Testsuite für Content-Filter bzw. BPjM-Modul

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von CyberT »

Hallo zusammen,

bezugnehmend auf die aktuellen Threads Content-Filtering- und Anti-Spam-Services der Unified Firewalls und BPjM Filter Konfig stehe ich derzeit vor der Aufgabe zu überprüfen, ob und in welchen (WLAN-)Netzwerken vor Ort ein Content-Filter oder BPjM-Modul aktiv ist oder nicht. Im 2. Schritt möchte man dann noch wissen, in welchem Umfang eine Filterung erfolgt, also eine Beurteilung des Schutzniveaus. - Hintergrund ist der, dass niemand mehr vor Ort ist, der hierzu die Details kennt.

Wie würdet Ihr hierbei vorgehen bzw. wie geht ihr hierbei vor? Ich meine, man kann sich natürlich vor Ort gemeinsam hinsetzen und manuell systematisch alle Porno-Websites und sonstigen (rechtswidrigen) Webseiten eingeben, aber das finde ich nicht wirklich elegant. Ich dachte da eher an so etwas wie eine Testsuite, z. B. in Form einer Webseite, die beim Aufruf die Prüfung automatisch durchführt und dann ein Ergebnis ausgibt, das idealerweise entsprechend abgestuft ist, also das vorliegende Schutzniveau einer Kategorie zuordnet, wie z.B.:
1. Kategorien mit hoher Priorität (Inhalte für Erwachsene, Illegale Drogen, etc.)
2. Kategorien mit mittlerer Priorität (Werbung, Popups, Chat, Instant Messaging, Peer-to-Peer, etc.)
3. Kategorien mit niedriger Priorität (Suchmaschinen, Portale, Webanwedungen, etc.)

Ich habe da zwar schon etwas in diese Richtung gefunden, war mit der Zuverlässigkeit und dem Detailgrad aber nicht ganz zufrieden.

Vielen Dank vorab.
Gruß.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von tstimper »

CyberT hat geschrieben: 27 Mär 2023, 21:38 Hallo zusammen,

bezugnehmend auf die aktuellen Threads Content-Filtering- und Anti-Spam-Services der Unified Firewalls und BPjM Filter Konfig stehe ich derzeit vor der Aufgabe zu überprüfen, ob und in welchen (WLAN-)Netzwerken vor Ort ein Content-Filter oder BPjM-Modul aktiv ist oder nicht. Im 2. Schritt möchte man dann noch wissen, in welchem Umfang eine Filterung erfolgt, also eine Beurteilung des Schutzniveaus. - Hintergrund ist der, dass niemand mehr vor Ort ist, der hierzu die Details kennt.

Wie würdet Ihr hierbei vorgehen bzw. wie geht ihr hierbei vor? Ich meine, man kann sich natürlich vor Ort gemeinsam hinsetzen und manuell systematisch alle Porno-Websites und sonstigen (rechtswidrigen) Webseiten eingeben, aber das finde ich nicht wirklich elegant. Ich dachte da eher an so etwas wie eine Testsuite, z. B. in Form einer Webseite, die beim Aufruf die Prüfung automatisch durchführt und dann ein Ergebnis ausgibt, das idealerweise entsprechend abgestuft ist, also das vorliegende Schutzniveau einer Kategorie zuordnet, wie z.B.:
1. Kategorien mit hoher Priorität (Inhalte für Erwachsene, Illegale Drogen, etc.)
2. Kategorien mit mittlerer Priorität (Werbung, Popups, Chat, Instant Messaging, Peer-to-Peer, etc.)
3. Kategorien mit niedriger Priorität (Suchmaschinen, Portale, Webanwedungen, etc.)

Ich habe da zwar schon etwas in diese Richtung gefunden, war mit der Zuverlässigkeit und dem Detailgrad aber nicht ganz zufrieden.

Vielen Dank vorab.
Gruß.
Hallo CyberT,

hier siehe ich drei unterschiedliche Aufgaben:

1. Erfassung der Ist Config

Bezüglich der LCOS ist Konfiguration kannst Du z.b. alle Router Configs als Script einsammeln und den Content Filter und BPJM Baum aus dem Script selektieren.

