Elementi essenziali della sicurezza LCOS 10.92 di LANCOM Systems

Copyright

© 2025 LANCOM Systems GmbH, Würselen (Germania). Tutti i diritti riservati. Sebbene le informazioni contenute in questo manuale siano state redatte con la massima cura, non possono essere considerate una garanzia delle caratteristiche del prodotto. LANCOM Systems sarà responsabile solo nella misura specificata nelle condizioni di vendita e consegna. La riproduzione e la distribuzione della documentazione e del software forniti con questo prodotto, nonché l'utilizzo del suo contenuto, sono soggetti all'autorizzazione scritta di LANCOM Systems. Ci riserviamo il diritto di apportare eventuali modifiche derivanti dallo sviluppo tecnico. Windows® e Microsoft® sono marchi registrati di Microsoft, Corp. LANCOM, LANCOM Systems, LCOS, LANcommunity, LANCOM Service LANcare, LANCOM Active Radio Control e AirLancer sono marchi registrati. Tutti gli altri nomi o descrizioni utilizzati possono essere marchi commerciali o marchi registrati dei rispettivi proprietari. Questo documento contiene dichiarazioni relative a prodotti futuri e alle loro caratteristiche. LANCOM Systems si riserva il diritto di modificarle senza preavviso. Nessuna responsabilità per errori e/o omissioni tecniche. Questo prodotto contiene componenti software open source separati, soggetti a licenze proprie, in particolare la General Public License (GPL). Le informazioni sulla licenza per il firmware del dispositivo (LCOS) sono disponibili sul sito Web del dispositivo. WEBconfig in "Extra > Informazioni sulla licenza". Se la rispettiva licenza richiede, la fonte fileI componenti software corrispondenti saranno resi disponibili su richiesta su un server di download. I prodotti di LANCOM Systems includono software sviluppato dal "Progetto OpenSSL" per l'utilizzo in "OpenSSL Toolkit" (www.openssl.org).
I prodotti di LANCOM Systems includono software crittografico scritto da Eric Young (eay@cryptsoft.com).
I prodotti di LANCOM Systems includono software sviluppato da NetBSD Foundation, Inc. e dai suoi collaboratori.
I prodotti di LANCOM Systems contengono l'SDK LZMA sviluppato da Igor Pavlov.

• Sistemi LANCOM GmbH
• Un'azienda Rohde & Schwarz
• Adenauerstr. 20/B2
• 52146 Würselen
• Germania
• www.lancom-systems.com

Introduzione

Con LANCOM Security Essentials, puoi filtrare contenuti specifici nella tua rete per impedire l'accesso a, ad esempioample, illegale, pericoloso o offensivo websiti. Inoltre, è possibile limitare la navigazione privata su determinati siti durante l'orario di lavoro. Questo non solo aumenta la produttività dei dipendenti e la sicurezza della rete, ma garantisce anche che l'intera larghezza di banda sia disponibile esclusivamente per i processi aziendali. \LANCOM Security Essentials è un'applicazione intelligente e dinamica webfiltro del sito. Contatta un server di valutazione che valuta in modo affidabile e accurato websiti in base alle categorie selezionate. La funzionalità di LANCOM Security Essentials si basa sul controllo degli indirizzi IP determinati dai dati immessi URLs. Per molte pagine, anche le sottodirectory all'interno di un dominio vengono valutate separatamente in modo che diverse sezioni di un URL possono essere valutati in modo diverso.

• Gli utenti non possono bypassare webVerifica del sito tramite LANCOM Security Essentials, inserendo l'indirizzo IP di un sito nel browser. LANCOM Security Essentials controlla sia i siti non crittografati (HTTP) che quelli crittografati (HTTPS). websiti. Il modulo BPjM fa parte di LANCOM Security Essentials o può essere ottenuto separatamente tramite la licenza software LANCOM BPjM Filter Option. Il modulo BPjM è pubblicato dall'Agenzia Federale per la Protezione dell'Infanzia e della Gioventù nei Media (Bundeszentrale für Kinder- und Jugendmedienschutz) e blocca i domini che non devono essere resi accessibili a bambini e adolescenti in Germania. La licenza acquistata per LANCOM Security Essentials si applica a una specifica categoria di dispositivi e a un periodo di tempo specifico (uno o tre anni). Il numero di utenti è illimitato. Verrai avvisato in anticipo quando la tua licenza sta per scadere.
• È possibile testare LANCOM Security Essentials su qualsiasi router che supporti questa funzione. Per farlo, è necessario attivare una licenza demo a tempo limitato di 30 giorni una volta per dispositivo. Le licenze demo vengono create direttamente da LANconfig. Fare clic con il pulsante destro del mouse sul dispositivo, selezionare "Attiva opzione software" dal menu contestuale e, nella finestra di dialogo successiva, fare clic sul collegamento "Hai bisogno di una licenza demo?". Verrai automaticamente connesso al server di registrazione LANCOM. websito, dove è possibile selezionare e registrare la licenza demo desiderata per il dispositivo.
• Categoria profileMemorizza tutte le impostazioni relative alle categorie. Puoi scegliere tra categorie principali e sottocategorie predefinite in LANCOM Security Essentials: 73 categorie sono raggruppate in 12 gruppi tematici, ad esempio "Pornografia", "Shopping" o "Illegale". Ogni gruppo consente di abilitare o disabilitare le categorie incluse. Le sottocategorie per "Pornografia" includono "Pornografia", "Giocattoli sessuali", "Contenuti sessuali", "Nudità", "Lingerie" e "Educazione sessuale".
  Inoltre, gli amministratori possono abilitare un'opzione di override per ciascuna categoria durante la configurazione. Quando l'override è attivo, gli utenti possono accedere temporaneamente a un sito bloccato cliccando sul pulsante corrispondente, ma l'amministratore riceverà una notifica tramite e-mail, SYSLOG e/o trap SNMP.
  Utilizzando la categoria profile che hai creato, insieme alla whitelist e alla blacklist, puoi creare un filtro dei contenuti profile che può essere assegnato agli utenti tramite il firewall. Ad esempioample, puoi creare il profile “Employees_Department_A”, che viene quindi assegnato a tutti i computer di quel reparto.
  Durante l'installazione, LANCOM Security Essentials configura automaticamente utili impostazioni predefinite che devono essere attivate solo per il funzionamento iniziale. Nei passaggi successivi, è possibile adattare ulteriormente il comportamento di LANCOM Security Essentials al proprio caso d'uso specifico.
  Anche le impostazioni predefinite utili vengono configurate automaticamente per il modulo BPjM. Ad esempioampAd esempio, esiste una regola firewall predefinita nel firewall IPv4 o IPv6 con l'oggetto di sistema "BPJM" come stazione di destinazione. Definire le stazioni sorgente come le reti che devono essere protette dal modulo BPjM. Attivando la regola, il modulo BPjM viene avviato.

