Indhold skjule
1 LANCOM Systems LCOS 10.92 Sikkerhedsgrundlæggende
2 Indledning
3 Hurtig start
4 Standardindstillinger i indholdsfilteret
5 Generelle indstillinger
6 Indstillinger for blokering
7 Tilsidesæt indstillinger
8 Profiles i indholdsfilteret
9 Indstillinger for indholdsfilteret
10 Yderligere indstillinger for indholdsfilteret
11 BPjM-modul
12 FAQ
13 Dokumenter/ressourcer
13.1 Referencer

LANCOM-Systemer-LOGO

LANCOM Systems LCOS 10.92 Sikkerhedsgrundlæggende

LANCOM-Systems0-LCOS-10-92-Sikkerheds-Essentials-PRODUKT

Copyright

© 2025 LANCOM Systems GmbH, Würselen (Tyskland). Alle rettigheder forbeholdes. Selvom oplysningerne i denne manual er udarbejdet med stor omhu, kan de ikke betragtes som en garanti for produktegenskaber. LANCOM Systems er kun ansvarlig i det omfang, der er angivet i salgs- og leveringsbetingelserne. Reproduktion og distribution af dokumentationen og softwaren, der leveres med dette produkt, samt brugen af ​​dens indhold, er underlagt skriftlig tilladelse fra LANCOM Systems. Vi forbeholder os retten til at foretage ændringer, der opstår som følge af den tekniske udvikling. Windows® og Microsoft® er registrerede varemærker tilhørende Microsoft, Corp. LANCOM, LANCOM Systems, LCOS, LANcommunity, LANCOM Service LANcare, LANCOM Active Radio Control og AirLancer er registrerede varemærker. Alle andre anvendte navne eller beskrivelser kan være varemærker eller registrerede varemærker tilhørende deres ejere. Dette dokument indeholder udsagn vedrørende fremtidige produkter og deres egenskaber. LANCOM Systems forbeholder sig retten til at ændre disse uden varsel. Intet ansvar for tekniske fejl og/eller udeladelser. Dette produkt indeholder separate open source-softwarekomponenter, der er underlagt deres egne licenser, især General Public License (GPL). Licensoplysningerne for enhedens firmware (LCOS) er tilgængelige på enhedens WEBkonfigurationsgrænsefladen under "Ekstra > Licensoplysninger". Hvis den respektive licens kræver, kilden fileFor de tilsvarende softwarekomponenter vil der blive stillet oplysninger til rådighed på en downloadserver efter anmodning. Produkter fra LANCOM Systems omfatter software udviklet af "OpenSSL Project" til brug i "OpenSSL Toolkit" (www.openssl.org).
Produkter fra LANCOM Systems inkluderer kryptografisk software skrevet af Eric Young (eay@cryptsoft.com).
Produkter fra LANCOM Systems inkluderer software udviklet af NetBSD Foundation, Inc. og dets bidragydere.
Produkter fra LANCOM Systems indeholder LZMA SDK udviklet af Igor Pavlov.

  • LANCOM Systems GmbH
  • Et Rohde & Schwarz-selskab
  • Adenauerstr. 20/B2
  • 52146 Wuerselen
  • Tyskland
  • www.lancom-systems.com

Indledning

Med LANCOM Security Essentials kan du filtrere specifikt indhold på dit netværk for at forhindre adgang til f.eks.ampulovlig, farlig eller stødende webwebsteder. Derudover kan du begrænse privat browsing på bestemte websteder i arbejdstiden. Dette øger ikke kun medarbejderproduktiviteten og netværkssikkerheden, men sikrer også, at fuld båndbredde er tilgængelig udelukkende til forretningsprocesser. \LANCOM Security Essentials er en intelligent, dynamisk webwebstedsfilter. Det kontakter en vurderingsserver, der pålideligt og præcist evaluerer webwebsteder baseret på de valgte kategorier. Funktionaliteten af ​​LANCOM Security Essentials er baseret på kontrol af de IP-adresser, der bestemmes ud fra de indtastede URLs. For mange sider evalueres undermapper inden for et domæne også separat, så forskellige sektioner af en URL kan vurderes forskelligt.

  • Brugere kan ikke omgå webVerifikation af websted af LANCOM Security Essentials ved at indtaste IP-adressen på et websted i browseren. LANCOM Security Essentials kontrollerer både ukrypteret (HTTP) og krypteret (HTTPS) webwebsteder. BPjM-modulet er en del af LANCOM Security Essentials eller kan fås separat via LANCOM BPjM Filter Option-softwarelicensen. BPjM-modulet er udgivet af Bundeszentrale für Kinder- und Jugendmedienschutz (Forbundsagentur til beskyttelse af børn og unge i medierne) og blokerer domæner, der ikke må gøres tilgængelige for børn og unge i Tyskland. Den licens, du har købt til LANCOM Security Essentials, gælder for en bestemt enhedskategori og en bestemt tidsperiode (enten et år eller tre år). Antallet af brugere er ubegrænset. Du vil blive underrettet på forhånd, når din licens er ved at udløbe.
  • Du kan teste LANCOM Security Essentials på enhver router, der understøtter denne funktion. For at gøre dette skal du aktivere en tidsbegrænset 30-dages demolicens én gang pr. enhed. Demolicenser oprettes direkte fra LANconfig. Højreklik på enheden, vælg Aktiver softwareindstilling i kontekstmenuen, og klik i den følgende dialogboks på linket ud for Har du brug for en demolicens?. Du vil automatisk blive forbundet til LANCOM-registreringsserveren. webwebstedet, hvor du kan vælge og registrere den ønskede demolicens til enheden.LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (1)
  • Kategori profilegemmer alle indstillinger relateret til kategorier. Du kan vælge mellem foruddefinerede hoved- og underkategorier i din LANCOM Security Essentials: 73 kategorier er grupperet i 12 tematiske grupper, f.eks. "Pornografi", "Shopping" eller "Ulovlig". Hver gruppe giver dig mulighed for at aktivere eller deaktivere de inkluderede kategorier. Underkategorier for "Pornografi" inkluderer "Pornografi", "Sexlegetøj", "Seksuelt indhold", "Nøgenhed", "Lingeri" og "Seksualundervisning".
    Derudover kan administratorer aktivere en tilsidesættelsesmulighed for hver kategori under konfigurationen. Når tilsidesættelse er aktiv, kan brugere midlertidigt få adgang til et blokeret websted ved at klikke på en tilsvarende knap – men administratoren vil modtage en besked via e-mail, SYSLOG og/eller SNMP-trap.
    Brug af kategori profile du oprettede, sammen med hvidlisten og sortlisten, kan du oprette et indholdsfilter profile som kan tildeles brugere via firewallen. For eksempelample, du kan skabe pro'enfile “Medarbejdere_Afdeling_A”, som derefter tildeles alle computere i den pågældende afdeling.
    Under installationen opretter LANCOM Security Essentials automatisk nyttige standardindstillinger, der kun skal aktiveres ved første brug. I de efterfølgende trin kan du yderligere tilpasse LANCOM Security Essentials' funktionalitet til din specifikke anvendelse.
    Nyttige standardindstillinger konfigureres også automatisk for BPjM-modulet. For eksempelampDvs. der er en standard firewallregel i IPv4- eller IPv6-firewallen med systemobjektet "BPJM" som destinationsstation. Definer kildestationerne som de netværk, der skal beskyttes af BPjM-modulet. Ved at aktivere reglen startes BPjM-modulet.

