get--4
Goto Top

NAT in einem Netzwerk verbieten

Hallo an alle!

Ich betreue ein größeres Netzwerk in einem Wohnhaus, wo ich sich alle Benutzer im LAN ein Internet teilen.
Das Netzwerk wird von einem Catalyst 2960G Switch mit 48 Ports verteilt. Da ich die Übersicht behalten muss, müssen sich alle die ein Internet wollen bei mir anmelden und ich entsperre ihren PC im Netzwerk auf MAC-Ebene.
Vor kurzen hab ich einen ganz schlauen Benutzer dabei erwischt, das er einen Router mit WLAN eingesetzt hat und die MAC-Adresse seines Computer im Router klonte. Somit war der Router im Netzwerk freigeschalten und hat über WLAN andere User für mich unbemerkt ins Internet gelassen.

Hiermit meine Frage: "Gibt es eine Möglichkeit mit dem oben genannten Switch diese NAT-Funktion zu unterbinden? Ich will erreichen das in diesem Netzwerk keine weiteren Subnetze hinter einem Router funktionieren. Nur die direkt angeschlossenen PCs sollen ins Internet gelangen. Ich befürchte auch das Benutzer ihre Netzwerkkarten, die eine Verbindung zum Internet haben, freigeben können und somit weitere Geräte unbemerkt ins Internet können.
Falls diese Funktion mit dem Catalyst-Switch nicht möglich ist, gibt es eine andere Möglichkeit sowas im Netzwerk zu verbieten? (zb, eine Hardware Firewall, etc...)

Ich hoffe sehr, ihr könnt mir bei diesem Problem helfen. Versuche schon seit einiger Zeit eine Lösung zu finden. Leider ohne erfolg.
Vielen Dank im voraus.

Schöne Grüße, Tom.

Content-ID: 235052

Url: https://administrator.de/forum/nat-in-einem-netzwerk-verbieten-235052.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

sigkill
Lösung sigkill 10.04.2014 um 07:01:32 Uhr
Goto Top
Hallo,

Also unterschiedliche Geräte sind im LAN schon zu erkennen, das heisst, man könnte per regelmäßigem Netzwerk-Scan erkennen dass der Windows 7-PC von Bewohner Maier mit der MAC A nun plötzlich aussieht wie eine Fritz-Box mit der selben MAC und dann den Port im Switch sperren bis zur Klärung. - Vorsicht - Netzwerkscanner sind "Hackertools" gesetzliche Bestimmungen beachten. Außerdem geht es natürlich nicht nur mit dem Switch, man benötigt einen Rechner zum scannen.

Aber "Netzwerkkarten freigeben" lässt sich kaum erkennen. Eventuell(!!!) irgendwelche Kniffe mit DPI, was aber definitiv die Möglichkeiten eines Switches übersteigt - da müsste eine echte Firewall mit DPI etc. her. Und vor allem: evtl. erschlägt man damit durchaus Anwendungen welches gewollt sein könnten. Was ist eine "Freigabe der Netzwerkkarte für ein weiteres Gerät" anderes als eine Virtuelle Maschine z.b. für sichere Bankgeschäfte oder weil eine Applikation im neuen OS nicht mehr läuft?

Fazit: Meiner Meinung nach lässt sich so was nicht verhindern, zumindest nicht sicher, (rechtlich) sauber und mit vertretbarem Aufwand. Weiterhin sollte man sich fragen(ich weiss nicht was das für ein Wohnhaus ist) ob so ein Internet-Zugang mit Router-verbot überhaupt noch zeitgemäß ist, wo doch jeder zig internetfähige Geräte hat(PC, Laptop, Fernseher, Tablet, Handy mit WLAN, EBook Reader, Kühlschrank, Kaffeemaschine, Radio ....)
Lochkartenstanzer
Lochkartenstanzer 10.04.2014 um 10:26:00 Uhr
Goto Top
Moin,

Wenn der "pöhse Puhpe" es richtig machst, hast Du keine Chance ein genattettes Netzwerk hinter einem Router zu erkennen. Du kannst zwar durch fingerprinting mehr oder weniger genau bestimmen, was da an OS dahinter läuft, aber das ist allenfalls nur ein Indiz.

Außerdem: wie willst Du unterscheiden, ob da einer zwei Dutzend virtuelle maschinen auf seiner Kiste hat oder ob die als reale Hardware werkeln?