Requisiti per l'utilizzo di LANCOM Security Essentials

Per utilizzare LANCOM Security Essentials è necessario soddisfare i seguenti requisiti:

1. L'opzione LANCOM Security Essentials è attivata.
2. Il firewall deve essere abilitato.
3. Una regola del firewall deve selezionare il filtro dei contenuti profile.
4. Il filtro dei contenuti selezionato profile bisogna definire una categoria profile e, facoltativamente, una lista bianca e/o nera per ogni fascia oraria del giorno. Per coprire fasce orarie diverse, un filtro dei contenutifile può essere costituito da più voci.
   Se un periodo di tempo specifico non è coperto da una voce, l'accesso illimitato a websaranno possibili i siti durante quel periodo.

Se il filtro dei contenuti profile viene rinominato in un secondo momento, anche la regola del firewall deve essere modificata.

Avvio rapido

Dopo l'installazione di LANCOM Security Essentials, tutte le impostazioni sono preconfigurate per una rapida messa in servizio.

• Il funzionamento di LANCOM Security Essentials potrebbe essere soggetto alle normative sulla protezione dei dati del vostro Paese o alle politiche aziendali. Si prega di verificare le normative applicabili prima della messa in servizio.
• In LANconfig, le impostazioni di LANCOM Security Essentials sono elencate in Filtro contenuti.

Per attivare il filtro dei contenuti, procedere come segue:

1. Avviare la procedura guidata di configurazione per il dispositivo corrispondente.
2. Selezionare la procedura guidata di configurazione per configurare il filtro dei contenuti.
3. Seleziona uno dei professionisti di sicurezza predefinitifiles (Professionista di basefile, Professionista aziendalefile, Controllo genitori Profile):
   • Professionista di basefile: Questo professionistafile blocca principalmente l'accesso a categorie quali pornografia, contenuti illegali, violenti o discriminatori, droga, spam e phishing.
   • Professionista del lavorofile: Oltre al Basic Profile impostazioni, questo profile blocca anche categorie come shopping, ricerca di lavoro, giochi, musica, radio e alcuni servizi di comunicazione come la chat.
   • Controllo parentale profile: Oltre al Basic Profile impostazioni, questo profile include un blocco più severo per nudità e armi.

Se il firewall è disabilitato, la procedura guidata lo abilita. La procedura guidata verifica quindi che la regola del firewall per il filtro dei contenuti sia impostata correttamente e, se necessario, la modifica. Con questi passaggi, il filtro dei contenuti viene attivato e le impostazioni predefinite verranno applicate a tutte le stazioni della rete che utilizzano il filtro dei contenuti selezionato.file Con blacklist e whitelist vuote. Se necessario, modifica queste impostazioni in base alle tue esigenze. La procedura guidata attiva il filtro dei contenuti per l'intervallo di tempo SEMPRE.

Impostazioni standard nel filtro contenuti

Nella configurazione predefinita del Filtro contenuti sono stati creati i seguenti elementi:

Regola del firewall

La regola firewall preimpostata si chiama CONTENT-FILTER e utilizza l'oggetto azione CONTENT-FILTER-BASIC.

Oggetti di azione del firewall

Sono presenti tre oggetti azione firewall:

• CONTENT-FILTER-BASIC
• FILTRO-CONTENUTO-FUNZIONA
• FILTRO-CONTENUTI-CONTROLLO-GENITALE

Questi oggetti azione funzionano con il corrispondente content-filter profiles.

Filtro dei contenuti profiles

Ci sono tre filtri di contenuto profiles. Tutti i filtri di contenuto profileusa l'intervallo di tempo SEMPRE, la lista nera MY-BLACKLIST e la lista bianca MY-WHITELIST. Ogni filtro di contenuto profile utilizza una delle categorie predefinite profiles:

• CF-BASIC-PROFILE: Questo professionista del filtro dei contenutifile presenta un basso livello di restrizioni e funziona con la categoria profile CATEGORIE DI BASE.
• CF-PARENTAL-CONTROL-PROFILE: Questo professionista del filtro dei contenutifile protegge i minori (ad esempio i tirocinanti) da contenuti Internet non adatti e funziona con la categoria profile CONTROLLO GENITORIALE.
• CF-WORK-PROFILE: Questo professionista del filtro dei contenutifile è destinato alle aziende che desiderano imporre restrizioni su categorie come Ricerca di lavoro o Chat. Funziona con la categoria profile CATEGORIE DI LAVORO.

Lasso di tempo

Sono previsti due intervalli di tempo predefiniti:

• SEMPRE: 00.00-23.59 ore
• MAI: 00.00-0.00 ore

Lista nera

• La blacklist preimpostata si chiama MY-BLACKLIST ed è vuota. Qui puoi facoltativamente inserire URLche devono essere proibiti.

Lista bianca

• La whitelist preimpostata si chiama MY-WHITELIST ed è vuota. Qui puoi facoltativamente inserire URLche devono essere consentiti.

Categoria profiles

• Ci sono tre categorie profiles: CATEGORIE DI BASE, CATEGORIE DI LAVORO e CONTROLLO GENITORIALE. La categoria profile specifica le categorie consentite e vietate e per quali è possibile attivare un override.

