Sichere Portfreigabe

Hallo,

wir haben ein 3CX-Telefonanlage - Cloud basierend. Dort könnten wir mit der CRM-Integration auf die Daten der Cao-Datenbank zugreifen. Wir haben das getestet - funktioniert. Die Kontaktdaten der Anrufer werden angezeigt.
Da wir unsicher sind, was die Sicherhheit angeht folgende Frage:

Wie kann der Port der Datenbank SICHER nach aussen freigegeben werden?

Danke euch!

Wie kann der Port der Datenbank SICHER nach aussen freigegeben werden?

Per VPN. Alles andere ist nur so lange sicher, bis ein Hacker einer Lücke findet.

Danke.
VPN geht leidet nicht, da die ich nur eine öffentl. IP-Adresse des Anbieters habe - und hier natürlich keine Adminrechte habe.
Wäre ein Portöffnung NUR für diese bestimmte IP - über eine Firwall vor unseren Router machbar?

Da gibt es wohl Verständigungsprobleme.
Der Port für die Datenbank (im Standard 3306) hat nichts mit CAO zu tun.

Ob und wie dieser Port für die Außenwelt freigegeben werden kann, sprengt den Support von CAO.

Ehrlich gesagt, ich bin kein Sicherheitsspezialist und auch kein Netzwerkspezialist, aber ich könnte mir als zusätzliche Sicherheit denken, dass ihr mit einem speziellen und auf die notwendigen Rechte (ggf. auch auf bestimmt Tabellen) begrenzten Datenbank-Benutzer, der zudem NUR von der IP der 3CX oder von "localhost" zugreifen darf, das Risiko weiter einschränken könnt. Wollt ihr nur lesend zugreifen oder soll da mehr passieren?
Viele Grüße Martin

Wäre ein Portöffnung NUR für diese bestimmte IP - über eine Firwall vor unseren Router machbar?

Das kommt auf den Router und die Firewall an. Eine FritzBox kann das z.B nicht. Ein USG von Ubiquity oder ein LANCOM Router kann so etwas sehr wohl.

Nur zur Klarstellung: Ich hatte die Berechtigungen des Datenbank-Benutzers gemeint. Den kann man ja auch auf bestimmte IP beschränken, denke ich. Sozusagen als zusätzlichen Schutz hinter der Firewall auf der Ebene der Datenbank.

Ehrlich gesagt, ich bin kein Sicherheitsspezialist und auch kein Netzwerkspezialist, aber ich könnte mir als zusätzliche Sicherheit denken, dass ihr mit einem speziellen und auf die notwendigen Rechte (ggf. auch auf bestimmt Tabellen) begrenzten Datenbank-Benutzer, der zudem NUR von der IP der 3CX oder von "localhost" zugreifen darf, das Risiko weiter einschränken könnt. Wollt ihr nur lesend zugreifen oder soll da mehr passieren?
Viele Grüße Martin

Das finde ich eine gute Idee! Nur auf einen Benutzer zugreifen wo die Telefonanlage nur auf die Tabellen "Namen" und "Telefonnummer" zugreifen darf.
Aber wie kann ich das umsetzen, da ich nur die Datenbank mit User/PW angeben kann? Anbei ein Bild von den Einstellungen der Telefonanlage.

Das bringt auch nichts. Der Port des Datenbankservers muss trotzdem durch die Firewall gerouted werden.
DANN könnte man einen DB Benutzer anlegen, der z.B nur Lesen darf.

Werde wohl eine Firewallhardware vor der Fritzbox machen. Trotzdem wäre es nochmals sicherer einen Datenbankuser zu erstellen, der nur Zugriff auf die Adressedaten bekommt. Oder sehe ich das falsch?

Das bringt auch nichts. Der Port des Datenbankservers muss trotzdem durch die Firewall gerouted werden.
DANN könnte man einen DB Benutzer anlegen, der z.B nur Lesen darf.

ISt ja schon beantwortet...

Vor die Fritzbox?
Falls die Fritzbox den Internetzugang herstellt, dann müsste die Firewall "hinter" die Fritzbox.
Am besten sollte das Spielzeug ganz ausgetauscht werden