Krav til brug af LANCOM Security Essentials

Følgende krav skal være opfyldt for at bruge LANCOM Security Essentials:

  1. LANCOM Security Essentials-funktionen er aktiveret.
  2. Firewallen skal være aktiveret.
  3. En firewallregel skal vælge indholdsfilteret profile.
  4. Det valgte indholdsfilterprofffile skal definere en kategori profile og eventuelt en hvid- og/eller sortliste for hver tidsperiode på dagen. For at dække forskellige tidsperioder, et indholdsfilter profile kan bestå af flere poster.
    Hvis en bestemt tidsperiode ikke er dækket af en post, er der ubegrænset adgang til websteder vil være mulige i den periode.

Hvis indholdsfilteret profile omdøbes senere, skal firewallreglen også justeres.

Hurtig start

Efter installation af LANCOM Security Essentials er alle indstillinger forudkonfigureret til hurtig idriftsættelse.

  • Brugen af ​​LANCOM Security Essentials kan være underlagt databeskyttelsesregler i dit land eller virksomhedens politikker. Kontroller venligst gældende regler inden ibrugtagning.
  • I LANconfig er indstillingerne for LANCOM Security Essentials angivet under Indholdsfilter.

Aktivér indholdsfilteret ved at følge disse trin:

  1. Start opsætningsguiden for den tilsvarende enhed.
  2. Vælg opsætningsguiden for at konfigurere indholdsfilteret.LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (2)
  3. Vælg en af ​​de foruddefinerede sikkerhedsprofferfiles (Basic Profile, Corporate Profile, Forældrekontrol Profile):
    • Grundlæggende profile: Denne profile blokerer primært adgang til kategorier som pornografi, ulovligt, voldeligt eller diskriminerende indhold, stoffer, spam og phishing.
    • Arbejde profileUd over Basic Profile indstillinger, denne profile blokerer også kategorier som shopping, jobsøgning, spil, musik, radio og visse kommunikationstjenester som chat.
    • Forældrekontrol profileUd over Basic Profile indstillinger, denne profile inkluderer strengere blokering af nøgenhed og våben.

Hvis firewallen er deaktiveret, aktiverer guiden den. Guiden kontrollerer derefter, om firewallreglen for indholdsfilteret er indstillet korrekt, og justerer den om nødvendigt. Med disse trin aktiveres indholdsfilteret, og standardindstillingerne gælder for alle stationer i netværket, der bruger den valgte indholdsfilterpro.file med tomme sortlister og hvidlister. Juster disse indstillinger, så de passer til dine behov, hvis det er nødvendigt. Guiden aktiverer indholdsfilteret for tidsrammen ALTID.

Standardindstillinger i indholdsfilteret

Følgende elementer er blevet oprettet i standardkonfigurationen af ​​indholdsfilteret:

Firewall-regel

Den forudindstillede firewallregel hedder CONTENT-FILTER og bruger handlingsobjektet CONTENT-FILTER-BASIC.

Firewall-handlingsobjekter

Der er tre firewall-handlingsobjekter:

  • INDHOLDSFILTER-GRUNDLÆGGENDE
  • INDHOLDSFILTER-ARBEJDE
  • INDHOLDSFILTER-FORHÆNDREKONTROL

Disse handlingsobjekter fungerer med det tilsvarende indholdsfilter-profiles.

Indholdsfilter profiles

Der er tre indholdsfilterprofferfiles. Alle indholdsfiltre profileBrug tidsrammen ALTID, sortlisten MIN-SORTLISTE og hvidlisten MIN-HVIDLISTE. Hver indholdsfilterprofile bruger en af ​​de foruddefinerede kategoriprofiles:

  • CF-BASIC-PROFILEDenne indholdsfilter-profile har et lavt niveau af begrænsninger og fungerer med kategorien profile GRUNDLÆGGENDE KATEGORIER.
  • CF-FORHÆLDREKONTROL-PROFILEDenne indholdsfilter-profile beskytter mindreårige (f.eks. praktikanter) mod upassende internetindhold, og det fungerer med kategorien profile FORÆLDREKONTROL.
  • CF-ARBEJDE-PROFILEDenne indholdsfilter-profile er beregnet til virksomheder, der ønsker at begrænse kategorier som jobsøgning eller chat. Det fungerer med kategoriproffen.file ARBEJDSKATEGORIER.

LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (3)

Tidsramme

Der er to foruddefinerede tidsrammer:

  • ALTID: 00.00-23.59
  • ALDRIG: 00.00-0.00

Sortliste

  • Den forudindstillede sortliste hedder MIN-SORTLISTE og er tom. Her kan du eventuelt indtaste URLs, som skal forbydes.

