Nov. 2025 - Server im Internet verfügbar halten, eine ernsthafte Aufgabe. Eine Lösung ist die sogenannte Port-Weiterleitung durch eine Fritz-Box hindurch oder mit einem äquivalenten Router. Denn der eigentliche MS-SQL- Netzwerk-Port darf draußen im Internet nie auftauchen und unsere "Freunde" der aufgehenden Sonne sowie hinter dem Ural sind pfiffig und extrem neugierig und vor allem, es sind viele, die nur Böses und nichts Gutes im Sinn haben.
Darum hier einige Vorsichtsmaßnahmen, die wir treffen.
.
Hinter jeder IP-Nummer verbergen sich bis zu 64.000 Ports, die einzelnen Diensten zugeordnet sind. Ein solcher Port ist zum Beispiel die Nummer 1433, hinter der sich der MS-SQL- Serverdienst verbirgt.
In der IPV4-Adresse der Fritzbox konfiguriere ich deshalb die Weiterleitung einer beliebigen Portnummer "von draußen" ..... mit dem Verweis auf eine lokale IPV4 Adresse (z.B. unseres SQL-Servers) hinter der Fritzbox im lokalen Netz und mit einem dortigen internen Server-Port.
Auch dieser lokale Server-Port braucht nicht der normale MS-SQL Standardport 1433 zu sein. Das bedeutet insgesamt, wir nutzen (spezifizieren) keinen der im Internet überall bekannten Ports irgendwelcher Standard-Dienste. Wir definieren unsere eigene(n) Portnummer(n) - sowohl die von außen nach drinnen als auch die Ports im lokalen Netz.
Alle anderen offenen Ports einer Win10 Umgebung zum Beispiel können damit von außen nie gescannt, angebaggert und erreicht werden.
Im Prinzip "könnten" wir sowohl bei unserem Linux-SQL-Server wie auch bei unserem Win10-SQL-Server die beiden Firewalls abschalten. Es wäre sowieso nur jeweils dieser eine spezielle (unser) Port offen.
.
In der Fritzbox gibt es eine ziemlich aktuelle Liste von überall bekannten Ports mit den dahinter arbeitenen Diensten. So zum Beispiel leitet der Port 80 die Anfragen auf einen "http"-Webserver und der Port 443 auf einen "https"-Webserver. Auch der Port 22 für den Zugang zu der Text-Konsole auf einem Server ist allseits bekannt.
Darum hier eine Liste, welche Ports auf keinen Fall von außen erreichbar sein dürfen :
.
| Geöffnete Ports |
Verwendete Protokolle |
FRITZJBox-Dienst |
| 9 |
UDP {IPV4} |
Discard Netzwerkdienst |
| 53 |
TCP,UDP (IPv4) |
Domain Name Service (DNS) |
| 67 |
UDP (IPv4) |
Dynamic Host Configuration Protocol (DHCP) |
| 80 |
TCP (IPv4) |
Zugriff auf die FRITZ! Box Oberfläche (HTTP) |
| 123 |
UDP (IPv4) |
Zeitsynchronisation (NTP) |
| 443 |
TCP (IPv4) |
Zugriff auf die FRITZ! Box Oberfläche (HTTPS) |
| 547 |
UDP (IPv4) |
Dynamic Host Configuration Protocol IPv6 (DHCPv6) |
| 554 |
TCP (IPv4) |
DVB-C Streaming |
| 1900 |
UDP (IPv4) |
Simple Service Discovery Protocol (SSDP) |
| 3089 |
TCP (IPv4) |
Anbieter-Dienste (TR-069) |
| 3132 |
TCP (IPv4) |
FRITZ! Box Kindersicheru ng - Internetzu gang gesperrt |
| 3134 |
TCP (IPv4) |
FRITZ! Box Kindersicheru ng - Internetzu gang gesperrt |
| 3136 |
TCP (IPv4) |
Zugriff auf FRITZ! Box Gastzugang |
| 5060 |
TCP,UDP (IPv4) |
Telefonie (SIP) |
| 5351 |
UDP (IPv4) |
Port Control Protocol (PCP) |
| 5353 |
UDP (IPv4) |
Multicast Domain Name Service (mDNS) |
| 5355 |
UDP (IPv4) |
LinkLocal Multicast Name Resolution (LLMNR) |
| 7077 |
UDP (IPv4) |
Telefonie (RTP, RTCP) |
| 8181 |
TCP (IPv4) |
FRITZ! Box Kindersicherung- Seite gesperrt |
| 8183 |
TCP (IPv4) |
FRITZ! Box Update Hinweis |
| 8185 |
TCP (IPv4) |
Gastzugang- Bestätigungsseite |
| 33881 |
UDP (IPv4) |
DNS Client |
| 33893 |
UDP (IPv4) |
DNS Client |
| 35855 |
UDP (IPv4) |
DNS Client |
| 37760 |
UDP (IPv4) |
DNS Resolver |
| 38023 |
UDP (IPv4) |
DNS Resolver |
| 39331 |
UDP (IPv4) |
DNS Client |
