Главная
ЛОР-заболевания
Практическое сравнение SkyDNS, YandexDNS и DansGuardian как средств защиты от прокуратуры.

Практическое сравнение SkyDNS, YandexDNS и DansGuardian как средств защиты от прокуратуры.

Доброго времени суток, дорогие друзья. Сегодня, как Вы поняли, я оставлю свой отзыв о

Делов в том, что меня частенько спрашивают по поводу якобы этого "волшебного" сервиса , и, по заявлениям его разработчиков, защищающего от опасных и нежелательных сайтов, назойливой рекламы, ботнетов и вирусов, сделав ежедневную работу в Интернете спокойной и безопасной.

Особенно часто меня об оном спрашивали, когда сервис был еще бесплатен (в принципе он частично сейчас сохраняет эту бесплатность, но якобы в урезанном режиме).

В рамках данной статьи я поведаю Вам почему же все таки не стоит пользоваться подобными решениями, а так же любыми другими DNS -серверами, отличными от Вашего провайдера (за исключением, разве что, GooglePublicDNS , но и его стоит использовать не всегда и с осторожностью, о чем, собственно, я расскажу ниже по тексту).

Что такое DNS и зачем он нужен

Давайте для начала я поведаю Вам о том, что же представляет из себя DNS и с чем его вообще едят, дабы Вами были понятны принципы работы сего счастья, а следовательно и всё, что я буду рассказывать по ходу текста (к слову, возможно, что для понимания некоторых терминов Вам будет полезно ознакомиться с моей статьей " ").

DNS (англ. Domain Name System - Система Доменных Имён) представляет из себя нечто вроде системы (вообще говоря, сервера) отвечающего за сопоставление домена (аля, google.ru) и IP хоста (аля, 192.168.1.1) где этот домен живет (там есть еще понятие зоны, но мы его сейчас опустим, дабы не морочить голову).

Говоря совсем упрощенно и на примере: можно зайти в , вбив в адресной строке браузера google.ru , а можно введя 209.85.148.104 . Так вот, чтобы Вы не сошли с ума, запоминая IP -шники всех сайтов, которые хотите посещать и мучительно вбивая их в адресную строку, собственно, и существует этот DNS , который, когда Вы вбиваете имя домена знаетпо какому IP этот домен живет и пускает Вас на сайт. Не будь DNS - путешествие по интернету было бы веселеньким дельцем по вводу тонн цифр вместо адресов сайтов.

Так сказать, локальным примером DNS может служить файл hosts (запрос к которому, кстати, имеет приоритет перед обращением к DNS -серверам), где, при необходимости, списком указываются домены и сопоставляемые им IP -адреса (чем, к слову, указывая, скажем, домену vkontakte.ru совсем иной, отличный от реального, IP -адрес, и когда Вы заходите на этот самый свой контакт, то в адресной строке у Вас правильный домен, но на практике видите совершенно левый сайт, представляющий собой зеркало, созданное с целью увести Ваш пароль).

Почему не стоит использовать SkyDNS - нюанс первый

Дело в том, что на получение (сопоставление) домена и IP , серверу нужно время на получение, обработку запроса, ответ и тп. Естественно, что это время отчасти определяет скорость загрузки у Вас сайтов и чем оно (время) выше, тем медленнее Вы путешествуете по интернету.

Естественно, что провайдеры, предоставляющие Вам доступ не дураки и имеют свои собственные DNS -ы, которые сейчас (если Вы ничего не меняли) и указаны у Вас в настройках сетевого подключения (либо в настройках роутера).

Само собой, что оные, в силу того, что находятся к Вам ближе всего и в одной (или почти в одной) с Вами сети конечно же будут отзываться на запросы в разы шустрее чем расположенные где-то там в лесу далеко сервера непонятной фирмы непонятной мощности.

Убедится в сим можно используя программу Namebench , которая наглядно показывает, что по сравнению с провайдерским (и 7-ю другими), этот самый прямо скажем.. Грустноват с точки зрения скорости (на скриншоте результат поочередного тестирования нескольких DNS"ов путем запросов к 8000+ сайтов в размере 250 запросов на каждый, где DNS"ы проранжированы в соответствии с их скоростью):

Так вот, почему я думаю, что списки утянуты откуда-то оттуда? Да потому, что для того, чтобы иметь собственные, как заявляют разработчики, адреса миллионов опасных и гадких (по содержанию) сайтов нужно иметь, как минимум, собственную поисковую машину и проиндексировать весь интернет, попутно сканируя сайты на вирусы, порнографическое/насильственное/другое-страшное содержание и тп.