Hvidliste

  • Den forudindstillede hvidliste hedder MIN-HVIDLISTE og er tom. Her kan du eventuelt indtaste URLs, som skal tillades.

Kategori profiles

  • Der er tre kategorier af professionellefiles: GRUNDLÆGGENDE KATEGORIER, ARBEJDSKATEGORIER og FORÆLDREKONTROL. Kategorien profile angiver de kategorier, der skal tillades og forbydes, og for hvilke en overstyring kan aktiveres.

Generelle indstillinger

Du kan foretage globale indstillinger for indholdsfilter i LANconfig under Indholdsfilter > Generelt:

LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (4)

Aktivér indholdsfilter

Dette giver dig mulighed for at aktivere indholdsfilteret.

I tilfælde af fejl

Dette giver dig mulighed for at definere, hvad der sker i tilfælde af en fejl. For eksempelampHvis vurderingsserveren ikke kan nås, bestemmer denne indstilling, om brugeren kan browse frit, eller om alle web adgangen er blokeret.

Ved udløb af licens

Licensen til at bruge LANCOM Security Essentials er gyldig i en bestemt periode. Du vil blive mindet om den kommende licensudlåb 30 dage, en uge og en dag i forvejen (til den e-mailadresse, der er konfigureret i LANconfig under Log & Trace > Generelt > E-mailadresser > E-mail til påmindelse om licensudlåb). Her kan du angive, om webwebsteder bør blokeres eller sendes igennem uden at blive markeret efter licensudløb. Baseret på denne indstilling kan brugeren enten browse frit efter licensudløb eller alle web adgang vil blive nægtet.

For at sikre, at påmindelsen rent faktisk sendes til den angivne e-mailadresse, skal du konfigurere den relevante SMTP-konto.

På ikke-HTTPS via TCP-port 443

Forbudt

Forbyder ikke-HTTPS-trafik på port 443.

Tilladt

Tillader ikke-HTTPS-trafik på port 443.
TCP-port 443 er som standard reserveret udelukkende til HTTPS-forbindelser. Nogle applikationer, der ikke bruger HTTPS, bruger stadig TCP-port 443. I sådanne tilfælde kan du tillade TCP-port 443 at acceptere ikke-HTTPS-trafik.

  • Hvis du tillader ikke-HTTPS-forbindelser på port 443, vil trafikken ikke blive klassificeret, men i stedet generelt tilladt. Som standard er ikke-HTTPS-trafik på port 443 ikke tilladt.

Maks. proxyforbindelser

Angiv det maksimale antal samtidige proxyforbindelser. Dette hjælper med at begrænse systembelastningen. Der udløses en meddelelse, hvis dette antal overskrides. Du kan konfigurere meddelelsestypen under Indholdsfilter > Indstillinger > Hændelsesmeddelelse.

Timeout for proxybehandling

Angiv den tid i millisekunder, som proxyen har tilladelse til behandling. Hvis denne tid overskrides, returneres en timeout-fejlside.

Gem indholdsfilteroplysninger på flash-ROM aktiveret

Hvis denne indstilling er aktiveret, gemmer den indholdsfilteroplysninger i enhedens Flash ROM.

Tillad jokertegncertifikater

For webwebsteder, der bruger jokertegncertifikater (med CN-poster såsom *.mitdomæne.de de), bruger aktivering af denne funktion hoveddomænet (mitdomæne.de) til filtrering. Filtreringsprocessen foregår i følgende rækkefølge:

  • Tjek servernavnet i "Klient Hello" (afhængigt af den anvendte browser)
  • Tjek CN'en i det modtagne SSL-certifikat
  • Jokertegnsposter ignoreres
  • Hvis CN'en ikke kan bruges, evalueres feltet "Alternativt navn".
  • DNS omvendt opslag af den tilsvarende IP-adresse og evaluering af det resulterende værtsnavn
  • Hvis jokertegn er inkluderet i certifikatet, bruges hoveddomænet i stedet (som beskrevet ovenfor)
  • Kontroller IP-adressen

Indstillinger for blokering

Du justerer webIndstillinger for blokering af websteder her:

LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (5)

LANconfig: Indholdsfilter > Blokering / Tilsidesættelse > Blokering og fejl
Kommandolinje: Opsætning > UTM > Indholdsfilter > Globale indstillinger

Alternativ blokering URL:

Her kan du indtaste adressen på et alternativt URLHvis adgangen er blokeret, vil URL indtastet her vil blive vist i stedet for den ønskede web websted. Du kan bruge denne eksterne HTML-side til at vise din virksomheds corporate design, f.eks.ample, eller til at udføre funktioner såsom JavaScript-rutiner osv. Du kan også bruge det samme tags her som brugt i blokeringsteksten. Hvis du ikke foretager nogen indtastninger her, vises standardsiden, der er gemt på enheden.

Mulige værdier:

    • Gyldig URL adresse
  • Misligholdelse:
    • Tom

Alternativ fejl URL:

Her kan du indtaste adressen på et alternativt URLI tilfælde af en fejl, den URL indtastet her vil blive vist i stedet for det sædvanlige web websted. Du kan bruge denne eksterne HTML-side til at vise din virksomheds corporate design, f.eks.ample, eller til at udføre funktioner såsom JavaScript-rutiner osv. Du kan også bruge det samme tags her som brugt i fejlteksten. Hvis du ikke foretager nogen indtastninger her, vises standardsiden, der er gemt på enheden.

  • Mulige værdier:
    • Gyldig URL adresse
  • Misligholdelse:
    • Tom

Kildeadresse for alternativ blok URL:

Her kan du konfigurere en valgfri afsenderadresse, der skal bruges i stedet for den, der normalt automatisk ville blive valgt for denne måladresse. Hvis du har konfigureret loopback-adresser, kan du angive dem her som afsenderadresse.

Mulige værdier:

  • Navn på de IP-netværk, hvis adresse skal bruges
  • INT for adressen på det første intranet
  • DMZ for adressen på den første DMZ.

