Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Arztpraxis absichern

Frage Sicherheit

Mitglied: teddi86

teddi86 (Level 1) - Jetzt verbinden

19.10.2009 um 17:59 Uhr, 7949 Aufrufe, 17 Kommentare

Ich betreue nebenher eine Arztpraxis und stehe jetzt vor folgendem Problem.

In der Praxis gibt es:

1 x Windows SBS 2003
5 x Client Windows XP PRO

Nun soll einer der 5 Clienten Zugang zum Internet bekommen. Der Rest der Praxis soll Internet freie Zone bleiben.
Meine Idee zur Absicherung ist folgende:

In den Client an der Anmeldung baue ich eine 2. Netzwerkkarte ein. Diese wird als einzige mit dem Router verbunden. Die portfreigaben beschränke ich auf das nötigste. Sind zusätzlich noch AV und FW nötig oder langt die FW vom Router schon aus? Oder hat jemand nen Tipp wie man es ander/besser machen könnte?

Danke schon mal:

P.S. Bin noch in der Ausbildung
Mitglied: maretz
19.10.2009 um 18:15 Uhr
Moin,

generell ist das schonmal eine gute Möglichkeit wie man alle anderen Rechner aussperren kann...

Bitte aber dann daran denken auf dem Rechner mindestens nen (aktuellen & guten!) Virenscanner zu installieren. Wenn du es ganz optimal machen möchtest - und die verwendete SW das zulässt - dann gibst du demjenigen der an dem Rechner arbeitet auch Lokal nur Benutzerrechte (damit ist auch ein großes Stück Sicherheit gewonnen - da nicht jeder 08/15-Feld-Wald-Wiesen-Trojaner sich installieren kann). Wenn du dann noch möglichst sichere Software verwendest (Firefox als Browser - nein, nicht weil der jetzt immer sicherer ist sondern da der nicht so tief wie der IE im System integriert ist... Damit können Schadroutinen nicht ganz so einfach auf OS-Funktionen zugreiffen!) dann steht dem ganzen nichts mehr im Wege... Moment -> eins noch: Selbstverständlich sollte die Person *ausdrücklich* darüber informiert werden das Programme wie P2P-Tauschbörsen usw. auf dem Rechner NICHTS verloren haben. Notfalls mit dem Arzt die klare Richtlinie aufstellen das der Internet-Zugang NUR Beruflich genutzt werden darf...
Bitte warten ..
Mitglied: dog
19.10.2009 um 18:17 Uhr
Ich würde tendenziell eher zum ISA Server greifen (wenn du schon SBS hast).
Der Webproxy und Firewallclient ermöglicht auf der einen Seite eine viel granularere Kontrolle der Berechtigungen.
Und auf der anderen Seite kann man weitere Module hinzufügen (z.b. GFI WebMonitor oder avast Server zur Virenfilterung).

Allerdings nützt die beste Firewall nichts, wenn man aus ihr einen Schweizer Käse macht

Grüße

Max
Bitte warten ..
Mitglied: ollembyssan
19.10.2009 um 18:35 Uhr
Hallo teddi86,

hast du auf dem DNS-Server eine Weiterleitung eingerichtet? - Höchstwahrscheinlich, dann schließ deinen einzelnen PC ruhig am Router an, damit die restlichen PC's über die Weiterleitung ins Netz kommen - schebbert's?

Du kannst den Clients doch einfach die IP des Standard-Gateways entziehen oder das ganze per DHCP-Server regeln.

