Move to LANCOM Security Essentials Option Best Practices

[tstimper]

Hi,

das Thema LANCOM Security Essentials Option kam im LANupdate und im LANCOM Community Talk auf.

Die neue Option löst die Contentfilter Option ab. Der der alte Contentfilter checkte gegen die Datenbasis von IBM Xforce
IBM lässt diesen Service auslaufen.

Die Datenbasis für die neue LANCOM Security Essentials Option liefert Bitdefender.

Dabei ändern sich zumindest die Kategorien

Der BPJM Filter ist von der Änderung nicht betroffen.

Hintergrund siehe: https://www.lancom-systems.de/produkte/ ... als-option

Gestern spät Abends konnte ich noch folgendes verifizieren (Stand 02.07.2025)

- bestehende Contentfilter Optionen laufen noch bis zum Ende der Laufzeit
- neue Aktivierungen gehen nur noch mit der neuen Security Essentials Option
- Die neue Security Essentials Option erfordert mindestens LCOS 10.92

Folgender Handlungsbedarf besteht also je nach Eurer Situation:

1. Lernen, wie die alten Kategorien auf die neuen Kategorien gemappt werden
2. Bei auslaufenden Contentfilter Optionen auf Routern, die kein LCOS 10.92 bekommen können muss auf ein aktuelles Modell upgeradet werden
3. Bestandsrouter, für die der Contentfilter geplant ist und und die kein LCOS 10.92 bekommen können müssen ebefalls ersetzt werden und müssen die neue LANCOM Security Essentials Option nutzen.
4. Bei Routern mit aktiver Contentfilter Option, die auf LCOS 10.92 upgedatet werden, läuft dann die Security Essentials Option und die Kategorien müssen angepasst werden. Damit geht ein einfacher Wechsel zurück zur 10.90 und kleiner nicht.

Als Workarround kann man sich den Script Pfad jeweils sichern und dann wieder einspielen.

Unklar ist mir noch was mit gekauften und bisher nicht aktivierten Content Filter Optionen passiert.
Also konkret ab wann die Aktivierung der alten Optionen nicht mehr funktioniert und ob die z.b. vom Support getauscht werden.

Das versuche ich noch zu klären.

Auf jeden Fall würde mich interessieren, die denn die Unterschiede und Gemeinsamkeiten der Optionen sind und wie der Wechsel am besten durchgeführt wird.

Wenn ich mir die Seite der Kategorien ansehe bräuchte man eigentlich nur eine Mapping Tabelle und ein Transfer Script:

Also so was wie

- Script export Contentfilter
- Script anpassen auf Security Essentials
- (Update Router auf LCOS 10.92)
- Einspielen Security Essentials Script

Das könnte man programmieren, vielleicht hat ja der Supoort da auch was.

Meine Fragen wären:

- wen betrifft das und wer hat da Bedarf an einer automatischen Lösung und Test?
- wen würde eine Best Practises Session dazu interessieren?

Viele Grüße

ts

[DirkK]

Danke Thomas hierfür.

Kann bitte jemand mal erklären, wo der Unterschied zwischen dem Content-Filter und z.B. pihole oder Adguard (Home) liegt?

Danke VG Dirk

[tstimper]

Danke Thomas hierfür.

Kann bitte jemand mal erklären, wo der Unterschied zwischen dem Content-Filter und z.B. pihole oder Adguard (Home) liegt?

Danke VG Dirk

Hallo Dirk,

Als Unterschied sehe ich, das Du beim Kaufprodukten wie dem LANCOM Content Filter / LANCOM Security Essentials eine businessmäßig betriebene Secutity Database und Business Support hast.

Vielee Grüße

ts

[DanLo]

1. Lernen, wie die alten Kategorien auf die neuen Kategorien gemappt werden

Es ist nicht nur ein einfaches Mapping, der neue Anbieter kann in Einzelfällen Webseiten auch anders bewerten als es der alte getan hat, daran kann die LCOS-Firmware natürlich nichts ändern.

Ansonsten: Bestehende Kategorie-Profile werden von der Firmware beim Update auf die 10.92 automatisch übersetzt, soweit möglich (also wo Kategorien (fast) identisch geblieben sind oder mehrere Kategorien in eine neue zusammengefasst werden können) - aber ich würde dringend empfehlen, da einmal drüberzuschauen, sofern man die Default-Profile manuell geändert oder eigene Profile angelegt hatte.

[plumpsack]

..., der neue Anbieter kann in Einzelfällen Webseiten auch anders bewerten als es der alte getan hat, ...

Und ich dachte immer es geht um Zero Trust und nicht um "einzelne Webseiten" ...


Nicht lustig, wenn der Müll aus einem ganzen Sub-Netz kommt!
Da hilft das Sperren von Webseiten bestimmt ganz viel ...

