T-Online schickt mir Sicherheitshinweis wg. SQL Server

[MichaelH.]

T-Mobile hat mir folgende E-Mail geschrieben:

Sehr geehrte Kundin,
sehr geehrter Kunde,

zu Ihrem Internetzugang haben wir Hinweise auf eine Sicherheitslücke
erhalten, die einen Angriff auf Ihr System und einen Missbrauch Ihres
Systems für Angriffe auf Dritte ermöglicht. Ersteres gefährdet
gegebenenfalls die Integrität und Authenzität Ihrer Daten.

Konkret geht es hier um einen offenen MS-SQL-Server mit einer
Sicherheitslücke, die das Ausspionieren Ihres lokalen Netzes und den
Missbrauch Ihres Internetzugangs durch Dritte für sogenannte 'UDP
Amplification Attacks' ermöglicht. Anhand der uns zugesendeten Daten
haben wir Ihren Internetzugang ermittelt:

IP-Adresse: 93.XXX.XXX.XXX
Zeitpunkt: 20.05.2015, 09:16:37 (MESZ)
Angaben zum Server: Version: 11.0.5058.0, Servername: XXXXXXX,
Instanzenname: COMBIT, Aplification: 8.44

Mit dem NETBIOS-Namen des Rechners sollte sich dieser leicht
lokalisieren lassen. Die im Folgenden wiedergegebene, ausführlichere
Beschreibung stammt vom CERT-Bund (https://www.cert-bund.de):

=====================================================================
|MS-SQL ist der SQL-Server von Microsoft, welcher einen Browserdienst
|mitbringt, der standardmäßig auf Port 1434/udp lauscht [1].
|Wird der Zugriff aus dem Internet auf diesen Dienst nicht unterbunden,
|können Angreifer dies ausnutzen, um Informationen über das Netzwerk
|auszuspähen, in dem der SQL-Server betrieben wird. Weiterhin kann
|der Dienst für DDoS-Amplification-Angriffe missbraucht werden.
|
|Empfehlung von Microsoft:
|"Mit dem SQL Server-Browser-Dienst können Benutzer ohne Kenntnis
| der Portnummer Verbindungen mit Instanzen von Database Engine
| (Datenbankmodul) herstellen, die nicht den Port 1433 überwachen.
| Wenn Sie SQL Server-Browser verwenden möchten, müssen Sie UDP-Port
| 1434 öffnen. Um eine möglichst sichere Umgebung zu erzielen,
| lassen Sie den SQL Server-Browser-Dienst beendet, und konfigurieren
| Sie die Clients so, dass sie Verbindungen mithilfe der Portnummer
| herstellen müssen." [2]
|
|Referenzen:
|
|[1] Microsoft: SQL Server-Browserdienst
| <https://technet.microsoft.com/library/ms181087(v=sql.105).aspx>
|[2] Microsoft: Konfigurieren einer Windows-Firewall für
| Datenbankmodulzugriff
| <https://msdn.microsoft.com/de-de/library/ms175043.aspx>
=====================================================================

Benötigen Sie weitere Informationen zu dieser Sicherheitswarnung,
antworten Sie uns einfach auf diese E-Mail und lassen den Betreff
unverändert, damit wir Ihre Nachricht richtig zuordnen können. Bitte
berücksichtigen Sie, dass wir keinen technischen Support leisten können.

Falls Sie unsere Antworten und gegebenenfalls weitere
Sicherheitswarnungen an eine abweichende E-Mail-Adresse zugestellt
haben möchten, können Sie im E-Mail Center (https://email.t-online.de)
unter 'Menü' / 'Einstellungen' / 'Weiterleitung' die gewünschte
E-Mail-Adresse als Ziel eingeben.
An die 't-online.de'-Adresse gesendete E-Mails werden dann in das von
Ihnen präferierte Postfach zugestellt und können von dort aus
bearbeitet werden.

Mit freundlichen Grüßen

Was habe ich falsch konfiguriert?

Der SQL-Server soll ja von außen ansprechbar sein.

 

[Tumbleweed]

Mal von außen einen Portscan auf den angegebenen Port gemacht? Ist anscheinend offen. Läuft der Server in deinem Heimnetz? Ist da kein Router davor und wenn doch, warum gibt es einen Portforward im Router auf diese Datenbank?

 

[BlubbsDE]

Steht doch in der Mail. Was zu tun ist. So nett war die Telekom dann auch noch.

