jktz84
Goto Top

Sichere RDP Verbindung über das Internet

Hallo,

ich plane zur Zeit den sicheren Zugriff auf meinen Server über das Internet. Es handelt sich dabei um einen Terminalserver (Windows 2016) in einer Arztpraxis, bei dem Sicherheit und Datenschutz den größten Stellenwert haben müssen. Trotzdem ist man häufiger in Situationen, wo man Zugriff auf die Programme und Patientendaten braucht, man selber aber zuhause bzw beim Patienten ist.
Momentan ist der Internetanschluss über einen Zyxel Router abgesichert. Ein VPN baut eine Verbindung zum KV Net auf und die Firewall schirmt alle nicht verschlüsselten Verbindungen ab.

Was wäre hier der geeignete Weg um eine sichere RDP Verbindung zum Server aufzubauen? RDP alleine scheint mir hier zu unsicher zu sein.
Ich würde mich über ein paar Anregungen freuen, auch falls man es direkt sein lassen sollte.

Danke,
Jan

Content-ID: 441084

Url: https://administrator.de/forum/sichere-rdp-verbindung-ueber-das-internet-441084.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

keine-ahnung
keine-ahnung 15.04.2019 um 12:13:50 Uhr
Goto Top
Moin Kollege,

RDP alleine scheint mir hier zu unsicher zu sein.

das scheint nicht nur so.

Ein VPN baut eine Verbindung zum KV Net auf und die Firewall schirmt alle nicht verschlüsselten Verbindungen ab

????

Ich vermute mal einen safenet-Router? Steht der hinter dem Zyxel-Dingens? Und kann das Zyxel-Dingens selbst VPN? Dann einfach ein VPN zwischen mobile device und dem Zyxel-Dingens bauen und ab geht die Luzie ...

LG, Thomas
goscho
goscho 15.04.2019 um 12:29:08 Uhr
Goto Top
@keine-ahnung

Tach Thomas,
du hast natürlich Recht mit deiner Antwort.

Willst du deinen Nick nicht von @keine-ahnung in @arzt-der-kollegen-die-it-beibringt-(formerly-known-as-keine-ahnung) umbenennen?
St-Andreas
St-Andreas 15.04.2019 um 12:39:55 Uhr
Goto Top
Hallo,


hier sollte nur mit einem abgesicherten VPN gearbeitet werden, in allen anderen Fällen gehst Du ein unkalkulierbares Risiko ein.

EIn VPN ist allerdings keine triviale Sache die man mit 3 Klicks sicher einrichtet, da gehört schon ein wenig mehr dazu.

Ich kann Dir nur raten dies von jemandem machen zu lassen, der dafür auch Verantwortung übernimmt, also einen qualifizierten Dienstleister.
GrueneSosseMitSpeck
GrueneSosseMitSpeck 15.04.2019 um 13:00:11 Uhr
Goto Top
in AWS oder in Azure ein VPC aufbauen, Site to site VPN für die Praxis und point to site für den Client.

Sollte hinreichend sicher sein... Alternative wäre ansonsten nur ne feste IP beim Internet Provider und das VPN dann selbst als point to site zur Verfügung stellen.
keine-ahnung
keine-ahnung 15.04.2019 um 13:15:48 Uhr
Goto Top
@St-Andreas

EIn VPN ist allerdings keine triviale Sache die man mit 3 Klicks sicher einrichtet, da gehört schon ein wenig mehr dazu.

Stimmt. Der vierte Klick ... zumindest wenn man auf LANCOM setzt face-smile

@goscho

Willst du deinen Nick nicht ... umbenennen?

Nö! Du willst den doch nur übernehmen ... face-smile. Is nich ...

LG, Thomas
brammer
brammer 15.04.2019 um 13:18:29 Uhr
Goto Top
Hallo,

Patienten Daten in einer AWS oder Azure?

ich glaube nicht dass das als sicher zu betrachten ist.... und dahin gehören die Daten auch nicht. ...
Den Sinn diese Umweges verstehe ich auch nicht.

