Arztpraxis absichern

Ich würde tendenziell eher zum ISA Server greifen (wenn du schon SBS hast).
Der Webproxy und Firewallclient ermöglicht auf der einen Seite eine viel granularere Kontrolle der Berechtigungen.
Und auf der anderen Seite kann man weitere Module hinzufügen (z.b. GFI WebMonitor oder avast Server zur Virenfilterung).

Allerdings nützt die beste Firewall nichts, wenn man aus ihr einen Schweizer Käse macht

Grüße

Max

Hallo teddi86,

hast du auf dem DNS-Server eine Weiterleitung eingerichtet? - Höchstwahrscheinlich, dann schließ deinen einzelnen PC ruhig am Router an, damit die restlichen PC's über die Weiterleitung ins Netz kommen - schebbert's?

Du kannst den Clients doch einfach die IP des Standard-Gateways entziehen oder das ganze per DHCP-Server regeln.

Gruß,
Ole

Also hast du wohl am Client den Server nicht als DNS-Server angegeben und am Server keine Weiterleitung eingerichtet,
dann erspare ich mir lieber weitere Kommentare

Gruß,
Ole

Hallo teddi86,
welche Version des SBS hast du - Standard oder Premium?
Bei der Premium Version ist der ISA mit dabei, welchen ich wie dog, dafür empfehlen würde.

Gruß Sam

Hallo,

du solltest eines nicht ganz außen vor lassen.
Evtl. ist es sicherer und stabilder alle ans Netz zu lassen.

a) (Windows)-Updates.
Ich kenne mindestens eine Zahnarztsoftware (die Nr. 3 der Rangliste) welche nicht stabil funktioniert wenn einige PCs aktueller als andere sind.
Die Software stürzt dann einfach häufig ab.

b) Evtl. gibt es Dateien die für den Internet PC keine Gefahr darstellen (durch AV und Updates) für den Rest des Netzwerkes schon. Da reicht schon solch eine Datei auf einem Netzwerklaufwerk.

Die Grundausstattung in den meisten Praxen (die ich kenne)
1) Ein AV Programm auf allen PCs und dem Server (wenn vorhanden)
2) Aktuelle Updates (automatisch) und alle 6 Monate manuell was nicht automatisch kam
3) Router mit NAT (siehe 4))
4) Das "Problem" mit unerlaubten surfen mit klaren Ansagen verbieten oder erlauben. Technisches lösen ist aufwendig und nie 100%

Stefan

Hallo,
hatte so einen Ähnlichen Fall mal.

Wie arbeiten die User lokal? (werden Daten auf die Platte geschrieben & müssen diese vorgehalten werden)
Oder arbeiten Sie direkt auf dem Server.

Sonst könntest du eine Pc-Wächter Karte einbauen.
Bei jedem Reboot werden die gespeicherten Einstellungen zurückgesetzt.

Ich würde auf jedenfall es so machen.
Natürlich NEtzwerkabsicherung und IT-Richtlien beachten. (wie meine vorredner erwäht haben)

Gruß

Mike

Wie schauts denn mit dem Router aus?
Bei manchem Router lassen sich dort die Clients vom Internet ausperren ...

Die anderen Clients vom Internet aussperren heisst doch wohl, dass die nicht mehr gepatcht werden können. DAS IST KEINE GUTE IDEE ! Sobald auch nur ein einziger PC eine Internetverbindung hat (über welches Netz auch immer), ist automatisches patchen ALLER Units eine Grundvorraussetzung für den sicheren Betrieb des gesamten Netzes !

Ich empfehle den Betrieb eines zentralen Gateways (die gibt es auch kostenlos z.B. Untangle). Darüber lässt sich sehr fein steuern, wer was mit seiner Workstation darf.

Eine preiswerte und sichere Alternative wäre noch, eine völlig isoliert aufgebaute Workstation mit Internetzugang und Schutzmechanismus (Linux z.B.). Dann kann man das 'Zahnarzt-Netz' so lassen, wie es ist (never change a running system !)

Die Sperre auf dem Router läßt sich ja fürs Wartungsfenster zum Patchen meist mit einem einfachen Häkchen wieder rausnehmen.

Bei manchem Router kann man zu diesem Zweck auch eine zeitliche Einschränkung machen und so
z.B. Internetzugang nur zum Patchday für ne Stunde außerhalb der Bürozeit öffnen.

