Für unsere SQL Server haben wir eine recht sichere Lösung
Nov. 2025 - Das ist die sogenannte Port-Weiterleitung mit einer Fritz-Box oder einem äquivalenten Router. Denn der eigentliche MS-SQL- Netzwerk-Port darf draußen im Internet nie auftauchen und unsere "Freunde" der aufgehenden Sonne sowie hinter dem Ural sind pfiffig und extrem neugierig.
Darum sind einige Vorsichtsmaßnahmen zu treffen.
.
Die sogenannte Port-Weiterleitung ist genial
In der Fritzbox konfiguriere ich die Weiterleitung einer Portnummer von draußen mit dem Verweis auf eine IPV4 Adresse (unseres Servers) hinter der Fritzbox im lokalen Netz und mit einem dortigen internen Server-Port.
Auch dieser Port braucht nicht der normale MS-SQL Standardport 1433 zu sein. Das bedeutet insgesamt, wir nutzen (spezifizieren) keinen der im Internet überall bekannten Ports irgendwelcher Standard-Dienste. Wir definieren unsere eigene(n) Portnummer(n) - sowohl die von außen als auch die im lokalen Netz.
Alle anderen offenen Ports einer Win10 Umgebung können damit von außen nie gescannt, angebaggert und erreicht werden.
Im Prinzip könnten wir sowohl bei unserem Linux-SQL-Server wie auch bei unserem Win10-SQL-Server die beiden Firewalls abschalten. Es wäre sowieso nur dieser eine spezielle Port offen.
.
Welche Portnummern sind unbedingt zu "meiden" :
In der Fritzbox gibt es eine ziemlich aktuelle Liste von überall bekannten Ports mit den dahinter arbeitenen Diensten. So zum Beispiel der Port 80 für einen http-Webserver und der Port 443 für einen https webserver. Auch der Port 22 für den Konsolenzugang zu einem Server ist allseits bekannt.
Darum hier eine Liste, welche Ports auf keinen Fall von außen erreichbar sein dürfen :
.
FRITZ! Box-Dienste - Übersicht der geöffneten Fritz-Ports
| Geöffnete Ports | Verwendete Protokolle | FRITZJBox-Dienst |
| 9 | UDP {IPV4} | Discard Netzwerkdienst |
| 53 | TCP,UDP (IPv4) | Domain Name Service (DNS) |
| 67 | UDP (IPv4) | Dynamic Host Configuration Protocol (DHCP) |
| 80 | TCP (IPv4) | Zugriff auf die FRITZ! Box Oberfläche (HTTP) |
| 123 | UDP (IPv4) | Zeitsynchronisation (NTP) |
| 443 | TCP (IPv4) | Zugriff auf die FRITZ! Box Oberfläche (HTTPS) |
| 547 | UDP (IPv4) | Dynamic Host Configuration Protocol IPv6 (DHCPv6) |
| 554 | TCP (IPv4) | DVB-C Streaming |
| 1900 | UDP (IPv4) | Simple Service Discovery Protocol (SSDP) |
| 3089 | TCP (IPv4) | Anbieter-Dienste (TR-069) |
| 3132 | TCP (IPv4) | FRITZ! Box Kindersicheru ng - Internetzu gang gesperrt |
| 3134 | TCP (IPv4) | FRITZ! Box Kindersicheru ng - Internetzu gang gesperrt |
| 3136 | TCP (IPv4) | Zugriff auf FRITZ! Box Gastzugang |
| 5060 | TCP,UDP (IPv4) | Telefonie (SIP) |
| 5351 | UDP (IPv4) | Port Control Protocol (PCP) |
| 5353 | UDP (IPv4) | Multicast Domain Name Service (mDNS) |
| 5355 | UDP (IPv4) | LinkLocal Multicast Name Resolution (LLMNR) |
| 7077 | UDP (IPv4) | Telefonie (RTP, RTCP) |
| 8181 | TCP (IPv4) | FRITZ! Box Kindersicherung- Seite gesperrt |
| 8183 | TCP (IPv4) | FRITZ! Box Update Hinweis |
| 8185 | TCP (IPv4) | Gastzugang- Bestätigungsseite |
| 33881 | UDP (IPv4) | DNS Client |
| 33893 | UDP (IPv4) | DNS Client |
| 35855 | UDP (IPv4) | DNS Client |
| 37760 | UDP (IPv4) | DNS Resolver |
| 38023 | UDP (IPv4) | DNS Resolver |
| 39331 | UDP (IPv4) | DNS Client |
| 40019 | UDP (IPv4) | DNS Client |
| 40474 | UDP (IPv4) | DNS Client |