Client to Site VPN Verbindung vom Homeoffice Laptop/Rechner auf das Praxisnetz...

brammer
St-Andreas
St-Andreas 15.04.2019 um 13:35:47 Uhr
Goto Top
Zitat von @keine-ahnung:

@St-Andreas

EIn VPN ist allerdings keine triviale Sache die man mit 3 Klicks sicher einrichtet, da gehört schon ein wenig mehr dazu.

Stimmt. Der vierte Klick ... zumindest wenn man auf LANCOM setzt face-smile


Würde ich so nicht unterschreiben.

@goscho

Willst du deinen Nick nicht ... umbenennen?

Nö! Du willst den doch nur übernehmen ... face-smile. Is nich ...

LG, Thomas
keine-ahnung
keine-ahnung 15.04.2019 um 13:43:11 Uhr
Goto Top
@St-Andreas

Würde ich so nicht unterschreiben.

Warum nicht?

Für "normale" Umgebungen reichen die Assistenten des LCOS völlig aus, um sich die Konfigurationen für eine LANCOM-LANCOM-Kopplung oder für iOS bzw. den VPN-client fürs Fensterle in Windeseile zusammenzuklöppeln. Wenn selbst ich das zustande gebracht habe ...

Da steckt man ein paar Mark mehr in die hardware, spart das wieder am Dienstleister ein und jut ist. Auch für die Grundkonfiguration der Router reicht IMHO der Assi aus. Wenn man dann etwas mehr in die Tiefe gehen muss ... dann wird es halt etwas kniffeliger und man muss sich einlesen. Aber das Handbuch zum LCOS ist so schlecht nicht geschrieben ...

LG, Thomas
Lochkartenstanzer
Lochkartenstanzer 15.04.2019 aktualisiert um 14:57:58 Uhr
Goto Top
Zitat von @jktz84:

Was wäre hier der geeignete Weg um eine sichere RDP Verbindung zum Server aufzubauen? RDP alleine scheint mir hier zu unsicher zu sein.
Ich würde mich über ein paar Anregungen freuen, auch falls man es direkt sein lassen sollte.

VPN zum Server (bzw. "HeimNetz") aufbauen und RDP darüber machen.

lks
St-Andreas
St-Andreas 15.04.2019 um 15:00:35 Uhr
Goto Top
Etwas sicher zu betreiben schafft man nicht indem man irgendwelche Assistenten durchklöppelt und gut ist.

Liest Du Dir zumindest die Release notes neuer Versionen durch?
Checkst Du die Logs regelmäßig?
Lochkartenstanzer
Lochkartenstanzer 15.04.2019 um 15:00:37 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:

in AWS oder in Azure ein VPC

Als Arzt in die Cloud? Das verträgt sich nicht mit der Stdandesehre. face-smile

lks
keine-ahnung
keine-ahnung 15.04.2019 um 15:12:42 Uhr
Goto Top
@St-Andreas

Liest Du Dir zumindest die Release notes neuer Versionen durch?

Macht doch keinen Sinn ... ich habe da noch 6'er LCOS laufen, warum soll ich mir da die Beschreibungen vom 10'er release durchlesen???

Checkst Du die Logs regelmäßig?

Natürlich! Regelmässig einmal im Jahr ... dass ist so mühevoll geworden, seit das GUI vor zwei oder drei Jahren ohne jedes Zutun auf chinesisch geswitcht ist. Jetzt muss ich mir das immer rauskopieren und Absatz für Absatz im google-translator übersetzen lassen face-smile . Kostet eine Unmenge an Zeit ... hast Du da eine Abhilfe?

LG aus Fort Meade, Thomas
St-Andreas
St-Andreas 15.04.2019 um 15:19:18 Uhr
Goto Top
Na dann.
GrueneSosseMitSpeck
GrueneSosseMitSpeck 15.04.2019 um 16:01:24 Uhr
Goto Top
Zitat von @brammer:

Hallo,

Patienten Daten in einer AWS oder Azure?

nein nur die Netzanbindung eines Clients oder Supporters auf die Praxissysteme, da hatte ja einer nach nem "sicheren RDP" gefragt. Das ist nicht mehr als ein virtueller Router dessen Ein/Ausgänge per VPN abgesichert sind.