| 40019 |
UDP (IPv4) |
DNS Client |
| 40474 |
UDP (IPv4) |
DNS Client |
| 40809 |
UDP (IPv4) |
DNS Client |
| 43321 |
UDP (IPv4) |
DNS Client |
| 45293 |
UDP (IPv4) |
Unbenannt |
| 45298 |
UDP (IPv4) |
DNS Client |
| 46439 |
UDP (IPv4) |
DNS Client |
| 46552 |
UDP (IPv4) |
Unbenannt |
| 46887 |
UDP (IPv4) |
DNS Client |
| 47225 |
UDP (IPv4) |
DNS Resolver |
| 47574 |
UDP (IPv4) |
DNS Client |
| 47941 |
UDP (IPv4) |
DNS Resolver |
| 49000 |
TCP (IPv4) |
UPnP |
| 49672 |
UDP (IPv4) |
DNS Client |
| 50678 |
UDP (IPv4) |
DNS Client |
| 52707 |
UDP (IPv4) |
DNS Client |
| 53399 |
TCP (IPv4) |
AVM Mesh |
| 53648 |
UDP (IPv4) |
Unbenannt |
| 53805 |
UDP (IPv4) |
AVM Mesh Discovery |
| 56647 |
UDP (IPv4) |
Unbenannt |
| 58697 |
UDP (IPv4) |
Unbenannt |
| 60733 |
UDP (IPv4) |
DNS Client |
| Ports am Gerät |
Verwendete Protokolle |
| |
|
| TCP-Port 21 |
FTP (File Transfer Protocol) |
| TCP-Port 22 |
SSH (Secure Shell) |
| TCP-Port 23 |
Telnet (die uralte unverschlüsselte Text-Konsole) |
| TCP-Port 25 |
SMTP (Simple Mail Transfer Protocol) |
| TCP- und UDP-Port 53 |
DNS (Domain Name System) |
| TCP-Ports 80 und 443 |
HTTP und HTTPS – HTTP (Hypertext Transport Protocol) und HTTPS (Hypertext Transport Protocol over SSL) |
| TCP-Port 110 |
POP3 – Bekannt als Post Office Protocol |
| TCP-Port 145 |
IMAP – Internet Message Access Protocol |
| TCP-Port 81 |
häufig als Web-Proxy-Port |
| TCP- und UDP-Port 135, 137, 139 |
Windows Remote Procedure Call (RPC) und Windows NetBIOS über TCP/IP |
| TCP-Port 1433 |
MS-SQL – Microsoft SQL Server |
| TCP-Port 3306 |
MySQL – Kommunikation mit MySQL-Datenbanken |
| TCP-Port 3389 |
RDP – Das Remote Desktop Protocol (RDP) |
| TCP-Port 5900 |
VNC – VNC für die Fernzugriffsverwaltung - kommuniziert über TCP-Port 5900 und folgende |
...... die aber alle unterhalb von Port 9999 liegen.
Darum suchen wir uns für unsere SQL-Verbindung einen sehr hohen Port oberhalb von 55.000 aus, über den wir von draußen duch die Fritzbox hindurch auf unsere(n) MS-SQL- Server zugreifen können.
Auch unsere beiden MS-SQL Server Engines (im lokalen Netzwerk) erhalten (neben den unterschiedlichen lokalen IP Adressen) einen solchen unbenutzten abweichenden Port.
Damit haben es die Angreifer schon mal schwer, keine Aufmerksamkeit zu wecken, wenn sie alle Ports meist ab Port 22 bis 64.000 durch-scannen. Denn das dauert doch eine ganze Weile und es fällt auf, wenn ein und dieselbe fernöstliche IP-Nummer alle Ports (automatisch) abklappert.
Und selbst wenn der Angreifer den (unseren) offenen Port der Fritzbox gefunden hat, muß er noch den genauen Dienst (siehe Tabelle oben) erkunden, der sich hinter dieser Portnummer verbirgt. Er muß die Dienste durchscannen. Auch das dauert.
Als letztes kommt ein 12 stelliges Passwort nach MS-Vorgaben mit Sonderzeichen usw., das auch noch geknackt werden müsste. Und das alles (also diese voneinander abhängigen Scans) unerkannt in akzeptablen Zeiten zu bewerkstelligen, ist wirklich nicht mehr trivial und es ist vor allem sehr auffällig.
Als letzte Stufe der Sicherheit könnten wir die hereinkomende(n) IP Nummer(n) genau festlegen, auf die die SQL-Engine überhaupt antworten soll. Das geht aber nur in Firmennetzen, die solche festen IP-Nummern verfügbar haben und die IPV4 Nummern ganz gezielt vergeben. In unseren bundesdeutschen Home-Offices haben wir täglich wechselnde IPV4- Nummern oder aber IPV6- Nummern, wobei es bei diesen IPV6 Eingangsfiltern schon recht aufwendig wird.
.
Wichtig ist nur, alle anderen offenen Ports unserer lokalen Server hinter der Fritzbox sind von außen überhaupt nicht sichtbar.
.
