Heimarbeit mit Turbomed (RDP oder VPN?)

Sie kommen nicht weiter mit der Software TURBOMED? Sie haben Fragen, Anregungen oder Tipps und Tricks? Dann können Sie hier in den Erfahrungsaustausch treten.

Moderator: Forum Moderatoren

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon gpfeilm » Mittwoch 1. September 2010, 08:56

SO ich habe Dyn-DNS auf dem Server + Tkom Roputer Dyndns zugeordnet -> Folgetag jetzt Mail wegen übermäßiger nutzung geblockt??? Was habe ich da falsch eingerichtte... Bin nun noch gar nicht (Mangels Zeit) weiter in die Materie gekommen, geschweige der Versuch von außen dann einzuloggen..? Was bitte muß ich genau machen? Help.. Ist doch etwas neu für mich

Hmm. DynDNS besteht aus einen Server, der eine symbolische Adresse ("MeinePraxis.dyndns.org") für die sich meist täglich ändernde externe IP-Adresse des Praxis-Routers (z. B. 74.125.43.105) bereitstellt. Dazu gibt es einen DynDNS-Client, der die Aufgabe hat, die externe IP-Adresse zu ermitteln und den DynDNS-Server darüber zu verständigen, wenn sich die Adresse geändert hat. Dann kann man mit seiner Fernwartung immer auf MeinePraxis.dyndns.org verbinden, statt die IP ermitteln zu müssen.

Dieser DynDNS-Server sollte in der Regel (insbesondere bei kostenloser Nutzung) nur bei Änderungen der IP-Adresse und höchstens alle 10 min, mindestens alle knapp 30 Tage kontaktiert werden. D. h. wenn Du schon einen DynDNS-Client im Router integriert hast, brauchst Du keinen Software-DynDNS-Client und umgekehrt. Meist ist ein Software-Client wegen besserer Protokollierung und erweiterten Möglichkeiten dem schlichten Router-Client vorzuziehen. Ich vermute mal, in Deiner Umgebung wurden evtl. beim Testen zuviele Updates mit gleicher IP-Adresse beim DynDNS-Server ausgelöst. Schalte Dein Account auf der Webseite des DynDNS-Anbieters nochmal frei und versuche künftig weniger IP-Updates auszulösen.
Benutzeravatar
gpfeilm
 
Beiträge: 75
Registriert: Dienstag 14. Oktober 2008, 15:01

Veröffentlichen Sie nicht Ihre IP + Praxisnamen !

Beitragvon EWERKER » Donnerstag 2. September 2010, 07:31

Auch wenn Beiträge von TurboMed-Partnern nicht sonderlich beliebt sind in diesem Forum, ich oute mich wenigstens ;-). Möchte trotzdem meine Bedenken äußern:

- VPN immer - ohne "richtigen" Tunnel immer unsicher + illegal (wie auch immer gemacht, siehe BÄK Richtlinie, BSI Richtlinien, ist zumindest ein Haftungsrisiko)
- Ob realvnc, Ultravnc oder xyvnc, blockiert immer einen Desktop, rechtlich nicht abgesichert, Port 5900 steht offen
- RDP nativ per NAT, damit ist der Port 3389 offen, nicht wirklich beruhigend
- DynDNS - damit veröffentlichen Sie ihre IP auf öffentlichen DNS-Servern und sagen auch noch damit: "Bitte mal nachschauen, ich hab hier einen Zugang". DynDNS Adressen werden regelmäßig abgescannt und auf rdp oder vnc Ports abgesucht. Das ist eine tolle Einladung, gerade dann, wenn der Praxisname in der Adresse steht.
- Ein VPN ohne DynDNS Spielchen, ggf. aber auch ohne feste IP über RDP Client (im Tunnel auch noch zusätzlich verschlüsselt) ist eine (technisch und rechtlich) saubere Lösung
- Das geht übrigens auch bei jedem XP, jedem WIN7, sogar ohne Blockierung des dortigen Desktops, ein paar Kunstgriffe sind aber schon nötig
- Mit etwas Geschick klappt dann auch noch der Kartenleser, auch per USB

Möchte nicht verschweigen, dass man eine solche Lösung auch kaufen kann, wenn man sich die Bastelei ersparen will. Werde aber auf den Werbelink verzichten.
Die "Logmein Ignition Lösung" (siehe IPAD) geht übrigens auch ganz gut für einen normalen PC und kostet wohl nichts (oder nicht viel). Zumindest einige Sicherheitsexprten bescheinigen hier ja die Einhaltung technischer und organisatorischer Regeln.

Grüße an die tapferen Forenmitglieder
EWERK Medical Care GmbH
Nutzen Sie unsere Premiumhotline mit Unterstützung aus Kiel! http://turbomed-partner.de/
Benutzeravatar
EWERKER
PowerUser
 
Beiträge: 719
Registriert: Freitag 12. Februar 2010, 12:43
Wohnort: Leipzig

Re: Veröffentlichen Sie nicht Ihre IP + Praxisnamen !

Beitragvon wahnfried » Donnerstag 2. September 2010, 14:58

ewerker hat geschrieben:Auch wenn Beiträge von TurboMed-Partnern nicht sonderlich beliebt sind in diesem Forum, ich oute mich wenigstens ;-).

Grüsse nach Leipzig...

Beiträge von TurboMed-Service-Partnern sind gerne gesehen, wenn sie sachlich etwas beitragen. Das tun Sie, soweit ich das beurteilen kann.

Außerdem: wenn jemand mal ein "DocPortal-Abschalten"-Tool veröffentlicht hatte, solange das so ging, hat der unsere Sympathie...

Grüsse, Wahnfried
Benutzeravatar
wahnfried
PowerUser
 
Beiträge: 3241
Registriert: Freitag 13. Januar 2006, 23:46
Wohnort: Braunschweig

Re: Veröffentlichen Sie nicht Ihre IP + Praxisnamen !

Beitragvon oconnor » Donnerstag 2. September 2010, 15:53

ewerker hat geschrieben:- DynDNS - damit veröffentlichen Sie ihre IP auf öffentlichen DNS-Servern und sagen auch noch damit: "Bitte mal nachschauen, ich hab hier einen Zugang". DynDNS Adressen werden regelmäßig abgescannt und auf rdp oder vnc Ports abgesucht. Das ist eine tolle Einladung, gerade dann, wenn der Praxisname in der Adresse steht.

Wo wird denn bei dyndns meine Adresse veröffentlicht? Gibt es da ein Verzeichnis von allen registrierten Benutzern inclusive deren dyndns Adresse? Oder wie ist diese Aussage zu verstehen?

ewerker hat geschrieben:- Ein VPN ohne DynDNS Spielchen, ggf. aber auch ohne feste IP über RDP Client (im Tunnel auch noch zusätzlich verschlüsselt) ist eine (technisch und rechtlich) saubere Lösung

Wie bekomme ich denn dann die IP Adresse ohne dyndns und ohne feste IP?

ewerker hat geschrieben:Das geht übrigens auch bei jedem XP, jedem WIN7, sogar ohne Blockierung des dortigen Desktops, ein paar Kunstgriffe sind aber schon nötig

RDP ohne Blockierung des dortigen Desktops da würde ich die Kunstgriffe gerne kennenlernen.

Grüße Oconnor
oconnor
 
Beiträge: 50
Registriert: Dienstag 27. März 2007, 17:24

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon schmidt-dietrich » Donnerstag 2. September 2010, 16:53

Dem schliesse ich mich an!
Denn meine TM-Partner Erfahrungen sind da nicth ganz so positiv verlaufen :-)
Praxis Schmidt-Dietrich
Landgraf-Karl-Straße
34 Kassel /Bezirk KV Hessen

___________________________________________________________________________________
ab 01.04.2017: T2med ! CIAO CG-AG.
Benutzeravatar
schmidt-dietrich
 
Beiträge: 746
Registriert: Dienstag 4. November 2008, 21:11
Wohnort: Bezirk KV Hessen: Kassel - 10-Finger-System klappt katastrophal mal wieder ;-) Sorry...

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon imb » Sonntag 5. September 2010, 13:12

Das geht (soweit mir bekannt) nur über die Remoteunterstützung, wo aber jeweils der Nutzer am Client-PC zustimmen muss:
http://www.gruppenrichtlinien.de/index. ... bieten.htm
imb
 
Beiträge: 166
Registriert: Freitag 14. August 2009, 15:14

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon EWERKER » Sonntag 5. September 2010, 18:43

Will die Fragen nur ganz kurz beantworten....

RDP für XP: Für gleichzeitigen RDP Zugriff kann man einige Registry-Einträge umsetzen, was sicher kritisch ist. Man kann aber auch Tools benutzen: http://www.kood.org/terminal-server-patch/
Es gibt aber auch elegante Lösungen, die kommerziell sind.

DynDNS: Einen PC ohne IP und ohne DynDNS zu identifizieren klappt mit T- NAT ( http://en.wikipedia.org/wiki/NAT_traversal ). Dies geht mit mittels einiger OpenSource Techniken, die man im Netz findet. PC-Visit oder Netviewer basieren auf diesem Prinzip oder bauen so den Tunnel auf.

Die Namensgebung ist bei DynDNS schon kritisch. Viele Scanner können die IP mittels "reverse DNS lookup" in einen Namen verwandeln, funktioniert wie DNS , verkehrt herum. Hat man eine Adresse mit einem DynDNS Provider gefunden, der dann noch "PraxisMeier.dyndns.org" heißt, lohnt sich ein Angriff (für einen schlechten Menschen) schon routinemäßig. DynDNS braucht ja nur jemand, der temporär einen Zugang benötigt, insofern ist die Zahl der interessanten Ports auch schon klar. Daher ist es wohl sinnvoll, mit den oben beschriebenen Techniken zu arbeiten. Nebeneffekt: Das rutscht durch (fast) jede Firewall. Man muss quasi am Router gar nichts eintragen oder ändern. Einige KV-Safenetzugänge machen dies übrigens auch so, also grundsätzlich unsicher ist dies wohl nicht. Es ist immer eine Frage des Vertrauens zum Anbieter der Lösung.

Wir nutzen für unseren Server eine kommerzielle Implementierung für T-NAT / VPN und RDP-Server.
EWERK Medical Care GmbH
Nutzen Sie unsere Premiumhotline mit Unterstützung aus Kiel! http://turbomed-partner.de/
Benutzeravatar
EWERKER
PowerUser
 
Beiträge: 719
Registriert: Freitag 12. Februar 2010, 12:43
Wohnort: Leipzig

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon oconnor » Sonntag 5. September 2010, 21:38

ewerker hat geschrieben:DynDNS: Einen PC ohne IP und ohne DynDNS zu identifizieren klappt mit T- NAT ( http://en.wikipedia.org/wiki/NAT_traversal ). Dies geht mit mittels einiger OpenSource Techniken, die man im Netz findet. PC-Visit oder Netviewer basieren auf diesem Prinzip oder bauen so den Tunnel auf.
NAT Traversal ist doch nur dazu da um sich durch das "NAT-Problem" zu "durchbohren" um sozusagen ohne Portforwarding auf die interne IP des Turbomed Rechners zu kommen, so dass dieser als Server funktionieren kann. Aber dadurch bekomme ich doch nicht die DSL IP Adresse!!!Außerdem funktioniert das nicht mit jedem Router und die Firewall muss auch konfiguriert werden. PC-Visit oder Netviewer melden sich bei einem Externen Anbieter an und übermitteln ihre IP Adresse. Der Client fragt bei dem externen Anbieter nach der IP Adresse und kann sich dadurch Beispielsweise per T-NAT verbinden. Aber der ganze Traffic läuft doch dann über den Externen Anbieter! So oder so muss die IP Adresse einem anderen Anbieter übermittelt werden, aber da ist mir Dyndns lieber. Da der Traffic nicht über ihn geht, sondern nur die IP Adresse verrät.

ewerker hat geschrieben:Die Namensgebung ist bei DynDNS schon kritisch. Viele Scanner können die IP mittels "reverse DNS lookup" in einen Namen verwandeln, funktioniert wie DNS , verkehrt herum. Hat man eine Adresse mit einem DynDNS Provider gefunden, der dann noch "PraxisMeier.dyndns.org" heißt, lohnt sich ein Angriff (für einen schlechten Menschen) schon routinemäßig
Natürlich gibt es "reverse DNS lookup" aber diese wandeln doch den Namen nicht in einen dyndns Namen um sondern, zu dem DSL Provider Namen der ungefähr so aussieht "123-456-789-t-online.de" darauf lassen sich dann aber keine Rückschlüsse auf einen dyndns account schließen! Aber den dyndns Namen veröffentlichen oder aller "PraxisMeier.dyndns.org" geben sollte man auf keinen Fall.

ewerker hat geschrieben:Wir nutzen für unseren Server eine kommerzielle Implementierung für T-NAT / VPN und RDP-Server.
Also müssen sich ihre Kunden bei jeder Verbindung auch bei einem "Externen" anmelden. In dem Falle also sie, um eine Verbindung zu ihrer Praxis aufzubauen. Genau das wollen wohl die meißten in diesem Forum hier nicht! Was passiert wenn ihr Server down ist? Anbieter wie dyndns gibts, wie Sand am Meer, falls er mal down gehen sollte!
oconnor
 
Beiträge: 50
Registriert: Dienstag 27. März 2007, 17:24

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon EWERKER » Montag 6. September 2010, 07:25

oconnor hat geschrieben:NAT Traversal ist doch nur dazu da um sich durch das "NAT-Problem" zu "durchbohren" um sozusagen ohne Portforwarding auf die interne IP des Turbomed Rechners zu kommen, so dass dieser als Server funktionieren kann. Aber dadurch bekomme ich doch nicht die DSL IP Adresse!!!Außerdem funktioniert das nicht mit jedem Router und die Firewall muss auch konfiguriert werden. PC-Visit oder Netviewer melden sich bei einem Externen Anbieter an und übermitteln ihre IP Adresse. Der Client fragt bei dem externen Anbieter nach der IP Adresse und kann sich dadurch Beispielsweise per T-NAT verbinden. Aber der ganze Traffic läuft doch dann über den Externen Anbieter! So oder so muss die IP Adresse einem anderen Anbieter übermittelt werden, aber da ist mir Dyndns lieber. Da der Traffic nicht über ihn geht, sondern nur die IP Adresse verrät.


Das stimmt so nicht ganz. Es ist ein Unterschied, ob 1 zertifizierter Anbieter die IP kennt (aber nicht allzuviel damit anfangen kann, weil Ports von außen zu sind), oder ob sie per DynDNS viele Unbekannte kennen könnten, die sehr wohl was damit tun können, weil die Ports offen stehen. Zu einem kostenfreien DNS Anbieter auf den Bahamas, der ggf. nur als "Honigtopf" für interessante Angriffsmöglichkeiten dient, hätte ich weniger Vertrauen, als zu einem vom TÜV zertifizierten Anbieter, der seinen Hals riskiert, wenn was schief geht. Ist Ansichtssache. Wie würde es denn der Staatsanwalt sehen?

Der Traffic geht auch nicht über "Dritte", die Verbindung ist direkt, genau wie über DynDNS, nur eben schon von der Sache her verschlüsselt. Selbst wenn der Datenverkehr über fremde Knoten "relayed" werden würde (PC-Visit macht dies wohl angeblich), was will man mit den verschlüsselten Paketen? Jedenfalls besser als offene Ports vom Router per NAT direkt auf den TurboMed Server, wo jeder herumspielen kann, der die IP kennt. Dabei spielt es letztlich keine Rolle, ob man den Namen "PraxisMeier.dyndns.org" ermittelt hat oder per Portscanner ganze IP Bereiche durchgeht, was bekanntlich auch für Scriptkiddies nur eine Fingerübung ist. Unsicher bleibt unsicher. "Security through obscurity" macht sich jedenfalls für Fernzugriffe über öffentliche (oder öffentlich gemachte) IP Adressen nicht gut.
Übrigens muss man an der Firewall oder am Router nix einstellen. Alle Ports zu. Einige wenige schlaue Admin's, die beide Seiten der Firewall als gleich unsicher betrachten, machen aber auch von innen so zu, dass dies verhindert wird. Dann brauch man aber ein ziemlich ordentliches Teil, denn wenn Port 80 oder 443 dann auch noch zu sind, dann geht kein Internet mehr.
Es bleibt im Grunde dabei: In der Endkonsequenz ist immer eine Vertrauensfrage.
EWERK Medical Care GmbH
Nutzen Sie unsere Premiumhotline mit Unterstützung aus Kiel! http://turbomed-partner.de/
Benutzeravatar
EWERKER
PowerUser
 