MS-SQL ist der SQL-Server von Microsoft, welcher einen Browserdienst
|mitbringt, der standardmäßig auf Port 1434/udp lauscht [1].
|Wird der Zugriff aus dem Internet auf diesen Dienst nicht unterbunden,
|können Angreifer dies ausnutzen, um Informationen über das Netzwerk
|auszuspähen, in dem der SQL-Server betrieben wird. Weiterhin kann
|der Dienst für DDoS-Amplification-Angriffe missbraucht werden.
|
|Empfehlung von Microsoft:
|"Mit dem SQL Server-Browser-Dienst können Benutzer ohne Kenntnis
| der Portnummer Verbindungen mit Instanzen von Database Engine
| (Datenbankmodul) herstellen, die nicht den Port 1433 überwachen.
| Wenn Sie SQL Server-Browser verwenden möchten, müssen Sie UDP-Port
| 1434 öffnen. Um eine möglichst sichere Umgebung zu erzielen,
| lassen Sie den SQL Server-Browser-Dienst beendet, und konfigurieren
| Sie die Clients so, dass sie Verbindungen mithilfe der Portnummer
| herstellen müssen." [2]
|
|Referenzen:
|
|[1] Microsoft: SQL Server-Browserdienst
| <https://technet.microsoft.com/library/ms181087(v=sql.105).aspx>
|[2] Microsoft: Konfigurieren einer Windows-Firewall für
| Datenbankmodulzugriff
| <https://msdn.microsoft.com/de-de/library/ms175043.aspx>

Alternativ. Sich einen Fachmann ins Haus holen. Die Telekom sperrt Internetzugänge, die als nicht sicher eingestuft werden. Und Deiner wird aufgrund Deiner Nutzung als nicht sicher eingestuft.

 

[MichaelH.]

Mal von außen einen Portscan auf den angegebenen Port gemacht? Ist anscheinend offen. Läuft der Server in deinem Heimnetz? Ist da kein Router davor und wenn doch, warum gibt es einen Portforward im Router auf diese Datenbank?

Muss der Port nicht offen sein, damit ich vom Internet aus auf meinen Server zugreifen kann?

 

[Tumbleweed]

Jein.

Deine Datenbank (oder auch irgendein anderer Dienst) darf nicht direkt von außen erreichbar sein. Damit bietest du zu viel Angriffsfläche. Natürlich gibt es Mittel und Wege trotzdem eine sichere Verbindung herzustellen, aber das geschieht dann indirekt. Du kannst entweder einen SSH-Tunnel nutzen, d.h. einen beliebigen Port auf den SSH-Port der Maschine mit Datenbank forwarden oder du baust ein VPN auf.

Bei Details kann ich dir aber nicht helfen, weil ich mich mit Windows nicht auskenne. Unter Linux wäre der SSH-Tunnel sehr leicht zu bewerkstelligen. Vielleicht taucht ja noch ein Windows-Admin hier auf oder die Begriffe helfen dir beim Googlen.

Um das nochmal klarzustellen - irgendwelche Dienste so offen ins Netz zu hängen geht gar nicht! Du stehst da voll in der Verantwortung, wenn das Ding kompromittiert wird und Kipo, illegale Torrents, Spam oder anderer Schnulli darüber vertrieben wird.

 

[Masamune2]

Warum muss dein Server denn direkt erreichbar sein? Was machst du damit?

Warum man das nicht tun sollte steht ja in der Mail.

 

[Yuuri]

Bei Details kann ich dir aber nicht helfen, weil ich mich mit Windows nicht auskenne. Unter Linux wäre der SSH-Tunnel sehr leicht zu bewerkstelligen. Vielleicht taucht ja noch ein Windows-Admin hier auf oder die Begriffe helfen dir beim Googlen.

Einfach nen normalen SSH Server installieren und dann mit Putty/plink den Tunnel erstellen. Als SSH Server nutze ich Bitvise (dank Möglichkeit zur PowerShell und der Datendurchsatz ist bedeutend höher als mit Cygwin) und Putty sollte ja eh Standard sein.

Mal zwei Guides generell zum Thema Tunneling:

SOCKS Proxy über SSH: https://www.ocf.berkeley.edu/~xuanluo/sshproxywin.html
SMB über SSH: http://www.nikhef.nl/~janjust/CifsOverSSH/Win8Loopback.html

Prinzipiell: SSH Server aufsetzen, Putty öffnen, zum Punkt Connection -> SSH -> Tunnels navigieren und entsprechend die Ports setzen, ggf. noch ne 127.0.0.1 oder localhost davor setzen (je nachdem wie der SQL Server eingestellt ist, bei MySQL wird ja ein Unterschied zwischen localhost und 127.0.0.1 gemacht im Login). Dann nur noch auf 127.0.0.1 und den Port navigieren und da dort ja der Tunnel lauscht, welcher direkt über SSH abläuft, kommt die Verbindung zum Server selbst zu Stande.