Impostazioni generali

È possibile effettuare le impostazioni globali del filtro dei contenuti in LANconfig in Filtro contenuti > Generale:

Attiva filtro contenuti

Ciò consente di attivare il filtro dei contenuti.

In caso di errore

Ciò consente di definire cosa accade in caso di errore. Ad esempioample, se il server di valutazione non è raggiungibile, questa impostazione determina se l'utente può navigare liberamente o se tutti web l'accesso è bloccato.

Alla scadenza della licenza

La licenza per l'utilizzo di LANCOM Security Essentials è valida per un periodo di tempo specifico. Verrai avvisato della scadenza della licenza con 30 giorni, una settimana e un giorno di anticipo (all'indirizzo e-mail configurato in LANconfig in Log & Trace > General > E-mail addresses > E-mail for license expiry reminder). Qui puoi specificare se webI siti dovrebbero essere bloccati o lasciati passare senza controllo dopo la scadenza della licenza. In base a questa impostazione, l'utente può navigare liberamente dopo la scadenza della licenza o tutti web l'accesso verrà negato.

Per garantire che il promemoria venga effettivamente inviato all'indirizzo e-mail specificato, è necessario configurare l'account SMTP appropriato.

Su Non-HTTPS tramite porta TCP 443

Vietato

Non consente il traffico non HTTPS sulla porta 443.

Consentito

Consente il traffico non HTTPS sulla porta 443.
La porta TCP 443 è riservata di default esclusivamente alle connessioni HTTPS. Alcune applicazioni che non utilizzano HTTPS utilizzano comunque la porta TCP 443. In questi casi, è possibile consentire alla porta TCP 443 di accettare traffico non HTTPS.

• Se si consentono connessioni non HTTPS sulla porta 443, il traffico non verrà classificato, ma generalmente consentito. Per impostazione predefinita, il traffico non HTTPS sulla porta 443 non è consentito.

Numero massimo di connessioni proxy

Imposta il numero massimo di connessioni proxy simultanee consentite. Questo aiuta a limitare il carico di sistema. Se questo numero viene superato, viene generata una notifica. Puoi configurare il tipo di notifica in Filtro contenuti > Opzioni > Notifica eventi.

Timeout di elaborazione del proxy

Specifica il tempo in millisecondi consentito al proxy per l'elaborazione. Se questo tempo viene superato, viene restituita una pagina di errore di timeout.

Salva le informazioni del filtro dei contenuti nella ROM flash attivata

Se abilitata, questa opzione memorizza le informazioni sul filtro dei contenuti nella Flash ROM del dispositivo.

Consenti certificati jolly

Per webPer i siti che utilizzano certificati con caratteri jolly (con voci CN come *.mydomain.de de), l'abilitazione di questa funzione utilizza il dominio principale (mydomain.de) per il filtraggio. Il processo di filtraggio avviene nel seguente ordine:

• Controllare il nome del server nel “Client Hello” (a seconda del browser utilizzato)
• Controllare il CN nel certificato SSL ricevuto
• Le voci jolly vengono ignorate
• Se il CN non è utilizzabile, viene valutato il campo “Nome alternativo”
• Ricerca inversa DNS dell'indirizzo IP corrispondente e valutazione del nome host risultante
• Se nel certificato sono inclusi i caratteri jolly, viene utilizzato il dominio principale (come descritto sopra)
• Controlla l'indirizzo IP

Impostazioni per il blocco

Regoli il webimpostazioni di blocco del sito qui:

LANconfig: Filtro contenuti > Blocco / Ignora > Blocco ed errore
Riga di comando: Impostazioni > UTM > Filtro contenuti > Impostazioni globali

Blocco alternativo URL:

Qui puoi inserire l'indirizzo di un'alternativa URLSe l'accesso è bloccato, il URL inserito qui verrà visualizzato al posto di quello richiesto web sito. Puoi utilizzare questa pagina HTML esterna per visualizzare il design aziendale della tua azienda, ad esempioample, o per eseguire funzioni come routine JavaScript, ecc. Puoi anche usare lo stesso tags qui come utilizzato nel testo di blocco. Se non si inserisce nulla qui, verrà visualizzata la pagina predefinita memorizzata nel dispositivo.

Valori possibili:

• • Valido URL indirizzo
• Predefinito:
  • Vuoto

Errore alternativo URL:

Qui puoi inserire l'indirizzo di un'alternativa URLIn caso di errore, il URL inserito qui verrà visualizzato al posto del solito web sito. Puoi utilizzare questa pagina HTML esterna per visualizzare il design aziendale della tua azienda, ad esempioample, o per eseguire funzioni come routine JavaScript, ecc. Puoi anche usare lo stesso tags qui come utilizzato nel testo dell'errore. Se non si inserisce alcun valore qui, verrà visualizzata la pagina predefinita memorizzata nel dispositivo.

• Valori possibili:
  • Valido URL indirizzo
• Predefinito:
  • Vuoto

Indirizzo sorgente per blocco alternativo URL:

Qui puoi configurare un indirizzo mittente facoltativo da utilizzare al posto di quello che normalmente verrebbe selezionato automaticamente per questo indirizzo di destinazione. Se hai configurato indirizzi di loopback, puoi specificarli qui come indirizzo mittente.

Valori possibili:

• Nome delle reti IP il cui indirizzo deve essere utilizzato
• INT per l'indirizzo della prima Intranet
• DMZ per l'indirizzo della prima DMZ.

Se è presente un'interfaccia denominata DMZ, in questo caso verrà preso il suo indirizzo.

• LB0…LBF per i 16 indirizzi di loopback
• OSPITE
• Qualsiasi indirizzo IP nel formato xxxx

Predefinito:

• Vuoto
  L'indirizzo del mittente specificato qui viene utilizzato senza mascheramento per ogni stazione remota.

