинете на сайте skydns.ru либо через специальную программу-агент. Спустя несколько минут настройки распространяются на DNS-серверы SkyDNS и заданные правила фильтрации начинают действовать.

После этого все DNS-запросы с компьютеров пользователей идут на DNS-сервер SkyDNS, где каждый из них категорируется и сверяется с выбранными заранее блокируемыми категориями. Если запрос не входит ни в одну из заблокированных категорий или в чёрный список, то возвращается IP-адрес сайта и веб-страница открывается. Если же запрос относится к заблокированной категории, то возвращается IP-адрес страницы блокировки. При этом качество контент-фильтрации во многом зависит от актуальности базы сайтов, разбитых на категории, а также от охвата ею интернета.

Объём базы категорированных интернет-ресурсов составляет более 115 млн сайтов, что охватывает примерно три четверти действительно существующих и работающих веб-узлов. Отличительной особенностью базы является особое внимание к русскоязычному сегменту интернета.

Рисунок 4. Схема работы SkyDNS

Сценарии работы SkyDNS

Сервис SkyDNS может оказать компаниям реальную помощь в защите от киберугроз и предотвратить инциденты в информационной безопасности. Рассмотрим несколько примеров работы сервиса SkyDNS.

Пример 1: эффективность сотрудников

Компании необходимо предотвратить доступ к сайтам, которые не относятся к рабочим процессам, с компьютеров сотрудников, а также собирать информацию об интернет-активности персонала.

Наиболее подходящим вариантом является интернет-фильтр «SkyDNS.Бизнес». Сервис интегрируется в корпоративную сеть с помощью установки на компьютеры программы «SkyDNS.Агент». Настраиваются правила фильтрации для каждого отдела (сервис, бухгалтерия, охрана и т. д.). В зависимости от отдела и назначения конкретного компьютера закрывается доступ к социальным сетям, YouTube, медиахранилищам, сайтам с онлайн-играми и порнографией и др.

Пример 2: загруженность интернет-соединения

Рассмотрим ещё один пример. Скорость интернет-соединения в компании очень низка: когда кто-то скачивает большие файлы, скорость существенно падает. Сначала для ограничения доступа к медиаресурсам использовались чёрные списки, составляемые вручную. Однако такая технология требовала существенных трудозатрат и постоянных корректировок списков.

Решить проблему также может сервис SkyDNS. Система блокирует запрещённые законодательством сайты, а также интернет-ресурсы с большими объёмами трафика — медиахранилища, веб-сервисы с музыкой и подписками, файлообменники и торренты. В результате все сайты, которые могут замедлить интернет, надёжно заблокированы и скорость интернета в компании значительно увеличивается.

Пример 3: скрытый майнинг

С помощью письма с фишинговой ссылкой злоумышленники устанавливают скрытый майнер на устройства организации. Это приводит к излишней трате системных ресурсов компьютеров и к увеличению расхода электроэнергии.

Сервис контент-фильтрации SkyDNS блокирует переход по фишинговой ссылке, благодаря чему вредоносная программа не попадает на устройство. Если же подобный инцидент всё-таки происходит, SkyDNS блокирует соединение вредоносного объекта с управляющим центром и не даёт установить майнер. Если майнер уже установлен, сервис выдаст предупреждение о подозрительной активности.

Таким образом, фильтр SkyDNS не позволит использовать ресурсы компании как средство заработка для злоумышленников.

Пример 4: подработка сотрудников

Предположим, что сотрудник компании подрабатывает в рабочее время, выполняя заказы на биржах фриланса. При использовании расширенной контент-фильтрации SkyDNS по статистике видно, что сотрудник периодически обращается ко фриланс-биржам freelance.ru и freelancer.com.

С сотрудником проводится беседа, выявляются причины такого поведения. Он соглашается заниматься фрилансом только в свободное от работы время, благодаря чему его эффективность повышается.

Таким образом, контент-фильтр SkyDNS помогает следить за интернет-активностью работников.