Gruß,
Ole
Bitte warten ..
Mitglied: teddi86
19.10.2009 um 18:54 Uhr
Also ne Weiterleitung gibts glaube ich nicht! Durch die 2. Netzwerkkarte denke ich nicht, dass die anderen Rechner per Weiterleitung ins Netz kommen. Sind ja dann eigentlich 2 getrennte Netze. Ich kann den anderen Clienten doch nicht einfach die IP des Standard-Gateways entziehen?? Dann klappt doch die Kommunikation mit dem Server garnicht mehr?? Also ich glaube die Variante von Maretz gefällt mir am besten. Mit ISA kenne ich mich leider garnicht aus....
Bitte warten ..
Mitglied: ollembyssan
19.10.2009 um 19:25 Uhr
Also hast du wohl am Client den Server nicht als DNS-Server angegeben und am Server keine Weiterleitung eingerichtet,
dann erspare ich mir lieber weitere Kommentare

Gruß,
Ole
Bitte warten ..
Mitglied: SamTrex
19.10.2009 um 20:44 Uhr
Hallo teddi86,
welche Version des SBS hast du - Standard oder Premium?
Bei der Premium Version ist der ISA mit dabei, welchen ich wie dog, dafür empfehlen würde.

Gruß Sam
Bitte warten ..
Mitglied: StefanKittel
20.10.2009 um 00:54 Uhr
Hallo,

du solltest eines nicht ganz außen vor lassen.
Evtl. ist es sicherer und stabilder alle ans Netz zu lassen.

a) (Windows)-Updates.
Ich kenne mindestens eine Zahnarztsoftware (die Nr. 3 der Rangliste) welche nicht stabil funktioniert wenn einige PCs aktueller als andere sind.
Die Software stürzt dann einfach häufig ab.

b) Evtl. gibt es Dateien die für den Internet PC keine Gefahr darstellen (durch AV und Updates) für den Rest des Netzwerkes schon. Da reicht schon solch eine Datei auf einem Netzwerklaufwerk.

Die Grundausstattung in den meisten Praxen (die ich kenne)
1) Ein AV Programm auf allen PCs und dem Server (wenn vorhanden)
2) Aktuelle Updates (automatisch) und alle 6 Monate manuell was nicht automatisch kam
3) Router mit NAT (siehe 4))
4) Das "Problem" mit unerlaubten surfen mit klaren Ansagen verbieten oder erlauben. Technisches lösen ist aufwendig und nie 100%

Stefan
Bitte warten ..
Mitglied: itMike
23.10.2009 um 10:32 Uhr
Hallo,
hatte so einen Ähnlichen Fall mal.

Wie arbeiten die User lokal? (werden Daten auf die Platte geschrieben & müssen diese vorgehalten werden)
Oder arbeiten Sie direkt auf dem Server.

Sonst könntest du eine Pc-Wächter Karte einbauen.
Bei jedem Reboot werden die gespeicherten Einstellungen zurückgesetzt.

Ich würde auf jedenfall es so machen.
Natürlich NEtzwerkabsicherung und IT-Richtlien beachten. (wie meine vorredner erwäht haben)

Gruß

Mike
Bitte warten ..
Mitglied: lifeadmin
26.10.2009 um 10:31 Uhr
Wie schauts denn mit dem Router aus?
Bei manchem Router lassen sich dort die Clients vom Internet ausperren ...
Bitte warten ..
Mitglied: curlybiggelow
29.10.2009 um 10:45 Uhr
Die anderen Clients vom Internet aussperren heisst doch wohl, dass die nicht mehr gepatcht werden können. DAS IST KEINE GUTE IDEE ! Sobald auch nur ein einziger PC eine Internetverbindung hat (über welches Netz auch immer), ist automatisches patchen ALLER Units eine Grundvorraussetzung für den sicheren Betrieb des gesamten Netzes !

Ich empfehle den Betrieb eines zentralen Gateways (die gibt es auch kostenlos z.B. Untangle). Darüber lässt sich sehr fein steuern, wer was mit seiner Workstation darf.

Eine preiswerte und sichere Alternative wäre noch, eine völlig isoliert aufgebaute Workstation mit Internetzugang und Schutzmechanismus (Linux z.B.). Dann kann man das 'Zahnarzt-Netz' so lassen, wie es ist (never change a running system !)
Bitte warten ..
Mitglied: lifeadmin
29.10.2009 um 11:27 Uhr
Die Sperre auf dem Router läßt sich ja fürs Wartungsfenster zum Patchen meist mit einem einfachen Häkchen wieder rausnehmen.

