Heimarbeit mit Turbomed (RDP oder VPN?)

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
imb
Beiträge: 166
Registriert: Freitag 14. August 2009, 16:14
14

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitrag von imb »

Das geht (soweit mir bekannt) nur über die Remoteunterstützung, wo aber jeweils der Nutzer am Client-PC zustimmen muss:
http://www.gruppenrichtlinien.de/index. ... bieten.htm
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitrag von EXEWERKER »

Will die Fragen nur ganz kurz beantworten....

RDP für XP: Für gleichzeitigen RDP Zugriff kann man einige Registry-Einträge umsetzen, was sicher kritisch ist. Man kann aber auch Tools benutzen: http://www.kood.org/terminal-server-patch/
Es gibt aber auch elegante Lösungen, die kommerziell sind.

DynDNS: Einen PC ohne IP und ohne DynDNS zu identifizieren klappt mit T- NAT ( http://en.wikipedia.org/wiki/NAT_traversal ). Dies geht mit mittels einiger OpenSource Techniken, die man im Netz findet. PC-Visit oder Netviewer basieren auf diesem Prinzip oder bauen so den Tunnel auf.

Die Namensgebung ist bei DynDNS schon kritisch. Viele Scanner können die IP mittels "reverse DNS lookup" in einen Namen verwandeln, funktioniert wie DNS , verkehrt herum. Hat man eine Adresse mit einem DynDNS Provider gefunden, der dann noch "PraxisMeier.dyndns.org" heißt, lohnt sich ein Angriff (für einen schlechten Menschen) schon routinemäßig. DynDNS braucht ja nur jemand, der temporär einen Zugang benötigt, insofern ist die Zahl der interessanten Ports auch schon klar. Daher ist es wohl sinnvoll, mit den oben beschriebenen Techniken zu arbeiten. Nebeneffekt: Das rutscht durch (fast) jede Firewall. Man muss quasi am Router gar nichts eintragen oder ändern. Einige KV-Safenetzugänge machen dies übrigens auch so, also grundsätzlich unsicher ist dies wohl nicht. Es ist immer eine Frage des Vertrauens zum Anbieter der Lösung.

Wir nutzen für unseren Server eine kommerzielle Implementierung für T-NAT / VPN und RDP-Server.
EX EWERKER :-)
oconnor
Beiträge: 63
Registriert: Dienstag 27. März 2007, 18:24
17

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitrag von oconnor »

ewerker hat geschrieben:DynDNS: Einen PC ohne IP und ohne DynDNS zu identifizieren klappt mit T- NAT ( http://en.wikipedia.org/wiki/NAT_traversal ). Dies geht mit mittels einiger OpenSource Techniken, die man im Netz findet. PC-Visit oder Netviewer basieren auf diesem Prinzip oder bauen so den Tunnel auf.
NAT Traversal ist doch nur dazu da um sich durch das "NAT-Problem" zu "durchbohren" um sozusagen ohne Portforwarding auf die interne IP des Turbomed Rechners zu kommen, so dass dieser als Server funktionieren kann. Aber dadurch bekomme ich doch nicht die DSL IP Adresse!!!Außerdem funktioniert das nicht mit jedem Router und die Firewall muss auch konfiguriert werden. PC-Visit oder Netviewer melden sich bei einem Externen Anbieter an und übermitteln ihre IP Adresse. Der Client fragt bei dem externen Anbieter nach der IP Adresse und kann sich dadurch Beispielsweise per T-NAT verbinden. Aber der ganze Traffic läuft doch dann über den Externen Anbieter! So oder so muss die IP Adresse einem anderen Anbieter übermittelt werden, aber da ist mir Dyndns lieber. Da der Traffic nicht über ihn geht, sondern nur die IP Adresse verrät.
ewerker hat geschrieben:Die Namensgebung ist bei DynDNS schon kritisch. Viele Scanner können die IP mittels "reverse DNS lookup" in einen Namen verwandeln, funktioniert wie DNS , verkehrt herum. Hat man eine Adresse mit einem DynDNS Provider gefunden, der dann noch "PraxisMeier.dyndns.org" heißt, lohnt sich ein Angriff (für einen schlechten Menschen) schon routinemäßig
Natürlich gibt es "reverse DNS lookup" aber diese wandeln doch den Namen nicht in einen dyndns Namen um sondern, zu dem DSL Provider Namen der ungefähr so aussieht "123-456-789-t-online.de" darauf lassen sich dann aber keine Rückschlüsse auf einen dyndns account schließen! Aber den dyndns Namen veröffentlichen oder aller "PraxisMeier.dyndns.org" geben sollte man auf keinen Fall.
ewerker hat geschrieben:Wir nutzen für unseren Server eine kommerzielle Implementierung für T-NAT / VPN und RDP-Server.
Also müssen sich ihre Kunden bei jeder Verbindung auch bei einem "Externen" anmelden. In dem Falle also sie, um eine Verbindung zu ihrer Praxis aufzubauen. Genau das wollen wohl die meißten in diesem Forum hier nicht! Was passiert wenn ihr Server down ist? Anbieter wie dyndns gibts, wie Sand am Meer, falls er mal down gehen sollte!
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitrag von EXEWERKER »