Und technisch verbieten kannst Du das sowieso nicht, weil Du dem Paket normalerweise nicht ohne weiteres ansiehst, ob das jetzt NAt druchlaufen hat oder nicht.

Du versuchst als ein soziales Problem durch Technik zu lösen, was so seltenst funktioniert hat.

Abgesehen davon wäre es imho durchaus legitim, daß jemand eine oder mehrere eigene Geräte hinter einer NAT-Firewall betreibt, wenn er sich vor den anderen Mitbewohnern abschotten will.

Was du willst ist eine schriftliche Vereinbarung, daß der Nutzer nur eigene Geräte dranläßt und entsprechenden Sanktionen wie z.B. 13 Hiebe mit CAT-9.

lks
heilgecht
heilgecht 10.04.2014 um 11:29:13 Uhr
Goto Top
Hallo,

was du brauchst ist ein "network access control". Es gibt verschiedene Hardware wie Software Lösungen.
Als HW Beispiel: HP Procurve kann das. Es wird auch erkannt ob es ein oder mehrere Geräte am Switch Port hängen.
Als SW Beispiel: Sophos Endpoint Security mit NAC Modul. Nur die Rechner die bestimmte Anforderungen ausführen werden ins Netz gelassen.
Microsoft NPS Server (ab MS Server 2008) hat auch änliche Funktionen.

MfG
Lochkartenstanzer
Lochkartenstanzer 10.04.2014 um 11:31:54 Uhr
Goto Top
Zitat von @heilgecht:

was du brauchst ist ein "network access control".

das bedingt aber auch, daß er den bewohner vorschreiben muß, welche Software udn welches OS sie einsetzen können und das sie darauf bestimme Software zu installieren haben.

Das wird sich in einem Studentenwohnheim (sagt meine Kristallkugel) nicht durchsetzen lassen.

lks
heilgecht
heilgecht 10.04.2014 um 11:35:35 Uhr
Goto Top
Er hat nach eine Möglichkeit gefragt, wie er seine Policy durchsetzt ist eine andere Frage face-smile
MrNetman
MrNetman 10.04.2014 um 11:45:59 Uhr
Goto Top
Und was ist denn mit den vielen Smartphones?
Dürfen die den gar nicht?
Oder der Netzwerkdrucker?
oder der Drucker mit Wifi, der nicht neben demNotebook stehen muss.
Anmeldeinformationen um den Benutzer zu authorisieren. Portal, Proxy oder 802.1x. Aber einmal drin, immer drin.

Gruß
Netman
sigkill
sigkill 10.04.2014 um 11:50:09 Uhr
Goto Top
Zitat von @heilgecht:
was du brauchst ist ein "network access control". Es gibt verschiedene Hardware wie Software Lösungen.


Kein NAC ohne Agent auf den Nutzer-Rechnern erkennt ob diese als NAT-Router missbraucht werden. Da es sich um ein Wohnhaus(Wohnheim) handelt, sind die Rechner nicht Eigentum des Netzwerkbetreibers und somit hat man keine Chance eine Software zu installieren die so tiefgreifende Informationen sammelt wie ein NAC-Agent. Das ist meiner Meinung nach Datenschutzrechtlich völlig unmöglich.
heilgecht
heilgecht 10.04.2014 um 11:57:05 Uhr
Goto Top
Zitat von @MrNetman:

Und was ist denn mit den vielen Smartphones?
Dürfen die den gar nicht?
Oder der Netzwerkdrucker?
oder der Drucker mit Wifi, der nicht neben demNotebook stehen muss.
Anmeldeinformationen um den Benutzer zu authorisieren. Portal, Proxy oder 802.1x. Aber einmal drin, immer drin.

Gruß
Netman

Hi,

Handys ist auch kein Problem mehr: http://www.security-insider.de/themenbereiche/plattformsicherheit/mobil ...
Und die Drucker müssen nicht ins Internet.
Hinter "network access control" Begriff verstecken sich viele Möglichkeiten. Und es gibt immer mehr Produkte auf dem Markt, man muss nur passende Lösung finden.