Indirizzo sorgente per errore alternativo URL:

• Qui puoi configurare un indirizzo mittente facoltativo da utilizzare al posto di quello che normalmente verrebbe selezionato automaticamente per questo indirizzo di destinazione. Se hai configurato indirizzi di loopback, puoi specificarli qui come indirizzo mittente.

Valori possibili:

• Nome delle reti IP il cui indirizzo deve essere utilizzato
• INT per l'indirizzo della prima Intranet
• DMZ per l'indirizzo della prima DMZ.

Se è presente un'interfaccia denominata DMZ, in questo caso verrà preso il suo indirizzo.

• LB0…LBF per i 16 indirizzi di loopback
• OSPITE
• Qualsiasi indirizzo IP nel formato xxxx

Predefinito:

• Vuoto

L'indirizzo del mittente specificato qui viene utilizzato senza mascheramento per ogni stazione remota.

Blocco di testo

Qui è possibile definire il testo da visualizzare in caso di blocco. È possibile definire testi di blocco diversi per lingue diverse. La visualizzazione del testo di blocco è controllata dall'impostazione della lingua trasmessa dal browser (user agent).

Lingua

Inserendo qui il codice paese appropriato, gli utenti riceveranno tutti i messaggi nella lingua preimpostata del browser. Se il codice paese impostato nel browser viene trovato qui, verrà visualizzato il testo corrispondente. È possibile aggiungere qualsiasi altra lingua.
Examples del codice paese:

• de-DE: tedesco-Germania
• de-CH: Svizzera tedesca
• de-AT: Tedesco-Austria
• en-GB: inglese-Gran Bretagna
• en-US: inglese-Stati Uniti

Il codice paese deve corrispondere esattamente alla lingua impostata nel browser, ad esempio "de-DE" deve essere inserito per il tedesco ("de" da solo non è sufficiente). Se il codice paese impostato nel browser non è presente in questa tabella, o se il testo memorizzato con quel codice paese viene eliminato, verrà utilizzato il testo predefinito ("default"). È possibile modificare il testo predefinito.

Valori possibili:

• 10 caratteri alfanumerici

Predefinito:

• Vuoto

Testo

Inserisci il testo che desideri utilizzare come testo di blocco per questa lingua.

Valori possibili:

• 254 caratteri alfanumerici

Predefinito:

• Vuoto

Valori speciali:

Puoi anche usare speciali tags per bloccare il testo se si desidera visualizzare pagine diverse a seconda del motivo per cui web il sito è stato bloccato (ad esempio categoria vietata o inserimento nella blacklist).

Il seguente tags può essere utilizzato come tag valori:

• <CF-URL/> per un proibito URL
• per l'elenco delle categorie perché il web il sito è stato bloccato
• <CF-PROFILE/> per il professionistafile nome
• <CF-OVERRIDEURL/> per il URL utilizzato per attivare il URL (questo può essere integrato in modo semplice tag o in un pulsante)
• aggiunge un collegamento per attivare l'override
• per un pulsante per attivare l'override
• … per visualizzare o nascondere parti del documento HTML. Gli attributi sono:
• BLACKLIST: Se il sito è stato bloccato perché si trova nella lista dei siti webfile lista nera
• CATEGORIA: Se il sito è stato bloccato a causa di una delle sue categorie
• ERR: Se si è verificato un errore.
• OVERRIDEOK: Se agli utenti è stato consentito un override (in questo caso, la pagina dovrebbe visualizzare un pulsante appropriato)

Poiché sono presenti tabelle di testo separate per la pagina di blocco e la pagina di errore, questo attributo ha senso solo se è stata configurata un'alternativa URL da mostrare in caso di blocco. Se più attributi sono definiti in uno tag, la sezione verrà visualizzata se almeno una di queste condizioni è soddisfatta. Tutti tags e gli attributi possono essere abbreviati con le prime due lettere (ad esempio CF-CA o CF-IF BL). Ciò è necessario poiché il testo di blocco può contenere al massimo 254 caratteri.

Exampon:

<CF-URL/> è bloccato perché corrisponde alle categorie . Il tuo professionista dei contenutifile È .

IL tags descritto qui può essere utilizzato anche in pagine HTML esterne (alternativa URLs da mostrare durante il blocco).

Testo di errore

Qui puoi definire il testo da visualizzare quando si verifica un errore.

Lingua

Inserendo qui il codice paese appropriato, gli utenti riceveranno tutti i messaggi nella lingua preimpostata del browser. Se il codice paese impostato nel browser viene trovato qui, verrà visualizzato il testo corrispondente. È possibile aggiungere qualsiasi altra lingua.

Examples del codice paese:

• de-DE: tedesco-Germania
• de-CH: Svizzera tedesca
• de-AT: Tedesco-Austria
• en-GB: inglese-Gran Bretagna
• en-US: inglese-Stati Uniti

Il codice del paese deve corrispondere esattamente all'impostazione della lingua del browser, ad esempio deve essere inserito "de-DE" per

Tedesco ("de" da solo non è sufficiente). Se il codice paese impostato nel browser non è presente in questa tabella, o se il testo memorizzato con quel codice paese viene eliminato, verrà utilizzato il testo predefinito ("default"). È possibile modificare il testo predefinito.

Valori possibili:

• 10 caratteri alfanumerici

Predefinito:

• Vuoto

Testo

Inserisci il testo che desideri utilizzare come testo di errore per questa lingua.

Valori possibili:

• 254 caratteri alfanumerici

Predefinito:

• Vuoto

Valori speciali:

Puoi anche usare HTML tags per il testo dell'errore.

Il seguente elemento vuoto tags può essere utilizzato come tag valori:

• <CF-URL/> per un proibito URL
• <CF-PROFILE/> per il professionistafile nome
• per il messaggio di errore

Exampon:

<CF-URL/> è bloccato perché si è verificato un errore:

Impostazioni di override

La funzione di override consente un websito a cui si accede anche se classificato come vietato. L'utente deve cliccare sul pulsante di override per richiedere l'apertura della pagina vietata. È possibile configurare questa funzione in modo che l'amministratore venga avvisato quando si clicca sul pulsante di override (LANconfig: Filtro contenuti > Opzioni > Eventi).