Пример 5: работа с пиратским софтом

Сотрудники скачивают с торрентов пиратские программы и используют их на рабочих компьютерах. При проверке надзорного органа выявляется несоблюдение авторских прав на программное обеспечение. В итоге компанию штрафуют.

Расширенная контент-фильтрация SkyDNS позволяет блокировать торрент-трекеры и банки программ. Она исключает возможность скачивания и установки пиратского «софта», а также помогает компании избежать штрафных санкций при следующей проверке со стороны надзорных органов.

Тарифы SkyDNS для бизнеса

Сервис SkyDNS работает по принципу подписки: организации ежегодно оплачивают услуги и получают доступ к определённым возможностям в зависимости от выбранного тарифного плана. Бизнес-пользователям предлагается 2 вида тарифов — «Бизнес» и «Бизнес+». Тот или иной тариф рекомендуется выбирать в зависимости от количества подключаемых компьютеров, сетей, профилей. Тариф «Бизнес» предназначен для небольших организаций, а «Бизнес+» используется для крупных многофилиальных структур, которым необходимо защищать удалённые друг от друга локальные офисы и настраивать разные политики фильтрации для каждого из них. Тариф «Бизнес+» отличается расширенными функциональными возможностями, а также увеличенным объёмом чёрных и белых списков.

Таблица 1. Сравнение тарифов SkyDNS для бизнеса

Развёртывание системы SkyDNS

В качестве преимущества SkyDNS хочется отметить множество вариантов развёртывания решения для защиты ноутбуков, мобильных устройств или всей сети.

Для защиты ноутбука или настольного компьютера можно установить агент SkyDNS или настроить фильтрацию через DDClient в том случае, если у компьютера — динамический IP-адрес.

Для защиты мобильного телефона от нежелательного контента можно установить приложение OpenVPN и настроить согласно инструкции.

Для защиты сети можно воспользоваться следующими вариантами настройки фильтрации:

• На роутере Zyxel серии Keenetic (все роутеры Keenetic имеют встроенный модуль SkyDNS, который позволяет более точно контролировать трафик и ограничивать доступ внутри сети Wi-Fi).
• На любом другом роутере, шлюзе, маршрутизаторе.
• Путём установки агента SkyDNS на каждый компьютер в сети.

Работа с системой SkyDNS

Регистрация для использования сервиса SkyDNS

Для начала необходимо зарегистрироваться на сайте skydns.ru. На открывшейся странице регистрации пользователь выбирает необходимый тариф. Далее требуется ввести адрес электронной почты и пароль, по которым сервис будет идентифицировать пользователя.

Рисунок 5. Выбор тарифа на сайте SkyDNS

Рисунок 6. Регистрация на сайте SkyDNS

Настройка и управление через личный кабинет SkyDNS

Рассмотрим настройки из веб-интерфейса в личном кабинете на сайте SkyDNS. Весь интерфейс состоит из пяти основных разделов — «Настройки», «Фильтр», «Домены», «Статистика» и «Аккаунт».

Рисунок 7. Личный кабинет SkyDNS. Главный экран

Для получения помощи по работе сервиса пользователь может написать в техническую поддержку. Для этого нужно нажать на кнопку «Напишите нам» в правой части экрана, описать проблему и отправить сообщение.

Рисунок 8. Личный кабинет SkyDNS. Поддержка

Вкладка «Настройки» содержит информацию по всем устройствам, которые подвергаются мониторингу. Для добавления нового устройства предназначена кнопка «Установка». Для подключения всех устройств из одной сети необходимо выбрать кнопку «Настроить сеть».

Рисунок 9. Личный кабинет SkyDNS. Настройки. Новая сеть

Вкладка «Профили» позволяет задавать и настраивать правила фильтрации для разных групп пользователей в зависимости от их бизнес-функций и прав доступа.

Рисунок 10. Личный кабинет SkyDNS. Настройки. Профили

Вкладка «Расписание» позволяет гибко настроить параметры блокировки ресурсов по времени.