[tstimper]

1. Lernen, wie die alten Kategorien auf die neuen Kategorien gemappt werden

Es ist nicht nur ein einfaches Mapping, der neue Anbieter kann in Einzelfällen Webseiten auch anders bewerten als es der alte getan hat, daran kann die LCOS-Firmware natürlich nichts ändern.

Ansonsten: Bestehende Kategorie-Profile werden von der Firmware beim Update auf die 10.92 automatisch übersetzt, soweit möglich (also wo Kategorien (fast) identisch geblieben sind oder mehrere Kategorien in eine neue zusammengefasst werden können) - aber ich würde dringend empfehlen, da einmal drüberzuschauen, sofern man die Default-Profile manuell geändert oder eigene Profile angelegt hatte.

Vielen Dank. Gib es die Übersetzungstabelle irgendwo zum Download damit man sich ein Bild machen kann was auf einen zukommt?

Viele Grüße

ts

[Frühstücksdirektor]

Hallo ts,

ja, diese Übersicht gibt es u.a. hier: https://knowledgebase.lancom-systems.de ... =234848378

Auch das LCOS 10.92 Addendum gibt da nötig Infos.

Viele Grüße,
Frühstücksdirektor

[tstimper]

Hallo ts,

ja, diese Übersicht gibt es u.a. hier: https://knowledgebase.lancom-systems.de ... =234848378

Auch das LCOS 10.92 Addendum gibt da nötig Infos.

Viele Grüße,
Frühstücksdirektor

Hallo Frühstücksdirektor,

Perfekt, vielen Dank

Viele Grüße

ts

[Jirka]

Hallo zusammen,

danke Thomas für die Zusammenstellung hier. Einziger Kritikpunkt meinerseits wäre, dass im Titel des Threads nicht der Begriff "Content Filter" steht, und wenn es dahinter in Klammern ist. Denn bis zum Community Talk letzte Woche wusste ich mit "Security Essentials Option" gar nichts anzufangen - ich hätte es für irgendeine uninteressante neue Funktionalität gehalten und gar nicht in Verbindung mit dem Content Filter gebracht. (Und von daher kann ich mir vorstellen, dass einige Content-Filter-Nutzer mit dem Thread-Titel hier vielleicht auch kein Zusammenhang sehen.)

Ich habe mir das Thema letzte Woche daraufhin angeschaut. Den hier verlinkten Knowledgebase-Artikel hatte ich daraufhin auch gefunden (War der nicht sogar in den Release-Notes angegeben, die Du (Thomas) selber gelesen hattest?). Ich hatte es allerdings noch nicht geschafft, Dir (Thomas), den Link zu schicken, weil ich noch zwei drei Sachen dazu schreiben wollte.

Grundsätzlich ist der Wechsel für mich schon schwerwiegend. Insbesondere, weil ich mich mit dem alten Content-Filter perfekt auskannte. Also mit dem gesamten Hintergrund, der öffentlich nicht dokumentiert ist. So habe ich Zugangsdaten bei IBM X-Force Exchange, kann da also nicht nur abfragen, welchen Kategorien URLs zugeordnet sind, sondern auch Anträge auf Änderung stellen. In der Regel wurde meinen Anträgen stattgegeben, dazu muss man natürlich auch einen Überblick über die Kategorien haben und die richtigen Auswahlen treffen. Ich konnte also unkompliziert und routiniert Änderungen vornehmen, so dass ein Problem durch eine Fehlklassifizierung sehr schnell aus der Welt war, ohne groß White-Listen zu pflegen. Gerade für dieses Hintergrund-Wissen würde mich jetzt interessieren, wie es da mit Bitdefender läuft. Wo kann ich URLs testen; einsehen, wann es da Änderungen in der Kategorisierung gab und vor allem Anträge auf Änderung stellen? Auf Anhieb habe ich da bei Bitdefender nichts gefunden. Bei IBM habe ich so hunderte Seiten ändern lassen, früher bekam man persönliche E-Mails aus Stuttgart, heute natürlich nur noch automatisierte Anworten.

Unterm Strich habe ich aber auch festgestellt, dass sich eigentlich kaum was ändert. Außer eben, dass es demnächst über Bitdefender läuft und dass sich damit einhergehend eben auch die Kategorien ändern. Ok, BPjM gibt es jetzt nicht mehr einzeln, was total sinnvoll ist, die 5-Jahres-Option war ja auch eine Katastrophe, da hat man keine Chance gegen die FRITZ!Box-Konkurrenten, die sich nicht scheuen, damit große Grundschulen auszustatten. Und die Anzahl der Benutzer entfällt auch. Aber davon abgesehen? Alter Wein in neuen Schläuchen... Als ich das neue PDF zur Security Essentials Option las, da merkte ich nach wenigen Zeilen, dass das der fast 15 Jahre alte Kram ist, nur mit neuer Überschrift. Alleine wie da die Override-Funktion beschrieben wird, dabei gibt es die wegen der weitverbreiteten HTTPS-Verschlüsselung de facto gar nicht mehr.