Se è stato attivato il tipo di override “Categoria”, cliccando sul pulsante di override vengono visualizzate tutte le categorie per quella URL accessibile all'utente La prossima pagina di blocco da visualizzare ha solo una categoria che spiega perché l'accesso a URL è stato bloccato. Se è stato attivato il tipo di override "Dominio", è possibile accedere all'intero dominio.

Le impostazioni per la funzione di override si trovano qui:

LANconfig: Filtro contenuti > Blocco / Ignora > Ignora
Riga di comando: Impostazioni > UTM > Filtro contenuti > Impostazioni globali

Override-Attivo

Qui è possibile attivare la funzione di override e configurare ulteriori impostazioni correlate.

Durata dell'override

Qui è possibile limitare la durata dell'override. Allo scadere del periodo, qualsiasi tentativo di accesso allo stesso dominio e/o categoria verrà nuovamente bloccato. Cliccando nuovamente sul pulsante di override è possibile web il sito sarà nuovamente accessibile per tutta la durata dell'override e, a seconda delle impostazioni, l'amministratore verrà nuovamente avvisato.

Valori possibili:

• 1-1440 (minuti)

Predefinito:

• 5 (minuti)

Tipo di override:

Qui puoi impostare il tipo di override. Può essere consentito per il dominio, per la categoria di web sito da bloccare, o entrambi.

Valori possibili:

Categoria

Per la durata dell'override, tutti URLSono consentite le azioni che rientrano nelle categorie interessate (nonché quelle che sarebbero state già consentite anche senza l'override).

Dominio

Per tutta la durata dell'override tutti URLin questo dominio sono consentiti, indipendentemente dalle categorie a cui appartengono.

Categoria e dominio

Per la durata dell'override, tutti URLSono consentiti solo i nomi che appartengono a questo dominio e anche alle categorie consentite. Questa è la restrizione più elevata.

Sostituisci il testo

Qui puoi definire il testo che verrà visualizzato dagli utenti quando confermano un override.

Lingua

Inserendo qui il codice paese appropriato, gli utenti riceveranno tutti i messaggi nella lingua preimpostata del browser. Se il codice paese impostato nel browser viene trovato qui, verrà visualizzato il testo corrispondente. È possibile aggiungere qualsiasi altra lingua.

Examples del codice paese:

• de-DE: tedesco-Germania
• de-CH: Svizzera tedesca
• de-AT: Tedesco-Austria
• en-GB: inglese-Gran Bretagna
• en-US: inglese-Stati Uniti

Il codice paese deve corrispondere esattamente alla lingua impostata nel browser, ad esempio "de-DE" deve essere inserito per il tedesco ("de" da solo non è sufficiente). Se il codice paese impostato nel browser non è presente in questa tabella, o se il testo memorizzato con quel codice paese viene eliminato, verrà utilizzato il testo predefinito ("default"). È possibile modificare il testo predefinito.

Valori possibili:

• 10 caratteri alfanumerici

Predefinito:

• Vuoto

Testo

Inserisci il testo che desideri utilizzare come testo sostitutivo per questa lingua.

Valori possibili:

• 254 caratteri alfanumerici

Predefinito:

• Vuoto

Valori speciali:

Puoi anche usare HTML tags per bloccare il testo se si desidera visualizzare pagine diverse a seconda del motivo per cui web il sito è stato bloccato (ad esempio categoria vietata o inserimento nella blacklist).

Il seguente tags può essere utilizzato come tag valori:

• <CF-URL/> per l'originariamente proibito URL che ora è consentito
• per l'elenco delle categorie che sono state ora consentite in seguito all'override (tranne se è specificato l'override del dominio).
• visualizza un pulsante di override che inoltra il browser all'originale URL.
• visualizza un collegamento di override che inoltra il browser all'originale URL.
• O visualizza l'host o il dominio per i dati consentiti URL. IL tags hanno lo stesso valore e il loro utilizzo è facoltativo.
• genera un messaggio di errore nel caso in cui l'override fallisca.
• visualizza la durata dell'override in minuti.
• … per visualizzare o nascondere parti del documento HTML. Gli attributi sono:
• CATEGORIA quando il tipo di override è "Categoria" e l'override ha avuto esito positivo
• DOMINIO quando il tipo di override è "Dominio" e l'override ha avuto esito positivo
• ENTRAMBI quando il tipo di override è "Categoria e dominio" e l'override ha avuto esito positivo
• ERRORE quando l'override fallisce
• OK se sono applicabili CATEGORIA o DOMINIO o ENTRAMBI

Se in uno sono definiti più attributi tag, la sezione dovrebbe essere visualizzata se almeno una di queste condizioni è soddisfatta. Tutti tags e gli attributi possono essere abbreviati con le prime due lettere (ad esempio CF-CA o CF-IF BL). Ciò è necessario poiché il testo di blocco può contenere al massimo 254 caratteri.

Exampon:

Le categorie Sono nel dominio Il dominio È rilasciato per minuti. Errore di override:

Professionistafiles nel filtro dei contenuti

In Filtro contenuti > Profilepuoi creare content-filter profileche vengono utilizzati per controllare web siti per contenuti proibiti. Un professionista del filtro dei contenutifile ha sempre un nome e, per diversi periodi di tempo, attiva la categoria desiderata profile e, facoltativamente, una blacklist e una whitelist. Per fornire configurazioni diverse per i vari intervalli di tempo, sono disponibili diversi programmi di filtro dei contenuti.file Le voci vengono create con lo stesso nome. Il filtro dei contenuti profile è quindi costituito dalla somma di tutte le voci con lo stesso nome. Il firewall fa riferimento a questo programma di filtro dei contenutifile.

Si prega di notare che è necessario effettuare le impostazioni corrispondenti nel firewall per poter utilizzare il profiles nel filtro contenuti LANCOM.

