Portar

Port 1433: MS SQL Server

Standardavlyssnare för Microsoft SQL Server. Flyttas ofta eller proxias i hårda miljöer.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 1433 är standardavlyssnaren för Microsoft SQL Server i många distributioner. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. En SQL Server-instans binder till 1433 så att klientapplikationer kan hitta databasmotorn.

En klient ansluter från en tillfällig källport, slutför TCP-handskakningen, förhandlar SQL Server-protokollet, autentiserar och skickar sedan frågor samtidigt som den tar emot resultatuppsättningar under samma session. Många applikationer använder anslutningspoolning, så ett litet antal långlivade anslutningar kan bära många transaktioner, vilket är anledningen till att du kan se stadig trafik även när användaraktiviteten är ojämn.

Ur ett säkerhetsperspektiv representerar databasportar högt värde dataåtkomst. Att exponera 1433 bortom applikationsnivån ökar risken för brute force, utökar rörelsevägar i sidled och kan förvandla en komprometterad värd till ett dataintrång.

Hur det fungerar i stora drag

  1. Klienten öppnar en TCP-anslutning och förhandlar om SQL Server-protokollet och sessionsinställningarna.
  2. Klienten autentiserar, skickar sedan frågor och tar emot resultatuppsättningar över samma anslutning.
  3. Anslutningar slås ofta samman av applikationer för prestanda, vilket håller sessionerna öppna.

Konkret exempel

En applikationsserver ansluter till SQL Server på 1433 med en poolad anslutning. Om en arbetsstation också kan nå 1433, kan en angripare som äventyrar arbetsstationen försöka fylla på autentiseringsuppgifter mot databasen.

Varför det är viktigt

Databasportar är högt värderade. Om 1433 avslöjas utöver vad som är nödvändigt kan angripare bruteforce-angrepp med läckta autentiseringsuppgifter, utnyttja opatchade sårbarheter eller pivotera in i datalagret. Även internt ökar övertillåten åtkomst till databasnivån spridningsradien.

Säkerhetsperspektiv

  • Begränsa åtkomsten till applikationsundernät och använd brandväggar eller privata slutpunkter.
  • Patcha regelbundet och inaktivera oanvända funktioner.
  • Övervaka efter misslyckade inloggningar, ovanliga frågemönster och dataexfiltreringssignaler.

Vanliga fallgropar

  • Exponerar 1433 direkt på internet.
  • Använda delade eller svaga databaskonton och bädda in autentiseringsuppgifter i kod.
  • Förutsatt att nätverkets tillgänglighet är lika med auktorisering. Många intrång börjar med lateral förflyttning in i databasnivån.