Beiträge: 719
Registriert: Freitag 12. Februar 2010, 12:43
Wohnort: Leipzig

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon oconnor » Montag 6. September 2010, 09:45

ewerker hat geschrieben:Das stimmt so nicht ganz. Es ist ein Unterschied, ob 1 zertifizierter Anbieter die IP kennt (aber nicht allzuviel damit anfangen kann, weil Ports von außen zu sind), oder ob sie per DynDNS viele Unbekannte kennen könnten, die sehr wohl was damit tun können, weil die Ports offen stehen. Zu einem kostenfreien DNS Anbieter auf den Bahamas, der ggf. nur als "Honigtopf" für interessante Angriffsmöglichkeiten dient, hätte ich weniger Vertrauen, als zu einem vom TÜV zertifizierten Anbieter, der seinen Hals riskiert, wenn was schief geht. Ist Ansichtssache. Wie würde es denn der Staatsanwalt sehen?
OK da haben sie natürlich recht.
ewerker hat geschrieben:Jedenfalls besser als offene Ports vom Router per NAT direkt auf den TurboMed Server, wo jeder herumspielen kann, der die IP kennt.
Ich wollte nur herausfinden ob die Installation hier halbwegs sicher ist. Offene Ports per NAT für RDP auf dem Turbomed Server ist natürlich ein absolutes NoGo! Ich glaube so hat das auch keiner hier realisiert. Bei uns ist das Portfowarding für VPN auf einem Router hinter dem DSL Router der sich nur um das VPN kümmert, erst mit richtigem Zertifikat kommt man weiter. Natürlich wurde nicht der Standard Port genutzt, was aber nicht ausschließt das jemand den gesamten Port Bereich scannt. Aber ohne Zertifikat kommt da ein Angreifer auch nicht weiter.
oconnor
 
Beiträge: 50
Registriert: Dienstag 27. März 2007, 17:24

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon H.Hinrichs » Montag 13. September 2010, 17:50

Also mit VPN wirst meiner Erkenntnis nach keine Probleme bekommen.
Ist sicher eine gute Kombination, und sollte auch einwandfrei funktionieren. Viel Erfolg!
H.Hinrichs
 
Beiträge: 4
Registriert: Montag 13. September 2010, 16:53

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon Doc_Milde » Montag 17. Januar 2011, 16:45

Hallo ewerker,

Ihr Beitrag " . . . Mit etwas Geschick klappt dann auch noch der Kartenleser, auch per USB"
hatte mich neugierig gemacht und veranlaßt, unsere Zweigpraxis per VPN und RDP mit der Hauptpraxis zu verbinden, um so das jeweilige Übertragen der "PraxisDB" von der Haupt- auf die Zweig- Praxis und umgekehrt zu ersparen.
Auf allen PC's läuft WinXP prof.
Die Verbindung klappt ohne Probleme, auch können nun Rezepte auf dem (parallelen) Zweigpraxis-Drucker gedruckt werden.
ABER ... unser USB-Kartenlesegerät "Cherry ST-2052 eGK-Leser" ist im RDP-Betrieb nicht zur Zusammenarbeit zu bewegen, obwohl es bislang mit TM als Einzelplatz (Zweigpraxis) richtig funktionierte.
Hat Jemand das Problem schon einmal gelöst oder eine Idee, bzw. wo fehlt mir das Geschick?

Viele Grüße
Doc_Milde
 
Beiträge: 3
Registriert: Sonntag 17. Oktober 2010, 09:45

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitragvon Max1234 » Montag 23. April 2018, 17:24

USB ist immer eine gute Wahl, obwohl der Kartenleser sich wohl in Zukunft auch mit dem WLAN verbinden kann
Max1234
 
Beiträge: 1
Registriert: Montag 23. April 2018, 17:20

Vorherige

Zurück zu TURBOMED

Wer ist online?

Mitglieder in diesem Forum: mschiller und 35 Gäste

    rechtliche Hinweise - Disclaimer

    Impressum:

    EWERK Medical Care GmbH
    Postadresse: Markt 16, 04109 Leipzig

    Telefon: 0341 4264977
    Fax: 0341 4264978
    Web: www.ewerk.com
    E-Mail: forum@med-support.de

    Geschäftsführer: Frank Richter, Ingo Günther
    Amtsgericht Leipzig HRB 20896