Skip to content
PortsDB

Référence des ports

Port 1194 (UDP/TCP) – OpenVPN

OpenVPN — un VPN open source basé sur TLS fournissant des tunnels chiffrés d'accès distant et site à site.

udptcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les serveurs OpenVPN, généralement exposé à Internet pour que les utilisateurs distants se connectent. Par défaut UDP 1194, optionnellement TCP 1194/443.

Attaques courantes

  • Brute force d'identifiants et password spraying contre l'authentification VPN
  • Vol de configurations, clés et certificats clients
  • Déni de service contre le démon VPN

Durcissement

  • Imposer l'authentification par certificat et MFA ; désactiver les connexions par mot de passe seul
  • Utiliser tls-auth / tls-crypt HMAC pour rejeter les paquets non authentifiés
  • Maintenir OpenVPN et OpenSSL à jour contre les CVE connues
  • Limiter le débit et filtrer par géo/IP les tentatives de connexion ; surveiller les journaux d'authentification

Commande nmap

nmap -sU -p1194 --script openvpn-fingerprint <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 1194 ?

Le port 1194 est le port enregistré par défaut d'OpenVPN, un VPN open source bâti sur la pile TLS/SSL via la bibliothèque OpenSSL. Il crée des tunnels chiffrés d'accès distant et site à site, authentifiant les pairs par certificats et éventuellement par identifiant/mot de passe, et transporte le trafic sur UDP 1194 par défaut ou sur TCP lorsque la traversée de pare-feu est nécessaire. Le serveur est normalement exposé à Internet afin que les clients distants puissent l'atteindre.

Pourquoi c'est important pour la sécurité

Un point de terminaison OpenVPN est une passerelle vers le réseau interne, donc une compromission peut être catastrophique. Les serveurs autorisant l'authentification par mot de passe seul sont exposés au brute force et au password spraying. Des fichiers de configuration clients, clés privées et certificats volés ou divulgués permettent à un attaquant de se connecter comme un utilisateur légitime. Le démon et sa dépendance OpenSSL ont aussi connu des vulnérabilités permettant un déni de service ou pire si elles ne sont pas corrigées.

Comment il est attaqué

Les attaquants identifient OpenVPN par l'empreinte de sa poignée de main, puis brute-forcent ou pulvérisent des identifiants contre les serveurs faiblement protégés. Le phishing et la compromission de poste servent à exfiltrer les profils .ovpn et le matériel de clé, accordant un accès direct au tunnel. Des paquets malformés et des flots de connexions ciblent le démon pour un DoS, et les CVE connues d'OpenVPN/OpenSSL sont exploitées sur les hôtes non corrigés.

Liste de durcissement

Exigez l'authentification par certificat et MFA et désactivez les connexions par mot de passe seul. Activez tls-auth/tls-crypt afin que le serveur rejette silencieusement les paquets dépourvus d'un HMAC valide, déjouant la plupart des scans et DoS. Maintenez OpenVPN et OpenSSL à jour, limitez le débit et filtrez par IP les tentatives de connexion, et surveillez les journaux d'authentification pour détecter le spraying. Utilisez la commande nmap ci-dessus pour identifier OpenVPN sur les serveurs que vous êtes autorisé à tester.

Ports liés

Port 500Port 4500Port 443Port 1701

Questions fréquentes

OpenVPN utilise-t-il TCP ou UDP ?
Par défaut OpenVPN utilise UDP 1194 pour les performances, mais il peut fonctionner sur TCP (souvent 443) pour traverser les pare-feu et proxys restrictifs.
Exposer OpenVPN sur le port 1194 est-il sûr ?
C'est raisonnablement sûr avec l'authentification par certificat, tls-crypt, MFA et les correctifs. Les configurations par mot de passe seul sont vulnérables au brute force et doivent être évitées.