Hvis der er en grænseflade kaldet DMZ, vil dens adresse blive taget i dette tilfælde.

  • LB0…LBF for de 16 loopback-adresser
  • GÆST
  • Enhver IP-adresse i formatet xxxx

Misligholdelse:

  • Tom
    Den her angivne afsenderadresse bruges umaskeret for hver fjernstation.

Kildeadresse for alternativ fejl URL:

  • Her kan du konfigurere en valgfri afsenderadresse, der skal bruges i stedet for den, der normalt automatisk ville blive valgt for denne måladresse. Hvis du har konfigureret loopback-adresser, kan du angive dem her som afsenderadresse.

Mulige værdier:

  • Navn på de IP-netværk, hvis adresse skal bruges
  • INT for adressen på det første intranet
  • DMZ for adressen på den første DMZ.

Hvis der er en grænseflade kaldet DMZ, vil dens adresse blive taget i dette tilfælde.

  • LB0…LBF for de 16 loopback-adresser
  • GÆST
  • Enhver IP-adresse i formatet xxxx

Misligholdelse:

  • Tom

Den her angivne afsenderadresse bruges umaskeret for hver fjernstation.

Bloktekst

Her kan du definere den tekst, der skal vises, når der opstår blokering. Forskellige blokeringstekster kan defineres for forskellige sprog. Visningen af ​​blokeringstekst styres af den sprogindstilling, der sendes af browseren (brugeragent).LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (6)

Sprog

Indtastning af den relevante landekode her sikrer, at brugerne modtager alle beskeder på deres browsers forudindstillede sprog. Hvis den landekode, der er angivet i browseren, findes her, vises den matchende tekst. Du kan tilføje et hvilket som helst andet sprog.
Exampdele af landekoden:

  • de-DE: Tysk-Tyskland
  • de-CH: Tysk-Schweiz
  • de-AT: Tysk-Østrig
  • en-GB: Engelsk-Storbritannien
  • en-US: Engelsk-USA

Landekoden skal stemme nøjagtigt overens med browserens sprogindstilling, f.eks. skal "de-DE" indtastes for tysk ("de" alene er ikke tilstrækkeligt). Hvis den landekode, der er indstillet i browseren, ikke findes i denne tabel, eller hvis teksten, der er gemt under den pågældende landekode, slettes, anvendes den foruddefinerede standardtekst ("default"). Du kan ændre standardteksten.

Mulige værdier:

  • 10 alfanumeriske tegn

Misligholdelse:

  • Tom

Tekst

Indtast den tekst, du vil bruge som bloktekst for dette sprog.

Mulige værdier:

  • 254 alfanumeriske tegn

Misligholdelse:

  • Tom

Særlige værdier:

Du kan også bruge specielle tags til blokering af tekst, hvis du ønsker at vise forskellige sider afhængigt af årsagen til web webstedet blev blokeret (f.eks. forbudt kategori eller post på sortlisten).

Følgende tags kan bruges som tag værdier:

  • <CF-URL/> for et forbudt URL
  • for listen over kategorier, hvorfor web webstedet blev blokeret
  • <CF-PROFILE/> til den professionellefile navn
  • <CF-OVERRIDEURL/> for URL bruges til at aktivere URL (dette kan integreres i en simpel tag eller i en knap)
  • tilføjer et link til aktivering af overstyringen
  • for en knap til at aktivere overstyringen
  • … for at vise eller skjule dele af HTML-dokumentet. Attributterne er:
  • SORTLISTE: Hvis webstedet blev blokeret, fordi det er i profile sortliste
  • KATEGORI: Hvis webstedet blev blokeret på grund af en af ​​dets kategorier
  • ERR: Hvis der er opstået en fejl.
  • OVERRIDEOK: Hvis brugerne har fået tilladelse til en overstyring (i dette tilfælde skal siden vise en passende knap)

Da der er separate teksttabeller for blokeringssiden og fejlsiden, giver denne attribut kun mening, hvis du har konfigureret en alternativ URL at vise ved blokering. Hvis flere attributter er defineret i én tag, sektionen vises, hvis mindst én af disse betingelser er opfyldt. Alle tags og attributter kan forkortes til de første to bogstaver (f.eks. CF-CA eller CF-IF BL). Dette er nødvendigt, da blokeringsteksten maksimalt må indeholde 254 tegn.

Exampdet:

<CF-URL/> er blokeret, fordi den matcher kategorierne . Din indholdsprofessionelfile er .

De tags beskrevet her kan også bruges i eksterne HTML-sider (alternativ URLs for at vise ved blokering).

Fejltekst

Her kan du definere den tekst, der skal vises, når der opstår en fejl.LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (7)

Sprog

Indtastning af den relevante landekode her sikrer, at brugerne modtager alle beskeder på deres browsers forudindstillede sprog. Hvis den landekode, der er angivet i browseren, findes her, vises den matchende tekst. Du kan tilføje et hvilket som helst andet sprog.

Exampdele af landekoden:

  • de-DE: Tysk-Tyskland
  • de-CH: Tysk-Schweiz
  • de-AT: Tysk-Østrig
  • en-GB: Engelsk-Storbritannien
  • en-US: Engelsk-USA

Landekoden skal stemme nøjagtigt overens med browserens sprogindstilling, f.eks. skal "de-DE" indtastes for

Tysk (“de” alene er ikke tilstrækkeligt). Hvis landekoden, der er angivet i browseren, ikke findes i denne tabel, eller hvis teksten, der er gemt under landekoden, slettes, bruges den foruddefinerede standardtekst (“default”). Du kan ændre standardteksten.

Mulige værdier:

  • 10 alfanumeriske tegn

Misligholdelse:

  • Tom

Tekst

Indtast den tekst, du vil bruge som fejltekst for dette sprog.

Mulige værdier:

  • 254 alfanumeriske tegn

Misligholdelse:

  • Tom

Særlige værdier:

Du kan også bruge HTML tags for fejlteksten.

Det følgende tomme element tags kan bruges som tag værdier:

  • <CF-URL/> for et forbudt URL
  • <CF-PROFILE/> til den professionellefile navn
  • for fejlmeddelelsen

Exampdet:

<CF-URL/> er blokeret, fordi der er opstået en fejl:

Tilsidesæt indstillinger

Overstyringsfunktionen tillader en webwebstedet skal tilgås, selvom det er klassificeret som forbudt. Brugeren skal klikke på tilsidesættelsesknappen for at anmode om, at den forbudte side åbnes. Du kan konfigurere denne funktion, så administratoren får besked, når der klikkes på tilsidesættelsesknappen (LANconfig: Indholdsfilter > Indstillinger > Hændelser).

Hvis overstyringstypen "Kategori" er aktiveret, vil et klik på overstyringsknappen gøre alle kategorierne for den pågældende kategori tilgængelige. URL tilgængelig for brugeren. Den næste blokeringsside, der vises, har kun én kategori, der forklarer, hvorfor adgang til URL blev blokeret. Hvis overstyringstypen "Domæne" er aktiveret, kan hele domænet tilgås.

Indstillingerne for override-funktionen findes her:LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (8)

LANconfig: Indholdsfilter > Blokering / Tilsidesættelse > Tilsidesættelse
Kommandolinje: Opsætning > UTM > Indholdsfilter > Globale indstillinger

Tilsidesættelse-aktiv

Her kan du aktivere overstyringsfunktionen og foretage yderligere relaterede indstillinger.

Tilsidesættelsesvarighed

Tilsidesættelsesvarigheden kan begrænses her. Når perioden udløber, vil ethvert forsøg på at få adgang til det samme domæne og/eller den samme kategori blive blokeret igen. Ved at klikke på tilsidesættelsesknappen igen kan web webstedet skal tilgås igen, så længe tilsidesættelsen varer, og administratoren vil, afhængigt af indstillingerne, blive underrettet igen.

Mulige værdier:

  • 1-1440 (minutter)

Misligholdelse:

  • 5 (minutter)

Tilsidesættelsestype:

Det er her, du kan indstille typen af ​​overstyring. Den kan tillades for domænet, for kategorien af web websted, der skal blokeres, eller begge dele.

Mulige værdier:

Kategori

I løbet af tilsidesættelsen, alle URLDer er tilladte elementer, der falder ind under de berørte kategorier (samt dem, der allerede ville have været tilladt, selv uden tilsidesættelsen).

Domæne

I løbet af tilsidesættelsen er alle URLer tilladt i dette domæne, uanset hvilke kategorier de tilhører.

Kategori-og-domæne

I løbet af tilsidesættelsen, alle URLDer er tilladte elementer, der tilhører dette domæne og også de tilladte kategorier. Dette er den højeste begrænsning.

Tilsidesæt tekst

Her kan du definere tekst, der vises til brugere, der bekræfter en tilsidesættelse.LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (9)

Sprog

Indtastning af den relevante landekode her sikrer, at brugerne modtager alle beskeder på deres browsers forudindstillede sprog. Hvis den landekode, der er angivet i browseren, findes her, vises den matchende tekst. Du kan tilføje et hvilket som helst andet sprog.

Exampdele af landekoden:

  • de-DE: Tysk-Tyskland
  • de-CH: Tysk-Schweiz
  • de-AT: Tysk-Østrig
  • en-GB: Engelsk-Storbritannien
  • en-US: Engelsk-USA

Landekoden skal stemme nøjagtigt overens med browserens sprogindstilling, f.eks. skal "de-DE" indtastes for tysk ("de" alene er ikke tilstrækkeligt). Hvis den landekode, der er indstillet i browseren, ikke findes i denne tabel, eller hvis teksten, der er gemt under den pågældende landekode, slettes, anvendes den foruddefinerede standardtekst ("default"). Du kan ændre standardteksten.

Mulige værdier:

  • 10 alfanumeriske tegn

Misligholdelse:

  • Tom

Tekst

Indtast den tekst, du vil bruge som overskrivningstekst for dette sprog.

Mulige værdier:

  • 254 alfanumeriske tegn

Misligholdelse:

  • Tom

Særlige værdier:

Du kan også bruge HTML tags til blokering af tekst, hvis du ønsker at vise forskellige sider afhængigt af årsagen til web webstedet blev blokeret (f.eks. forbudt kategori eller post på sortlisten).

Følgende tags kan bruges som tag værdier:

  • <CF-URL/> for det oprindeligt forbudte URL det er nu tilladt
  • for listen over kategorier, der nu er tilladt som følge af tilsidesættelsen (medmindre domænetilsidesættelse er angivet).
  • viser en tilsidesættelsesknap, der videresender browseren til den oprindelige URL.
  • viser et tilsidesættelseslink, der videresender browseren til den oprindelige URL.
  • eller viser værten eller domænet for det tilladte URL. De tags har samme værdi, og deres anvendelse er valgfri.
  • genererer en fejlmeddelelse i tilfælde af at overstyringen mislykkes.
  • viser tilsidesættelsesvarigheden i minutter.
  • … for at vise eller skjule dele af HTML-dokumentet. Attributterne er:
  • KATEGORI når tilsidesættelsestypen er "Kategori", og tilsidesættelsen var vellykket
  • DOMÆNE, når tilsidesættelsestypen er "Domæne", og tilsidesættelsen var vellykket
  • BÅDE når tilsidesættelsestypen er "Kategori-og-Domæne", og tilsidesættelsen var vellykket
  • FEJL når tilsidesættelsen mislykkes
  • OK, hvis enten KATEGORI eller DOMÆNE eller BEGGE er relevante

Hvis flere attributter er defineret i én tag, sektionen skal vises, hvis mindst én af disse betingelser er opfyldt. Alle tags og attributter kan forkortes til de første to bogstaver (f.eks. CF-CA eller CF-IF BL). Dette er nødvendigt, da blokeringsteksten maksimalt må indeholde 254 tegn.

Exampdet:

Kategorierne er i domænet Domænet er udgivet til minutter. Tilsidesættelsesfejl:

Profiles i indholdsfilteret

Under Indholdsfilter > Profiles du kan oprette indholdsfilter profileder bruges til at kontrollere web websteder for forbudt indhold. En indholdsfilterprofile har altid et navn, og den aktiverer den ønskede kategori i forskellige tidsperioder.file og, valgfrit, en sortliste og en hvidliste. For at kunne tilbyde forskellige konfigurationer for de forskellige tidsrammer, flere indholdsfilterprofferfile poster oprettes med samme navn. Indholdsfilteret profile består således af summen af ​​alle poster med samme navn. Firewallen refererer til denne indholdsfilterprofile.

Bemærk venligst, at du skal foretage de tilsvarende indstillinger i firewallen for at kunne bruge pro'en.files i LANCOM-indholdsfilteret.

Profiles

Indstillingerne for pro'enfiles findes her:LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (10)

LANconfig: Indhold filer > Profiles > Profile
Kommandolinje: Opsætning > UTM > Indholdsfilter > Profiles > Profile

Navn

Den profile navn som firewallreferencerne skal angives her.

Tidsramme

Vælg tidsrammen for denne kategori profile og, valgfrit, sortlisten og hvidlisten. Tidsrammerne

ALTID og ALDRIG er foruddefinerede. Du kan konfigurere andre tidsrammer under:

  • LANconfig: Dato og tid > Generelt > Tidsramme
  • Kommandolinje: Opsætning > Tid > Tidsramme

En professionelfile kan indeholde flere linjer med forskellige tidsrammer.

Mulige værdier:

  • Altid
  • Aldrig
  • Navn på en tidsrammeekspertfile

Hvis der bruges flere poster til en indholdsfilterprofile og deres tidsrammer overlapper hinanden, vil alle sider i de aktive poster blive blokeret i den periode. Hvis flere poster bruges til en indholdsfilterprofile og en tidsperiode forbliver ubestemt, adgang til alle web Websteder vil ikke blive kontrolleret i denne periode.

Sortliste

Navn på sortliste-professionelfile det vil sige at anvende dette indholdsfilter profile i den pågældende periode. Et nyt navn kan indtastes, eller et eksisterende navn kan vælges fra sortlistetabellen.

Mulige værdier:

  • Navn på en sortlisteprofessionelfile
  • Nyt navn

Hvidliste

Navn på hvidliste-profile det vil sige at anvende dette indholdsfilter profile i den pågældende periode. Et nyt navn kan indtastes, eller et eksisterende navn kan vælges fra hvidlistetabellen.

Mulige værdier:

  • Navn på en hvidlisteprofessionelfile
  • Nyt navn

Kategori profile

Navn på kategori profile det vil sige at anvende dette indholdsfilter profile i den pågældende periode. Et nyt navn kan indtastes, eller et eksisterende navn kan vælges fra kategoritabellen.

Mulige værdier:

  • Navn på en kategoriprofessionelfile
  • Nyt navn

Sortlisteadresser (URL)

Det er her, du kan konfigurere disse web websteder, der skal blokeres.LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (11)

  • LANconfig: Indhold files > Profiles > Sortlisteadresser (URL)
  • Kommandolinje: Opsætning > UTM > Indholdsfilter > Profiles > Sortliste

Navn

Indtast navnet på den sorte liste, som indholdsfilteret pro skal bruge til referencefile.

Mulige værdier:

  • Navn på sortliste

Adresse (URL)

Adgang til URLElementer, der indtastes her, vil blive forbudt af sortlisten.

Mulige værdier:

  • Gyldig URL adresse

Følgende jokertegn kan bruges:

URLs skal indtastes uden den indledende http://. Bemærk venligst, at i tilfælde af mange URLs, tilføjes der automatisk et skråstreg som et suffiks til URL, f.eks. “www.mycompany.de/”. Af denne grund er det tilrådeligt at indtaste URL som: “www.mycompany.de*”.

Individuel URLs er adskilt af et mellemrum.

Hvidlisteadresser (URL)

Det er her, du kan konfigurere web websteder, hvortil der skal gives adgang.LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (12)

LANconfig: Indhold files > Profiles > Hvidlisteadresser (URL)
Kommandolinje: Opsætning > UTM > Indholdsfilter > Profiles > Hvidliste

Navn

Indtast navnet på den hvidliste, der skal bruges til reference fra indholdsfilteret profile.

Mulige værdier:

  • Navn på en hvidliste

Adresse (URL)

Det er her, du kan konfigurere webwebsteder, der skal kontrolleres lokalt og derefter accepteres

Mulige værdier:

  • Gyldig URL adresse

Følgende jokertegn kan bruges:

Individuel URLs er adskilt af et mellemrum.

Kategori profiles

Her opretter du en kategoriprofile og bestemme hvilke kategorier eller grupper der skal bruges til at bedømme web websteder for hver kategori profileDu kan tillade eller forbyde de enkelte kategorier eller aktivere tilsidesættelsesfunktionen for hver gruppe.LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (13)

LANconfig: Indholdsfilter > Profiles > Kategorier
Kommandolinje: Opsætning > UTM > Indholdsfilter > Profiles > Kategori-Profile

Kategori profile

Navnet på kategorien profile til reference fra indholdsfilter-pro'enfile er indtastet her.

Mulige værdier:

  • Navn på en kategoriprofessionelfile

Kategoriindstillinger

For hver hovedkategori og de tilhørende underkategorier er det muligt at definere, om URLs skal tillades, forbydes eller kun tillades med tilsidesættelse.

Følgende hovedkategorier kan konfigureres:

  • Ulovlig
  • Cybertrusler
  • Pornografi
  • Annoncering
  • Spil
  • Web applikationer
  • Shopping
  • Finansiere
  • Religioner og okkultisme
  • Informationer
  • Underholdning og kultur
  • Diverse

LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (14)

Kategorien profile skal derefter tildeles en indholdsfilter-profile sammen med en tidsramme for at blive aktiv.

