Сертификат AM Test Lab
Номер сертификата: 161
Дата выдачи: 05.04.2016
Срок действия: 05.04.2021
7. Использование в корпоративной среде
Введение
Задача разграничения доступа к сайтам и сервисам в интернете часто возникает во многих сферах деятельности. Внедрение контентной фильтрации для разграничения доступа в интернет — зачастую вынужденная мера, продиктованная различными нормативными требованиями, например, для образовательных учреждений или операторов публичных точек доступа. Также контентная фильтрация может быть личной инициативой, например, родителей, желающих обеспечить безопасный доступ в интернет для своих детей, или работодателя, стремящегося запретить доступ к развлекательным сайтам и повысить эффективность работы сотрудников.
По данным Фонда «Общественное мнение», проникновение интернета в жизнь россиян составляет около 65%, при этом более 50% граждан пользуются интернетом ежедневно, и эти цифры растут на 5-10% ежегодно. Доступ в интернет чаще всего осуществляется с домашних компьютеров, мобильных устройств, на рабочих местах и из общеобразовательных учреждений. В аналитическом отчете компании «Яндекс», со ссылкой на данные TNS Web Index, отмечается, что доля пользователей интернета младше 18 лет составляет почти 10%. По данным Росстата, доступом в интернет обладают 72% детей и подростков. Обязанности операторов точек доступа в интернет по защите детей от информации, причиняющей вред их здоровью и развитию, установлены в статье 14 Федерального закона №436-ФЗ от 29.12.2010 г. Кроме того, для учебных заведений выпущены методические рекомендации Министерства связи и массовых коммуникаций совместно с Министерством образования и науки. Во всех нормативных документах речь идет об обязательной блокировке доступа к ресурсам, которые могут нанести вред детям. За отсутствие контент-фильтров предусмотрены различные виды ответственности. По данным аналитического центра СОВА, за 2015 год заведено более 20 административных дел на директоров школ, администраторов интернет-клубов и владельцев публичных точек доступа в Сеть.
Эта задача может решаться разными методами, от закупки дорогостоящего оборудования, выполняющего разбор сетевого трафика и фильтрацию веб-запросов, до «легких» решений с помощью услуг облачных сервисов. Уровень защиты и замысловатость способов ее обхода прямо пропорциональны стоимости и сложности системы. Полная фильтрация с разбором пакетов помогает гарантированно разграничить доступ на интернет-шлюзе, но стоимость такого решения не позволяет его применить в организациях малого и среднего бизнеса, в образовательных учреждениях или в домашней сети.
Рынок информационной безопасности подстраивается под нужды и возможности пользователей и предлагает недорогое решение по фильтрации с помощью специализированного DNS-сервера. Такое решение не требует специального оборудования и высокой квалификации для его внедрения. В данной статье приводится обзор облачного решения для контент-фильтрации SkyDNS.
Технология работы
Технология работы SkyDNS основана на применении облачного DNS-сервера, который настраивается у пользователей сервиса вместо DNS-сервера провайдера. Система доменных имен (DNS) используется для преобразования доменного имени, символьной последовательности из букв и цифр в IP-адрес, используемый для непосредственной связи с удаленным устройством.
Например, когда пользователь набирает в браузере адрес сайта www.anti-malware.ru, DNS-клиент в операционной системе запрашивает DNS-сервер (адрес которого он узнает из сетевых настроек, обычно настроенный на сервер провайдера) реальный адрес веб-сервера и получает ответ — 148.251.151.141, уже по этому IP-адресу с помощью протоколов сетевой маршрутизации осуществляется доступ к веб-сайту.
Если нужно запретить доступ к www.anti-malware.ru, достаточно изменить ответ от DNS-сервера и передать пользователю информацию о другом IP-адресе, где вместо ожидаемого сайта будет отображена страница с информацией о блокировке. SkyDNS предоставляет адрес собственного DNS-сервера, который устанавливается в настройках операционной системы или сетевого оборудования и производит фильтрацию по заданным параметрам.
