MS SQL, Internet Server, Traffic Problem
 

Hallo,

ich habe am 23.08. auf unserem Webserver MS SQL 2000 und SP4 installiert. Gestern haben wir die Rechnung vom Provider über den Traffic erhalten und der Traffic ist jetzt drei mal so hoch wie sonst. Nach stundenlanger recherche habe ich dann festgestellt, dass eine Unmenge Traffic über den Port 1433 geht, senden wie auch empfangen. Ich habe jetzt schon einiges überprüft (z.B. Microsoft Baseline Security Analyser) und Änderungen vorgenommen, aber es gibt immer noch Traffic. Schätzungsweise innerhalb 5 min ca. 1MB up und 1MB down. Vor meinen Änderungen waren es ca. in 2 Stunden 300MB. Jetzt ist mir das aber immer noch zu viel, da eigentlich gar nichts darüber passieren sollte. Ursprünglich hatte ich vor, mit einer Client WIN32 Anwendung auf den SQL Server zuzugreifen, aber das scheint mir keine gute Idee zu sein. Ich habe auch gerade noch mal in der Ereignisanzeige nachgeschaut und da sind tonnenweise Anmeldeversuche.

Und hier meine Fragen:
1. Hat jemand eine Ahnung, was da genau passiert ist?
2. Gibt es eine einfache Lösung, trotzdem mit einer Client-Anwendung auf den Server zuzugreifen?
3. Macht es eventuell Sinn das ganze über einen anderen Port zu machen?
4. Gibt es eine Möglichkeit, das der SQL-Server nur auf localhost hört (eventuell in Netzwerkprotokolle von SQL den TCP/IP entfernen)
5. Sollte man die Win2003 Firewall aktivieren (kann man danach mit Remotedesktop dann noch drauf) und alle nicht benötigten Ports sperren

Für jede weitere Tipps und Infos bin ich sehr dankbar.

Grüße
Sven

Re: MS SQL, Internet Server, Traffic Problem
 

Hi Sven,

Ich denke das jemand deinen SQL Server entdeckt hat und versucht Zugriff zu bekommen (bzw. das der SQL-Slammer deinen Server zur Verbreitung nutzen möchte). Schau doch mal mit netstat -a drauf, wer alles eine Verbindung auf Port 1433 herzustellen möchte und ob du die Remote-Hosts kennst ...
Dann kannst du einen Sniffer auf der SQL-Server-Maschine installieren und mal schauen, wer genau wieviel Traffic auf dem SQL-Server verursacht. Nachdem du die notwendigen Infos hast kannst du entsprechend reagieren.

Ich greife mal deinen Punkt 4 teilweise mit auf ...
Wenn du nur aus dem LAN auf den SQL-Server zugreifst, warum ist der Port 1433 dann aus dem Internet erreichbar ?
Konfiguriere deine Firewall so, das dein Server auf Port 1433 von extern nicht erreichbar ist. Falls externe Clients auf dem SQL-Server arbeiten müssen, dann lass den SQL-Server wenigstens auf einem anderen Port laufen, so das nicht jeder problemlos weis, das da ein ungeschützter SQL-Server im Internet hängt. Das ersetzt keine Firewall und kein VPN, aber als erster Schritt es das (als Alternative zu Netzwerkkalel raus) OK.

Wenn der SQL-Server über das Internet erreichbar sein soll, ohne VPN und ohne das eine Firewall unbekannte externe IP Adressen blockt, dann ist ein anderer Port schon sinnvoll. Bei einem Portscan kann ein potenzieller Hacker sehen das etwas z.B. an Port 11433 hängt, er weis aber nicht das es ein SQL-Server ist. Um eine SQL-Verbindung herstellen zu können, muss er über "CliConfg" erstmal einen Alias mit dem entsprechenden Port einrichten, sonst wird ihn der SQL-Server nie antworten ...
Angemessene komplexe Kennwörter sind in diesem Fall dennoch wichtig.

Konfiguriere deine Firewall so, das dein Server auf dem externen Interface nur bekannten und vertrauten Hosts antwortet.
Falls der SQL-Server nicht direkt über das Internet erreichbat sein soll, dann blocke alle Anfragen von Extern an den Port 1433 (richtiger... lass sie garnicht erst zu).

Pfff :wiejetzt: . Verstehe ich das jetzt richtig... ? Du hast einen Server der direkt und völlig ungeschützt im Internet hängt ?
Selbst die Remote Desktop Verbindung sollte nur vertrauten Remotehosts erlaubt sein. Dienste die nur von Intern genutzt werden, dürfen von extern nie erreichbar sein.
Optmialer Weise gehört dein Server hinter eine ordentliche Firewall oder zumindest hinter NAT.
Remote-Clients sollten nur über ein VPN und/oder Sicherheitszertifikate Zugriff auf interne Ressourcen bekommen.

Falls ich Punkt 5 richtig interpretiere ist dein Verhalten schon derb fahrlässig.
Beschäftige dich mit den Themen Netzwerksicherheit und VPN.