Professionistafiles

Le impostazioni per il profilesi trovano qui:

LANconfig: Contenuto filer > Profiles > Profile
Riga di comando: Impostazioni > UTM > Filtro contenuti > Profiles > Profile

Nome

Il professionistafile nome per cui qui devono essere specificati i riferimenti al firewall.

Lasso di tempo

Seleziona l'intervallo di tempo per questa categoria profile e, facoltativamente, la lista nera e la lista bianca. Le tempistiche

SEMPRE e MAI sono predefiniti. È possibile configurare altri intervalli di tempo in:

• LANconfig: Data e ora > Generale > Intervallo di tempo
• Riga di comando: Impostazioni > Ora > Intervallo di tempo

Un professionistafile può contenere più righe con intervalli di tempo diversi.

Valori possibili:

• Sempre
• Mai
• Nome di un professionista del timeframefile

Se vengono utilizzate più voci per un content-filter profile e i loro intervalli di tempo si sovrappongono, tutte le pagine contenute nelle voci attive verranno bloccate per quel periodo di tempo. Se vengono utilizzate più voci per un filtro dei contenutifile e un periodo di tempo rimane indefinito, l'accesso a tutti web i siti non saranno controllati per questo periodo.

Lista nera

Nome del professionista della lista nerafile che serve per applicare questo filtro di contenuto profile durante il periodo in questione. È possibile inserire un nuovo nome oppure selezionarne uno esistente dalla tabella della lista nera.

Valori possibili:

• Nome di un professionista della lista nerafile
• Nuovo nome

Lista bianca

Nome del professionista della whitelistfile che serve per applicare questo filtro di contenuto profile durante il periodo in questione. È possibile inserire un nuovo nome oppure selezionarne uno esistente dalla tabella della whitelist.

Valori possibili:

• Nome di un professionista della whitelistfile
• Nuovo nome

Categoria profile

Nome della categoria profile che serve per applicare questo filtro di contenuto profile durante il periodo in questione. È possibile inserire un nuovo nome oppure selezionarne uno esistente dalla tabella delle categorie.

Valori possibili:

• Nome di una categoria profile
• Nuovo nome

Indirizzi nella lista nera (URL)

Qui puoi configurare quelli web siti che devono essere bloccati.

• LANconfig: Contenuto files > Profiles > Indirizzi nella lista nera (URL)
• Riga di comando: Impostazioni > UTM > Filtro contenuti > Profiles > Lista nera

Nome

Inserisci il nome della blacklist per il riferimento da parte di content-filter profile.

Valori possibili:

• Nome nella lista nera

Indirizzo (URL)

Accesso al URLgli elementi inseriti qui saranno vietati dalla lista nera.

Valori possibili:

• Valido URL indirizzo

È possibile utilizzare i seguenti caratteri jolly:

• * per qualsiasi combinazione di più di un carattere (ad esempio www.lancom.* comprende il websiti www.lancom.com, www.lancom.de, www.lancom.eu, www.lancom.es, ecc.)
• ? per qualsiasi carattere (ad esempio www.lancom.e* comprende il web siti www.lancom.eu, www.lancom.es)

URLs deve essere inserito senza http:// iniziale. Si prega di notare che nel caso di molti URLs, una barra in avanti viene aggiunta automaticamente come suffisso al URL, per esempio "www.mycompany.de/”. Per questo motivo, è consigliabile inserire il URL COME: "www.mycompany.de*”.

Individuale URLsono separati da uno spazio vuoto.

Indirizzi nella whitelist (URL)

Qui puoi configurare web siti ai quali deve essere consentito l'accesso.

LANconfig: Contenuto files > Profiles > Indirizzi nella whitelist (URL)
Riga di comando: Impostazioni > UTM > Filtro contenuti > Profiles > Lista bianca

Nome

Inserisci il nome della whitelist per il riferimento da parte del content-filter profile.

Valori possibili:

• Nome di una whitelist

Indirizzo (URL)

Qui puoi configurare websiti che devono essere controllati localmente e poi accettati

Valori possibili:

• Valido URL indirizzo

È possibile utilizzare i seguenti caratteri jolly:

• * per qualsiasi combinazione di più di un carattere (ad esempio www.lancom.* comprende il websiti www.lancom.com, www.lancom.de, www.lancom.eu, www.lancom.es, ecc.)
• ? per qualsiasi carattere (ad esempio www.lancom.e* comprende il web siti www.lancom.eu, www.lancom.es)
• URLs deve essere inserito senza http:// iniziale. Si prega di notare che nel caso di molti URLs, una barra in avanti viene aggiunta automaticamente come suffisso al URL, per esempio "www.mycompany.de/”. Per questo motivo, è consigliabile inserire il URL COME: "www.mycompany.de*”.

Individuale URLsono separati da uno spazio vuoto.

Categoria profiles

Qui crei una categoria profile e determinare quali categorie o gruppi dovrebbero essere utilizzati per la valutazione web siti per ogni categoria profileÈ possibile consentire o vietare le singole categorie oppure attivare la funzione di override per ogni gruppo.

LANconfig: Filtro contenuti > Profiles > Categorie
Riga di comando: Impostazioni > UTM > Filtro contenuti > Profiles > Categoria-Profile

Categoria profile

Il nome della categoria profile per il riferimento dal content-filter profile viene inserito qui.

Valori possibili:

• Nome di una categoria profile

Impostazioni di categoria

Per ogni categoria principale e le sottocategorie associate, è possibile definire se la URLdevono essere consentiti, vietati o consentiti solo con override.

È possibile configurare le seguenti categorie principali:

• Illegale
• Minacce informatiche
• Pornografia
• Pubblicità
• Giochi
• Web applicazioni
• Shopping
• Finanza
• Religioni e occultismo
• Informazioni
• Intrattenimento e cultura
• Varie

La categoria profile deve quindi essere assegnato a un professionista del filtro dei contenutifile insieme a un lasso di tempo per diventare attivi.