Чего у компании подобных масштабов, думается мне попросту нет, т.е, всё что оно делает это просто запрещает доступы на якобы небезопасные сайты, а уж так оно или нет, что там небезопасного и полная ли вообще информация у них - неизвестно. Отсюда вывод.. Хотите ? Просто ищите необходимую информацию через Google ;

Если же составляет свои списки, то это значит, что они имеют функционал и мощности поисковой системы, постоянно сканируют миллионы сайтов на контент, содержание, изменение, вредоносность, файлы и прочее прочее, что само по себе бред и почти невозможно.

  • Четвёртое, - все эти заявления и попытки пользователям продать безопасность подобного уровня довольно комичны, особенно на фоне того, что списки сами по себе являются закрытыми, полноценно увидеть и полностью изменить их содержание невозможно и, опять же, мы имеем в качестве примера тот же WOT , который был скомпроментирован (ищите новости в сети);

И далее далее далее

Еще одна причина почему, на мой профессиональный взгляд, прибегать к использованию этого "чуда" человеческой мысли не стоит:

Для этого заходим в:

  • "Пуск - Настройка - Панель управления - Сетевые подключения (для Windows 7 здесь: "Центр управления сетями и общим доступом - Изменение параметров адаптера ");
  • Правая кнопка мышки по сетевому подключению - Свойства - Протокол Интернета версии 4 (TCP/IPv4) - Свойства ";
  • В строке "Предпочитаемый DNS-сервер " указываем 8.8.4.4 или 8.8.8.8 , жмакаем "ОК - ОК";
  • Пробуем (возможно потребуется включить-выключить соединение: правая кнопка мышки на оном - "Отключить" - затем снова правая кнопка мышки - "Включить").

Тут так же не гарантируется, но зато и платить некому не нужно. Про способы же остальные, я уже писал выше.

Отдельный подзаголовок для тех, кто хочет написать комментарий про SkyDNS

Не надо. Я серьезно. Тема полностью раскрыта в статье и на 150++

Программа-агент предназначена для настройки подключения к сервису контент-фильтрации SkyDNS на персональных компьютерах с операционной системой Windows. В случае необходимости настройки подключения к сервису целой сети или настройки на роутере или интернет-шлюзе о доступных способах настройки вы можете узнать в разделе Инструкции на нашем сайте. Агент следует устанавливать на компьютер, с которого осуществляется доступ к сети Интернет, в том случае, когда ваш интернет-провайдер предоставляет вам частный (локальный, "серый"), либо динамический публичный IPv4 адрес.

Также агент может быть установлен в организации в скрытом автоматическом режиме для управления настройками фильтрации и сбора статистики работы с интернет на отдельных компьютерах.

Установка агента

Скрытая автоматическая установка

Установка агента может быть осуществлена в скрытом автоматическом режиме (без интерактивного ввода параметров установки). Данный режим позволяет системным администраторам автоматизировать установку агента на компьютеры в корпоративной среде. За подробным описанием режима обратитесь к следующему документу: Использование SkyDNS Agent в корпоративной сети .

Первый запуск


Настройка фильтрации

Создание профиля фильтрации


Привязка локальных пользователей Windows к профилям фильтрации


Настройка расписания фильтрации

Защита настроек агента паролем


Использование значка агента, отображаемого в панели задач

Вы может использовать значок агента, отображаемый в панели задач, чтобы временно остановить фильтрацию, либо переключить текущий профиль. Для этого нажмите по значку правой кнопкой мыши и выберете соответствующее меню. При этом, если настройки агента защищены паролем, то сначала будет показано окно для ввода пароля вашей учетной записи.

Факты, потом предыстория. Тестирование проходило на пяти идентичных виртуальных машинах:
  • Первая - YandexDNS с семейной, т.е. максимальной фильтрацией;
  • Вторая - SkyDNS в тестовом режиме с настройками по умолчанию;
  • Третья - SkyDNS в тестовом режиме с настройками, рекомендованными для школ;
  • Четвертая - DansGuardian + SquidGuard с опцией SafeSearch, которые были настроены 2 года назад и в которые периодически докидывался федеральный список запрещенных материалов;
  • Пятая - референсная машина, на которой проверялся, существует ли доступ к информации напрямую через провайдера.