Dann weißt Du erstmal, was eingeschaltet ist und wie es konfiguriert ist

Das kannst Du z.B. mit Lanconfig oder per CLI oder WEBConfig machen.
Auch unser ------ macht das Massen Einsammeln der LCOS Configs (LCS, LCF, Zertifikate, HTML Seiten),
dann ist erstmal der Ist Zustand auditiert gespeichert.

Dann erfolgt das Auswerten der Scripte ...

2. Festlegen der Soll Config
Je nach den Möglichkeiten des Content Filters und des BPJM Modules legst Du die Soll Config fest.

3. Setzen der Soll Config
Per Script über Lanconfig, CLI, Webkonfig oder z.b über unser ------ auditert per Script.

4. Testen der Content Filter bzw. des BPJM Moduls.

Das ist die eigentliche Schwierigkeit und das ist eigentlich garnicht machbar, da ja der Zugriff auf ggf gefährliche und rechtlich problematische Inhalte
getestet werden muss.

Da müssen wir uns auf die Güte der Listen der Anbieter verlassen.
Der LCOS Content Filkter nutzt IBM xforce, die sind wirklich gut.
Das BPJM Modul (Jugendschutz Filter) nutzt eine in Deutschland staatlich verordnete Liste.
Die eignet sich dazu, den in Deutschland z.B. dem Jugendschutz rechlich zu genügen.

Bzgl. des Tests würde ich mir beim Content Filter je Kategorie ein / zwei Webseiten suchen und damit den Block testen.
Das sind nicht viele Categorien, da findet man schnell was...
content-filter categories.png
Aber wie gesagt, der Zugriff kann sicherheitstechnisch und rechtlich problematisch sein.

Viele Grüße

ts
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von backslash »

Hi tsimper,
Das BPJM Modul (Jugendschutz Filter) nutzt eine in Deutschland staatlich verordnete Liste.
Die eignet sich dazu, den in Deutschland z.B. dem Jugendschutz rechlich zu genügen.
Das Problem ist, daß die Liste nicht getestet werden kann, weil niemand weiss, was darauf steht... Und selbst, wenn man die Datei in die Hand bekommt: Sie enthält nur Hashes vom Domains und Seiten
Hinzu kommt, daß die Liste ein massives Overblockling macht, seit alle Seiten nur noch als HTTPS ausgeliefert werden. Denn bei HTTPS kann man nur noch die komplette Domain als Ganzes blocken und nicht mehr einzelne Seiten. Versuch mal mit aktivem BPJM-Filter eine Seite bei Facebook aufzurufen...

Der BPJM-Filter kann sinnvoll eigentlich nur noch als Plugin im Browser laufen... (oder auf einem Proxy, der HTTPS-Verbindungen aufbricht)...

Gruß
Backslash
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von tstimper »

backslash hat geschrieben: 28 Mär 2023, 11:01 Hi tsimper,
Das BPJM Modul (Jugendschutz Filter) nutzt eine in Deutschland staatlich verordnete Liste.
Die eignet sich dazu, den in Deutschland z.B. dem Jugendschutz rechlich zu genügen.
Das Problem ist, daß die Liste nicht getestet werden kann, weil niemand weiss, was darauf steht... Und selbst, wenn man die Datei in die Hand bekommt: Sie enthält nur Hashes vom Domains und Seiten
Hinzu kommt, daß die Liste ein massives Overblockling macht, seit alle Seiten nur noch als HTTPS ausgeliefert werden. Denn bei HTTPS kann man nur noch die komplette Domain als Ganzes blocken und nicht mehr einzelne Seiten. Versuch mal mit aktivem BPJM-Filter eine Seite bei Facebook aufzurufen...

Der BPJM-Filter kann sinnvoll eigentlich nur noch als Plugin im Browser laufen... (oder auf einem Proxy, der HTTPS-Verbindungen aufbricht)...

Gruß
Backslash
Hi Backslash,

Du hast die (Un-) Nützlichkeit des BPJM Moduls schön beschrieben...
Vielen Dank.