Mulige værdier:

  • en tilladt, forbudt, tilsidesættelse

Indstillinger for indholdsfilteret

Under Indholdsfilter > Indstillinger bestemmer du, om du ønsker at blive underrettet om hændelser, og hvor indholdsfilteroplysningerne skal gemmes.

LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (15)

Begivenheder

Her definerer du, hvordan du ønsker at modtage besked om specifikke hændelser. Beskeder kan sendes via e-mail, SNMP eller SYSLOG. For forskellige hændelsestyper kan du angive, om der skal udsendes beskeder, og i så fald hvor mange.LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (16)

E-mail

Her angiver du, om og hvordan e-mail-notifikationer finder sted:

  • Ingen
    Der udsendes ingen e-mail-notifikation for denne begivenhed.
  • Straks
    Der gives besked, når hændelsen indtræffer.
  • Daglig
    Meddelelsen sker én gang om dagen.

Der kan sendes meddelelser om følgende begivenheder:

  • Fejl
    For SYSLOG: Kilde “System”, prioritet “Alarm”.
    Standard: SNMP-besked
  • Licensudløb
    For SYSLOG: Kilde “Admin”, prioritet “Alarm”.
    Standard: SNMP-besked
  • Licens overskredet
    For SYSLOG: Kilde “Admin”, prioritet “Alarm”.
    Standard: SNMP-besked
  • Tilsidesættelse anvendt
    For SYSLOG: Kilde “Router”, prioritet “Alarm”.
    Standard: SNMP-besked
  • Proxygrænse
    For SYSLOG: Kilde “Router”, prioritet “Info”.
    Standard: SNMP-besked

E-mailmodtager

En SMTP-klient skal defineres, hvis du vil bruge e-mail-notifikationsfunktionen. Du kan bruge klienten i enheden eller en anden klient efter eget valg.

Der sendes ingen e-mail, hvis der ikke er angivet en e-mailmodtager.

Øjebliksbillede af indholdsfilter

Det er her, du kan aktivere indholdsfilterets snapshot og bestemme, hvornår og hvor ofte det skal tages. Snapshottet kopierer kategoristatistiktabellen til den sidste snapshottabel og overskriver det gamle indhold af snapshottabellen. Kategoristatistikværdierne nulstilles derefter til 0.

Interval

Her bestemmer du, om snapshottet skal tages månedligt, ugentligt eller dagligt.

Mulige værdier:

  • Månedlig
  • Ugentlig
  • Daglig

Dag i måneden

For månedlige snapshots skal du indstille den dag i måneden, hvor snapshottet skal tages. Mulige værdier: a 1-31

Det anbefales at vælge et tal mellem 1 og 28 for at sikre, at det sker hver måned.

ugedag

For ugentlige snapshots skal du indstille den ugedag, hvor snapshottet skal tages. Mulige værdier:

  • Mandag, tirsdag, onsdag, torsdag, fredag, lørdag, søndag

Tid på dagen:

Hvis du har brug for et dagligt snapshot, skal du indtaste tidspunktet på dagen for snapshottet i timer og minutter her. Mulige værdier:

  • Format TT:MM (standard: 00:00)

Yderligere indstillinger for indholdsfilteret

Firewallindstillinger for indholdsfilteret

Firewallen skal være aktiveret for at indholdsfilteret kan fungere. Du kan aktivere firewallen under:

  • LAN-konfiguration: Firewall/QoS > Generelt
  • Kommandolinje: Opsætning > IP-router > Firewall

I standardkonfigurationen finder du firewallreglen CONTENT-FILTER, der refererer til handlingsobjektet CONTENT-FILTER-BASIC:

LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (17)

Firewallreglen bør begrænses til måltjenesterne HTTP og HTTPS, så kun udgående HTTP- og HTTPS-forbindelser undersøges. Uden denne begrænsning vil alle pakker blive kontrolleret af indholdsfilteret, hvilket kan føre til et tab af systemydelse. En indholdsfilterrelateret firewallregel skal indeholde et særligt handlingsobjekt, der bruger pakkehandlinger til at kontrollere dataene i henhold til en indholdsfilterpro.fileI standardkonfigurationen finder du handlingsobjekterne CONTENT-FILTER-BASIC,

INDHOLDSFILTER-ARBEJDE og INDHOLDSFILTER-FORHÆNDREKONTROL, som hver især refererer til deres tilsvarende indholdsfilterpro.file:LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (18)

Example: Når en web Når siden tilgås, passerer datapakkerne gennem firewallen og behandles af reglen CONTENT-FILTER. Handlingsobjektet CONTENT-FILTER-BASIC kontrollerer datapakkerne ved hjælp af content-filter-programmet.file INDHOLDSFILTER-GRUNDLÆGGENDE.

Tidsramme

Tidsrammer bruges sammen med indholdsfilteret til at definere de tidspunkter, hvor indholdsfilteret profiles gælder. Én professionelfile kan indeholde flere linjer med forskellige tidsrammer. Forskellige linjer i en tidsramme bør supplere hinanden, dvs. hvis du angiver ARBEJDSTID, bør du sandsynligvis angive en tidsramme kaldet FRITID for at dække tiden uden for arbejdstiden. Tidsrammer kan også bruges til at forhindre et WLAN SSID i at blive udsendt permanent. Dette kan tilføjes til de logiske WLAN-indstillinger. Tidsrammerne ALTID og ALDRIG er foruddefinerede. Du kan konfigurere andre tidsrammer under:

LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (19)

Kommandolinje: Opsætning > Tid > Tidsramme

Navn

Indtast navnet på tidsrammen for referencer fra indholdsfilteret profile eller via et WLAN SSID. Flere poster med samme navn resulterer i en fælles profile.

Mulige værdier:

  • Navn på en tidsramme

Starte

Her indstiller du starttidspunktet (tidspunktet på dagen), hvor den valgte profile bliver gyldig.

Mulige værdier:

  • Format TT:MM (standard: 00:00)

Stop

Her indstiller du stoptidspunktet (tidspunktet på dagen), hvor den valgte profile ophører med at være gyldig.

