Skip to content
PortsDB

Référence des ports

Port 161 (UDP) – SNMP

Simple Network Management Protocol — supervise et gère les équipements réseau par interrogation d'OID.

udpWell-knownSouvent attaqué

État par défaut

Ouvert sur les routeurs, commutateurs, imprimantes et serveurs ayant un agent SNMP activé, souvent avec des communautés par défaut.

Attaques courantes

  • Communautés par défaut (public/private) accordant un accès lecture/écriture
  • Divulgation d'informations : configs, routes, tables ARP/interfaces
  • Interception en clair du trafic SNMP v1/v2c
  • DDoS par réflexion/amplification SNMP via GetBulk

Durcissement

  • Utiliser SNMPv3 avec authentification et chiffrement (authPriv)
  • Supprimer les communautés par défaut public/private
  • Désactiver l'accès en écriture SNMP sauf nécessité absolue
  • Restreindre l'agent à un VLAN d'administration et une liste d'IP
  • Filtrer UDP 161 depuis les réseaux non fiables et Internet

Commande nmap

nmap -sU -p161 --script snmp-info,snmp-brute,snmp-sysdescr <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 161

Le port 161 héberge l'agent SNMP (Simple Network Management Protocol), qui permet aux systèmes de supervision d'interroger les appareils pour leur état et leurs métriques en lisant et écrivant des OID dans une MIB. Il est activé sur les routeurs, commutateurs, pare-feu, imprimantes, onduleurs et serveurs pour remonter compteurs d'interfaces, CPU, température et configuration. Les traps et notifications partent dans l'autre sens sur le port 162.

Pourquoi c'est important pour la sécurité

SNMP est une riche source de détails internes, et les anciennes versions le protègent mal. SNMP v1 et v2c n'authentifient qu'avec une communauté en clair et transmettent tout en clair, donc quiconque peut renifler ou deviner la communauté lit la configuration complète d'un appareil — tables d'interfaces, routes, entrées ARP, voire configs actives. Avec une communauté en écriture, cet accès devient un contrôle de l'appareil. Les appareils livrés avec les communautés public/private par défaut sont une cible facile.

Comment il est attaqué

Les attaquants scannent UDP 161 et essaient les communautés par défaut (public, private) et de courtes listes de mots pour obtenir un accès lecture ou écriture. L'accès en lecture livre une divulgation d'informations sur la topologie réseau et les identifiants ; l'accès en écriture reconfigure l'appareil. Le trafic v1/v2c est intercepté en clair, et les requêtes GetBulk sont détournées pour un DDoS par réflexion/amplification contre des tiers.

Liste de durcissement

Passez à SNMPv3 avec authPriv pour que l'interrogation soit authentifiée et chiffrée, et supprimez les communautés public/private par défaut. Désactivez l'accès en écriture sauf réel besoin, liez l'agent à un VLAN d'administration avec une liste d'IP, et filtrez UDP 161 depuis les réseaux non fiables et Internet. La commande nmap ci-dessus sonde les communautés et les informations système sur les appareils que vous êtes autorisé à tester.

Ports liés

Port 162Port 514Port 123Port 23

Questions fréquentes

SNMP v2c est-il sécurisé ?
Non. SNMP v1 et v2c transmettent les communautés et les données en clair et n'ont pas de réelle authentification. Utilisez SNMPv3 avec authPriv pour l'authentification et le chiffrement.
Quelle est la communauté SNMP par défaut ?
La plupart des appareils sont livrés avec 'public' en lecture et 'private' en lecture/écriture. Les laisser en place permet à quiconque atteint le port 161 de lire ou modifier les réglages de l'appareil.