Schau doch mal deinen SQL-Server durch, eventuell hostest du ja schon fremde Datenbanken :mrgreen:.

Das der Traffic erst nach der Installation des SP4 angestiegen ist wäre verständlich, falls du vorher eine ältere Version als MSSQL-SP3 installiert hattest.
Der 2003er Server und WinXP-SP2 verhindern aus Sicherheitsgründen, das SQL-Server kleiner SP3, auf TCP/IP reagieren und erlauben nur den lokalen Zugriff über Named Pipes, weil diese Versionen ungepatcht keinen Schutz gegen den SQL-Slammer bieten.


Schöne Grüße,
Jens


:hi:

DP-Maintenance
 

Dieses Thema wurde von "Sharky" von "Datenbanken" nach "Windows 9x / ME / 2000 / XP / 2003" verschoben.
Ist ja eigentich keine Delphifrage ;-)

Re: MS SQL, Internet Server, Traffic Problem
 

Vielen Dank erst mal für Deine Infos. Eine Info von mir ist glaube ich nicht ganz rübergekommen. Der Server steht nicht in einem lokalen Netzwerk, sondern er ist ein richtiger Webserver und steht direkt beim Provider.

Das hab ich mir auch schon so gedacht

So weit ich es in Erinnerung habe, hat der Provider keine Firewalls vor den Servern. Ich werde den TCP/IP Zugriff erst mal rausnehmen und mir überlegen, ob ich das mit der Client-Anwendung so mache.

Wie gesagt, muss ich mir noch überlegen, ob ich von extern direkt zugreife. Komplexe Kennwörter mache ich immer.

Das wird nicht möglich sein, da der Gedanke hinter dieser Sache war, dass Kunden die Client-Anwendung bekommen um einige Daten zu pflegen. Die werden mit Sicherheit wohl eine dynamische IP-Adresse haben.

Da es ein Webserver ist, der direkt im Internet ist, muss ich ja irgendwie Zugriff bekommen. Ich denke, dass ich die Remote-Desktopverbindung auch an einen anderen Port hänge um auch dort sicher zu sein, dass es etwas schwieriger ist das zu finden. Leider kann man keine eingehende VPN-Verbindung in Windows einrichten.

In Bezug auf den SQL Server habe ich wohl schon etwas fahrlässig gehandelt, bzw. habe mir auf andere verlassen. Bevor ich die Installation gemacht habe, habe ich mich schon erkundigt, auch hier im Forum und da waren einige Beiträge über direkten SQL Server Zugriff auf einem Web-Server. Dass ich jedoch solche Probleme mit Traffic bekomme, hätte ich nicht gedacht, wobei ich bis jetzt noch keine Idee habe, wie jemacht sich am SQL anmelden kann, da ich überall komplexe kennwörter vergeben habe.

Macht es jetzt Sinn, die Windows-Firewall noch zu aktivieren?

Danke
Sven

Re: MS SQL, Internet Server, Traffic Problem
 

Eine Firewall auf einem Rechner der im Internet steht ist eigentlich ein MUSS!!!

Re: MS SQL, Internet Server, Traffic Problem
 

Hai Sven,

ich würde das ganze mit einem anderen Ansatz lösen.

Der Datenbankserver sollte von aussen überhaupt nicht ereichbar sein. Als TCP-Ports nur die Ports öffnen welche für die Funktionalität notwendig sind (HTPP / FTP / SMTP). Dafür solltest Du nach möglichkeit klären ob ihr von eurem Provider nicht doch eine Firewall für euren Server bekommen könnt. Softwarefirewalls sind ja, wie überall zu lesen, nur eine Notlösung ;-)

Den Zugriff von den Clients zu den Datenbanken regelst Du dann über einen eigenen Dienst auf dem Server. Je nach Anwendung ist das dann natürlich ein mehr oder weniger großer Aufwand ;-)

Sollte dies aber nicht möglich sein würde auch ich sagen das Du als erstes den Standardport vom MS-SQL änderst.

Re: MS SQL, Internet Server, Traffic Problem
 

Alternativ kannst Du auch die TCP/IP Ports komplett schließen und die Kommunikation über Pipes leiten. Im internen Netz ist diese Art beim MS SQL Server sowieso zu bevorzugen :zwinker:

...:cat:...

Re: MS SQL, Internet Server, Traffic Problem
 

Danke für die Hilfe von Euch.

Ich hab den TCP/IP erst mal dicht gemacht. Man kommt jetzt übers Internet nicht mehr direkt dran, auf dem Server direkt funktioniert alles ohne Probleme. Tja, manchmal muss erst mal knallen bevor man merkt, auf was man alles achten muss. Manchmal kommt man auch erst drauf, wenn man mit jemanden darüber gesprochen hat. Nun gut, jetzt muss ich erst mal in Ruhe überlegen, wie ich weiter vorgehe.
Nochmals Danke.

Grüße
Sven