Bei manchem Router kann man zu diesem Zweck auch eine zeitliche Einschränkung machen und so
z.B. Internetzugang nur zum Patchday für ne Stunde außerhalb der Bürozeit öffnen.
Bitte warten ..
Mitglied: curlybiggelow
29.10.2009 um 11:47 Uhr
Bei manchem Router kann man zu diesem Zweck auch eine zeitliche
Einschränkung machen und so
z.B. Internetzugang nur zum Patchday für ne Stunde
außerhalb der Bürozeit öffnen.


Tja, wenn das Windows-System denn das einzige wäre, was zu patchen ist und dann noch alle Patches zur gleichen Zeit kämen - aber so wie sich heute die Realität darstellt, ist der Patchvorgang ein kontinuierlicher Prozess. Deshalb gibt es in Rechenzentren ja so etwas wie das Patch-Management - also H-Ressourcen, die diesen Vorgang meist DV-gestützt, im Ganzen aber meist manuell betreiben. Deshalb ist das keine wirklich zu empfehlende Lösung.
Bitte warten ..
Mitglied: lifeadmin
29.10.2009 um 12:44 Uhr
teddi86 schreibt hierzu:
->
In der Praxis gibt es:

1 x Windows SBS 2003
5 x Client Windows XP PRO

Nun soll einer der 5 Clienten Zugang zum Internet bekommen. Der Rest der Praxis soll Internet freie Zone bleiben.
<-

Also nix Linux, nix großes Netzwerk und RZ.

Die Updates der "offline" Clients könnten auch durch den SBS 2003 mit einer WSUS Installation bedient werden.
Gleiches gilt für das verteilen von VS Patternfiles.
Bitte warten ..
Mitglied: lifeadmin
29.10.2009 um 12:48 Uhr
Noch nichts vom WSUS Server gehört ?
Bitte warten ..
Mitglied: curlybiggelow
30.10.2009 um 08:14 Uhr
Aber genau das ist doch das Problem (siehe oben). Wenn du auch nur einem EINZIGEN Client den Internetzugang freischaltest, ist dieser Client das Einfallstor, über den alle anderen zumindest auf Protokollebene ebenfalls erreicht werden können. Da sich die anderen Geräte physikalisch im selben Netz befinden, nützen logische Barrieren nur wenig (Internetfreie Zone gibt es dann nicht mehr).

Deshalb fährst du nur dann ein sicheres LAN (wie klein es auch immer sei), wenn ALLE anderen Geräte des selben physikalischen Verbundes auf dem selben Sicherheitsniveau liegen - und da sind die Windows-Flicken noch das geringere Problem. Die wirkungsvollsten Angriffe werden heute über veraltete Flash-plugins, Quicktime-Codecs, Java-Versionen und andere Sauereien gefahren - und versuch die doch mal über WSUS auf dem neuesten Stand zu halten !

Für ein zentrales Webgateway wie Untangle z.B. werden keine Linux-Kenntnisse benötigt - nur ein bischen Routing über eine Weboberfläche und eine alte ausrangierte Hardwareplattform für 100 €uro ( 1 GHz - 1 GB reicht schon). So etwas betreibe ich z.B. zu Hause für 5 PCs in einem Heimnetzwerk und ich denke nicht, dass das nicht der Bedrohungslage angemessen ist.

Für ein beruflich genutztes Netzwerk, in dem auch gesetzlich besonders geschützte Sozialdaten (SGB VIIII - Patientendaten) gespeichert werden, halte ich das für das absolute Minimum an Vorsorge, denn die Verantwortlichen haften mit Ihrem Privatvermögen (bis 500.000 euro) für Schäden, die durch Unterlassung adäquater Sicherheitsmassnahmen entstehen. Ich kann niemandem ernsthaft raten ein solches Risiko einzugehen. Schon mal gar nicht, wenn man das nur 'im Auftrag' für jemand anderen verantwortet.