Nachtrag weil so schön ist:

Hacker wollte "Lächerlichkeit der BPjM-Sperrliste" aufzeigen

https://www.golem.de/news/internetfilte ... 07800.html

Zum Ausschreibungen gewinnen reichts...
Netze absichern muss man anders, da ist der Content Filter im LCOS, der mit IBM xforce als Backend arbeitet, um Welten besser.
Oder man nimmt gleich eine UF mit einer Firmware ab 10.11 (sobald sie released ist)

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von CyberT »

Hallo zusammen,

vielen Dank für Eure umfangreichen Ausführungen.

tstimper hat geschrieben: 28 Mär 2023, 08:47 Hier siehe ich drei unterschiedliche Aufgaben:
1. Erfassung der Ist Config
2. Festlegen der Soll Config
3. Setzen der Soll Config
Also diese 3 Aufgaben sind derzeit ausdrücklich nicht vorgesehen (u.a. deshalb nicht, da ich die Passwörter nicht vorliegen habe).

tstimper hat geschrieben: 28 Mär 2023, 08:474. Testen der Content Filter bzw. des BPJM Moduls.
Genau, nur das ist erstmal die Aufgabe, u.a. auch um herausbekommen, ob derzeit ein richtiger Content-Filter konfiguriert ist oder nur ein Filter auf Basis des BPjM-Modul (oder ggfs. sogar überhaupt keine Filterung stattfindet). Der Ist-Zustand ist total unklar, und vor Ort ist derzeit niemand, der in der Lage wäre, das systematisch zu prüfen. Daher soll ich das übernehmen, da man hier sichergehen möchte (bzw. sogar muss).

tstimper hat geschrieben: 28 Mär 2023, 08:47Das ist die eigentliche Schwierigkeit
Genau, daher auch der Thread hier im Forum.

tstimper hat geschrieben: 28 Mär 2023, 08:47Bzgl. des Tests würde ich mir beim Content Filter je Kategorie ein / zwei Webseiten suchen und damit den Block testen.
Und genau das wollte ich eben nicht (manuell) machen. So einen Vorgang finde ich schwierig, wenn der Kunde direkt daneben sitzt. Und hierbei störe ich mich gar nicht so sehr an den rechtlichen Aspekten, sondern vielmehr daran, dass man gemeinsam mit dem Kunden Porno-Websites aufruft, die dann ggfs. sogar angezeigt werden. Das finde ich unprofessionell.

Ich habe zum Thema Testsuite auch schon etwas gefunden, ähnlich zum Anti-Virus-/Anti-Malware-Testen mit dem EICAR Anti Malware Testfile, und zwar die Website Test Your Internet Filter, die mir mit der Angabe von "Other - Other" beim Filtering Provider in Sachen Zuverlässigkeit, dem Umfang und dem Detailgrad aber nicht ganz die gewünschten Ergebnisse liefert.

Gibt es eventuell weitere Ideen in diese Richtung?

Nochmals vielen Dank.
Gruß.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von tstimper »

CyberT hat geschrieben: 28 Mär 2023, 16:21 Hallo zusammen,

vielen Dank für Eure umfangreichen Ausführungen.

tstimper hat geschrieben: 28 Mär 2023, 08:47 Hier siehe ich drei unterschiedliche Aufgaben:
1. Erfassung der Ist Config
2. Festlegen der Soll Config
3. Setzen der Soll Config
Also diese 3 Aufgaben sind derzeit ausdrücklich nicht vorgesehen (u.a. deshalb nicht, da ich die Passwörter nicht vorliegen habe).
Wenn Du gespeicherte Konfig Files hast, findest Du in denen zumindest in den älteren Versionen die Root Passwörter.
Die gespeicherten Configs finden sich meist da, wo Lanconfig istalliert ist. Standardmäßig macht Lanconfig Backups.

Falls es Dich künftig interessiert, genau wegen solcher Situationen haben wir 2020 angefangen, unser Password und Config Management Tool ------
für LCOS und mittlerweile auch für LX, SX, HP und Aruba zu entwickeln.

Auditiertes Backup von Configs, Zertifikaten, Files (und vieles mehr...)

Wenn Du die Configs hast, brauchst Du nur mal Quertesten.
Und Du kanns immer nachweisen, wie die Config zum Zeitpunkt X aussah.

Egal wie, regelmäßige Config Backups als LCF UND als LCS Script sind essenziell.

Hab grad mit dem LCOS Content Filter getestet

Das Eicar Antimalware Test File wird nicht geblockt, LCOS mach ja keinen AV Scan

Der Internet Filter Test, den Du verlink hast, ist gut, der zeigt, wie gut der Content Filter eingestellt ist :-)
Vielen Dank für den Link :-)

Genial zum Feintunen, allerdings brauchst Du dann die Router Passwörter um was einstellen zu können.


