Skip to content
PortsDB

Référence des ports

Port 5060 (TCP/UDP) – SIP (VoIP)

Session Initiation Protocol — le protocole de signalisation qui établit, gère et termine les appels VoIP.

tcpudpRegisteredSouvent attaqué

État par défaut

Ouvert sur les PBX VoIP, les trunks SIP et les téléphones IP (Asterisk, FreePBX, FreeSWITCH). Souvent exposé à Internet pour les extensions et trunks distants.

Attaques courantes

  • Fraude téléphonique — passage d'appels frauduleux surtaxés
  • Détournement d'enregistrement et prise de contrôle d'extension
  • Force brute des identifiants et énumération des utilisateurs/extensions SIP
  • Flood d'INVITE/REGISTER pour un déni de service

Durcissement

  • Ne pas exposer SIP directement — placer un SBC ou un VPN en amont
  • Imposer des secrets SIP forts et uniques et rejeter l'énumération facile
  • Utiliser SIP sur TLS (5061) et SRTP pour le chiffrement des médias
  • Limiter le débit des enregistrements/INVITE et utiliser fail2ban contre la force brute
  • Restreindre les IP sources des trunks et fixer des limites d'appel/destinations autorisées par extension

Commande nmap

nmap -p5060 -sU --script sip-methods,sip-enum-users <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 5060

Le port 5060 transporte SIP (Session Initiation Protocol), le protocole de signalisation qui établit, modifie et termine les appels VoIP. Il enregistre les téléphones, achemine les INVITE et négocie la session média (l'audio/vidéo réel circule ensuite via RTP). Il fonctionne en UDP et TCP 5060 en clair ; la variante chiffrée, SIP sur TLS, utilise le port 5061. Les PBX comme Asterisk, FreePBX et FreeSWITCH écoutent ici.

Pourquoi c'est important pour la sécurité

Un serveur SIP compromis est directement monétisable via la fraude téléphonique : les attaquants passent une avalanche d'appels vers des numéros surtaxés et les facturent à la victime, accumulant parfois d'énormes montants en une nuit. Le SIP en clair expose aussi les identifiants et les métadonnées d'appel, et le modèle d'enregistrement du protocole permet la prise de contrôle d'extension. Comme le 5060 est si lucratif, c'est l'un des ports VoIP les plus agressivement scannés sur Internet.

Comment c'est attaqué

Des outils comme sipvicious et le script nmap sip-enum-users énumèrent les extensions valides, puis brute-forcent leurs secrets. Avec un enregistrement valide, l'attaquant réalise un détournement d'enregistrement et lance des appels frauduleux sortants. La sonde sip-methods identifie les serveurs, et le flood d'INVITE/REGISTER sert à la fois à l'énumération et au déni de service.

Liste de durcissement

Gardez SIP hors d'Internet quand c'est possible — placez-le derrière un Session Border Controller (SBC) ou un VPN. Utilisez SIP sur TLS (5061) et SRTP pour chiffrer signalisation et médias, et imposez des secrets forts et uniques par extension. Limitez le débit des enregistrements et des INVITE, déployez fail2ban, restreignez les IP sources des trunks et fixez des limites d'appel et destinations autorisées par extension pour plafonner la fraude. Utilisez la commande nmap ci-dessus pour énumérer méthodes et utilisateurs sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 5061Port 5004Port 4569Port 1720

Questions fréquentes

Pourquoi le port 5060 est-il autant ciblé ?
Compromettre un serveur SIP permet la fraude téléphonique — les attaquants passent des appels surtaxés coûteux sur le compte de la victime. Un 5060 ouvert est constamment scanné et brute-forcé par des outils de fraude VoIP automatisés.
SIP doit-il utiliser TCP ou UDP ?
Les deux sont valides ; SIP utilise traditionnellement l'UDP 5060 mais fonctionne aussi sur TCP. Pour la sécurité, préférez SIP sur TLS au port 5061 afin de chiffrer la signalisation et les identifiants.