Es gibt keine zertifizierten Systeme für digitale zentraliierte Krankenakten in Deutshcland, vermutlich auch die nächsten 10 Jahre nicht, deshalb ist nur ein sicherer Remotezugriff (am besten mit Multifaktor Login) eine Option... vereinzelt bieten Krankenkassen ein zentrales Gesundheitsmanagement im Einzelfall an, aber dann auch nur auf der krankenkassen-eigenen IT.
goscho
goscho 15.04.2019 um 16:19:04 Uhr
Goto Top
Zitat von @St-Andreas:

Etwas sicher zu betreiben schafft man nicht indem man irgendwelche Assistenten durchklöppelt und gut ist.
Warum denn nicht?
Dafür sind bei Lancom die Assistenten doch da.

Wer mehr braucht, kann sich die eingerichteten Konfigurationen noch verschönern.
jktz84
jktz84 15.04.2019 um 20:26:39 Uhr
Goto Top
Eigentlich trifft sich das ganz gut: durch die TI wird das KV Safenet auch über den Konnektor erreichbar sein. Sprich wir müssten uns sowieso noch eine zusätzliche Hardware Firewall kaufen.

Um es nochmal runterzubrechen: Lancom kaufen, alles blockieren bis auf dezidierte Freigaben, VPN einrichten, Lancom VPN Client auf Laptop installieren und fertig (bezogen auf Sicherheit).


@keine-ahnung Windows Server 2016 läuft mittlerweile im Betrieb... der erste Tag hat tatsächlich ohne Fehler funktioniert ;) .
keine-ahnung
keine-ahnung 15.04.2019 um 20:42:31 Uhr
Goto Top
Sprich wir müssten uns sowieso noch eine zusätzliche Hardware Firewall kaufen.

Besser ist das face-smile

Lancom kaufen, alles blockieren bis auf dezidierte Freigaben, VPN einrichten, Lancom VPN Client auf Laptop installieren und fertig (bezogen auf Sicherheit)

Kommt auf die Bequemlichkeitsansprüche an ... ich habe sowohl dohoam als auch auf Kläge einen Lancom als WAN-Router. Da spar ich mir zu Hause das Gehacke mit dem VPN-client und bin b.B. mit allen Geräten in beiden Netzen. Das ist es mir wert ... ich habe in meinen LTE-Zeiten mal versucht, zwischen einer LTE-Fritte und dem Praxisrouter ein VPN zu basteln ... gruselig. Mit dem LTE-LANCOM stand das in Millisekunden.

Lancom bietet viele presets zum download an, mit denen man Anforderungen an die Router- oder Firewallfunktionen erschlagen bekommt ... hilft auch beim Wirtschaften. Aber man kommt trotzdem nicht auf Dauer drumherum, sich mit dem LCOS auseinanderzusetzen.

LG, Thomas

p.s.: gibt es bezgl. des medidok-update/upgrade news?
jktz84
jktz84 16.04.2019 um 00:38:20 Uhr
Goto Top
Ich hatte mir das vorgestellt mit einem Win Tablet/Laptop auch bei Patientenbesuchen auf die Praxissoftware zugreifen zu können (Mediplan, Medidok Dokumente einsehen ist Gold wert). Insofern bin ich schon auf den Lancom Client angewiesen.

Medidok Update wurde mir noch von einem netten User hier zugespielt ;). Medidok selber hat auf gar nichts reagiert.
goscho
goscho 16.04.2019 um 08:05:52 Uhr
Goto Top
Zitat von @jktz84:

Ich hatte mir das vorgestellt mit einem Win Tablet/Laptop auch bei Patientenbesuchen auf die Praxissoftware zugreifen zu können (Mediplan, Medidok Dokumente einsehen ist Gold wert). Insofern bin ich schon auf den Lancom Client angewiesen.
Moin

Du brauchst nicht unbedingt den Lancom Client, um dich mobil mit dem Lancom Router zu verbinden. Das kann jeder andere IPSEC-VPN-Client auch.
rzlbrnft
rzlbrnft 16.04.2019 aktualisiert um 17:36:26 Uhr
Goto Top
Zitat von @St-Andreas:
Etwas sicher zu betreiben schafft man nicht indem man irgendwelche Assistenten durchklöppelt und gut ist.

Offensichtlich hast du noch nie einen Assistenten bei anständiger Router Hardware gesehen.