Valori possibili:

• a Consentito, proibito, ignorare

Opzioni per il filtro dei contenuti

In Filtro contenuti > Opzioni puoi stabilire se desideri essere informato degli eventi e dove archiviare le informazioni del Filtro contenuti.

Eventi

Qui è possibile definire come si desidera ricevere notifiche di eventi specifici. La notifica può essere effettuata tramite e-mail, SNMP o SYSLOG. Per diversi tipi di evento, è possibile specificare se e quanti messaggi devono essere inviati.

E-mail

Qui puoi specificare se e come avviene la notifica via e-mail:

• NO
  Per questo evento non verrà inviata alcuna notifica via e-mail.
• Immediatamente
  La notifica avviene quando si verifica l'evento.
• Quotidiano
  La notifica avviene una volta al giorno.

È possibile inviare notifiche per i seguenti eventi:

• Errore
  Per SYSLOG: origine “Sistema”, priorità “Avviso”.
  Predefinito: notifica SNMP
• Scadenza della licenza
  Per SYSLOG: Sorgente “Admin”, priorità “Alert”.
  Predefinito: notifica SNMP
• Licenza superata
  Per SYSLOG: Sorgente “Admin”, priorità “Alert”.
  Predefinito: notifica SNMP
• Override applicato
  Per SYSLOG: Sorgente “Router”, priorità “Avviso”.
  Predefinito: notifica SNMP
• Limite proxy
  Per SYSLOG: Sorgente “Router”, priorità “Info”.
  Predefinito: notifica SNMP

Destinatario dell'e-mail

Per utilizzare la funzione di notifica via e-mail, è necessario definire un client SMTP. È possibile utilizzare il client integrato nel dispositivo o un altro client a scelta.

Se non viene specificato alcun destinatario, non verrà inviata alcuna e-mail.

Istantanea del filtro dei contenuti

Qui è possibile attivare lo snapshot del filtro dei contenuti e stabilire quando e con quale frequenza deve essere eseguito. Lo snapshot copia la tabella delle statistiche di categoria nell'ultima tabella snapshot, sovrascrivendo il vecchio contenuto della tabella snapshot. I valori delle statistiche di categoria vengono quindi reimpostati a 0.

Intervallo

Qui puoi decidere se l'istantanea deve essere effettuata mensilmente, settimanalmente o quotidianamente.

Valori possibili:

• Mensile
• Settimanale
• Quotidiano

Giorno del mese

Per gli snapshot mensili, imposta il giorno del mese in cui deve essere eseguito lo snapshot. Valori possibili: 1-31

Si consiglia di selezionare un numero compreso tra 1 e 28 per garantire che si verifichi ogni mese.

Giorno della settimana

Per gli snapshot settimanali, imposta il giorno della settimana in cui deve essere effettuato lo snapshot. Valori possibili:

• Lunedì, Martedì, Mercoledì, Giovedì, Venerdì, Sabato, Domenica

Ora del giorno:

Se desideri uno snapshot giornaliero, inserisci qui l'ora del giorno in ore e minuti per lo snapshot. Valori possibili:

• Formato HH:MM (predefinito: 00:00)

Impostazioni aggiuntive per il filtro dei contenuti

Impostazioni del firewall per il filtro dei contenuti

Affinché il Filtro Contenuti funzioni, è necessario che il firewall sia attivato. Puoi attivare il firewall in:

• LANconfig: Firewall/QoS > Generale
• Riga di comando: Impostazioni > Router IP > Firewall

Nella configurazione predefinita, troverai la regola firewall CONTENT-FILTER che fa riferimento all'oggetto azione CONTENT-FILTER-BASIC:

La regola del firewall dovrebbe essere limitata ai servizi di destinazione HTTP e HTTPS, in modo che vengano esaminate solo le connessioni HTTP e HTTPS in uscita. Senza questa restrizione, tutti i pacchetti verranno controllati dal filtro dei contenuti, il che potrebbe comportare una perdita di prestazioni del sistema. Una regola del firewall relativa al filtro dei contenuti deve contenere un oggetto azione speciale che utilizzi le azioni dei pacchetti per controllare i dati in base a un metodo di filtro dei contenuti.fileNella configurazione predefinita, troverai gli oggetti azione CONTENT-FILTER-BASIC,

CONTENT-FILTER-WORK e CONTENT-FILTER-PARENTAL-CONTROL, ognuno dei quali fa riferimento al rispettivo content-filter profile:

Example: Quando un web Una volta che la pagina viene aperta, i pacchetti di dati attraversano il firewall e vengono elaborati dalla regola CONTENT-FILTER. L'oggetto azione CONTENT-FILTER-BASIC controlla i pacchetti di dati utilizzando la regola content-filter.file CONTENT-FILTER-BASIC.

Lasso di tempo

Gli intervalli di tempo vengono utilizzati con il filtro dei contenuti per definire gli orari in cui il filtro dei contenutifilesi applicano. Un professionistafile Può contenere diverse righe con intervalli di tempo diversi. Le diverse righe in un intervallo di tempo dovrebbero completarsi a vicenda, ad esempio se si specifica WORKTIME, probabilmente sarà necessario specificare un intervallo di tempo denominato FREETIME per coprire il tempo al di fuori dell'orario di lavoro. Gli intervalli di tempo possono anche essere utilizzati per impedire la trasmissione permanente di un SSID WLAN. Questa opzione può essere aggiunta alle impostazioni logiche della WLAN. Gli intervalli di tempo ALWAYS e NEVER sono predefiniti. È possibile configurare altri intervalli di tempo in:

Riga di comando: Impostazioni > Ora > Intervallo di tempo

Nome

Inserisci il nome dell'intervallo di tempo a cui fare riferimento dal content-filter profile o da un SSID WLAN. Più voci con lo stesso nome generano un pro comunefile.

Valori possibili:

• Nome di un intervallo di tempo

Inizio

Qui puoi impostare l'ora di inizio (ora del giorno) in cui il professionista selezionatofile diventa valido.