Сразу замечу, что SquidGuard во время тестирования не сработал ни разу, так что его наличие ни на что не повлияло.

Поскольку далеко не для каждого пункта федерального списка можно придумать способ проверки, да и вообще иногда трудно понять, что там написано, алгоритм тестирования по нему был следующий:
1. Ткнув в случайный пункт списка, идем по нему вниз, пока не найдем что-то, что можно попробовать найти в Интернете. Например, это может быть некий текст, электронная книга, URL, IP-адрес, видеоролик, музыкальная запись, которые можно так или иначе идентифицировать.
2. Пытаемся найти эту информацию через Google или безопасный поиск SkyDNS, если Google заблокирован.
3. Все, что находится на первых двух страницах выдачи, пытаемся открыть и смотрим результаты.

Федеральный список
Всего было проверено 30 случайных пунктов федерального списка. Результат:
12 пунктов заблокированы провайдером. Из оставшихся 18 пунктов:
  • YandexDNS заблокировал 2;
  • SkyDNS с настройками по умолчанию заблокировал 5;
  • SkyDNS с настройками для школ заблокировал 9;
  • DansGuardian заблокировал 13, если считать, что книгу на арабском мало кто сможет прочитать.
Реестр Роскомнадзора
Выбирались случайные пункты из тех, что внесли за последние три-четыре дня и на которые пустил провайдер. В результате из 15 проверочных пунктов заблокировано:
  • YandexDNS - 6;
  • SkyDNS с настройками по умолчанию - 12;
  • SkyDNS с настройками для школ - 13;
  • DansGuardian - 10.
Поиск в Google
Обычный поиск для школьного возраста: «Курительная смесь купить», «Порно скачать бесплатно» и то же самое в нескольких вариантах написания. Результат по первым страницам результатов поисковой выдачи:
  • YandexDNS позволил найти и зайти на 3 сайта с порнографией, 7 сайтов по продаже курительных смесей;
  • SkyDNS с настройками по умолчанию позволил посмотреть 7 сайтов с порнографией, 3 магазина с курительными смесями;
  • SkyDNS с настройками для школ позволил посмотреть 0 сайтов с порнографией, 0 магазинов с курительными смесями;
  • DansGuardian на порносайты не пустил, открыл один сайт с легкой эротикой и 2 магазина с курительными смесями.
Замечания по настройке SkyDNS
При настройках SkyDNS по умолчанию фильтруются: Федеральный список Минюста, наркотики, прокси, фишинг, сайты с вирусами, алкоголь и табак, порнография, сайты для взрослых и что-то там еще по-мелочи.
При настройках SkyDNS для школ фильтруется все, что было по умолчанию, плюс к фильтрации добавляются: радио и музыка, файловые архивы и p2p сети, фильмы и фото, развлечение, реклама, форумы, соцсети, новости и СМИ. Основная же фишка здесь, что блокируются все неизвестный SkyDNS сайты и используется безопасный поиск.
Поскольку SkyDNS в школьном режиме использует большую часть своего арсенала фальтрации, я, проводя тестирование, менял падежи, порядок слов и т.п., не меня смысл поискового запроса. Если на третьей-четвертой манипуляции мне не удавалось найти открывающихся сайтов, я засчитывал очко в пользу SkyDNS
Выводы
1. Что касается фильтрации, как и ожидалось, SkyDNS с настройками по умолчанию заборол семейный YandexDNS, но значительно проиграл DansGuardian в полевых условиях.
2. SkyDNS с настройками для школ сравнивать непросто, поскольку мы, фактически, получаем интернет по белому списку, т.е. все, что неизвестно SkyDNS будет блокироваться. При этом, результаты хорошие, но до DansGuardian при поиске конкретной информации все равно не дотягивают.
3. SkyDNS не является контент-фильтром, несмотря на заявление самой компании. В моем понимании контент-фильтр должен отслеживать содержимое страниц, а не адреса интернет-ресурсов.
4. Правильно настроенные и обновляемые DansGuardian+SquidGuard покажут результаты еще лучше, поскольку тот SquidGuard, который участвовал в тестировании, ничего не знает про Роскомнадзор и два года не обновлял черные списки.
5. Со всей собранной информацией меня ждут неплохие выходные.
Почему и для кого написано
В одно муниципальное учреждение, за которым я присматриваю, стали массово поступать письма от SkyDNS, в которых они напирали, что они - единственное решение для контент-фильтрации, что одобрены госорганами, что за смешные деньги, что Интернет после них чист, как снег в Альпах. Намекали, что проверка прокуратуры, услышав их название, сразу разворачивается и уходит в пыльные кабинеты пахнуть коньяком и плакать от бессилия. А тут еще начальник автоматизации, женщина со сложной судьбой, решила поддаться на уговоры и сменить работающий DansGuardian на этот волшебный SkyDNS. И я подумал: «А вдруг!?» Но нет, всё как ожидалось.

