UTM Lösung

Hallo Sicherheitsexperten,

Ich betreibe in meiner Zahnarztpraxis ein kleines Netzwerk mit 4 Computern unter Windows XP.
Einer der Rechner hat zusätzlich über eine zweite Netzwerkkarte Verbindung mit dem Internet (über Draytek Router).

Unsere Kassenzahnärztliche Vereinigung sieht die Verbindung eines Praxiscompters mit dem Internet nur über einen Router kritisch. Deshalb suche ich nach einer Lösung, die die Internetanbindung sicherer macht. Dabei bin ich auf UTM Systeme z.B. Draytec VigorPro 5510 oder TERRA Firewall „Black Dwarf“ gestoßen.

Wie ist die Schutzwirkung dieser Systeme im Vergleich zur üblichen Kombination Router + Windows-Firewall/Virenscanner auf dem PC zu bewerten?

Viele Grüße
Christian

hallo,

in solchen system hab ich immer ne kvm lösung genutzt, das war ideal

hth

Hallo,
Meinst Du mit KVM eine virtuelle Maschine, in der der Internetzugriff abläuft?
Wenn ja, glaube ich nicht, dass das bei mir geht, weil ich von zuhause aus über VPN auf den Rechner will und dann an Zugriff auf die Praxisdaten brauche. Wenn ich über die VM aber auf die Praxisdaten zugreifen kann, habe ich auch wieder das Sicherheitsrisiko, oder?

Viele Grüße Christian

Praxisnetz und internet ist ein no go, vor allem wenn man scheinbar keine ahnung hat!

für das internet wird ein extra rechner hingestellt, mit dem gesurft werden kann. alles andere ist, mit so begrenzten fähigkeiten, nicht hinnehmbar!

Hallo,
Das ein separater Rechner die sicherste Lösung ist, ist mir durchaus klar.

Übrigens: Ich versuche hier zu den Themen, in denen ich einen Wissensvorsprung habe, auch höflich und informativ zu antworten. Es wäre schön wenn Du dies auch beherzigen würdest.

Viele Grüße christian

Wie ist die Schutzwirkung dieser Systeme im Vergleich zur
üblichen Kombination Router + Windows-Firewall/Virenscanner
auf dem PC zu bewerten?

Ein Router mit NAT verteilt den internen Rechnern „private“ IP-Adressen, die vom Internet nicht angesprochen werden können.
Nur der Router besitzt eine vom Provider zugewiesene, öffentliche IP-Adresse. Empfängt der Router Daten vom Internet, wird immer überprüft, ob ein interner PC sie auch tatsächlich angefordert hat.
Anderenfalls werden die Daten nicht weitergeleitet.

Ein zusätzlicher Vorteil von NAT besteht darin, dass mehrere Benutzer gleichzeitig über einen normalen Internetanschluss surfen können.
Für den Provider ist nicht ersichtlich, wie viele Rechner hinter dem Router aufs Internet zugreifen.

Eine Firewall-Lösung ist gegenüber einem Router mit zusätzlichen Funktionen wie Stateful-Inspection, Abwehr von Denial-of-Service-Attacken und VPN ausgerüstet.

Stateful-Inspection bietet eine noch höhere Sicherheit als das NAT eines Routers. Daten aus dem Internet gelangen nur durch die Firewall, wenn sie Teil einer vom Benutzer initialisierten Session sind.

Firewalls lassen sich auf vielfältige Art an den gewünschten Einsatzzweck anpassen. Für den professionellen Einsatz wird eine VPN-Firewall dringend empfohlen. Die Terra-Lösung ist schon nicht schlecht.

Noch als Nachtrag:

Praxis-PC´s sollten zudem immer mit einer guten, stehts aktuellen Antivir-/Antispy-Software geschützt werden. z.B. von Sophos.

Weiteres Augenmerk sollte darauf gelegt werden, kein WLAN (oder nur mit höchster Verschlüsselung) zu verwenden.

Bei XP sollte das neueste Servicepack und alle verfügbaren Updates installiert worden sein (vorher unbedingt mit Software-Lieferant der Praxis-SW abstimmen).

Viele Viren schleichen sich einfach durch unachtsame Mitarbeiter ein die Mails von unbekannten Absendern/mit unbekannten Inhalten zu leichtfertig öffnen. Hier hilft nur die Mitarbeiter-Sensibilisierung/Schulung

Gleiches gilt über für mitgebrachte CD´s, USB-Sticks u.ä., über die sich sowohl Schadsoftware (ungewollt) einschlechen kann, als auch Patientendaten superschnell rauswandern können. Hier schafft eine Port-Control-Software Abhilfe.

Letztendlich helfen noch regelmäßige und vollständige Backups, die nicht in der Praxis aufbewahrt werden.
Nichts ist ärgerlicher als morgens in die Praxis zu kommen und die gesamte EDV + Backups haben Beine bekommen und sind des Nachts rausgewandert.

mfg

Stateful-Inspection bietet eine noch höhere Sicherheit als das NAT eines Routers. Daten aus dem Internet gelangen nur durch die Firewall, wenn sie Teil einer vom Benutzer initialisierten Session sind.
Für den professionellen Einsatz wird eine VPN-Firewall dringend empfohlen.

Dem stimme ich uneingeschränkt zu.

Wenn man mal genauere Informationen einholt, dann findet man genau diese Features mittlerweile auch in „gewöhnlichen“ 100 Euro-Routern.
DGL-4100 beispielsweise.

lg, mabuse

Hallo,
Meinst Du mit KVM eine virtuelle Maschine, in der der
Internetzugriff abläuft?
Wenn ja, glaube ich nicht, dass das bei mir geht, weil ich von
zuhause aus über VPN auf den Rechner will und dann an Zugriff
auf die Praxisdaten brauche. Wenn ich über die VM aber auf die
Praxisdaten zugreifen kann, habe ich auch wieder das
Sicherheitsrisiko, oder?

Ja. Das VPN muss einfach super dicht sein.
Ich habe einen Kumpel, der hat ne KO Praxis und der greift über zwei VPN Router von zu Hause auf den Praxis PC zu.
Das sind Router von Lancom, die - so habe ich das verstanden - vor jedem VPN Verbindungsaufbau kurz eine ISDN Verbindung untereinander machen und sich so „verabreden“. Zudem wechseln die alle paar Minuten den Verschlüsselungscode. Der Techniker, der das eingerichtet hat, sagte mir: „Das ist ein IPSEQ Tunnel. Geben sie mir einige Super-Computer oder ein großes Bot-Netz und einige Tage Zeit, dann knacke ich das. Dumm nur, dass alle paar Minuten der Schlüssel gewechselt wird. Nach momentanen Erkenntnissen absolut sicher.“

Als Zusatz läuft der Praxis-Router (dass der eine Firewall mit stateful inspection, DoS,… hat ist klar) über einen Teleswitch. Das ist eine schaltbare Steckdose, die durch einen Anruf auf einer bestimmten Nummer und Eingabe eines Codes aktiviert wird. So ist der Praxiscomputer nur am Internet, wenn es auch benötigt wird.

Hallo,
Eine ähnliche Lösung hab ich zur Zeit auch. Die UTM Lösungen versprechen halt noch mehr Schutz, weil z.B. der Virenscanner schon im Router läuft und automatisch vom Hersteller gepflegt wird.
Die Frage ist, ob das ein mehr an Sicherheit bringt. Kosten tuts auf jeden Fall mehr!

Grüße Christian