BPjM Filter Konfig

Fragen zur LANCOM Software-Optionen: Freischaltung, Aktivierung ...

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
REPTILE
Beiträge: 687
Registriert: 30 Jan 2005, 17:31

Re: BPjM Filter Konfig

Beitrag von REPTILE »

Also mittlerweile hat sich was getan, kann es sein das der etwas braucht bis die Liste geladen ist?

Bei youporn/xhamster kommt "Verbindung fehlgeschlagen" soll das so, oder soll da eine "Sperrseite" wie beim Contentfilter kommen?

Aber sex.de geht noch, was natürlich nicht so sinnvoll ist, vorallem da es keine eigene "Blacklist" gibt.
Das macht das ganze leider dann unbrauchbar, weil ich bin mir sicher das die Schule dann kommt und sagt, das muss aber gesperrt sein.
Vorallem wenn es eine Grundschule ist.
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: BPjM Filter Konfig

Beitrag von LoUiS »

Ja, es dauert etwas, bis die Hash Liste geladen ist.
Nein, es kommt keine Sperrseite, nur der uebliche Fehler, wenn eine Seite im Browser nicht erreichbar ist.
Wenn "sex.de" jetzt auch nicht geblockt wird, ist es halt wirklich nicht in der BPjM Liste enthalten.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Frühstücksdirektor
Beiträge: 70
Registriert: 08 Jul 2022, 12:53
Wohnort: Aachen

Re: BPjM Filter Konfig

Beitrag von Frühstücksdirektor »

Du kannst doch eine eigene Blacklist (Deny-List) mit DNS-Namen anlegen, genau wie für die White-List (Allow-List). Man kann ja eigene DNS-Namen anlegen wie *.example.com etc. Das ganze ergänzt dann die BPJM-Liste.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: BPjM Filter Konfig

Beitrag von Dr.Einstein »

REPTILE hat geschrieben: 01 Aug 2022, 16:16 sex.de geht noch, was natürlich nicht so sinnvoll ist,...
Sex.de war schon beim Content Filter nicht als Pornografie eingestuft und deswegen eine schlechte Testseite zur Prüfung der Funktion. Ich vermute, dass die Seite einfach als Erotik zählt, da hier keine wirklichen Pornos gezeigt werden. Es komm auch nicht die Meldung "sind sie 18 Jahre oder älter?", was ein guter Indikator ist.

https://www.it-recht-kanzlei.de/jugends ... aphie.html
Benutzeravatar
REPTILE
Beiträge: 687
Registriert: 30 Jan 2005, 17:31

Re: BPjM Filter Konfig

Beitrag von REPTILE »

Dr.Einstein hat geschrieben: 02 Aug 2022, 08:11
REPTILE hat geschrieben: 01 Aug 2022, 16:16 sex.de geht noch, was natürlich nicht so sinnvoll ist,...
Sex.de war schon beim Content Filter nicht als Pornografie eingestuft und deswegen eine schlechte Testseite zur Prüfung der Funktion. Ich vermute, dass die Seite einfach als Erotik zählt, da hier keine wirklichen Pornos gezeigt werden. Es komm auch nicht die Meldung "sind sie 18 Jahre oder älter?", was ein guter Indikator ist.

https://www.it-recht-kanzlei.de/jugends ... aphie.html
Das mag schon sein, nur kann man dann schlecht den Kunden sagen "..ist laut definition keine Pornografie...". Wenn der Kunde meint das muss gesperrt sein, dann ist es so, egal was das Internet dazu sagt :D

Naja mal sehen ob das ganze einsetzbar ist :D
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: BPjM Filter Konfig

Beitrag von Dr.Einstein »

Keine Frage, sehe ich ja genau so. Ich wollte dir nur eine mögliche Erklärung liefern, weshalb das nicht automatisch blockiert ist.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: BPjM Filter Konfig

Beitrag von Jirka »

Kann mir bitte noch mal jemand sagen, wie der BPjM-Filter jetzt genau funktioniert? Also technisch?