Рисунок 1. Схема доступа к сайту без использования SkyDNS и после перехода на SkyDNS
SkyDNS использует один IP-адрес DNS-сервера для всех клиентских подключений, но позволяет выполнить гранулярные настройки правил фильтрации для разных заказчиков и профилей. Для того чтобы определить аккаунт клиента и необходимый профиль фильтрации, используется один из двух вариантов — привязка профиля к внешнему IP-адресу компьютера (если доступ в интернет осуществляется напрямую, без NAT-трансляции), либо с помощью установки на компьютер программы SkyDNS Agent для Windows или использования роутеров ZyXEL Keenetic со встроенным модулем SkyDNS.
Техническим недостатком схемы работы SkyDNS можно считать относительную легкость обхода блокировок. Без дополнительных настроек пользователь может изменить DNS-сервер на своем устройстве для полного обхода блокировки или прописать в служебный файл hosts IP-адреса отдельных веб-сайтов, на которые ему необходимо попасть. Чтобы снизить вероятность обхода, нужно запретить доступ к другим DNS-серверам на уровне сетевого шлюза или установить ограничения в операционной системе, если доступ осуществляется только с администрируемых компьютеров, что в случае решения SkyDNS легко сделать даже не самому квалифицированному администратору.
Функциональные возможности
Функциональные возможности SkyDNS:
- Фильтрация по категориям — гранулярная настройка доступа к сайтам по категориям из встроенной базы данных SkyDNS.
- Белые и черные списки — поддержка ведения собственных списков разрешенных и запрещенных сайтов, возможность запретить доступ к любому сайту по его адресу, возможность разрешить доступ только к сайтам из белого списка и возможность настройки исключений.
- Поддержка профилей — для обеспечения определенного поведения контентного фильтра для разных пользователей (родители и дети, преподаватели и ученики, сотрудники различных отделов) сервис SkyDNS поддерживает возможность создания разных профилей, разделение на которые осуществляется с помощью приложения SkyDNS (в том числе для разных учетных записей одного компьютера), модуля в роутерах ZyXEL Keenetic или путем привязки профиля к конкретному внешнему IP-адресу.
- Статистика — отображение графиков активности по доступу в интернет, графики посещения веб-сайтов, перечень заблокированных ресурсов и статистика по категориям.
- Безопасный поиск — специальный сервис, позволяющий выполнить принудительное перенаправление со всех поисковых систем на встроенный безопасный поиск SkyDNS.
- Фильтрация рекламы — внутренняя база SkyDNS насчитывает большое число серверов, используемых для отображения и распространения рекламы. С помощью блокировки рекламных сайтов SkyDNS обеспечивает защиту от рекламных баннеров, объявлений, всплывающих окон и других типов рекламы.
- Мобильная защита — дополнительный DNS-сервер, который обеспечивает защиту по преднастроенному профилю, предназначенный для установки на мобильных устройствах и обеспечения безопасного веб-серфинга для детей. В этом режиме принудительно включаются безопасные режимы в поисках «Яндекса» и Google. Дополнительные параметры и настройки блокировок не поддерживаются в мобильной защите.
- Настраиваемые страницы блокировок — опция для организаций и учебных заведений, позволяющая заменить стандартное сообщение о блокировке своей информационной страницей, отображающей произвольную информацию.
- Расписание работы — поддержка настройки различных правил фильтрации по времени суток, актуально для бизнес-пользователей, желающих разрешить доступ сотрудников к запрещенным сайтам в нерабочее время, а также для родителей, которые ограничивают доступ детей к развлекательным ресурсам по времени суток.
Связывание доступа к DNS-серверу с конкретным пользователем и профилем настроек осуществляется с помощью указания внешнего IP-адреса или имени в сервисе работы с динамическими IP-адресами DynDNS (поддерживаются любые сервисы и API-обновления), а также с помощью специального приложения под ОС Windows «SkyDNS Агент» в случае, если доступ к сети осуществляется через NAT и прямой адрес отсутствует. Агент SkyDNS позволяет управлять основными настройками фильтрации (категории сайтов, белые и черные списки и т. д.), а также связывать профили настроек SkyDNS с пользователями локального компьютера. Приложение защищено от удаления и изменения настроек с помощью пароля от учетной записи, но не следит за неизменностью настроек DNS-сервера и не проверяет файл hosts, поэтому мы не рекомендуем использовать приложение, если у пользователя есть права локального администратора.