MfG
aqui
aqui 10.04.2014, aktualisiert am 11.04.2014 um 08:31:35 Uhr
Goto Top
Die grundsätzliche Frage Frage die man sich stellen muss bei der Lektüre dieses Threads ist doch die Sinnhaftigkeit eines solchen Designs in dem Wohnhaus. Leider macht der TO darüber keinerlei Angaben. face-sad
Wohnen in dem Wohnhaus zusätzlich zur Familie "get-4" noch Oma Grete unten und Onkel Karl oben unterm Dach, dann ist sowas innerhalb der Familie ja sicher machbar aber wirft die Frage auf warum man sie dann kontrollieren muss ?!
Sind es hingegen unabhängige Parteien bzw. Bewohner mit eigener Privatsphäre ist so ein Design natürlich Blödsinn und zudem auch noch fahrlässig, denn der Sohnemann von Familie X im Erdgeschoss als Junghacker hat so völlig ungehinderten Zugriff auf alle Rechner seiner Familie und auch der Familie "get-4" sowie auf den Rechner von Witwe Bolte die unterm Dach wohnt. Wer will das schon ?
Sowas wäre extrem fahrlässig und kein verantwortungsvoller Mensch würde sowas machen alle Parteien simpel in ein gemeinsames Netz auf den Switch stecken.
Allein aus Eigenschutz würde niemand sowas verantworten und auch wollen, das völlig Fremde in einem persönlichen Netz "Gäste" sind.
Hier würde man gerade NAT machen um sein eigenens privates Netz von dem der anderen Parteien sicher abzuschotten und damit zu schützen damit Sohnemann X nicht in der Schule mit den Badebildern vom Urlaub die Lacher auf seiner Seite hat oder sie auf Facebook hochlädt !! NAT wäre in so einen Design also DIE Lösung um die Privatsphäre zu sichern wie es auch in Provider Netzen üblich ist.

Jemand der NAT macht ist also in so einem dummen, flachen Netzwerk nicht zu identifizieren. Die Aussage von oben "...man könnte per regelmäßigem Netzwerk-Scan erkennen dass der Windows 7-PC von Bewohner Maier mit der MAC A nun plötzlich aussieht wie eine Fritz-Box mit der selben MAC" ist also technisch schlicht falsch und naiv, denn mit den entsprechenden Vorkehrungen ist genau das eben nicht möglich wenn man diese Systeme entsprechend sichert.
Du hast also keinerlei Möglichkeiten auch mit dem Deluxe Cisco Switch das so zu unterbinden...jedenfalls nicht mit dem Netzdesign was du derzeit hast.

Wie könnte eine mögliche Lösung aussehen ??
Mac Filter usw. die am Cisco Switch technisch möglich sind scheiden komplett aus, da die Mac Adresse an jedem Router oder Endgerät einstellbar ist. Folglich bringt eine Filterung auf Macs gar nichts.
Was für andere Optionen hast du:

1.) Wichtig ist die Trennung der Netze der einzelnen Parteien. Hier solltest du minimal eine Segmentierung auf dem Switch in separate VLANs machen und so jeder Partei ein eigenes VLAN zuordnen. Vielleicht sogar PVLANs die der Switch auch supportet.
Damit hast du dann die Wohnhaus Parteien erstmal sauber untereinander getrennt.
Mit dem Switch könntest du jeder Partei ein IP Adress Kontingent zuteilen per DHCP und damit erzwingst du dann eine bestimmte IP Adressstruktur. Der 2960er supportet statisches Routing, du kannst also alle diese Parteien VLANs über den Switch zentral auf einen Router routen oder das separat durch eine Firewall erledigen lassen wie hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das hat den entscheidenden Vorteil das du den Traffic IP seitig sehr fein steuern kannst wer was darf und was nicht. In der Firewall sogar bis in den Layer 4
Fazit: Diese Option wahrt die Privatsphäre der Parteien ,ermöglicht eine moderate Steuerung, löst aber nicht das NAT Problem was weiter uneingeschränkt möglich ist.

2.) Du belässt das Netz so wie es ist und machst eine Port Authentisierung nach 802.1x wie sie hier beschrieben ist und mit dem Cisco in ein paar Minuten umsetzbar ist:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hiermit musst du am Grunddesign nichts ändern und hast allen nicht genehmigten Zugriffen einen Riegel vorgeschoben, denn jeder der ins Netz will muss einen Usernamen und Passwort (oder Zertifikat) bei dir beantragen und sich am Switch pro Port damit authentisieren immer wenn er Zugriff haben will.
Fazit: Man bekommt relative Sicherheit was den Zugang betrifft und wahrt auch die Privatsphäre gerade mit einer Kopplung von 1.) also VLANs aber.... es unterbindet auch nicht die NAT Option, denn Router wie z.B. DD-WRT usw. supporten einen 802.1x Client am WAN Port, der sich auch an solchen Switchports mit .1x authentisieren kann und NAT machen kann.
Auch die ICS Port Sharing Variante von Windows, Linux und Mac OS ist weiterhin möglich...

3.) Du denkst komplett um und denkst mal nach.... Wie machen Provider es ?? Richtig mit PPPoE !!
Das bedeutet aber das du deinen Horizont erweitern und umdenken musst und generell NAT zulassen musst, was erhebliche Vorteile hat:
  • Privatshäre der Parteien bleibt gewahrt da deren Netze getrennt sind und jeder seinen eigenen IP Bereich nutzen kann.
  • Parteien könne eigene HW betreiben und sind dafür verantwortlich.
  • Die Parteien müssen sich per PPPoE authentisieren an deinem Kontrollpunkt, du hast also weiterhin alle Kontroll und Filtermöglichkeit für den Zugang !
  • Durch die PPPoE Authentisierung hast du genauen Nachweis wer wann was gemacht hat und kannst dich rechtlich gegen die in D lauernde Störerhaftung wappnen.
Als "Service" vergibst du IP Adressen per DHCP , so das sich die Parteien ihre eigenen Router mit NAT anschliessen können. Das kannst du sogar auf Basis der Mac Adressen deren NAT Router machen mit dem Switch. (Siehe hier )
Einzig eine Firewall oder einen Router der PPPoE als Server supportet müsstest du zusätzlich installieren, denn das kann der Cisco nicht.
Das erledigt für kleines Geld dann die o.a. Firewall oder z.B. ein kleiner 35 Euro Router wie z.B. der Mikrotik 750G
Mikrotik RB750 - Quick Review
Beide haben einen integrierten PPPoE Server der dann die zentrale Authentisierung über dich erledigt.

Natürlich kannst du die Daumenschrauben auch etwas anziehen und eine Kombination von 3 mit den Punkten 1 und 2 machen...das steht dir frei.
Nur eins sollte dir klar sein. Teilnehmer gängeln zu wollen führt meist nicht weiter es sei denn du machst die Restriktionen so wasserdicht das keiner mehr Interesse hat dein Netz nutzen zu wollen.
Erweiter also deine Horizont und verstehe NAT als Chance dein Wohnhaus Netz interessant und zukunftsfähig für die Parteien zu machen !
sigkill
sigkill 11.04.2014 aktualisiert um 07:53:32 Uhr
Goto Top
Zitat von @aqui:
Die grundsätzliche Frage Frage die man sich stellen muss bei der Lektüre dieses Threads ist doch die Sinnhaftigkeit
eines solchen Designs in dem Wohnhaus. Leider macht der TO darüber keinerlei Angaben. face-sad

Zustimmung.

Jemand der NAT macht ist also in so einem dummen, flachen Netzwerk nicht zu identifizieren. Die Aussage von oben "...man
könnte per regelmäßigem Netzwerk-Scan erkennen dass der Windows 7-PC von Bewohner Maier mit der MAC A nun
plötzlich aussieht wie eine Fritz-Box mit der selben MAC"
ist also technisch schlicht falsch und naiv, denn mit den
entsprechenden Vorkehrungen ist genau das eben nicht möglich wenn man diese Systeme entsprechend sichert.

Das kann ich mal so nicht stehen lassen. Im Normalfall(simples ersetzen der Geräte, wie der TO eben beschrieben hat)
erkennt man es schon dass da was passiert ist... Aber man kann es eben nicht in jedem Fall erkennen.

3.) Du komplett denkst um und denkst mal nach.... Wie machen Provider es ?? Richtig mit PPPoE !!
Das bedeutet aber das du deinen Horizont erweitern und umdenken musst und generell NAT zulassen musst, was erhebliche Vorteile
hat:

Das will der TO vermutlich aber eben nicht, weil sich mit NAT+WLAN mehrere Parteien einen Anschluss(und die Kosten für den
Anschluss) teilen können, womit die Kalkulation für das Hausnetz nicht mehr stimmt. Einen Anderen Grund für die Anfrage
kann ich mir nicht vorstellen.
Früher(also im letzten Jahrtausend) gab es auch mal Internet-Provider die ein Routerverbot in den AGBs hatten - weil
es aber eben technisch nicht durchsetzbar war wurde es schon entfernt, bevor private Heimnetze groß in Mode kamen.

Also eher mal Kalkulations- und Abrechnungsmodell überprüfen und überlegen wie man auch mit Routern hinkommt.
Ist eine Volumenbegrenzung machbar? Das schreckt doch viele ab welche bei einer Flatrate ihren Anschluss teilen würden.
Oder eine Internet-Pauschale in der Miete?
Lochkartenstanzer
Lochkartenstanzer 11.04.2014 um 08:23:36 Uhr
Goto Top
Zitat von @sigkill:

Also eher mal Kalkulations- und Abrechnungsmodell überprüfen und überlegen wie man auch mit Routern hinkommt.
Ist eine Volumenbegrenzung machbar? Das schreckt doch viele ab welche bei einer Flatrate ihren Anschluss teilen würden.
Oder eine Internet-Pauschale in der Miete?

man könnte natürlich auch einfach traffic shaping machen und die Bandbreite auf jedes angemeldete Gerät gleich verteilen. Dann würde die Leute, die hinter einer NAT-FW sitzen sich die zugewiesene Bandbreite eines Gerätes teilen müsen, was imho auch gerecht wäre.

lks
aqui
aqui 11.04.2014 aktualisiert um 08:47:53 Uhr
Goto Top
Im Normalfall(simples ersetzen der Geräte, wie der TO eben beschrieben hat) erkennt man es schon dass da was passiert ist...
Nein, de facto nicht. Jedenfalls nicht auf den ersten Blick. Klar, wenn du dir einen Wireshark nimmst und dir die Paket Flows dieser Mac Adresse ansiehst, dann wird man schon erkennen das hier PAT gemacht wird am regelmässigen Hochlaufen der Outbound Source Ports. Das erfordert dann aber schon ein tieferes Ansehen der Packete. Laien sehen das aber nicht !
get--4
get--4 11.04.2014 um 18:50:14 Uhr
Goto Top
Hallo!
Also mal ein riesen großes DANKE an alle beteiligten und für die kompetenten Lösungsvorschläge.
Sorry das ich nicht gleich näher auf die Benutzer eingegangen bin. Dieses Wohnheim ist ein Personalhaus von einem Krankenhaus.
Hier gibt es Dauermieter die ihr eigenes Internet betreiben und auch Austauschstudenten, Praktikanten, Austauschärzte und anderes div. Personal aus allen Ländern, deren Aufenthalt zw. 2 Wo. und nicht ganz einem Jahr ist. Somit entfällt ein angemeldetes Internet wo immer eine Bindung besteht.
Dieses Personalhaus wurde vor einem Jahr neu gebaut, somit ist dieses dumme oder flache Netzwerk, wie es genannt wurde eine Zwischenlösung, bis eine Anbindung in das Krankenhausnetzwerk erstellt wird. Danach werden in alle Studentenzimmer Clients aufgestellt die in die Domäne gebunden werden.
Somit ist der betrieb mit privaten PCs die ins Internet wollen und div. Applikationen ausgeschlossen.
Leider kann diese endgültige Lösung noch länger dauern, darum diese flache Zwischenlösung für die ich mir den Kopf zerbrechen muss.
Handys und andere Netzwerk-Peripherie muss ich nicht berücksichtigen, das Internet soll für Informationen zum lernen genutzt werden, da reicht es mit einem PC.
Zurzeit ist das Netzwerk in VPNs unterteilt, jeder Port ist ein eigenes VLAN Segment (wie es Aqui mir schon vorgeschlagen hat). Die Geräte werden wie schon beschrieben auf MAC-Ebene am Switch freigeschalten und ich hab IP-Regeln erstellt die nur eine Verbindung zum Gateway erlauben. Ich hab auch einen Security-Counter auf die Ports gelegt, der bei Hackversuche oder verbindungsversuchen auf andere IPs sofort den Port am Switch deaktiviert. So bin ich auch auf den bösen Buben Router gekommen. Der DHCP unterteilt noch dazu jedes VLAN in ein eigenes IP-Kontingent (auch wie von Aqui beschrieben). Nur in die Schicht 4 greife ich nicht ein, Applikationen sollen die benutzen was sie wollen (sind ja private PCs). Ports sind nur die Standard aktiv die auf dem Modemrouter mit Firewall verwaltet werden. Der Router ist mit einer DD-WRT bestückt, wo ich zusätzlich über Stichwörter und Links Adressen sperre. Ich weiß, sehr flach und keine Dauerlösung.
Spionieren und damit mit div genannten Softwarelösungen die Pakete abfangen und durchleuchten will ich nich. Das sind private PCs wo ich meiner Meinung nach jedem seine Privatsphäre gönne.
Sigkill hat das auch schon richtig erkannt, die Lösung mit einem PPPoE ist auch nicht in meinen Sinn. Aber den Punkt 2 von Aqui versuche ich am Switch zu konfigurieren, ist zwar auch keine 100% Lösung, doch immer noch schwieriger an einem Router umzusetzen.
Ich schau mir das mal an, schließe diese Frage noch nicht ab, falls sich noch Unklarheiten ergeben hoffe ich nochmal auf so gute Hilfe wie bisher.

Vielen Dank nochmal an alle beteiligten, ihr seid schnell, kompetent und ich werde mich sicher noch mit Lösungsvorschlägen an euch wenden.
Grüße Tom...
aqui
aqui 11.04.2014 aktualisiert um 22:45:14 Uhr
Goto Top
Somit ist der betrieb mit privaten PCs die ins Internet wollen und div. Applikationen ausgeschlossen.
Das ist Unsinn. Der pfiffige Student bootet ein Live Linux auf dem System und macht was er will. Oder...er zieht den Domänenrechner ab stöpselt sein Laptop oder WLAN Router daran und surft fröhlich im Internet mit seinen Kumpels oder hackt auf den anderen Rechnern im Wohnheim rum.
Eine Domäne hilft überhaupt nicht bei sowas...ist eher ein hilfloser und naiver Versuch.
und ich hab IP-Regeln erstellt die nur eine Verbindung zum Gateway erlauben
Das kann niemals funktionieren, denn dann geht das Internet gar nicht mehr sofern du eine IP Kommunikation ausschliesslich nur mit der Gateway IP zulässt. Ausnahme ist natürlich wenn dein "Gateway" ein Proxy Server ala Squid ist was hier Sinn machen würde !
Nur in die Schicht 4 greife ich nicht ein
Mmmhhh...fataler Fehler. Bei Urheberrechtsverletzungen mit Torrent Sharing oder P2P Netzen gilt in D die Störerhaftung des Anschlussinhabers. Was der Krankenhaus Justiziar wohl dazu sagt ?!
Security-Counter auf die Ports gelegt, der bei Hackversuche oder verbindungsversuchen auf andere IPs sofort den Port am Switch deaktiviert.
Ooohh, sehr spannend !! Das wäre mal interessant WIE du sowas auf dem Cisco gelöst hast ohne ein IPS System und WO beim Catalyst denn diese "Security Counter" sind bzw. bei WELCHER Security Verletzung die dann anspringen ?!
die Lösung mit einem PPPoE ist auch nicht in meinen Sinn
Wäre aber eine sicherere User Authentisierung als das Mac Filtering.
Aber den Punkt 2 von Aqui versuche ich am Switch zu konfigurieren, ist zwar auch keine 100% Lösung, doch immer noch schwieriger an einem Router umzusetzen.
Kann man auch nicht und ist auch nicht für Router gedacht sondern für Switches.

Hört sich etwas nach einer planlosen Fricklelei an mit einer Prise Sicherheit. Im grunde ist das alles etwas dilettantisch und mit nur ein klein bischen Netzwerkwissen sofort alles ausgehebelt wie du vermutlich ja selber weisst.
Sorry, aber für ein solches Sicherheitskonzept steht doch zuallererst mal eine schriftlich fixierte Security Policy die der IT Verantwortliche des Krankenhaus Betreibers irgendwo festgelegt haben muss, denn schliesslich geht es hier auch um seine Interessen und rechtliche Aspekte des Betriebes wie Datenschutz etc.
Die gilt es dann strikt so umzusetzen wie sie definiert sind und sollte dann so auch gelebt werden.
Hier sieht es so aus als ob sowas essentiells gar nicht existent ist und du dir so ein bischen ausdenkst wie man es machen könnte und mehr schlecht als recht umsetzt.
Wenn das mal in die Hose geht will es keiner gewesen sein und alles zeigt auf dich. Ob das so hitverdächtig ist musst du dir selber beantworten.