Portar

Port 3306: MySQL

Standard MySQL databasport. Används ofta av appar och administratörsverktyg.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 3306 är standardporten för MySQL. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. En MySQL-server binder till 3306 och klientapplikationer ansluter från tillfälliga källportar.

Efter TCP-handskakningen utbyter handskakningen för protokollet MySQL funktioner och autentiseringsdata, och sedan skickar klienten SQL-frågor medan servern returnerar resultatuppsättningar. I riktiga applikationer håller anslutningspooler sessioner öppna för prestanda, så databasexponering är ofta långlivad och förutsägbar, vilket hjälper försvarare att använda normalt beteende.

Säkerhetsmässigt bör 3306 sällan vara tillgänglig från slutanvändarnätverk eller internet. Om det avslöjas kan angripare brute force-konton, utnyttja sårbara serverversioner eller missbruka alltför privilegierade programuppgifter för att exfiltrera data.

Hur det fungerar i stora drag

  1. Klienten öppnar en anslutning och förhandlar om handskakningen MySQL, inklusive kapacitetsflaggor.
  2. Klienten autentiserar och skickar sedan frågor och tar emot resultat under sessionen.
  3. Applikationer använder ofta anslutningspooler, så en komprometterad appnod kan komma åt datalagret kontinuerligt.

Konkret exempel

En webbapp ansluter till MySQL på 3306 från ett app-undernät. Om en utvecklarbärbar dator också kan nå 3306, kan identitetsstöld på den bärbara datorn leda direkt till databasåtkomst.

Varför det är viktigt

Databastjänster är kritiska tillgångar. Exponerade MySQL-portar bjuder in brute force och exploateringsförsök. Till och med i ett nätverk ökar bred åtkomst till 3306 effekten av en komprometterad värd, så segmentering och minsta privilegie spelar roll.

Säkerhetsperspektiv

  • Begränsa åtkomst till applikationsundernät och kräv stark autentisering och minst privilegierade användare.
  • Aktivera TLS för klientanslutningar där så är lämpligt och korrigera servern regelbundet.
  • Övervaka för ovanliga inloggningar, långa frågor och datadumpningsmönster.

Vanliga fallgropar

  • Tillåter fjärråtkomst till root eller använder delade administratörskonton.
  • Exponera 3306 för internet eller för användarens VLAN.
  • Hoppa över TLS på databasanslutningar när du korsar opålitliga nätverk eller delad infrastruktur.