Tja, wenn das Windows-System denn das einzige wäre, was zu patchen ist und dann noch alle Patches zur gleichen Zeit kämen - aber so wie sich heute die Realität darstellt, ist der Patchvorgang ein kontinuierlicher Prozess. Deshalb gibt es in Rechenzentren ja so etwas wie das Patch-Management - also H-Ressourcen, die diesen Vorgang meist DV-gestützt, im Ganzen aber meist manuell betreiben. Deshalb ist das keine wirklich zu empfehlende Lösung.

teddi86 schreibt hierzu:
->
In der Praxis gibt es:

1 x Windows SBS 2003
5 x Client Windows XP PRO

Nun soll einer der 5 Clienten Zugang zum Internet bekommen. Der Rest der Praxis soll Internet freie Zone bleiben.
<-

Also nix Linux, nix großes Netzwerk und RZ.

Die Updates der "offline" Clients könnten auch durch den SBS 2003 mit einer WSUS Installation bedient werden.
Gleiches gilt für das verteilen von VS Patternfiles.

Noch nichts vom WSUS Server gehört ?

Aber genau das ist doch das Problem (siehe oben). Wenn du auch nur einem EINZIGEN Client den Internetzugang freischaltest, ist dieser Client das Einfallstor, über den alle anderen zumindest auf Protokollebene ebenfalls erreicht werden können. Da sich die anderen Geräte physikalisch im selben Netz befinden, nützen logische Barrieren nur wenig (Internetfreie Zone gibt es dann nicht mehr).

Deshalb fährst du nur dann ein sicheres LAN (wie klein es auch immer sei), wenn ALLE anderen Geräte des selben physikalischen Verbundes auf dem selben Sicherheitsniveau liegen - und da sind die Windows-Flicken noch das geringere Problem. Die wirkungsvollsten Angriffe werden heute über veraltete Flash-plugins, Quicktime-Codecs, Java-Versionen und andere Sauereien gefahren - und versuch die doch mal über WSUS auf dem neuesten Stand zu halten !

Für ein zentrales Webgateway wie Untangle z.B. werden keine Linux-Kenntnisse benötigt - nur ein bischen Routing über eine Weboberfläche und eine alte ausrangierte Hardwareplattform für 100 €uro ( 1 GHz - 1 GB reicht schon). So etwas betreibe ich z.B. zu Hause für 5 PCs in einem Heimnetzwerk und ich denke nicht, dass das nicht der Bedrohungslage angemessen ist.

Für ein beruflich genutztes Netzwerk, in dem auch gesetzlich besonders geschützte Sozialdaten (SGB VIIII - Patientendaten) gespeichert werden, halte ich das für das absolute Minimum an Vorsorge, denn die Verantwortlichen haften mit Ihrem Privatvermögen (bis 500.000 euro) für Schäden, die durch Unterlassung adäquater Sicherheitsmassnahmen entstehen. Ich kann niemandem ernsthaft raten ein solches Risiko einzugehen. Schon mal gar nicht, wenn man das nur 'im Auftrag' für jemand anderen verantwortet.

Im Lichte dieser Gefahrenlage würde ich Teddy86 den Betrieb einer Internet-Insellösung empfehlen. Die ist für ein paar hundert Euro zu haben und muss auch nicht unbedingt auf Linux basieren (wäre nur besser für die Carbol-Miezen geeignet).

Moin...

wenn man stückchen weiterschaut, kommt man eh nicht daran vorbei das gesamte Netzwerk ins Internet zu stellen.

Ich arbeite für viele Zahnärzte in Norddeutschland.
In Hamburg ist es zur Zeit so, dass die Onlineabrechnung start fossiert wird.
Sobald die Gesundheitskarte eingeführt wurde (ca. Mitte/Ende 2010), wird die 2. Stufe (Rezept auf der Karte) eingeführt. Dafür ist zwingend eine Onlineanbindung des PCs auf dem die Abrechnungssoftware läuft erforderlich.
Ich werden die Abrechnungsstellen dann Abrechnungen nur noch Online akzeptieren.
Das Thema mit digitalen Röntgenbildern und sonstigen Arztunterlagen kommt ja noch dazu.

Das auf einem abgetrennten PC auszuführen, heißt dass man wegen jedem Rezept mit einem USB Stick hin- und herlaufen muss. Außerdem ist damit die physikalische Trennung unterbrochen.

Bei keinem unserer Kunden gab es jemals ein Virenproblem.
Die Verbindung von aktuell gepflegten PCs (mit 2x im Jahr machen wird dort updates und images) mit einem guten AV-Programm (z.B. NOD32) und klaren Vorgaben reduziert das Sicherheitsrisiko auf fast 0.

Das ist ein Einbruch das deutlich größere Risiko und da werden ja auch keine vergitterten Fenster eingebaut

Stefan