Référence des ports
Port 5061 (TCP) – SIP sur TLS
Signalisation SIP (Session Initiation Protocol) chiffrée avec TLS pour l'établissement sécurisé d'appels VoIP.
État par défaut
Ouvert sur les serveurs VoIP et PBX (Asterisk, FreeSWITCH, Kamailio) configurés pour SIP-TLS. Le pendant chiffré du SIP en clair sur le 5060.
Attaques courantes
- Énumération d'utilisateurs/extensions SIP pour trouver des comptes valides
- Force brute d'identifiants menant à la fraude téléphonique
- Tentatives de rétrogradation vers le SIP en clair sur le 5060
- Exploitation d'une configuration TLS faible ou de certificats expirés
Durcissement
- Imposer TLS avec des chiffrements forts et des certificats valides
- Utiliser des identifiants SIP forts et désactiver les appels invité/anonymes
- Restreindre les IP sources et limiter le débit des tentatives d'enregistrement
- Désactiver le SIP en clair sur le 5060 là où TLS est requis
- Corriger la pile PBX/SIP et surveiller l'énumération
Commande nmap
nmap -p5061 --script sip-methods,ssl-cert <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 5061
Le port 5061 transporte la signalisation SIP (Session Initiation Protocol) sur TLS — le pendant chiffré du SIP en clair sur le 5060. Il est utilisé par les serveurs VoIP et les PBX tels qu'Asterisk, FreeSWITCH et Kamailio pour établir, modifier et terminer les appels voix et vidéo. TLS protège la signalisation et les identifiants en transit ; l'associer à SRTP protège le flux média lui-même.
Pourquoi c'est important pour la sécurité
Chiffrer la signalisation ferme l'écoute clandestine et l'altération sur le réseau, mais ne corrige pas les comptes faibles. Les services SIP sont sans relâche ciblés pour la fraude téléphonique : un attaquant qui enregistre une extension volée peut passer des appels coûteux sur le compte de la victime. Une configuration TLS défaillante — chiffrements faibles, certificats expirés ou non validés, ou repli vers le 5060 en clair — annule la protection que TLS est censé fournir.
Comment c'est attaqué
Les attaquants sondent les serveurs SIP avec le script nmap sip-methods pour
cartographier les requêtes supportées, puis énumèrent les extensions et
brute-forcent les identifiants. Ils tentent de rétrograder les sessions vers
le 5060 en clair là où il est encore ouvert, et exploitent une configuration
TLS faible ou des certificats expirés révélés par des vérifications comme
ssl-cert.
Liste de durcissement
Imposez TLS avec des chiffrements forts et des certificats valides, et désactivez le SIP en clair sur le 5060 là où TLS est requis. Utilisez des identifiants SIP forts, désactivez les appels invité/anonymes, restreignez les IP sources et limitez le débit des tentatives d'enregistrement pour émousser la force brute. Corrigez la pile PBX/SIP et surveillez l'énumération. Utilisez la commande nmap ci-dessus pour examiner les méthodes et la santé des certificats sur les systèmes que vous êtes autorisé à évaluer.
Ports liés
Questions fréquentes
- Quelle différence entre 5060 et 5061 ?
- Le 5060 transporte la signalisation SIP en clair ; le 5061 transporte le SIP sur TLS, chiffrant l'établissement d'appel et les identifiants. Associez le 5061 à SRTP pour protéger le média en plus de la signalisation.
- Le SIP sur TLS empêche-t-il la fraude téléphonique ?
- Il protège la signalisation en transit mais pas les comptes faibles. Les attaquants énumèrent toujours les extensions et brute-forcent les identifiants, donc les mots de passe forts, les restrictions d'IP et la limitation de débit restent essentiels.