Valori possibili:

• Formato HH:MM (predefinito: 00:00)

Fermare

Qui puoi impostare l'ora di fine (ora del giorno) in cui il professionista selezionatofile cessa di essere valido.

Valori possibili:

• Formato HH:MM (predefinito: 23:59)

L'orario di arresto HH:MM di solito dura fino a HH:MM:00. L'orario di arresto 00:00 è un'eccezione, poiché viene interpretato come 23:59:59.

Giorni feriali

Qui si seleziona il giorno della settimana in cui l'intervallo di tempo deve essere valido.

Valori possibili:

• Lunedì, Martedì, Mercoledì, Giovedì, Venerdì, Sabato, Domenica, Festivo

Le festività vengono impostate in Data e ora > Generale > Festività.

È possibile creare una programmazione temporale con lo stesso nome ma con orari diversi che si estendono su più righe:

Modulo BPjM

Il modulo BPjM è stato installato dalla Federal Reserve tedescaview Consiglio per i media dannosi per i minori (BPjM) e blocchi websiti che non dovrebbero essere accessibili a bambini e ragazzi. Questa funzionalità è particolarmente rilevante per scuole e istituti scolastici con studenti minorenni. I domini DNS con contenuti ufficialmente classificati come dannosi per i minori non sono accessibili al gruppo target interessato. Questo elenco è garantito per essere aggiornato automaticamente e ampliato regolarmente. Il modulo BPjM blocca i domini DNS elencati nell'elenco ufficiale websito del Federal Review Board for Media Harmful to Minors (BPjM) in Germania. Il blocco per categoria e le opzioni di override (consenti) non sono disponibili. Il modulo BPjM è disponibile come parte dell'opzione LANCOM Content Filter o separatamente tramite l'opzione software LANCOM BPjM Filter. I firewall IPv4 o IPv6 implementano questa funzionalità con una regola firewall predefinita che può essere attivata e configurata per ciascuna rete. Ad esempioampIn questo modo, è possibile dotare solo la rete degli studenti di questo filtro, escludendo però altre reti. Il firewall IPv6 presenta una nuova regola predefinita BPJM, disattivata di default con l'oggetto di sistema "BPJM" come stazione di destinazione. Una regola simile è disponibile nel firewall IPv4. Le reti da proteggere con il modulo BPjM sono specificate come stazioni sorgente.

Ulteriori impostazioni sono disponibili in LANconfig in Servizi vari > Servizi > Filtro BPjM.

Indirizzo di partenza

Indirizzo sorgente utilizzato dal modulo BPjM per accedere al server per gli aggiornamenti della firma BPjM.

Raccomandazioni per l'uso

Se si desidera utilizzare contemporaneamente filtri di contenuto e filtri BPJM, entrambe le regole devono essere configurate con priorità diverse, in modo che vengano eseguite una dopo l'altra. Analogamente, per la prima regola, è necessario assicurarsi che l'opzione "Osserva ulteriori regole, dopo che questa regola corrisponde" sia attivata.
In rari casi, il modulo BPJM potrebbe bloccare i domini desiderati perché solo i domini (DNS) e non URL I livelli di directory possono essere controllati tramite TLS. In questo caso, i domini desiderati possono essere aggiunti alla "BPJM Allow List", ad esempio *.example.comIl router LANCOM deve fungere da server DNS o DNS forwarder nella rete, ovvero i client nella rete locale devono utilizzare il router come server DNS. Inoltre, deve essere impedito l'uso diretto di DNS-over-TLS e DNS-over-HTTPS (eventualmente interno al browser) con server DNS esterni da parte dei client.

Ciò può essere ottenuto come segue:

• Il server DHCP deve distribuire l'indirizzo IP del router come server DNS (configurato di default da Internet Wizard).
• Impostare regole firewall che impediscano l'uso diretto di server DNS esterni, ad esempioample. bloccando la porta in uscita 53 (UDP) per i client dalla rete sorgente corrispondente.
• Impostazione di regole firewall che impediscano l'uso diretto di server DNS esterni che supportano DNS-over-TLS, ad esempio bloccando la porta in uscita 853 (TCP) per i client dalla rete di origine corrispondente.
• Disattivare DNS-over-HTTPS (DoH) nel browser.

Note sulla sincronizzazione del database DNS del firewall: poiché il firewall apprende le sue informazioni dalle richieste DNS dei client, in determinate situazioni il database DNS potrebbe non essere ancora completo. Questo può accadere nelle seguenti situazioni:

• È stata aggiunta una nuova regola firewall, ma il client ha ancora un record DNS memorizzato nella cache.
• Poco dopo il riavvio del router, il client ha ancora un record DNS memorizzato nella cache. In questi casi, può essere utile cancellare la cache DNS del client, riavviarlo o impostare il timeout del record DNS sul client.

Se nomi DNS diversi risolvono lo stesso indirizzo IP, non è possibile distinguerli. In questo caso, si applica sempre la prima regola che fa riferimento a uno di questi nomi DNS. Questo non dovrebbe rappresentare un problema per i grandi provider di servizi. Tuttavia, potrebbe verificarsi con i piccoli provider. websiti ospitati dallo stesso provider

Domande frequenti

• Cosa devo fare se il filtro dei contenuti profile deve essere modificato?
  • Se hai bisogno di modificare il filtro dei contenuti profile, assicurarsi di adattare di conseguenza la regola del firewall corrispondente per mantenere la corretta funzionalità.
• Come posso garantire un utilizzo efficace di LANCOM Security Essentials?
  • Per garantire un utilizzo efficace, ripetere regolarmenteview e aggiorna la categoria profilee impostazioni in base ai requisiti e alle politiche della tua organizzazione.

Documenti / Risorse

Elementi essenziali della sicurezza LCOS 10.92 di LANCOM Systems [pdf] Guida utente LCOS 10.92, LCOS 10.92 Elementi essenziali della sicurezza, LCOS 10.92, Elementi essenziali della sicurezza, Elementi essenziali

Riferimenti

• Manuale d'uso