Встроенная база сайтов насчитывает 58 категорий и постоянно пополняется URL-адресами. Все категории разделены на группы, что позволяет быстрее выполнять поиск. Перечень доступных групп и категорий:
- Черные сайты — вредоносные страницы, ресурсы, не рекомендованные для доступа детей, сайты для обхода блокировок. Для ряда категорий, связанных с безопасностью, возможна отправка уведомлений администратору при попытке доступа к ним.
- Сайты для взрослых — интернет-площадки с рекламой и пропагандой алкоголя и табака, сайты знакомств, онлайн-казино, лотереи, тотализаторы, сайты с информацией порнографического содержания.
- Пожиратели трафика — сервисы онлайн-стриминга, радиостанции, музыкальные сайты, торренты, файлохранилища, фотогалереи и онлайн-кинотеатры.
- Пожиратели времени — развлекательные сайты, социальные сети, форумы, чаты и мессенджеры.
- Прочие сайты — большой набор интернет-ресурсов различных категорий — авто, бизнес, блоги, здоровье, хобби и другие.
- Запрещенные законодательно сайты — данная группа доступна для учебных заведений и провайдеров, блокирует сайты из реестра Роскомнадзора и экстремистские сайты из реестра Министерства юстиции.
Лицензирование и тарифы
Сервис SkyDNS предоставляется по подписке, при этом пользователям предлагается три коммерческих вида тарифов и бесплатная версия с рядом ограничений. Базовая бесплатная версия предназначена для персонального некоммерческого использования, позволяет фильтровать сайты по категориям, задавать список исключений не более чем из 20 доменов и собирать статистику только за один месяц работы. Кроме того, в бесплатной версии не блокируются рекламные баннеры, отсутствуют профили настроек, «детский режим» и работа с сервисами DynDNS.
Платные тарифы разделяются по целям использования. Тариф «Премиум» предназначен для домашних пользователей, предоставляет доступ ко всем функциям продукта, поддерживает до 3 профилей настроек, до 50 записей в списке исключений и хранение статистики за 6 месяцев работы; стоимость — 395 рублей в год без ограничения на число используемых компьютеров. Тариф «Школа» предназначен для учебных заведений, включает в себя все функции, кроме мобильной защиты, поддерживает до 10 профилей, 400 записей в списке исключений и хранение данных за 1 год. Тариф «Бизнес» для коммерческих организаций аналогичен тарифу «Школа», за исключением количества профилей (их 5) и размера списка — до 1000 записей. Стоимость тарифов «Школа» и «Бизнес» рассчитывается индивидуально и начинается от 300 и 360 рублей за один компьютер в год соответственно.
Таблица 1. Сравнение тарифов SkyDNS
| FREE | «Премиум» | «Школа» | «Бизнес» |
Стоимость в год | Бесплатно | 395 рублей | От 300 рублей за компьютер | От 360 рублей за компьютер |
Антибаннер | - | + | + | + |
Количество профилей | 1 | 3 | 10 | 5 |
Размер списков | 10 | 50 | 200 | 500 |
Расширенная статистика | - | + | + | + |
Время хранения статистики | 1 месяц | 6 месяцев | 1 год | 1 год |
Брендирование страницы блокировки | - | + | + | + |
Мобильная защита | - | + | - | - |
SkyDNS также предлагает готовые решения в виде программно-аппаратных комплексов с использованием сетевых Wi-Fi-маршрутизаторов ZyXEL Keenetic с модулем SkyDNS для учебных заведений, библиотек и организаций, а также платформы контент-фильтрации операторского класса SkyDNS ISP Go и системы Zapret ISP для организации у провайдеров фильтрации трафика по реестру запрещенных сайтов Роскомнадзора.
Установка и начало работы
Работа со SkyDNS начинается с регистрации личного кабинета на официальном сайте сервиса. При регистрации выбирается будущий тариф — «Премиум» (для домашних пользователей), «Бизнес» или «Школа». Первые 15 дней любой из тарифов действует бесплатно, по окончанию этого срока тариф «Премиум» переключается на тариф FREE, а коммерческие тарифы отключаются. Для регистрации по домашнему тарифу достаточно указать e-mail и придумать пароль для доступа, на тарифах для бизнеса и учебных заведений дополнительно требуется ввести контактные данные и название учреждения. После регистрации в личном кабинете доступна информация об адресе DNS-сервера, инструкции по настройке и ссылки для скачивания агента SkyDNS для Windows.