Уважаемые работники государственных учреждений, учителя информатики, другие администраторы поневоле и их руководители! Возможности SkyDNS ограничены технологией. SkyDNS НЕ фильтрует IP-адреса, не фильтрует по содержимому интернет-страниц, не фильтрует по типам и по названиям скачиваемых файлов. Это просто белый и черный список интернет-адресов, которые вы можете настраивать и использовать для ваших нужд. Если вас это устраивает, то все хорошо.

Однако, поскольку я был очевидцем проверки прокуратурой интернет-доступа к запрещенным материалам, общался с другими пострадавшими в других организациях, а также имел удовольствие беседовать с работниками прокуратуры и минюста, которые организуют и проводят эти проверки, могу вас заверить, что терминалы, блокирующие доступ по черным спискам SkyDNS, проверку прокуратуры не проходят, разве что вам повезет или у вас есть особые соглашение с проверяющими.

Прокуратуре фиолетово, что вы там себе поставили, с кем заключили договор. Они проверяют именно вас. Их задача получить доступ к материалам из федерального списка, и они обязательно его получат при некоторой настойчивости. Ваш единственный шанс пройти проверку - это всегда использовать белый список адресов или хотя бы успеть переключиться на него до того, как проверка начнется.

Появляется логичный вопрос - как можно требовать исполнения закона, который невозможно исполнить? К сожалению, для прокуратуры все просто: есть закон - надо выполнять. Не выполняете - наказываем. При этом все всё понимают и могут войти в положение, но предписание все равно будет.

Статья имеет практическую задачу показать эффективность разных способов фильтрации. Я с уважением отношусь к желанию людей заработать денег и обычно не мешаю их зарабатывать. Но в данном случае мне не нравится, что ребята из SkyDNS позиционируют себя как безальтернативное решение, ведут агрессивную рекламную компанию, используя административные государственные ресурсы и запугивание статьями уголовного кодекса, при этом не давая никакой, я повторюсь, НИКАКОЙ гарантии за результат и официально отказываясь от любой ответственности перед вами или прокуратурой за качество фильтрации, что и прописано у них в юридических документах.

Итого, простые рецепты по фильтрации
Если вы можете составить этот белый список сами и положить на прокси - SkyDNS вам не нужен.
Если вам нужен нормальный контент-фильтр, у вас есть руки и голова, которые могут его настроить (не обязательно ваши) - берите DansGuardian и занимайтесь.
Если рук или головы нет - ставьте SkyDNS или YandexDNS. SkyDNS, конечно, лучше и удобнее, но тут все зависит от бюджета.

На всякий случай - перечень запросов, которые я, в результате, использовал для поиска по федеральному списку: таблица Google spreadsheet

Update:
Первая редакция заметки была действительно некорректной, поскольку я проводил проверку, будучи уверенным, что проверяю SkyDNS со школьными настройками, в то время как добрые люди, уже сбросили настройки в состояние по умолчанию. После комментария от представителя SkyDNS я засомневался, убедился, что был не прав, и провел еще одно тестирование на еще одной виртуалке. Приношу извинения, и надеюсь, что все, кому этот материал был интересен посмотрят на обновленные результаты.

Ощущения от SkyDNS на школьных настройках с работой через безопасный поиск и с блокировкой неизвестных доменов были более убедительные и я готов подтвердить, что организация использующая этот вариант с большей вероятностью проверку пройдет, чем не пройдет. Есть одно «но» - как упомянули в комментариях



Разделы