Ich habe hier eine Anfrage eines Kunden und habe selber bisher kaum Ahnung von dem BPjM-Filter. Die grundsätzlichen Sachen sind mir klar, aber was im Detail passiert nicht.
5624 hat geschrieben: 08 Aug 2022, 20:33 Um die BPjM-Liste zu nutzen, muss ... die URL (es ist ein URL-Filter und nicht IP- oder DNS-basiert), nach Vorgaben bearbeitet und gehashed werden, anschließend der Abgleich mit der Liste.
Anders gehts nicht.
Kann das jemand bestätigen? Wird hier - technisch identisch wie beim Content-Filter - alles über einen Proxy geschickt, um die URL zu bestimmen und wird dann statt gegen die CF-Bewertungs-Server gegen eine eigene BPjM-Liste (die, wie in diesem Thread ja zu lesen, zuvor irgendwo runtergeladen wird) abgeglichen?

Oder ist es ein DNS-Filter? Das dachte ich eigentlich bisher. Und der Abschnitt Einsatzempfehlungen im Handbuch zum BPjM-Modul beschreibt dies auch so.

Hat die Layer-7-Anwendungserkennung damit irgendwas zu tun? Ich denke nicht.

P. S.: Das Zitat von 5624 ist aus einem anderen Thread, dort wollte ich die Diskussion aber nicht weiter führen, weil mir dieser Thread hier inhaltlich passender erschien.
Benutzeravatar
REPTILE
Beiträge: 687
Registriert: 30 Jan 2005, 17:31

Re: BPjM Filter Konfig

Beitrag von REPTILE »

Das geht per ip sperrliste, also nicht per dns.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: BPjM Filter Konfig

Beitrag von tstimper »

Mit dem BPjM habe ich mich noch garnicht beschäftigt. Was für ein dummes System, höchstens geeignet,
den notwendigen Punkt in einer Ausschreibung abzuhaken. Das setzt doch bestimmt niemand ernsthaft ein oder?

Wobei, die BPjM heißt ja jetzt BzKJ, also Planer und PMs, aufpassen bei den Ausscheibungstexten und Modulbezeichnungen :)

Eine Alternative zum Content-Filter ist das auf keinen Fall, es fehlen ja die Categorien, die Profile usw.

Der Content-Filter checkt gegen IBM x-force, das ist ein ernsthaftes Security Framework.
Diese md5 verhashte BPjM URL Liste ist doch ein Witz, wer denkt sich sowas aus.....

Wer das wirklich dem Kunden liefert, darf hinterher auf eigene Kosten was Ernsthaftes dazustellen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: BPjM Filter Konfig

Beitrag von 5624 »

höchstens geeignet, den notwendigen Punkt in einer Ausschreibung abzuhaken
Mehr ist es nicht. Der Index ist der Dreh- und Angelpunkt im deutschen öffentlichen Bereich. Also muss gegen den Index geprüft werden, weil nur der hat Recht.
Sämtliche privatwirtschaftlichen Anbieter von Kategoriefiltern haben bessere und vollständigere Listen sowie meist auch die Logik, diese in Beinahe-Echtzeit zu verbessern, aber es ist halt nicht der Index.

Am Ende ist es für jeden Händler und jedes Systemhaus doch eine sehr willkommene Lösung, um sehr kostengünstig die Ausschreibungen von öffentlichen Trägern zu erfüllen, mit dem Benefit, dass es für den Verwalter wartungsfrei ist.

