Skip to content
PortsDB

Référence des ports

Port 3260 (TCP) – iSCSI Target

Cible iSCSI — expose du stockage brut en mode bloc (LUN) sur TCP/IP à des initiateurs distants.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les SAN, appliances NAS et serveurs servant des LUN iSCSI, souvent sans authentification ou avec un CHAP unidirectionnel faible.

Attaques courantes

  • Découverte et montage de LUN sans authentification
  • CHAP faible ou unidirectionnel permettant l'usurpation d'initiateur
  • Interception des données et identifiants en clair
  • Vol ou altération de données sur des volumes bloc exposés

Durcissement

  • Exiger une authentification CHAP mutuelle (bidirectionnelle)
  • Restreindre les cibles à un réseau de stockage dédié et isolé
  • Ne jamais exposer le 3260 sur Internet ou le LAN général
  • Utiliser des listes blanches d'initiateurs (IQN) et des ACL par LUN
  • Activer IPsec ou un VLAN pour protéger le trafic en clair

Commande nmap

nmap -p3260 --script iscsi-info,iscsi-brute <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 3260

Le port 3260 est le port par défaut d'une cible iSCSI, qui expose du stockage brut en mode bloc — des LUN — sur TCP/IP. Des initiateurs distants (serveurs, hyperviseurs) se connectent, découvrent les cibles et montent les LUN comme s'il s'agissait de disques locaux. iSCSI est une technologie SAN courante derrière les bases de données, les datastores de machines virtuelles et les volumes de sauvegarde, servie par des SAN, des appliances NAS et des cibles Linux/Windows.

Pourquoi c'est important pour la sécurité

iSCSI présente des périphériques bloc, pas des fichiers, donc quiconque peut monter un LUN lit et écrit le disque directement, contournant les permissions du système de fichiers. Beaucoup de cibles sont livrées sans authentification ou avec seulement un CHAP unidirectionnel, ce qui permet à un attaquant de découvrir et monter des volumes ou d'usurper un initiateur. Comme le trafic est en clair par défaut, les secrets CHAP et les données peuvent aussi être interceptés sur un réseau partagé.

Comment il est attaqué

Les attaquants scannent TCP 3260, effectuent une découverte pour énumérer les cibles exposées, et montent les LUN sans authentification. Là où seul un CHAP unidirectionnel est configuré, ils cassent par force brute ou écoutent le secret et usurpent un initiateur. Les volumes montés sont ensuite lus, copiés ou altérés, divulguant bases de données et images de VM.

Liste de durcissement

Exigez un CHAP mutuel (bidirectionnel), et confinez les cibles à un réseau de stockage dédié et isolé — jamais Internet ni le LAN général. Utilisez des listes blanches d'initiateurs (IQN) et des ACL par LUN pour que seuls les hôtes autorisés puissent s'attacher, et ajoutez IPsec ou un VLAN privé pour protéger le trafic en clair. Utilisez la commande nmap ci-dessus pour énumérer les cibles et tester le CHAP sur les systèmes que vous êtes autorisé à évaluer.

Ports liés

Port 860Port 3261Port 2049Port 445

Questions fréquentes

Pourquoi une cible iSCSI exposée est-elle dangereuse ?
iSCSI sert des périphériques bloc bruts. Un attaquant qui peut atteindre et monter un LUN lit ou écrit le disque directement — volant fichiers, bases de données ou images de VM, ou les corrompant, sans aucune permission au niveau système de fichiers.
iSCSI chiffre-t-il les données ?
Pas par défaut. Le trafic iSCSI, y compris les échanges CHAP, est en clair sauf s'il est encapsulé dans IPsec. Gardez-le sur un VLAN de stockage isolé et ajoutez IPsec s'il doit traverser des liens non fiables.