Selbst mit ner kostenlosen PFSense ist es ziemlich pillepalle eine sichere Verbindung über OpenVPN hinzubekommen, bei der nur der RDP Port durch geht.

Zitat von @brammer:
Patienten Daten in einer AWS oder Azure?
ich glaube nicht dass das als sicher zu betrachten ist....

Was man bei kleinen Praxen so teilweise an Hardware vorfindet, da ist AWS oder Azure wesentlich sicherer um die Daten zu lagern.
St-Andreas
St-Andreas 16.04.2019 um 17:39:03 Uhr
Goto Top
Doch. Aber die Einrichtung (ob durch Assistenten oder nicht) ist einfach nur der erste Schritt. Einen Zugang zu einem Netzwerk muss man dauerhaft im Blick haben.
Alles andere ist fahrlässig.
jktz84
jktz84 16.04.2019 aktualisiert um 18:42:45 Uhr
Goto Top
Jetzt mal aus unserem Alltag.
Unser altes System wurde uns 2014 von Servicepartnern hingeklatscht. Windows Firewall wurde komplett deaktiviert, Windows Updates deaktiviert (wir waren bis vor kurzem noch auf Stand 2014), Datensicherung sah nur eine Datenbanksicherung vor (so dass schön noch einmal 2 Techniker vorbeikommen können und stundenlang alles neu aufsetzen + Datenverlust einzelner Patientendaten). Dauerhafte Portfreigaben für Fernwartung.
Internetzugang war so gut wie nicht abgesichert.
Gleichzeitig wird einem teilweise, indirekt, eine Änderung der eigenen Software/Hardware verboten.

So viel zum Thema 'im Blick haben'. Ärzte werden von hinten bis vorne abgezogen und mit grauenhaft schlechtem Support abgeklatscht (ich kann nicht für alle Servicepartner sprechen aber zumindest im Bereich NRW haben wir nur schlechte Erfahrungen gemacht). Und wehe man hinterfragt etwas oder wenn man etwas selber in die Hand nimmt.... da beißt man auf Beton und das Kartell klatscht sich wieder in die Hände.
St-Andreas
St-Andreas 16.04.2019 um 18:56:00 Uhr
Goto Top
Kann ich mir gut vorstellen.
Ich hab auch schon meine Erfahrungen mit Dienstleistern die auf Ärzte spezialisiert sind gemacht. Gute waren das nicht.

Aber das ändert nichts an den Tatsachen und daran das es eine Menge guter Dienstleister gibt. Die in der Regel aber nicht eng mit Softwarelieferanten aus dem Arztbereich zusammenarbeiten. Und billig sind von den Guten auch nur die wenigsten.
Vermutlich, und das ist jetzt eine persönliche Vermutung, werden die meisten guten Dienstleister nur wenige Ärzte in ihrem Kundenkreis haben.
Ärzte gelten bei vielen als “schwierige” Kunden.
keine-ahnung
keine-ahnung 16.04.2019 um 19:50:58 Uhr
Goto Top
@St-Andreas

Die IT-Dienstleister in den Praxen müssen i.d.R. auf Gedeih und Verderb mit den Softwarelieferanten zusammenarbeiten, die da PVS i.d.R. bezgl. Installation, Konfiguration, backup-Strategie etc. schlecht bis nicht dokumentiert sind und i.d.R. mit den Quartalsupdates neue oder geänderte Funktionen bekommen. Ergo müssen die sich das Wissen beim Hersteller "einkaufen", etwa über Schulungen und Zertifizierungen.

Das Geld wollen die dann natürlich bei uns wieder abziehen - betriebswirtschaftlich auch irgendwie verständlich.

Wenn da sich nicht zum Teil Leute rumtreiben würden, die im Mediamarkt nicht mal die Einkaufskörbe ordnen dürften ... face-sad

Insofern hat @jktz84 IMHO durchaus Recht - wenn man es sich zutraut, alles selber machen, da begibt man sich nicht in Abhängigkeit und ist im Fall des Falles auch viel effektiver bei der Fehlersuche.