Wie sinnvoll der Index ist, ist irrelevant, wie vieles andere, was in DE reguliert wird. Kopf aus und durch, anders wird man nur kirre.
LCS NC/WLAN
gzata
Beiträge: 43
Registriert: 26 Dez 2014, 18:09

Re: BPjM Filter Konfig

Beitrag von gzata »

Hallo und guten Abend,

weiß jemand, ob Lancom die ja nicht kostenfreie LANCOM BPjM Filter Option wieder fest mit dem Gerät "verbunden" hat?

oder ob sie auf dem einsetzenden Gerät wieder deaktiviert und auf einem anderen Gerät wieder aktiviert werden kann.

Diese harten Restriktionen sind ja leider bspw. auch bei der WLC-Option und anderen Lancom Optionen vorhanden

und so befürchte ich fast, dass ....

Grüsse
1781VA, WLC-Option, All-IP-Option, PublicSpot-Option
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: BPjM Filter Konfig

Beitrag von Jirka »

Also ich habe mir gestern noch die Links von 5624 sehr ausgiebig angeschaut und auch vieles davon gelesen. Den Kern meiner Frage beantwortet das zwar nicht, aber es ist rauszulesen, dass geschätzt 98 % reine Domainnamen in der Liste stehen (also z. B. www.xyz.de) und vielleicht 2 % URLs (xyz/abc.html), die vermutlich aufgrund eines Fehlers ohne Domainnamen aufgelistet wurden. Aber ich konnte nach den URLs googeln und habe dann teilweise die Domain dazu gefunden. Teilweise existierte auch nur noch der Google-Eintrag, aber ist auch egal, die Daten sind ja auch alt. Es scheint also Fälle zu geben, wo nur gewisse URLs gesperrt wurden und nicht gleich die ganze Domain, das spricht also dafür, was 5624 schreibt, dass wir es hier mit einem URL-Filter zu tun haben, also im Prinzip eben genauso wie beim Content-Filter. Weil wenn es ein DNS-Filter wäre, dann könnte man ja nicht einzelne URLs sperren, sondern hätte dann eben immer die ganze Domain gleich weg. So findet man z. B. auch Links zu "Platten-Läden", wo mal Exemplare gelistet wurden, die wohl nicht so geeignet waren. Aber deswegen war wohl nicht gleich der ganze Platten-Laden gesperrt. Dagegen spricht aber, dass LANCOM immer von einem DNS-Filter spricht:
Damit sind DNS-Domains, deren Inhalte offiziell als jugendgefährdend eingestuft werden, für die entsprechende Zielgruppe in Deutschland nicht erreichbar.
oder
Das BPJM-Modul sperrt DNS-Domains die auf der offiziellen Webseiten-Liste der Bundesprüfstelle für jugendgefährdende Medien (BPjM) stehen.
oder
In seltenen Fällen kann es dazu kommen, dass das BPJM-Modul gewünschte Domains blockiert, da nur (DNS-)Domains und keine URL-Verzeichnisebenen aufgrund von TLS geprüft werden können. In diesem Fall können diese gewünschten Domains in der "BPJM-Allow-Liste" hinzugefügt werden, z. B. *.example.com.
oder
Der LANCOM Router muss als DNS-Server bzw. DNS-Forwarder im Netz dienen, d. h. Clients im lokalen Netzwerk müssen den Router als DNS-Server verwenden. Zusätzlich muss die direkte Nutzung von DNS-over-TLS und DNS-over-HTTPS (ggf. browserintern) mit externen DNS-Servern durch Clients verhindert werden.
Fazit für mich: Entweder enthält die BPjM-Liste inzwischen nur noch Domains oder man hat (bei LANCOM; z. B. aus Performance-Gründen) die restlichen 2 % verallgemeinert und sperrt gleich die ganze Domain. (So ist es oben ja auch beschrieben! (In seltenen Fällen ... ; 2 % ist ja selten)) Also haben wir technisch gesehen doch einen DNS-Domain-Filter. Und damit aber auch keinen Proxy wie beim Content-Filter. Der Content-Filter geht also tiefer und prüft die gesamte URL. Und dass der Content-Filter sowieso besser ist, darüber bin ich der gleichen Meinung wie 5624. Allerdings muss ich aus eigener Erfahrung (Kolping Bildungswerke) sagen (inzwischen nehmen die Sophos), dass ein Content-Filter auch ein hoher administrativer Aufwand ist und dass durch die Entwicklung der letzten 10 Jahre (fast alle Webseiten inzwischen verschlüsselt) der Override-Button an Funktionalität verloren hat oder nur noch (gezielt) eingesetzt werden kann durch expliziten Aufruf gewisser Webseiten, um damit die Kategorie grundsätzlich vorübergehend freizuschalten. Dass aber jemandem beizubringen und ihn dann noch vermuten zu lassen, welche Kategorie denn jetzt gesperrt sein könnte, das ist schon kaum noch vermittelbar.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: BPjM Filter Konfig

