Skip to content
PortsDB

Référence des ports

Port 1720 (TCP) – H.323 (signalisation d'appels VoIP)

Canal de signalisation d'appel H.323 (Q.931 sur TCP) — le protocole de signalisation hérité pour les endpoints et gatekeepers VoIP et de visioconférence.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les passerelles H.323, gatekeepers, IP-PBX et unités de visioconférence (Cisco, Avaya, Polycom). Parfois exposé à Internet pour les trunks inter-sites.

Attaques courantes

  • Énumération des endpoints et des gatekeepers
  • Fraude téléphonique via établissement d'appel non authentifié
  • Fuzzing Q.931/H.225 provoquant des plantages ou un déni de service
  • Interception d'appels et manipulation de la signalisation

Durcissement

  • Ne pas exposer H.323 directement — placer un SBC ou un VPN en amont
  • Exiger l'enregistrement et l'authentification des endpoints auprès du gatekeeper
  • Restreindre les IP sources des trunks et liens inter-sites
  • Corriger le firmware des passerelles/endpoints contre les failles d'analyse H.225/Q.931
  • Préférer SIP/TLS moderne quand c'est possible et retirer le H.323 hérité

Commande nmap

nmap -p1720 --script banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 1720

Le port 1720 transporte la signalisation d'appels H.323, plus précisément le canal d'établissement d'appel Q.931/H.225 sur TCP. H.323 est l'ancienne norme UIT-T pour la VoIP et la visioconférence, utilisant des gatekeepers pour enregistrer les endpoints et acheminer les appels. Les passerelles, IP-PBX et unités de visioconférence de Cisco, Avaya et Polycom écoutent ici. Comme SIP sur 5060, il gère la signalisation tandis que le média circule via RTP.

Pourquoi c'est important pour la sécurité

Une passerelle H.323 accessible qui accepte l'établissement d'appel non authentifié est directement monétisable via la fraude téléphonique — les attaquants acheminent des appels surtaxés coûteux sur le trunk de la victime. L'analyse ASN.1/Q.931 complexe du protocole a un long historique de bugs de plantage et de débordement, et la signalisation en clair expose les métadonnées d'appel et permet l'interception.

Comment c'est attaqué

Les attaquants scannent les 1720 ouverts et énumèrent les endpoints et gatekeepers, puis tentent un établissement d'appel non authentifié pour la fraude téléphonique. Des messages Q.931/H.225 malformés sont fuzzés pour faire planter les équipements ou déclencher des bugs mémoire, et les déploiements faibles permettent la manipulation de la signalisation et l'interception d'appels.

Liste de durcissement

Gardez H.323 hors d'Internet — placez-le derrière un Session Border Controller (SBC) ou un VPN. Exigez l'enregistrement et l'authentification auprès du gatekeeper pour tous les endpoints, et restreignez les IP sources des trunks et liens inter-sites. Corrigez le firmware contre les failles d'analyse H.225/Q.931. Quand c'est possible, migrez vers SIP sur TLS et retirez le H.323 hérité. Utilisez la commande nmap ci-dessus pour identifier les équipements que vous êtes autorisé à tester.

Ports liés

Port 5060Port 5061Port 5004Port 1719

Questions fréquentes

Quelle est la différence entre H.323 et SIP ?
Les deux sont des protocoles de signalisation VoIP. H.323 (port 1720) est l'ancienne norme UIT basée sur Q.931/H.225, tandis que SIP (port 5060) est la norme IETF plus simple et textuelle qui l'a largement remplacée. De nombreux déploiements migrent désormais H.323 vers SIP.
Pourquoi le port 1720 présente-t-il un risque de fraude téléphonique ?
Une passerelle H.323 qui accepte l'établissement d'appel non authentifié permet aux attaquants d'acheminer des appels sortants vers des numéros surtaxés aux frais de la victime, la même monétisation que sur SIP 5060.