Рисунок 11. Личный кабинет SkyDNS. Настройки. Расписание

Визуальное отображение страницы блокировки можно настроить на вкладке «Страница блокировки». Помимо стандартных страниц можно создать персональные, в т. ч. в фирменном стиле компании, с указанием контакта администратора для разблокировки сайта.

Рисунок 12. Личный кабинет SkyDNS. Настройки защиты. Страница блокировки

Рисунок 13. Личный кабинет SkyDNS. Пример персональной страницы блокировки

Вкладка «Фильтр» позволяет настроить блокировку 61 категории сайтов, например фишинговых, содержащих информацию для взрослых, отображающих рекламу и баннеры и т. п.

Рисунок 14. Личный кабинет SkyDNS. Фильтр

Для настройки чёрных и белых списков предназначена вкладка «Домены». Для блокировки сайта его домен нужно вводить без префикса «www» (например, «google.com»). В этом случае будет заблокирован домен целиком, включая все его поддомены. Если необходимо заблокировать только отдельный поддомен (например, «maps.google.com»), следует добавить в чёрный список только его. При этом остальные поддомены google.com будут доступны. Для белых же списков действует противоположная логика.

Рисунок 15. Личный кабинет SkyDNS. Домены

На вкладке «Статистика» можно посмотреть сводку за любой определённый временной диапазон. Статистика отображается по часам и по дням. Также статистику можно собирать по конкретному пользователю, по группе пользователей или по всему персоналу.

Рисунок 16. Личный кабинет SkyDNS. Статистика

Для управления настройками учётной записи, изменения личных данных и паролей сотрудник может использовать вкладку «Аккаунт».

Рисунок 17. Личный кабинет SkyDNS. Аккаунт

Установка и настройка «SkyDNS Агента»

На рабочие компьютеры пользователей рекомендуется установить специальную программу-агент SkyDNS. Одно из основных преимуществ использования «SkyDNS Агента» — это возможность привязать конкретный профиль фильтрации к отдельному рабочему компьютеру.

Перед установкой «SkyDNS Агента» необходимо скачать установочный файл из личного кабинета. После запуска появится окно мастера. После установки пользователь может запустить программу и авторизоваться в «SkyDNS Агенте».

Рисунок 18. Вход в «SkyDNS Агент»

Более подробная инструкция по установке и настройке агента доступна здесь.

Для входа в раздел «Настройки» необходимо ввести пароль от учётной записи и нажать кнопку «Далее». После подтверждения пароля пользователь оказывается в разделе «Настройки». Для изменения правил фильтрации сайтов необходимо выбрать пункт «Настройки контент-фильтра».

Рисунок 19. Настройки «SkyDNS Агента»

Рисунок 20. Категории «SkyDNS Агента»

Рисунок 21. Исключения в «SkyDNS Агенте»

Выводы

Решение для контроля, защиты и мониторинга корпоративных сетей SkyDNS позволяет обезопасить компанию от киберугроз и повысить эффективность использования рабочего времени сотрудников. Простота внедрения, отсутствие дополнительных финансовых и трудовых затрат на эксплуатацию делают сервис SkyDNS доступным для малого и среднего бизнеса.

Достоинства:

• Возможность настройки разных профилей фильтрации.
• Фильтр не влияет на скорость интернета и производительность рабочих станций.
• Низкая стоимость.
• Поддержка ресурсов Active Directory.
• Имеется система выявления вредоносных сайтов.
• Быстрое развёртывание сервиса (за несколько минут).
• Возможность централизованного управления (через веб-интерфейс или через программу-агент для Windows).
• Фильтрация за NAT (cервис позволяет привязывать разные профили фильтрации к различным устройствам в сети с трансляцией сетевых адресов).
• SkyDNS входит в единый реестр отечественного ПО.

Недостатки:

• Отсутствие агента для мобильных платформ.
• Отсутствие агента для операционных систем macOS.
• Недостаточно детальная статистика.
• Отсутствие таких функций аппаратных решений, как контроль приложений и детальный анализ трафика.