Im Lichte dieser Gefahrenlage würde ich Teddy86 den Betrieb einer Internet-Insellösung empfehlen. Die ist für ein paar hundert Euro zu haben und muss auch nicht unbedingt auf Linux basieren (wäre nur besser für die Carbol-Miezen geeignet).
Bitte warten ..
Mitglied: StefanKittel
30.10.2009 um 08:49 Uhr
Moin...

wenn man stückchen weiterschaut, kommt man eh nicht daran vorbei das gesamte Netzwerk ins Internet zu stellen.

Ich arbeite für viele Zahnärzte in Norddeutschland.
In Hamburg ist es zur Zeit so, dass die Onlineabrechnung start fossiert wird.
Sobald die Gesundheitskarte eingeführt wurde (ca. Mitte/Ende 2010), wird die 2. Stufe (Rezept auf der Karte) eingeführt. Dafür ist zwingend eine Onlineanbindung des PCs auf dem die Abrechnungssoftware läuft erforderlich.
Ich werden die Abrechnungsstellen dann Abrechnungen nur noch Online akzeptieren.
Das Thema mit digitalen Röntgenbildern und sonstigen Arztunterlagen kommt ja noch dazu.

Das auf einem abgetrennten PC auszuführen, heißt dass man wegen jedem Rezept mit einem USB Stick hin- und herlaufen muss. Außerdem ist damit die physikalische Trennung unterbrochen.

Bei keinem unserer Kunden gab es jemals ein Virenproblem.
Die Verbindung von aktuell gepflegten PCs (mit 2x im Jahr machen wird dort updates und images) mit einem guten AV-Programm (z.B. NOD32) und klaren Vorgaben reduziert das Sicherheitsrisiko auf fast 0.

Das ist ein Einbruch das deutlich größere Risiko und da werden ja auch keine vergitterten Fenster eingebaut

Stefan
Bitte warten ..
Mitglied: lifeadmin
30.10.2009 um 09:49 Uhr
Ein Webgateway zusätzlich ist eine feine Sache.
Allerdings liegt der Aufwand weniger bei der HW als bei der anfänglichen Einführung (d.h. im wesentlichen Überzeugung der MA) und späteren Kontrolle und Wartung.

Bei der Einrichtung ist der technische Aufwand am geringsten.
Denn zunächst muß die Internetüberwachung bei den MA durchsetzt werden:

Es müßte mit den MA geregelt werden, daß Sie Internet nur für berufliche Zwecke benutzen
dürfen und eine Überwachung der Internetaktivitäten bedarf Ihrer Zustimmung. (Ich meine das nicht im Sinne des gesetzlichen Rahmen !)
(Als Selbständiger habe ich gelernt, wie wichtig die Stimmung in einem Unternehmen für den Erfolg sein kann!)

Oft ist dies auch ein kritischer Punkt bzgl. Arbeitsplatzqualität (bzw. Vertrauensfrage)
und wird sich in vielen Fällen nur dann durchsetzen lassen, wenn vorher Überzeugungsarbeit in Form
von Seminaren und Sicherheitsschulungen geleistet wird.

Um sich nicht auf dieses Glatteis begeben zu müssen, reicht den meisten Chefs, wenn sie eine FW haben
und eine zusätzliche Absicherung der Clients durch Mail+Virenscanner, lokalen Firewall und ggf. Spywarescanner bzw. Guard (zB. Spybot search und Destroy) und Beschränkung der Benutzerrechte erfolgt.

Die meisten Firmenscanner bieten inzwischen auch die Möglichkeit Updates über einen lokalen Server zu erhalten. Außerdem lassen sich bei bedarf Flash und Co. durch Gruppenrichtlinien in der Windowsdomäne,
bzw. durch lokale Richtlininien aussperren.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Debian
Debian 8.6 Absichern? (11)

Frage von Motte990 zum Thema Debian ...

Windows Server
gelöst RDS Optimal absichern (6)

Frage von Remoteserverneuling zum Thema Windows Server ...

Entwicklung
Vorhandene Uralt-Anwendung absichern (3)

Frage von iceget zum Thema Entwicklung ...

Outlook & Mail
Outlook 2016 - Wie getrennte Konten am besten absichern !? (4)

Frage von Estefania zum Thema Outlook & Mail ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...