Ich habe auch mal einen Router auf die 10.92 geupdatet, mit der Content-Filter-Option passierte da nichts. Die Bezeichnung, Menüpunkte usw. alles unverändert.
Also bis auf die bereits beschriebenen Sachverhalte gibt es offenbar wenig Änderungen. Kritisch ist halt nur, dass viele verbreitete Geräte, die heute noch mit Content-Filter laufen (1781VA, 1906VA-4G, WLC-4006+, ...) demnächst dann nicht mehr funktionieren. Wann genau nicht mehr, steht ja offenbar auch noch nicht fest. Ab August kann ich mir eigentlich nicht vorstellen, das ist viel zu kurzfristig. Ich kenne jemanden flüchtig, der hat über 10 Stück 1781VA mit Content-Filter laufen und die Router stehen nicht alle an einem Standort, sondern sind schön verteilt, ich glaube sogar über Europa.

Viele Grüße
Jirka

[DanLo]

Code: Alles auswählen

Außer eben, dass es demnächst über Bitdefender läuft und dass sich damit einhergehend eben auch die Kategorien ändern.

Abgesehen von dem neuen Lizensioerungsmodell ist das technisch gesehen auch exakt das, was geändert wurde - und das wurde halt geändert, weil es wegen des Wegfall des bisherigen Rating-Anbieters notwendig war.

Eins noch zum Thema Override: Entweder mit der aktuellsten oder der nächsten Firmware sollte es möglich sein, eine HTTP-Verbindung (wenn der Server sie annimmt) zu öffnen und zu overriden, und der Override gilt dann auch für HTTPS-Verbindungen zu dem Server.

[Jirka]

Hallo,

Eins noch zum Thema Override: Entweder mit der aktuellsten oder der nächsten Firmware sollte es möglich sein, eine HTTP-Verbindung (wenn der Server sie annimmt) zu öffnen und zu overriden, und der Override gilt dann auch für HTTPS-Verbindungen zu dem Server.

ok. Der Einschub "wenn der Server sie annimmt" ist nicht zu verachten. Als Workaround habe ich seit Jahren, eigentlich schon seit mindestens 10 Jahren, den Override immer für die ganze Kategorie, alles andere ist praxisfern. So geht man auf eine ähnliche Seite, drückt dort Override, und dann ist die Kategorie für 10 Minuten frei (die Dauer müsste einstellbar sein, den Wert habe ich seit Jahren nicht verändert). Aber selbst das funktioniert beschwerlich. Erstens muss man einen passenden Link zur Hand haben (in der Regel über Favoriten/Lesezeichen) und zweitens sind die Browser auch so dreist mittlerweile aus dem explizit eingegebenen http wieder ein https zu machen, erst recht, wenn sie mitbekommen haben, dass die Seite auch https kann. Dann geht also z. B. eine zweite Freischaltung unmittelbar dahinter mit der gleichen URL nicht mehr, das ist alles sehr nervig.
Und wenn man keinen Link zur Hand hat und einfach versucht, aus dem https ein http zu machen, dann kann es leider auch sein, dass man den Override-Button überhaupt nicht findet. Riesen Bildschirm (ich rede also nicht vom Handy oder so), der ganze Bildschirm ein unendlich langer Link oder URL, über zig Zeilen auf dem Bildschirm, und das Ganze so lang, dass der Override-Button nicht mehr angezeigt wird, der ist schlicht nicht mehr da, weil die URL, die im Fließtext vor dem Override-Button steht, Überlänge hat. Da kann man dann machen was man will, an der Stelle geht es gar nicht weiter. Der Override-Button müsste nach oben oder die URL in der Länge begrenzt werden.
Und dann gibt es noch einen anderen Fall. Da geht halt irgendein Element der Webseite nicht, was in eine gesperrte Kategorie fällt. Da muss man dann vermuten, welche das sein könnte (oder in den Trace schauen, was ein normaler User ja nicht kann), und dann die Kategorie manuell, also mit oben beschriebener Methode (passender http-Link) freischalten. Deswegen wäre eine Content-Filter-Testseite, so wie es sie früher mal gab, eine echte Erleichterung. Alle Kategorien schön sauber und übersichtlich angeordnet, am besten ist die Seite nur per http und nicht per https erreichbar. Dann klickt man die Kategorie an und sieht, ob erlaubt (Webseite wird grün mit Kategorienname angezeigt) oder nicht (nicht = Override-Button). Fertig. Ich wollte so eine Testseite immer mal bauen, nur fehlte mir die Zeit, vermutlich ist es bei LANCOM ähnlich. Jetzt mit Bitdefender könnte ich es auch nicht mehr. Bei IBM war ich dazu ja noch in der Lage...

Viele Grüße
Jirka