LG, Thomas
St-Andreas
St-Andreas 16.04.2019 um 19:59:06 Uhr
Goto Top
Inwiefern unterscheiden sich Deine Möglichkeit von denen anderer, vom Softwarelieferanten unabhängiger, Administratoren?
jktz84
jktz84 16.04.2019 um 20:18:06 Uhr
Goto Top
@St-Andreas wir machen es auf unser eigenes Risiko. Jeder seriöse IT-Dienstleister wird von vornherein die Finger davon lassen, weil es nicht einmal öffentlich zugängliche Dokumentationen gibt. Außerdem benötigt man für manche Programme zusätzlich Datenbanktemplates um überhaupt die Programme starten zu können.

In der Regel sieht es dann so aus: man kriegt einen Servicepartner von PVS Anbieter zugeteilt. Diese kümmern sich dann um den Erwerb der Hardware als auch Lizenzen. 2x Techniker à 110 Euro / Stunde kommen dann vorbei und bauen alles auf / installieren die Software.
Bei Abrechnung pro Stunde schicken die dann auch gefühlt die schlechtesten Techniker vorbei, ansonsten kann man einen Festpreis von 2000 Euro für die Installation wählen.
Als Bonus kriegt man dann auch noch Ende 2014 einen Server 2008 verkauft (trotz Anfrage nach 2012). Und kann nach 5 Jahren wieder auf ein neues Betriebssystem umsteigen, weil natürlich keine Softwarepflege stattfindet.
Diese Servicepartner sind dann auch im Verlauf für uns zuständig. Natürlich kostenpflichtig per Fernwartung mit 100Euro/Stunde.


Hier mal mein Installationsprotokoll
img_3808
St-Andreas
St-Andreas 16.04.2019 um 20:27:19 Uhr
Goto Top
Ja, kann so laufen und läuft auch oft so ab. Muss aber nicht.
Und nein, nicht jeder seriöse Dienstleister wird die Unterstützung unter diesen Voraussetzungen ablehnen.
keine-ahnung
keine-ahnung 16.04.2019 um 21:08:04 Uhr
Goto Top
Inwiefern unterscheiden sich Deine Möglichkeit von denen anderer, vom Softwarelieferanten unabhängiger, Administratoren?

Ich arbeite tagtäglich mit den von mir genutzten softwares, habe mich da gezielt "eingefummelt" - und habe ohne "Administratoren" nunmehr mehr als zwölf Jahre Praxisbetrieb ohne eine Minute IT-bedingten Praxisausfalls hinter mich gebracht. Ich arbeite "papierlos", alle meine Medizintechnik hängt im LAN, UC-Server tuckert neben dem Exchange etc.pp. Wozu brauche ich da Deiner Meinung nach externe Dienstleister, von denen ich nicht weiss, wann sie kommen, wenn ich sie mal brauche und was sie an meinen Systemen verschlimmbessern können face-wink ?

Hilf Dir selbst, dann hilft Dir Bill ...

LG, Thomas
St-Andreas
St-Andreas 16.04.2019 um 21:12:28 Uhr
Goto Top
Von Dir rede ich auch nicht.
sklchris
sklchris 22.04.2019 um 14:53:16 Uhr
Goto Top
Ich weiß ja nicht wieviele Router und VPN Systeme Du betreust - aber ich hab da soviele Kunden mit VPN und Servern und IT-TK und IT Cam Anlagen und Client-Server Systemen, dass also zumindest ich da nicht mehr nachkomme.

Und gerade seit MS das Windows 10 Chaos ausgelöst hat, jammern die Kunden ja eh schon wegen den deutlich erhöhten Wartungskosten und Aufwand, und das obwohl ich 90% per Fernwartung mache - nachdem ja auch die 1809 zahlreiche Bugs hatte, man teilweise auf 1803 zurück musste, weiß man nicht ob man sich auf die 1903 freuen oder Angst davor haben soll, welche Rechner die dann wieder platt macht.

Wenn ich dann noch ständig von Routern, und Servern usw. die Logs prüfe, und auf Aktualisierungen prüfe, bräuchte ich mind. 1 zusätlichen Mitarbeiter der rein nur das macht - und dazu noch Kunden, die diese Mehrkosten dann auch verstehen.

Ich prüfe das auf meinen Systemen halt "so gut es geht" - also in zusammenhang mit anderen Wartungsarbeiten oder Fehlerbehebungen.