Beitrag von Jirka »

gzata hat geschrieben: 10 Mär 2023, 23:08 weiß jemand, ob Lancom die ja nicht kostenfreie LANCOM BPjM Filter Option wieder fest mit dem Gerät "verbunden" hat?
Kostenfrei ist sie offenbar für Geräte die schon den Content-Filter haben, da bietet sie aber auch kaum einen Mehrwert, wie in meinem Fazit und natürlich auch von 5624 zu lesen. Für alle anderen Geräte ist es eine Option wie jede andere auch. Und demzufolge gelten auch die gleichen Regeln. Wie LANCOM allerdings eine 5-Jahres-Option verkaufen kann und ein Gerät solange ggf. nicht mal mehr Sicherheitsupdates bekommt, das musst Du LANCOM fragen, das geht eigentlich tatsächlich nicht. (Beispiel: 883 VoIP, vor einem Monat neu gekauft, 5-Jahres-Lizenz BPjM dazu, also bis 2028, Sicherheitsupdates aber nur noch bis 2026. Wer weiß, ob nach 2026 überhaupt noch die BPjM-Liste geladen wird, vielleicht ist dann schon der Server ganz woanders oder es wird eine andere Verschlüsselung verwendet. Das funktioniert alles nicht. Noch ein Grund mehr, den BPjM-Filter mit einer FRITZ!Box zu machen, kostet nur die FRITZ!Box und funktioniert genauso (schlecht).)
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: BPjM Filter Konfig

Beitrag von tstimper »

Jirka hat geschrieben: 11 Mär 2023, 17:32
gzata hat geschrieben: 10 Mär 2023, 23:08 weiß jemand, ob Lancom die ja nicht kostenfreie LANCOM BPjM Filter Option wieder fest mit dem Gerät "verbunden" hat?
Wie LANCOM allerdings eine 5-Jahres-Option verkaufen kann und ein Gerät solange ggf. nicht mal mehr Sicherheitsupdates bekommt, das musst Du LANCOM fragen, das geht eigentlich tatsächlich nicht. (Beispiel: 883 VoIP, vor einem Monat neu gekauft, 5-Jahres-Lizenz BPjM dazu, also bis 2028, Sicherheitsupdates aber nur noch bis 2026. Wer weiß, ob nach 2026 überhaupt noch die BPjM-Liste geladen wird, vielleicht ist dann schon der Server ganz woanders oder es wird eine andere Verschlüsselung verwendet. Das funktioniert alles nicht. Noch ein Grund mehr, den BPjM-Filter mit einer FRITZ!Box zu machen, kostet nur die FRITZ!Box und funktioniert genauso (schlecht).)
Lustigerweise gibt es eine 10 Jahre LMC Option für Router, da kann er noch verwaltet werden, wenn er schon längst im Wertstoff Hof gelandet ist wegen fehlender Updates.

Ich hab langsam das Gefühl, langfristig denkt bei LANCOM kaum noch jemand.
Und Logik und Konsistenz Check für angebotene Geräte und Optionen scheint auch zu fehlen.

Das ist einfach nur ärgerlich....


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten