HÄVG-Prüfmodul – Hilfestellung

Inhaltsverzeichnis

Grundsätzliches
Systemvoraussetzungen
Anpassungen beim HÄVG-Prüfmodul ab 2021-Q2
Logging
Ticket erstellen
Firewall-Einstellungen
Falscherkennung als Virus/Malware/etc.
Besonderheit macOS-Installation
Hilfestellung für Experten
HÄVG-Prüfmodul Analyse-Tool
Anregungen


Wichtig

Wir haben hier für unsere Partner verschiedene Hilfethemen zusammengestellt.

Wenn Sie trotz der unten stehenden Informationen nicht weiterkommen, können Sie uns gerne eine E-Mail an haevgpruefmodul@haevg-rz.de senden.

Grundsätzliches

Das HÄVG-Prüfmodul muss auf einem Rechner mit Zugriff auf https://ssl.abrechnungsrouter.haevg-rz.de und einem funktionierenden HZV Online Key installiert werden. Wird ein Konnektor verwendet, ist der Zugriff auf https://abrechnung.haevg-rz.de notwendig.

Bei der Teilnahme an der eAV (ehemals ITV) muss ein funktionierender HZV Online Key vorhanden und der Zugriff auf https://itv.haevg-rz.de möglich sein.

Das installierte HÄVG-Prüfmodul darf nicht über das öffentliche Internet erreichbar sein!

Weitere Informationen entnehmen Sie bitte der Dokumentation: Jedem HÄVG-Prüfmodul liegt ein Entwicklerhandbuch, eine Kurzanleitung und eine Schnittstellendokumentation bei.

Systemvoraussetzungen

Die aktuellen Systemvoraussetzungen umfassen:

Microsoft Windows:
Microsoft Windows 8.1 oder höher
Microsoft Windows Server 2012 mit SP1 oder höher

Microsoft Windows Server 2008 R2 und Microsoft Windows 7 werden seit Januar 2020 nicht mehr unterstützt.

Linux:
Debian 9
Ubuntu 16.04, Ubuntu 18.04

Apple macOS:
OS X 10.9 bis 10.11
macOS 10.12 bis 10.15

Anpassungen beim HÄVG-Prüfmodul ab 2021-Q2

Ab 2021-Q2 haben wir architektonische Anpassungen am Produkt vorgenommen, um die Sicherheit, Stabilität und die Performance zu verbessern.

Für den Betrieb ergeben sich ganz offensichtliche Änderungen, so werden z.B. zwei Prozesse gestartet.

Windows Task Manager

Hier wird unterschieden zwischen dem HÄVG-Prüfmodul (Prozess: HaevgRZ.Hpm.Starter.exe) und dem HÄVG-Prüfmodul Kern (Prozess: hpm.exe), dies ist eine neue Komponente zur sicheren Kommunikation.

Der Datenfluss wird vom HÄVG-Prüfmodul durch den HÄVG-Prüfmodul Kern geführt und dann sicher ins Internet weitergeleitet.

Dieses Verhalten kann in der InstallConfig.xml des HÄVG-Prüfmoduls mit den folgenden Schaltern gesteuert werden:

  1. 1. Die Verwendungs des Kern erlauben
    <BenutzeHpmKern>true</BenutzeHpmKern> (Default: true)
  2. 2. Die Wahl der Ports vom Kern
    <HpmKernPort>22230</HpmKernPort> (Default: 22230)

Das neue HÄVG-Prüfmodul Analyse-Tool wurde dahingehend angepasst, hier wird auch nach dem HÄVG-Prüfmodul Kern Prozess geprüft wird.

Logging

Der Speicherort der Logdateien ist abhängig vom Betriebssystem. Der Dateiname lautet HPM.log (früher Hpm.Log.xml).

Ab HPM 2021 Q2 gibt es parallel noch die Datei hpm_kern.log.

Windows

C:\ProgramData\HÄVG Rechenzentrum AG\HÄVG-Prüfmodul\HPM.log

Linux

/usr/share/HÄVG_Rechenzentrum_AG/HÄVG-Prüfmodul/

macOS

/usr/local/share/HÄVG_Rechenzentrum_AG/HÄVG-Prüfmodul/

Beispiel anhand von Windows

Inhalt des HÄVG-Prüfmodul-Ordners unter ProgramData

Mit Powershell kann man den Inhalt der Log-Dateien wie folgt betrachten:

Get-Content "C:\ProgramData\HÄVG Rechenzentrum AG\HÄVG-Prüfmodul\*.log" -Tail 0 -Wait -Encoding UTF8
Powershell -Ausgabe nach Start des HÄVG Prüfmoduls und einer Konnektivitätsprüfung über die Infoseite.

Über die Infoseite des HÄVG-Prüfmoduls können die Log-Dateien als Zip-Archiv gespeichert werden.

HÄVG-Prüfmodul Infoseite
Das Archiv beinhaltet alle Log-Dateien

Ticket erstellen

Wenn Sie ein Ticket an haevgpruefmodul@haevg-rz.de senden, stellen Sie uns bitte folgende Informationen zur Verfügung:

  1. 1. HÄVG-Prüfmodul: Version
  2. 2. Betriebsystem: Name und Version (z.B. Windows 10 Enterprise 1809)
  3. 3. Verbindungsart: HZV Online Key oder Konnektor
  4. 4. HZV Online Key: BSNR, Seriennummer und zeitliche Gültigkeit
  5. 5. Bei Verbindungsproblemen die öffentliche IP-Adresse
  6. 6. (Gezippte) Log-Dateien
  7. 7. Schritte, um das Problem zu reproduzieren
  8. 8. Ergebnisse der durchgeführten Analysen


Firewall-Einstellungen

Wichtige Einstellungen für den Praxis-Betrieb:

Ausgehender Datenverkehr

HZV Online Key
Host: ssl.abrechnungsrouter.haevg-rz.de und itv.haevg-rz.de
Port: 443
Protokoll: HTTPS

Wenn vorhanden wird hier der Proxy des Hosts verwendet, ein Umschlüsselung von TLS wird jedoch nicht unterstützt.

Konnektor
Host: abrechnung.haevg-rz.de
Port: 443
Protokoll: HTTPS

Konnektivität über TCP Connect prüfen

Die Erreichbarkeit des Endpunktes lässt sich wie folgt auf den verschiedenen Plattformen testen.

Windows
# Dies ist ein PowerShell-Beispiel
Test-NetConnection -ComputerName ssl.abrechnungsrouter.haevg-rz.de -Port 443
# Erwartet: "TcpTestSucceeded : True"

Frühere Powershell-Versionen kennen das Cmdlet Test-NetConnection nicht, hier muss Telnet verwendet werden.

Linux
nc -v -z ssl.abrechnungsrouter.haevg-rz.de 443
# Erwartet: Connection to ssl.abrechnungsrouter.haevg-rz.de port 443 [tcp/https] succeeded!
macOS
nc -v -z ssl.abrechnungsrouter.haevg-rz.de 443
# Erwartet: Connection to ssl.abrechnungsrouter.haevg-rz.de port 443 [tcp/https] succeeded!

Sollten Sie den Endpunkt mit dem Browser testen wollen, wird diese Verbindung mit dem Fehler ERR_BAD_SSL_CLIENT_AUTH_CERT abgebrochen.

Eingehender Datenverkehr

Das HÄVG-Prüfmodul öffnet für die Kommunikation innerhalb der Praxis den Port 22220. Die Entwickler- und Schnittstellendokumentation können Hersteller im Downloadbereich herunterladen.

Port: 22220 (oder abweichend, siehe Config.xml)
Protokoll: HTTP 

# Dies ist ein PowerShell-Beispiel
Test-NetConnection -ComputerName 127.0.0.1 -Port 22220
# Erwartet: "TcpTestSucceeded : True"

Falscherkennung als Virus/Malware/etc.

Unsere Installer für Windows sind signiert, d.h. unter dem Reiter “Digitale Signaturen” kann überprüft werden, ob diese Datei vom HÄVG Rechenzentrum signiert worden ist. Ab HPM 2020 Q2 werden hier stärkere Signaturalgorithmen verwendet.

Dateieigenschaften des Installers

Ist eine digitale Signatur des HÄVG Rechenzentrums vorhanden, handelt es sich definitiv nicht um schadhafte Software.

Des Weiteren werden zu jeder Datei zusätzlich die Prüfsummen in SHA-256 veröffentlicht.

Besonderheit macOS-Installation

Bei der Installation auf macOS Systemen muss das HÄVG Prüfmodul zusätzliche Rechte erhalten um auf USB Speichergeräte zugreifen zu können. Siehe dazu das Entwicklerhandbuch auf Seite 5 “Erweiterte Berechtigungen der Mono Laufzeitumgebung.”

Hilfestellung für Experten

HTTP.sys Einstellungen

Reservierte URL            : http://+:22220/
    Benutzer: \Jeder
        Abhören: Yes
        Delegieren: No
        SDDL: D:(A;;GX;;;WD)

Reservierte URL            : http://localhost:22220/
    Benutzer: \Jeder
        Abhören: Yes
        Delegieren: No
        SDDL: D:(A;;GX;;;WD)

Erstellen einer umfangreichen Log-Datei

Für eine tiefgehende Analyse benötigen wir eine Übersicht aller Zugriffe des HÄVG-Prüfmoduls und dessen Installer auf die verschiedenen Ressourcen des Computers.

Mit dem Tool “Process Monitor” (Procmon.exe) von SysInternals (Microsoft) können diese einfach erfasst werden.

Da das Tool mit Administrator-Rechten ausgeführt werden muss, sollte man vor dem Starten immer die digitalen Signaturen der Installer prüfen.

Beim Starten des Tools wird man aufgefordert, Filter einzurichten. Hier bitte die folgenden Filter eingeben:

  1. “Process Name contains HaevgRZ” (Filter fürs HÄVG-Prüfmodul)
  2. “Process Name contains hpm” (Filter für den HÄVG-Prüfmodul Kern)
  3. “Process Name contains Haevg_Pruefmodul” (Filter für den Installer)

Das Ausführen ist sehr ressourcenintensiv. Mit Ctrl + E kann die Aufzeichnung pausiert werden.

Wenn die Aufzeichnung abgeschlossen ist, muss das Ergebnis als PML-Datei gespeichert werden. Es empfiehlt sich, diese Datei zu komprimieren.

Umgebungsvariablen

Durch das setzen von Umgebungsvariabeln kann ab HPM 2020 Q2 das Verhalten vom HPM angepasst werden. Dazu die entsprechende Umgebungsvariabel im Betriebssystem setzen oder eine .env Datei neben die hpm.exe, hpm.app oder hpm. bin legen.

# Mit dieser .env Datei kann das Verhalten vom HPM gesteuert werden. 
# Der Funktionsumfang wird stetig weiterentwickelt und auf https://www.haevg-rz.de/haevg-pruefmodul-hilfestellung/ dokumentiert.

# OptIn für Telemetry (Nur für Test-Instanzen verwenden!)
# HPM_TelemetryAccept = true 

# Proxy Adresse 
# HPM_Proxy = http://localhost:8888

HÄVG-Prüfmodul Analyse-Tool

Wir stellen Ihnen hier ein Tool zur Verfügung, mit dem Sie grundlegende Analysen durchführen können.

Dieses Tool ist aktuell kompiliert für Windows 64 / 32 Bit, Linux 64 / 32 Bit sowie MacOS 64 Bit und ARM 64 Bit ab der Version 10.12.

Es erfolgt keinerlei Datenerfassung, deshalb sind wir auf einen Screenshot der Ausgabe angewiesen.

Die Dokumentation liegt im Zip-Archiv bereit.

HÄVG-Prüfmodul Analyse-Tool

Zip-Archiv: HpmAnalyseTool.zip (Beinhaltet das Tool für Windows, Linux und macOS)
Signatur: HpmAnalyseTool.zip.minisig

Die Dateiintegrität ist mit einer Ed25519 Signatur gewährleistet, zum Überprüfen der Signatur nutzen Sie das Tool minisign. Zusätzlich sind die Windows-Dateien mit dem Code-Signing Zertifikat 2f6d7a05c6a3cf7682f5b230f13cd71f9eebed4f signiert.

minisign.exe -V -m HpmAnalyseTool.zip -P RWTKQPJTILubVJRZkRf50ToJxQfcTlPnW40t+iJN2ceh9G10lW0wPBES

Erwartete Ausgabe: “Signature and comment signature verified”

HÄVG RZ Public Ed25519 Schlüssel:
RWTKQPJTILubVJRZkRf50ToJxQfcTlPnW40t+iJN2ceh9G10lW0wPBES

Screenshot

Typischer Screenshot aus unserem Testlabor vom HÄVG Analyse Tool in der Version 1.2.4

Anregungen

Wenn Sie Anregungen zu dieser Seite haben, wenden Sie sich bitte an haevgpruefmodul@haevg-rz.de.

Rückrufservice wir melden uns !

Sie möchten, dass wir Sie zurückrufen? Schicken Sie uns einfach Ihre Telefonnummer und wir rufen Sie so bald wie möglich zurück.