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von CyberT »

Hallo Thomas,

vielen Dank für Deinen Input.

tstimper hat geschrieben: 28 Mär 2023, 16:49Wenn Du gespeicherte Konfig Files hast,
Die habe ich nicht und die bekomme ich auch nicht.
Ich habe diese Netzwerk-Umgebung weder konzipiert, noch realisiert, noch soll ich das zukünftig tun.
Nochmal, ich soll als Externer nur den Ist-Zustand dokumentieren, mehr nicht. Danach ist mein Job erstmal erledigt.

tstimper hat geschrieben: 28 Mär 2023, 16:49Das Eicar Antimalware Test File wird nicht geblockt, LCOS mach ja keinen AV Scan
Ich weiß. Darum ging es mir aber auch nicht in meinen Ausführungen.

tstimper hat geschrieben: 28 Mär 2023, 16:49Der Internet Filter Test, den Du verlink hast, ist gut, der zeigt, wie gut der Content Filter eingestellt ist :-)
Na ja, in meiner Umgebung im Home-Office (an einem Vodafone Business Kabelanschluss) ist ein LANCOM 1790EF ohne jegliche Filter-Systeme konfiguriert und dort zeigt mir der Internet Filter Test folgendes an (was so definitiv nicht richtig ist):
Adult Content -> Blocked
It appears that your filtering solution includes blocking for online pornography

-> Das meinte ich mit "zuverlässig". Denn wenn ich vor Ort bin und die Gegenprobe in einem Netz ohne Filterung mache, und dort wird ein Filter gemeldet, obwohl da keiner ist, dann wird man sofort anzweifeln, dass die Angaben zum Filterumfang des eigentlich zu schützenden Netzes korrekt sind.

tstimper hat geschrieben: 28 Mär 2023, 16:49Genial zum Feintunen, allerdings brauchst Du dann die Router Passwörter um was einstellen zu können.
Wie gesagt, das ist nicht die gestellte Aufgabe.


Gibt es eventuell weitere Ideen rund um verfügbare/nutzbare Testsuites für Content-Filter (gerne auch kostenpflichtige Angebote)?

Nochmals vielen Dank.
Gruß.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von tstimper »

CyberT hat geschrieben: 28 Mär 2023, 17:54
tstimper hat geschrieben: 28 Mär 2023, 16:49Wenn Du gespeicherte Konfig Files hast,
Die habe ich nicht und die bekomme ich auch nicht.
Ich habe diese Netzwerk-Umgebung weder konzipiert, noch realisiert, noch soll ich das zukünftig tun.
Nochmal, ich soll als Externer nur den Ist-Zustand dokumentieren, mehr nicht. Danach ist mein Job erstmal erledigt.
Wenn ich das richtig verstehe ist Aufgabe ist letzlich nicht sinnvoll erfüllbar ohne Zugriff auf die Technik.
Der einzige IST Zustand, den Du dokumentieren kannst, ist die konkrete und korrekte Konfiguration der Router.
Das ist das Einzige, das der Kunde / Dienstleister beeinflussen kann.
Alles andere ist abhängig von externen Diensten, dynamisch und ändert sich ggf sekündlich.
Hier kann nur ein Kurztest helfen, wie die Testsuite, Die Du gefunden hast.
CyberT hat geschrieben: 28 Mär 2023, 17:54
tstimper hat geschrieben: 28 Mär 2023, 16:49Der Internet Filter Test, den Du verlink hast, ist gut, der zeigt, wie gut der Content Filter eingestellt ist :-)
Na ja, in meiner Umgebung im Home-Office (an einem Vodafone Business Kabelanschluss) ist ein LANCOM 1790EF ohne jegliche Filter-Systeme konfiguriert und dort zeigt mir der Internet Filter Test folgendes an (was so definitiv nicht richtig ist):
Adult Content -> Blocked
It appears that your filtering solution includes blocking for online pornography