Установка SkyDNS, как уже упоминалось выше, производится с помощью смены DNS-сервера на маршрутизаторе или локальном компьютере, либо с помощью установки программы «SkyDNS Агент». Смена DNS-сервера осуществляется по-разному для разных устройств и операционных систем, и этот процесс подробно описан в документации к устройствам и на сайте SkyDNS.
Рисунок 2. Изменение DNS-сервера на примере домашнего маршрутизатора TP-LINK
Установка агента SkyDNS осуществляется с помощью стандартного мастера, запрашивающего путь для установки приложения и предлагающего запустить программу после развертывания.
Настройка и управление
Настройки выполняются из веб-интерфейса в личном кабинете на сайте SkyDNS. Весь интерфейс состоит из пяти основных разделов — «Настройки», «Фильтр», «Домены», «Статистика» и «Аккаунт». Также из личного кабинета доступен раздел «Поддержка», откуда можно отправить обращение в техническую поддержку SkyDNS и получить оперативный ответ.
В разделе «Настройки» находится семь подразделов, на первом экране описаны способы установки SkyDNS и ссылка на загрузку дистрибутива агента. В подразделе «Сети» настраивается привязка внешних IP-адресов или DynDNS-имен к профилям настроек.
Рисунок 3. Привязка адресов к профилям в SkyDNS
В разделе «Профили» — управление профилями, их создание, смена названия и удаление. Расписание работы профилей по времени суток и дням недели настраивается из подраздела «Расписание». Расписание устанавливается для каждого профиля в отдельности, переключение профилей выполняется с помощью выпадающего меню в правой верхней части экрана.
На тарифах для организаций предлагается расширенный вариант расписания с возможностью нескольких несвязанных диапазонов расписания в течение суток.
Рисунок 4. Настройка времени действия профиля
В подразделе «Страница блокировки» настраивается персональный внешний вид сайта, отображаемого вместо заблокированных. Данная настройка применяется на весь аккаунт и не привязывается к профилю. В качестве страницы блокировки можно выбрать стандартный вариант, персонализированный с указанием текста и изображения, и отключить экран блокировки (в этом случае либо эмулируется ошибка веб-сервера, либо отправляются пустые DNS-ответы).
На тарифах для организаций дополнительно предлагается HTML-режим, позволяющий полностью переделать внешний вид страницы блокировки.
Рисунок 5. Внешний вид персонализированной страницы блокировки SkyDNS
Подраздел «Мобильная защита» содержит информацию о работе DNS-сервера для мобильных устройств и инструкцию по изменению DNS-сервера в iOS и Android. В подразделе «Фильтрация» находится кнопка для включения или отключения всей фильтрации на аккаунте.
В разделе «Фильтры» находится выбор категорий сайтов для блокировки. Так же, как и расписание, фильтры применяются к отдельным профилям. Доступны кнопки быстрого выбора всех фильтров и переключения выбора на рекомендованные настройки.
Рисунок 6. Фильтры в SkyDNS
Произвольные домены могут быть внесены в черный или белый список в разделе «Домены». Домены, занесенные в белый список, будут доступны вне зависимости от правил фильтрации. Домены в черном списке, соответственно, блокируются в любом случае. Списки доменов могут быть настроены независимо для разных профилей. Дополнительно в данном разделе могут задаваться алиасы, фактически являющиеся произвольными DNS-записями. В случае, если используются локальные доменные имена или внутренние ресурсы в компании, их можно прописать в SkyDNS.
Рисунок 7. Управление белым и черным списком доменов и алиасами в SkyDNS
В разделе «Статистика» представлены графики и списки посещения веб-сайтов. На странице выложены повременные графики (за час, сутки, неделю) использования интернета, списки веб-сайтов по количеству посещений, перечень заблокированных адресов и диаграмма популярных категорий сайтов. Поддерживается фильтрация вывода данных по произвольному промежутку времени и просмотр статистики для отдельных профилей. Время хранения статистики зависит от тарифного плана и составляет от 1 месяца до 1 года.