oconnor hat geschrieben:NAT Traversal ist doch nur dazu da um sich durch das "NAT-Problem" zu "durchbohren" um sozusagen ohne Portforwarding auf die interne IP des Turbomed Rechners zu kommen, so dass dieser als Server funktionieren kann. Aber dadurch bekomme ich doch nicht die DSL IP Adresse!!!Außerdem funktioniert das nicht mit jedem Router und die Firewall muss auch konfiguriert werden. PC-Visit oder Netviewer melden sich bei einem Externen Anbieter an und übermitteln ihre IP Adresse. Der Client fragt bei dem externen Anbieter nach der IP Adresse und kann sich dadurch Beispielsweise per T-NAT verbinden. Aber der ganze Traffic läuft doch dann über den Externen Anbieter! So oder so muss die IP Adresse einem anderen Anbieter übermittelt werden, aber da ist mir Dyndns lieber. Da der Traffic nicht über ihn geht, sondern nur die IP Adresse verrät.
Das stimmt so nicht ganz. Es ist ein Unterschied, ob 1 zertifizierter Anbieter die IP kennt (aber nicht allzuviel damit anfangen kann, weil Ports von außen zu sind), oder ob sie per DynDNS viele Unbekannte kennen könnten, die sehr wohl was damit tun können, weil die Ports offen stehen. Zu einem kostenfreien DNS Anbieter auf den Bahamas, der ggf. nur als "Honigtopf" für interessante Angriffsmöglichkeiten dient, hätte ich weniger Vertrauen, als zu einem vom TÜV zertifizierten Anbieter, der seinen Hals riskiert, wenn was schief geht. Ist Ansichtssache. Wie würde es denn der Staatsanwalt sehen?

Der Traffic geht auch nicht über "Dritte", die Verbindung ist direkt, genau wie über DynDNS, nur eben schon von der Sache her verschlüsselt. Selbst wenn der Datenverkehr über fremde Knoten "relayed" werden würde (PC-Visit macht dies wohl angeblich), was will man mit den verschlüsselten Paketen? Jedenfalls besser als offene Ports vom Router per NAT direkt auf den TurboMed Server, wo jeder herumspielen kann, der die IP kennt. Dabei spielt es letztlich keine Rolle, ob man den Namen "PraxisMeier.dyndns.org" ermittelt hat oder per Portscanner ganze IP Bereiche durchgeht, was bekanntlich auch für Scriptkiddies nur eine Fingerübung ist. Unsicher bleibt unsicher. "Security through obscurity" macht sich jedenfalls für Fernzugriffe über öffentliche (oder öffentlich gemachte) IP Adressen nicht gut.
Übrigens muss man an der Firewall oder am Router nix einstellen. Alle Ports zu. Einige wenige schlaue Admin's, die beide Seiten der Firewall als gleich unsicher betrachten, machen aber auch von innen so zu, dass dies verhindert wird. Dann brauch man aber ein ziemlich ordentliches Teil, denn wenn Port 80 oder 443 dann auch noch zu sind, dann geht kein Internet mehr.
Es bleibt im Grunde dabei: In der Endkonsequenz ist immer eine Vertrauensfrage.
EX EWERKER :-)
oconnor
Beiträge: 63
Registriert: Dienstag 27. März 2007, 18:24
17

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitrag von oconnor »

ewerker hat geschrieben:Das stimmt so nicht ganz. Es ist ein Unterschied, ob 1 zertifizierter Anbieter die IP kennt (aber nicht allzuviel damit anfangen kann, weil Ports von außen zu sind), oder ob sie per DynDNS viele Unbekannte kennen könnten, die sehr wohl was damit tun können, weil die Ports offen stehen. Zu einem kostenfreien DNS Anbieter auf den Bahamas, der ggf. nur als "Honigtopf" für interessante Angriffsmöglichkeiten dient, hätte ich weniger Vertrauen, als zu einem vom TÜV zertifizierten Anbieter, der seinen Hals riskiert, wenn was schief geht. Ist Ansichtssache. Wie würde es denn der Staatsanwalt sehen?
OK da haben sie natürlich recht.
ewerker hat geschrieben:Jedenfalls besser als offene Ports vom Router per NAT direkt auf den TurboMed Server, wo jeder herumspielen kann, der die IP kennt.
Ich wollte nur herausfinden ob die Installation hier halbwegs sicher ist. Offene Ports per NAT für RDP auf dem Turbomed Server ist natürlich ein absolutes NoGo! Ich glaube so hat das auch keiner hier realisiert. Bei uns ist das Portfowarding für VPN auf einem Router hinter dem DSL Router der sich nur um das VPN kümmert, erst mit richtigem Zertifikat kommt man weiter. Natürlich wurde nicht der Standard Port genutzt, was aber nicht ausschließt das jemand den gesamten Port Bereich scannt. Aber ohne Zertifikat kommt da ein Angreifer auch nicht weiter.
H.Hinrichs
Beiträge: 3
Registriert: Montag 13. September 2010, 17:53
13
Kontaktdaten:

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitrag von H.Hinrichs »

Also mit VPN wirst meiner Erkenntnis nach keine Probleme bekommen.
Ist sicher eine gute Kombination, und sollte auch einwandfrei funktionieren. Viel Erfolg!
Doc_Milde
Beiträge: 3
Registriert: Sonntag 17. Oktober 2010, 10:45
13

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitrag von Doc_Milde »

Hallo ewerker,

Ihr Beitrag " . . . Mit etwas Geschick klappt dann auch noch der Kartenleser, auch per USB"
hatte mich neugierig gemacht und veranlaßt, unsere Zweigpraxis per VPN und RDP mit der Hauptpraxis zu verbinden, um so das jeweilige Übertragen der "PraxisDB" von der Haupt- auf die Zweig- Praxis und umgekehrt zu ersparen.
Auf allen PC's läuft WinXP prof.
Die Verbindung klappt ohne Probleme, auch können nun Rezepte auf dem (parallelen) Zweigpraxis-Drucker gedruckt werden.
ABER ... unser USB-Kartenlesegerät "Cherry ST-2052 eGK-Leser" ist im RDP-Betrieb nicht zur Zusammenarbeit zu bewegen, obwohl es bislang mit TM als Einzelplatz (Zweigpraxis) richtig funktionierte.
Hat Jemand das Problem schon einmal gelöst oder eine Idee, bzw. wo fehlt mir das Geschick?

Viele Grüße
Max1234
Beiträge: 1
Registriert: Montag 23. April 2018, 18:20
5

Re: Heimarbeit mit Turbomed (RDP oder VPN?)

Beitrag von Max1234 »

USB ist immer eine gute Wahl, obwohl der Kartenleser sich wohl in Zukunft auch mit dem WLAN verbinden kann
Antworten

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot], Semrush [Bot] und 50 Gäste