| 40809 | UDP (IPv4) | DNS Client |
| 43321 | UDP (IPv4) | DNS Client |
| 45293 | UDP (IPv4) | Unbenannt |
| 45298 | UDP (IPv4) | DNS Client |
| 46439 | UDP (IPv4) | DNS Client |
| 46552 | UDP (IPv4) | Unbenannt |
| 46887 | UDP (IPv4) | DNS Client |
| 47225 | UDP (IPv4) | DNS Resolver |
| 47574 | UDP (IPv4) | DNS Client |
| 47941 | UDP (IPv4) | DNS Resolver |
| 49000 | TCP (IPv4) | UPnP |
| 49672 | UDP (IPv4) | DNS Client |
| 50678 | UDP (IPv4) | DNS Client |
| 52707 | UDP (IPv4) | DNS Client |
| 53399 | TCP (IPv4) | AVM Mesh |
| 53648 | UDP (IPv4) | Unbenannt |
| 53805 | UDP (IPv4) | AVM Mesh Discovery |
| 56647 | UDP (IPv4) | Unbenannt |
| 58697 | UDP (IPv4) | Unbenannt |
| 60733 | UDP (IPv4) | DNS Client |
Allgemein bekannte Ports in Netzwerken
| Ports am Gerät | Verwendete Protokolle |
| TCP-Port 21 | FTP (File Transfer Protocol) |
| TCP-Port 22 | SSH (Secure Shell) |
| TCP-Port 23 | Telnet (die uralte unverschlüsselte Text-Konsole) |
| TCP-Port 25 | SMTP (Simple Mail Transfer Protocol) |
| TCP- und UDP-Port 53 | DNS (Domain Name System) |
| TCP-Ports 80 und 443 | HTTP und HTTPS – HTTP (Hypertext Transport Protocol) und HTTPS (Hypertext Transport Protocol over SSL) |
| TCP-Port 110 | POP3 – Bekannt als Post Office Protocol |
| TCP-Port 145 | IMAP – Internet Message Access Protocol |
| TCP-Port 81 | häufig als Web-Proxy-Port |
| TCP- und UDP-Port 135, 137, 139 | Windows Remote Procedure Call (RPC) und Windows NetBIOS über TCP/IP |
| TCP-Port 1433 | MS-SQL – Microsoft SQL Server |
| TCP-Port 3306 | MySQL – Kommunikation mit MySQL-Datenbanken |
| TCP-Port 3389 | RDP – Das Remote Desktop Protocol (RDP) |
| TCP-Port 5900 | VNC – VNC für die Fernzugriffsverwaltung - kommuniziert über TCP-Port 5900 und folgende |
.
Es gibt noch mehr Portsdazu - besonders im Mail Bereich
...... die aber alle unterhalb von Port 9999 liegen.
Darum suchen wir uns einen sehr hohen Port oberhalb von 55.000 aus, über den wir von draußen duch die Fritzbox auf unsere(n) MS-SQL Server zugreifen können.
Auch unsere beiden MS-SQL Server Engines erhalten (neben den unterschiedlichen lokalen IP Adressen einen solchen unbenutzten abweichenden Port. Damit haben es die Angreifer schon mal schwer, keine Aufmerksamkeit zu erwecken, wenn sie alle Ports von 22 bis 64.000 durchscannen. Denn das dauert doch eine ganze Weile und es fällt auf, wenn ein und dieselbe fernöstliche IP-Nummer alle Ports (automatisch) abklappert.
Und selbst wenn der Angreifer den (unseren) offenen Port der Fritzbox gefunden hat, muß er noch den genauen Dienst (siehe Tabelle oben) erkunden, der sich hinter dieser Portnummer verbirgt.
Als letztes kommt ein 12 stelliges Passwort nach MS-Vorgaben mit Sonderzeichen usw., das auch noch geknackt werden müsste. Und das alles unerkannt in akzeptablen Zeiten zu bewerkstelligen, ist wirklich nicht mehr trivial und es ist auffällig.
Als letzte Stufe der Sicherheit könnten wir die hereinkomende(n) IP Nummer(n) genau festlegen. Das geht aber nur in Firmennetzen, die solche festen IP-Nummern verfügbar haben und ganz gezielt vergeben. In unseren bundesdeutschen Home-Offices haben wir täglich wechselnde IPV4 Nummern oder aber IPV6 Nummern, wobei es bei diesen IPV6 Eingangsfiltern schon recht aufwendigt wird.
.
Wichtig ist nur, alle anderen offene Ports unserer Server hinter der Fritzbox sind von außen überhaupt nicht sichtbar.
.