Mulige værdier:

  • Format TT:MM (standard: 23:59)

En stoptid på HH:MM løber normalt indtil HH:MM:00. Stoptiden 00:00 er en undtagelse, da dette fortolkes som 23:59:59.

Hverdage

Her vælger du den ugedag, hvor tidsrammen skal være gyldig.

Mulige værdier:

  • Mandag, tirsdag, onsdag, torsdag, fredag, lørdag, søndag, helligdag

Helligdage indstilles under Dato og klokkeslæt > Generelt > Helligdage.

Du kan oprette en tidsplan med samme navn, men med forskellige tidspunkter, der strækker sig over flere linjer:LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (20)

BPjM-modul

BPjM-modulet blev opsat af Tysklands føderale forsyningsselskabview Nævn for medier, der er skadelige for mindreårige (BPjM) og blokeringer webwebsteder, der ikke bør være tilgængelige for børn og unge. Denne funktion er især relevant for skoler og uddannelsesinstitutioner med mindreårige. DNS-domæner med indhold, der officielt er klassificeret som skadeligt for mindreårige, kan ikke tilgås af den relevante målgruppe. Denne liste garanteres automatisk at blive opdateret og udvidet regelmæssigt. BPjM-modulet blokerer DNS-domæner, der er angivet på den officielle liste. webwebstedet for Federal Review Board for Media Harmful for Mindreårige (BPjM) i Tyskland. Blokering efter kategori og tilsidesættelser (tillad) er ikke tilgængelige. BPjM-modulet er tilgængeligt som en del af LANCOM Content Filter-muligheden eller separat via LANCOM BPjM Filter-softwaremuligheden. IPv4- eller IPv6-firewalls implementerer denne funktion med en standard firewallregel, der kan aktiveres og konfigureres for hvert netværk. For eksempel.ampDet er således muligt kun at udstyre de studerendes netværk med dette filter, men udelukke andre netværk fra det. IPv6-firewallen har en ny standardregel BPJM, som som standard er deaktiveret med systemobjektet "BPJM" som destinationsstation. En lignende regel er tilgængelig i IPv4-firewallen. De netværk, der skal beskyttes af BPjM-modulet, er angivet som kildestationer.

LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (21)

Yderligere indstillinger kan findes i LANconfig under Diverse tjenester > Tjenester > BPjM-filter.LANCOM -Systemer-LCOS -10-92-Sikkerhed -Væsentlige elementer-FIG- (22)

Kildeadresse

Kildeadresse brugt af BPjM-modulet til at få adgang til serveren for BPjM-signaturopdateringer.

Anbefalinger til brug

Hvis indholdsfiltre og BPJM-filtre skal bruges sammen, skal begge regler konfigureres med forskellige prioriteter, så de køres efter hinanden. Ligeledes skal man for den første regel sørge for, at punktet "Overhold yderligere regler, efter at denne regel matcher" er aktiveret.
I sjældne tilfælde kan BPJM-modulet blokere ønskede domæner, fordi kun (DNS) domæner og ikke URL Mappens niveauer kan kontrolleres via TLS. I dette tilfælde kan disse ønskede domæner tilføjes til "BPJM Tilladelsesliste", f.eks. *.example.comLANCOM-routeren skal fungere som DNS-server eller DNS-forwarder i netværket, dvs. klienter i det lokale netværk skal bruge routeren som DNS-server. Derudover skal direkte brug af DNS-over-TLS og DNS-over-HTTPS (eventuelt browserinternt) med eksterne DNS-servere af klienter forhindres.

Dette kan opnås som følger:

  • DHCP-serveren skal distribuere routerens IP-adresse som DNS-server (standardkonfigureret af internetguiden).
  • Opsæt firewallregler, der forhindrer direkte brug af eksterne DNS-servere, f.eks.ampf.eks. ved at blokere udgående port 53 (UDP) for klienter fra det tilsvarende kildenetværk.
  • Opsætning af firewallregler, der forhindrer direkte brug af eksterne DNS-servere, der understøtter DNS-over-TLS, f.eks. ved at blokere udgående port 853 (TCP) for klienter fra det tilsvarende kildenetværk.
  • Deaktivering af DNS-over-HTTPS (DoH) i browseren.

Bemærkninger om synkronisering af firewallens DNS-database: Da firewallen lærer sine oplysninger fra klient-DNS-anmodninger, er DNS-databasen i visse situationer muligvis endnu ikke komplet. Dette kan ske i følgende situationer:

  • En ny firewallregel er tilføjet, men klienten har stadig en DNS-post cachelagret.
  • Kort efter genstarter routeren, og klienten stadig har en DNS-post cachelagret. I disse tilfælde vil det hjælpe at rydde DNS-cachen på klienten, genstarte klienten eller timeoute DNS-posten på klienten.

Hvis forskellige DNS-navne overføres til den samme IP-adresse, kan de ikke skelnes fra hinanden. I dette tilfælde gælder den første regel, der refererer til et af disse DNS-navne, altid. Dette burde ikke være et problem med store tjenesteudbydere. Det kan dog forekomme med små webwebsteder hostet af den samme udbyder

FAQ

  • Hvad skal jeg gøre, hvis indholdsfilteret profile skal ændres?
    • Hvis du har brug for at ændre indholdsfilteret profileSørg for at justere den tilsvarende firewallregel i overensstemmelse hermed for at opretholde korrekt funktionalitet.
  • Hvordan kan jeg sikre effektiv brug af LANCOM Security Essentials?
    • For at sikre effektiv brug, skal du regelmæssigtview og opdater kategorien profileog indstillinger baseret på din organisations krav og politikker.

Dokumenter/ressourcer

LANCOM Systems LCOS 10.92 Sikkerhedsgrundlæggende [pdfBrugervejledning
LCOS 10.92, LCOS 10.92 Sikkerhedsgrundlæggende, LCOS 10.92, Sikkerhedsgrundlæggende, Vigtige elementer

Referencer

Efterlad en kommentar

Din e-mailadresse vil ikke blive offentliggjort. Påkrævede felter er markeret *