-> Das meinte ich mit "zuverlässig". Denn wenn ich vor Ort bin und die Gegenprobe in einem Netz ohne Filterung mache, und dort wird ein Filter gemeldet, obwohl da keiner ist, dann wird man sofort anzweifeln, dass die Angaben zum Filterumfang des eigentlich zu schützenden Netzes korrekt sind.
Hier wird wohl der Provider, also Vodafone am Kabelanschluss blocken.
Eine solche Blockmeldung kann nicht von einem LCOS Router kommen, wenn der keinen Content-Filter oder kein BPJM Modul hat.
CyberT hat geschrieben: 28 Mär 2023, 17:54
tstimper hat geschrieben: 28 Mär 2023, 16:49Genial zum Feintunen, allerdings brauchst Du dann die Router Passwörter um was einstellen zu können.
Wie gesagt, das ist nicht die gestellte Aufgabe.
Meiner Meinung nach kannst Du die gestellte Aufgabe ohne Zugriff auf die Technik und das Wissen um die Konfiguration des internet Anschlusses zumindest nicht wirklich aussagekräftig erfüllen.

CyberT hat geschrieben: 28 Mär 2023, 17:54 Gibt es eventuell weitere Ideen rund um verfügbare/nutzbare Testsuites für Content-Filter (gerne auch kostenpflichtige Angebote)?

Nochmals vielen Dank.
Gruß.
Nehmen wir an, wir würden wir so eine Prüfung für jemanden machen, würden wir auch den Zugriff auf die Geräte benötigen.

Wir würden das auditiert durchführen und hinterher auch die Passwörter ändern und auditiert übergeben.

Oder wir bekommen temporäre Audit Zugänge.
(Wobei das nicht wirklich hilft, solange Passwort Clear Text Storage auf LCOS enabled ist und das ist bei den meisten Bestandssystemen so, vermute ich.)

Und dann ein Kurztest mit der Webseite, die Du schon gefunden hast zum Beispiel.

Bei Irgendwelchen Streitigkeiten hilft das dem Betreiber überhaupt nichts, wenn nicht die konkrete Konfiguration dokumentiert ist.

Du weißt ja vermutlich auch nicht, was auf den Internet Anschlüssen schon eingestellt ist?
Da kann ja auch der Kinder / Jugendschutz an sein, dann weißt Du wieder nicht, warum denn nun geblockt wird.

Sehen kannst Du es zumindest an der Content Filter Webseite, die sieht standardmäßig so aus, wenn Du keine alternative blocking URL im LCOS konfiguriert hast.

Hier ein Beispiel:
lcos-content-filter-block-example.png
Viele Grüße

ts
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von backslash »

Hi tstimper,

die "Blocked-Content" Sewite kommet auber auch nur, wenn die Seite tatsächlich nicht HTTP macht. Wenn die Seite HTTPS macht, dann kommt nur ein Abbruch und der Browser meldet, daß die Seite nicht dargestellt werden kann. ggf. kommt noch eine TLS-Alarm-Meldung, das war's dann aber auch... Für alles andere müßte der Contentfilter das TLS aufbrechen, was er aber nicht macht...

Gruß
Backslash
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Testsuite für Content-Filter bzw. BPjM-Modul

Beitrag von tstimper »

backslash hat geschrieben: 30 Mär 2023, 10:52 Hi tstimper,

die "Blocked-Content" Sewite kommet auber auch nur, wenn die Seite tatsächlich nicht HTTP macht. Wenn die Seite HTTPS macht, dann kommt nur ein Abbruch und der Browser meldet, daß die Seite nicht dargestellt werden kann. ggf. kommt noch eine TLS-Alarm-Meldung, das war's dann aber auch... Für alles andere müßte der Contentfilter das TLS aufbrechen, was er aber nicht macht...

Gruß
Backslash
Hi Backslash,

der LCOS Content-Filter ist ein reiner URL Filter, also der filtert auf die Haupt URL und auf alle auf der Seite enthaltenen Links.
Deshalb muss er HTTPS Traffic nicht aufbrechen (kann er ja auch nicht) umd auch din den jeweiligen Kategorieren enthaltene HTTPS URLs zu blocken.

Siehe auch https://www.ibm.com/docs/en/qsip/7.4?to ... ntegration

Die Block Message Seite kommt dann vom LCOS oder es wird auf die im Lanconfig unter Content Filter - Blocking/Override - Alternative blocking URLs / Alternative error URL konfigurierte URL redirected.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten