Sichere RDP Verbindung über das Internet
Hallo,
ich plane zur Zeit den sicheren Zugriff auf meinen Server über das Internet. Es handelt sich dabei um einen Terminalserver (Windows 2016) in einer Arztpraxis, bei dem Sicherheit und Datenschutz den größten Stellenwert haben müssen. Trotzdem ist man häufiger in Situationen, wo man Zugriff auf die Programme und Patientendaten braucht, man selber aber zuhause bzw beim Patienten ist.
Momentan ist der Internetanschluss über einen Zyxel Router abgesichert. Ein VPN baut eine Verbindung zum KV Net auf und die Firewall schirmt alle nicht verschlüsselten Verbindungen ab.
Was wäre hier der geeignete Weg um eine sichere RDP Verbindung zum Server aufzubauen? RDP alleine scheint mir hier zu unsicher zu sein.
Ich würde mich über ein paar Anregungen freuen, auch falls man es direkt sein lassen sollte.
Danke,
Jan
ich plane zur Zeit den sicheren Zugriff auf meinen Server über das Internet. Es handelt sich dabei um einen Terminalserver (Windows 2016) in einer Arztpraxis, bei dem Sicherheit und Datenschutz den größten Stellenwert haben müssen. Trotzdem ist man häufiger in Situationen, wo man Zugriff auf die Programme und Patientendaten braucht, man selber aber zuhause bzw beim Patienten ist.
Momentan ist der Internetanschluss über einen Zyxel Router abgesichert. Ein VPN baut eine Verbindung zum KV Net auf und die Firewall schirmt alle nicht verschlüsselten Verbindungen ab.
Was wäre hier der geeignete Weg um eine sichere RDP Verbindung zum Server aufzubauen? RDP alleine scheint mir hier zu unsicher zu sein.
Ich würde mich über ein paar Anregungen freuen, auch falls man es direkt sein lassen sollte.
Danke,
Jan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 441084
Url: https://administrator.de/forum/sichere-rdp-verbindung-ueber-das-internet-441084.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
30 Kommentare
Neuester Kommentar
Moin Kollege,
das scheint nicht nur so.
????
Ich vermute mal einen safenet-Router? Steht der hinter dem Zyxel-Dingens? Und kann das Zyxel-Dingens selbst VPN? Dann einfach ein VPN zwischen mobile device und dem Zyxel-Dingens bauen und ab geht die Luzie ...
LG, Thomas
RDP alleine scheint mir hier zu unsicher zu sein.
das scheint nicht nur so.
Ein VPN baut eine Verbindung zum KV Net auf und die Firewall schirmt alle nicht verschlüsselten Verbindungen ab
????
Ich vermute mal einen safenet-Router? Steht der hinter dem Zyxel-Dingens? Und kann das Zyxel-Dingens selbst VPN? Dann einfach ein VPN zwischen mobile device und dem Zyxel-Dingens bauen und ab geht die Luzie ...
LG, Thomas
@keine-ahnung
Tach Thomas,
du hast natürlich Recht mit deiner Antwort.
Willst du deinen Nick nicht von @keine-ahnung in @arzt-der-kollegen-die-it-beibringt-(formerly-known-as-keine-ahnung) umbenennen?
Tach Thomas,
du hast natürlich Recht mit deiner Antwort.
Willst du deinen Nick nicht von @keine-ahnung in @arzt-der-kollegen-die-it-beibringt-(formerly-known-as-keine-ahnung) umbenennen?
Hallo,
hier sollte nur mit einem abgesicherten VPN gearbeitet werden, in allen anderen Fällen gehst Du ein unkalkulierbares Risiko ein.
EIn VPN ist allerdings keine triviale Sache die man mit 3 Klicks sicher einrichtet, da gehört schon ein wenig mehr dazu.
Ich kann Dir nur raten dies von jemandem machen zu lassen, der dafür auch Verantwortung übernimmt, also einen qualifizierten Dienstleister.
hier sollte nur mit einem abgesicherten VPN gearbeitet werden, in allen anderen Fällen gehst Du ein unkalkulierbares Risiko ein.
EIn VPN ist allerdings keine triviale Sache die man mit 3 Klicks sicher einrichtet, da gehört schon ein wenig mehr dazu.
Ich kann Dir nur raten dies von jemandem machen zu lassen, der dafür auch Verantwortung übernimmt, also einen qualifizierten Dienstleister.
@St-Andreas
Stimmt. Der vierte Klick ... zumindest wenn man auf LANCOM setzt
@goscho
Nö! Du willst den doch nur übernehmen ... . Is nich ...
LG, Thomas
EIn VPN ist allerdings keine triviale Sache die man mit 3 Klicks sicher einrichtet, da gehört schon ein wenig mehr dazu.
Stimmt. Der vierte Klick ... zumindest wenn man auf LANCOM setzt
@goscho
Willst du deinen Nick nicht ... umbenennen?
Nö! Du willst den doch nur übernehmen ... . Is nich ...
LG, Thomas
Zitat von @keine-ahnung:
@St-Andreas
Stimmt. Der vierte Klick ... zumindest wenn man auf LANCOM setzt
@St-Andreas
EIn VPN ist allerdings keine triviale Sache die man mit 3 Klicks sicher einrichtet, da gehört schon ein wenig mehr dazu.
Stimmt. Der vierte Klick ... zumindest wenn man auf LANCOM setzt
Würde ich so nicht unterschreiben.
@goscho
Nö! Du willst den doch nur übernehmen ... . Is nich ...
LG, Thomas
Willst du deinen Nick nicht ... umbenennen?
Nö! Du willst den doch nur übernehmen ... . Is nich ...
LG, Thomas
@St-Andreas
Warum nicht?
Für "normale" Umgebungen reichen die Assistenten des LCOS völlig aus, um sich die Konfigurationen für eine LANCOM-LANCOM-Kopplung oder für iOS bzw. den VPN-client fürs Fensterle in Windeseile zusammenzuklöppeln. Wenn selbst ich das zustande gebracht habe ...
Da steckt man ein paar Mark mehr in die hardware, spart das wieder am Dienstleister ein und jut ist. Auch für die Grundkonfiguration der Router reicht IMHO der Assi aus. Wenn man dann etwas mehr in die Tiefe gehen muss ... dann wird es halt etwas kniffeliger und man muss sich einlesen. Aber das Handbuch zum LCOS ist so schlecht nicht geschrieben ...
LG, Thomas
Würde ich so nicht unterschreiben.
Warum nicht?
Für "normale" Umgebungen reichen die Assistenten des LCOS völlig aus, um sich die Konfigurationen für eine LANCOM-LANCOM-Kopplung oder für iOS bzw. den VPN-client fürs Fensterle in Windeseile zusammenzuklöppeln. Wenn selbst ich das zustande gebracht habe ...
Da steckt man ein paar Mark mehr in die hardware, spart das wieder am Dienstleister ein und jut ist. Auch für die Grundkonfiguration der Router reicht IMHO der Assi aus. Wenn man dann etwas mehr in die Tiefe gehen muss ... dann wird es halt etwas kniffeliger und man muss sich einlesen. Aber das Handbuch zum LCOS ist so schlecht nicht geschrieben ...
LG, Thomas
Zitat von @jktz84:
Was wäre hier der geeignete Weg um eine sichere RDP Verbindung zum Server aufzubauen? RDP alleine scheint mir hier zu unsicher zu sein.
Ich würde mich über ein paar Anregungen freuen, auch falls man es direkt sein lassen sollte.
Was wäre hier der geeignete Weg um eine sichere RDP Verbindung zum Server aufzubauen? RDP alleine scheint mir hier zu unsicher zu sein.
Ich würde mich über ein paar Anregungen freuen, auch falls man es direkt sein lassen sollte.
VPN zum Server (bzw. "HeimNetz") aufbauen und RDP darüber machen.
lks
Als Arzt in die Cloud? Das verträgt sich nicht mit der Stdandesehre.
lks
@St-Andreas
Macht doch keinen Sinn ... ich habe da noch 6'er LCOS laufen, warum soll ich mir da die Beschreibungen vom 10'er release durchlesen???
Natürlich! Regelmässig einmal im Jahr ... dass ist so mühevoll geworden, seit das GUI vor zwei oder drei Jahren ohne jedes Zutun auf chinesisch geswitcht ist. Jetzt muss ich mir das immer rauskopieren und Absatz für Absatz im google-translator übersetzen lassen . Kostet eine Unmenge an Zeit ... hast Du da eine Abhilfe?
LG aus Fort Meade, Thomas
Liest Du Dir zumindest die Release notes neuer Versionen durch?
Macht doch keinen Sinn ... ich habe da noch 6'er LCOS laufen, warum soll ich mir da die Beschreibungen vom 10'er release durchlesen???
Checkst Du die Logs regelmäßig?
Natürlich! Regelmässig einmal im Jahr ... dass ist so mühevoll geworden, seit das GUI vor zwei oder drei Jahren ohne jedes Zutun auf chinesisch geswitcht ist. Jetzt muss ich mir das immer rauskopieren und Absatz für Absatz im google-translator übersetzen lassen . Kostet eine Unmenge an Zeit ... hast Du da eine Abhilfe?
LG aus Fort Meade, Thomas
nein nur die Netzanbindung eines Clients oder Supporters auf die Praxissysteme, da hatte ja einer nach nem "sicheren RDP" gefragt. Das ist nicht mehr als ein virtueller Router dessen Ein/Ausgänge per VPN abgesichert sind.
Es gibt keine zertifizierten Systeme für digitale zentraliierte Krankenakten in Deutshcland, vermutlich auch die nächsten 10 Jahre nicht, deshalb ist nur ein sicherer Remotezugriff (am besten mit Multifaktor Login) eine Option... vereinzelt bieten Krankenkassen ein zentrales Gesundheitsmanagement im Einzelfall an, aber dann auch nur auf der krankenkassen-eigenen IT.
Zitat von @St-Andreas:
Etwas sicher zu betreiben schafft man nicht indem man irgendwelche Assistenten durchklöppelt und gut ist.
Warum denn nicht?Etwas sicher zu betreiben schafft man nicht indem man irgendwelche Assistenten durchklöppelt und gut ist.
Dafür sind bei Lancom die Assistenten doch da.
Wer mehr braucht, kann sich die eingerichteten Konfigurationen noch verschönern.
Sprich wir müssten uns sowieso noch eine zusätzliche Hardware Firewall kaufen.
Besser ist das
Lancom kaufen, alles blockieren bis auf dezidierte Freigaben, VPN einrichten, Lancom VPN Client auf Laptop installieren und fertig (bezogen auf Sicherheit)
Kommt auf die Bequemlichkeitsansprüche an ... ich habe sowohl dohoam als auch auf Kläge einen Lancom als WAN-Router. Da spar ich mir zu Hause das Gehacke mit dem VPN-client und bin b.B. mit allen Geräten in beiden Netzen. Das ist es mir wert ... ich habe in meinen LTE-Zeiten mal versucht, zwischen einer LTE-Fritte und dem Praxisrouter ein VPN zu basteln ... gruselig. Mit dem LTE-LANCOM stand das in Millisekunden.
Lancom bietet viele presets zum download an, mit denen man Anforderungen an die Router- oder Firewallfunktionen erschlagen bekommt ... hilft auch beim Wirtschaften. Aber man kommt trotzdem nicht auf Dauer drumherum, sich mit dem LCOS auseinanderzusetzen.
LG, Thomas
p.s.: gibt es bezgl. des medidok-update/upgrade news?
Zitat von @jktz84:
Ich hatte mir das vorgestellt mit einem Win Tablet/Laptop auch bei Patientenbesuchen auf die Praxissoftware zugreifen zu können (Mediplan, Medidok Dokumente einsehen ist Gold wert). Insofern bin ich schon auf den Lancom Client angewiesen.
MoinIch hatte mir das vorgestellt mit einem Win Tablet/Laptop auch bei Patientenbesuchen auf die Praxissoftware zugreifen zu können (Mediplan, Medidok Dokumente einsehen ist Gold wert). Insofern bin ich schon auf den Lancom Client angewiesen.
Du brauchst nicht unbedingt den Lancom Client, um dich mobil mit dem Lancom Router zu verbinden. Das kann jeder andere IPSEC-VPN-Client auch.
Zitat von @St-Andreas:
Etwas sicher zu betreiben schafft man nicht indem man irgendwelche Assistenten durchklöppelt und gut ist.
Etwas sicher zu betreiben schafft man nicht indem man irgendwelche Assistenten durchklöppelt und gut ist.
Offensichtlich hast du noch nie einen Assistenten bei anständiger Router Hardware gesehen.
Selbst mit ner kostenlosen PFSense ist es ziemlich pillepalle eine sichere Verbindung über OpenVPN hinzubekommen, bei der nur der RDP Port durch geht.
Zitat von @brammer:
Patienten Daten in einer AWS oder Azure?
ich glaube nicht dass das als sicher zu betrachten ist....
Patienten Daten in einer AWS oder Azure?
ich glaube nicht dass das als sicher zu betrachten ist....
Was man bei kleinen Praxen so teilweise an Hardware vorfindet, da ist AWS oder Azure wesentlich sicherer um die Daten zu lagern.
Kann ich mir gut vorstellen.
Ich hab auch schon meine Erfahrungen mit Dienstleistern die auf Ärzte spezialisiert sind gemacht. Gute waren das nicht.
Aber das ändert nichts an den Tatsachen und daran das es eine Menge guter Dienstleister gibt. Die in der Regel aber nicht eng mit Softwarelieferanten aus dem Arztbereich zusammenarbeiten. Und billig sind von den Guten auch nur die wenigsten.
Vermutlich, und das ist jetzt eine persönliche Vermutung, werden die meisten guten Dienstleister nur wenige Ärzte in ihrem Kundenkreis haben.
Ärzte gelten bei vielen als “schwierige” Kunden.
Ich hab auch schon meine Erfahrungen mit Dienstleistern die auf Ärzte spezialisiert sind gemacht. Gute waren das nicht.
Aber das ändert nichts an den Tatsachen und daran das es eine Menge guter Dienstleister gibt. Die in der Regel aber nicht eng mit Softwarelieferanten aus dem Arztbereich zusammenarbeiten. Und billig sind von den Guten auch nur die wenigsten.
Vermutlich, und das ist jetzt eine persönliche Vermutung, werden die meisten guten Dienstleister nur wenige Ärzte in ihrem Kundenkreis haben.
Ärzte gelten bei vielen als “schwierige” Kunden.
@St-Andreas
Die IT-Dienstleister in den Praxen müssen i.d.R. auf Gedeih und Verderb mit den Softwarelieferanten zusammenarbeiten, die da PVS i.d.R. bezgl. Installation, Konfiguration, backup-Strategie etc. schlecht bis nicht dokumentiert sind und i.d.R. mit den Quartalsupdates neue oder geänderte Funktionen bekommen. Ergo müssen die sich das Wissen beim Hersteller "einkaufen", etwa über Schulungen und Zertifizierungen.
Das Geld wollen die dann natürlich bei uns wieder abziehen - betriebswirtschaftlich auch irgendwie verständlich.
Wenn da sich nicht zum Teil Leute rumtreiben würden, die im Mediamarkt nicht mal die Einkaufskörbe ordnen dürften ...
Insofern hat @jktz84 IMHO durchaus Recht - wenn man es sich zutraut, alles selber machen, da begibt man sich nicht in Abhängigkeit und ist im Fall des Falles auch viel effektiver bei der Fehlersuche.
LG, Thomas
Die IT-Dienstleister in den Praxen müssen i.d.R. auf Gedeih und Verderb mit den Softwarelieferanten zusammenarbeiten, die da PVS i.d.R. bezgl. Installation, Konfiguration, backup-Strategie etc. schlecht bis nicht dokumentiert sind und i.d.R. mit den Quartalsupdates neue oder geänderte Funktionen bekommen. Ergo müssen die sich das Wissen beim Hersteller "einkaufen", etwa über Schulungen und Zertifizierungen.
Das Geld wollen die dann natürlich bei uns wieder abziehen - betriebswirtschaftlich auch irgendwie verständlich.
Wenn da sich nicht zum Teil Leute rumtreiben würden, die im Mediamarkt nicht mal die Einkaufskörbe ordnen dürften ...
Insofern hat @jktz84 IMHO durchaus Recht - wenn man es sich zutraut, alles selber machen, da begibt man sich nicht in Abhängigkeit und ist im Fall des Falles auch viel effektiver bei der Fehlersuche.
LG, Thomas
Inwiefern unterscheiden sich Deine Möglichkeit von denen anderer, vom Softwarelieferanten unabhängiger, Administratoren?
Ich arbeite tagtäglich mit den von mir genutzten softwares, habe mich da gezielt "eingefummelt" - und habe ohne "Administratoren" nunmehr mehr als zwölf Jahre Praxisbetrieb ohne eine Minute IT-bedingten Praxisausfalls hinter mich gebracht. Ich arbeite "papierlos", alle meine Medizintechnik hängt im LAN, UC-Server tuckert neben dem Exchange etc.pp. Wozu brauche ich da Deiner Meinung nach externe Dienstleister, von denen ich nicht weiss, wann sie kommen, wenn ich sie mal brauche und was sie an meinen Systemen verschlimmbessern können ?
Hilf Dir selbst, dann hilft Dir Bill ...
LG, Thomas
Ich weiß ja nicht wieviele Router und VPN Systeme Du betreust - aber ich hab da soviele Kunden mit VPN und Servern und IT-TK und IT Cam Anlagen und Client-Server Systemen, dass also zumindest ich da nicht mehr nachkomme.
Und gerade seit MS das Windows 10 Chaos ausgelöst hat, jammern die Kunden ja eh schon wegen den deutlich erhöhten Wartungskosten und Aufwand, und das obwohl ich 90% per Fernwartung mache - nachdem ja auch die 1809 zahlreiche Bugs hatte, man teilweise auf 1803 zurück musste, weiß man nicht ob man sich auf die 1903 freuen oder Angst davor haben soll, welche Rechner die dann wieder platt macht.
Wenn ich dann noch ständig von Routern, und Servern usw. die Logs prüfe, und auf Aktualisierungen prüfe, bräuchte ich mind. 1 zusätlichen Mitarbeiter der rein nur das macht - und dazu noch Kunden, die diese Mehrkosten dann auch verstehen.
Ich prüfe das auf meinen Systemen halt "so gut es geht" - also in zusammenhang mit anderen Wartungsarbeiten oder Fehlerbehebungen.
Und gerade seit MS das Windows 10 Chaos ausgelöst hat, jammern die Kunden ja eh schon wegen den deutlich erhöhten Wartungskosten und Aufwand, und das obwohl ich 90% per Fernwartung mache - nachdem ja auch die 1809 zahlreiche Bugs hatte, man teilweise auf 1803 zurück musste, weiß man nicht ob man sich auf die 1903 freuen oder Angst davor haben soll, welche Rechner die dann wieder platt macht.
Wenn ich dann noch ständig von Routern, und Servern usw. die Logs prüfe, und auf Aktualisierungen prüfe, bräuchte ich mind. 1 zusätlichen Mitarbeiter der rein nur das macht - und dazu noch Kunden, die diese Mehrkosten dann auch verstehen.
Ich prüfe das auf meinen Systemen halt "so gut es geht" - also in zusammenhang mit anderen Wartungsarbeiten oder Fehlerbehebungen.