При этом на тарифах для школ и организаций предлагаются дополнительные отчеты с детальной статистикой, возможностью выгрузки отчетов в формате CSV и автоматической отправкой ежемесячных отчетов на e-mail.
Рисунок 8. Статистика посещений сайтов по категориям в SkyDNS
В разделе «Аккаунт» собраны интерфейсы управления учетной записью, контактной информацией, паролями доступа и лицензирования. Здесь отображается текущий тарифный план и доступна возможность оплаты с помощью банковских карт, электронных платежей или со счета мобильного телефона.
Рисунок 9. Интерфейс агента SkyDNS
В интерфейсе агента SkyDNS можно управлять большинством настроек профилей, там также дополнительно представлен ряд опций — управление защитой программы с помощью пароля, опции запуска и автообновления, выбор сетевых интерфейсов для контроля и интерфейс связывания пользователей с профилями фильтрации. Настройки, сделанные в агенте SkyDNS, сразу же отображаются в личном кабинете на веб-сайте, и наоборот, поэтому управлять параметрами работы можно любым из способов без каких-либо ограничений.
Использование в корпоративной среде
Кроме вышеперечисленного, сервис контент-фильтрации SkyDNS содержит множество дополнительных функций, облегчающих его использование в корпоративных сетях, таких как:
- Возможность создания нескольких администраторов для управления учетной записью в сервисе с ведением полного журнала их действий в кабинете сервиса.
- Облачная поддержка сервисов и ресурсов Active Directory.
- Возможность централизованной установки агента SkyDNS в скрытом режиме с заданными настройками.
- Централизованная настройка сервиса в распределенных сетях и на отдельных компьютерах и мобильных устройствах.
- Оповещение администратора о наличии зараженных компьютеров в сети, пытающихся обратиться к управляющим серверам ботнетов.
- Детальная статистика с поддержкой экспорта в формате CSV и автоматическая передача отчета по итогам месяца на e-mail.
Выводы
Облачный сервис контент-фильтрации SkyDNS — бюджетное решение для домашних пользователей, малого и среднего бизнеса, учебных заведений, библиотек и операторов доступа к интернету, которое позволяет разграничить доступ к веб-сайтам и интернет-сервисам без больших финансовых и технических затрат. SkyDNS не требует сложных настроек, подключение доступно для пользователя с любым уровнем компьютерной грамотности — внедрить его можно без привлечения квалифицированных специалистов.
SkyDNS позволяет выполнить требования законодательства в части ограничения доступа в интернет для учебных заведений и ответственности оператора по защите детей от нежелательной информации. Для организаций SkyDNS помогает повысить эффективность сотрудников путем запрета доступа к развлекательным ресурсам в рабочее время. Решение обладает гибкими настройками и поддержкой профилей, что позволяет обеспечить гранулярное применение правил фильтрации и не препятствовать полноценной работе в интернете пользователям, которым это разрешено. Например, для учителей в школе можно разрешить доступ без ограничений, применяя при этом все фильтры для доступа учеников.
У SkyDNS есть ряд недостатков, связанных с используемыми технологиями. Блокировку, построенную на управлении DNS-запросами, можно обойти с помощью смены DNS-сервера, доступа к сайтам по IP-адресу или записью соответствия домена и адреса в файл hosts. Вместе с тем при правильной настройке сервиса практически все эти бреши возможно закрыть. Для снижения риска обхода блокировки требуется ряд дополнительных технических мер, не требующих высокой квалификации от специалиста — ограничение прав доступа в операционной системе на рабочих компьютерах, фильтрация DNS-запросов на другие сервера на сетевом оборудовании и т. д.
Достоинства:
- Низкая стоимость.
- Простота установки и настройки.
- Наличие постоянно обновляющейся базы сайтов, использование реестра Роскомнадзора и списка Минюста.
- Подробная статистика использования интернета.
- Поддержка различных профилей фильтрации.
- Наличие программы-агента для Windows.
- Соответствие требованиям нормативных документов.
Недостатки:
- Потенциальная возможность обхода системы фильтрации, установленной без дополнительных технических мер.
- Отсутствие агента для мобильных платформ и невозможность управления контент-фильтрацией в мобильной защите.
- Отсутствие агента для операционных систем MacOS и GNU/Linux.