Skip to content
PortsDB

Référence des ports

Port 514 (UDP) – Syslog

Syslog — le transport UDP classique des messages de journalisation système et d'équipements.

udpWell-knownSouvent attaqué

État par défaut

Ouvert sur les collecteurs syslog et les points d'ingestion SIEM. Les appareils y envoient ; il ne devrait être joignable que depuis des sources de journaux de confiance.

Attaques courantes

  • Messages de journal usurpés falsifiant ou brouillant la piste d'audit
  • Injection de journaux pour corrompre ou contourner l'analyse et les alertes SIEM
  • Inondation du collecteur pour perdre ou masquer les vrais événements (DoS)
  • Interception en clair de données sensibles dans les lignes de journal

Durcissement

  • Passer à syslog sur TLS (RFC 5425) sur TCP 6514 au lieu d'UDP 514
  • Restreindre UDP 514 aux IP de sources de journaux connues par pare-feu
  • Valider et assainir les messages entrants avant l'ingestion SIEM
  • Limiter le débit et surveiller la charge du collecteur pour résister à l'inondation
  • Segmenter le trafic de journalisation sur un réseau d'administration de confiance

Commande nmap

nmap -sU -p514 --script syslog-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 514

Le port 514 est le transport classique du syslog, le protocole standard que les appareils et serveurs utilisent pour expédier les messages de journal vers un collecteur central ou un SIEM. Routeurs, pare-feu, hôtes Linux et appliances y transmettent leurs événements pour qu'ils soient stockés, corrélés et alertés. Le syslog traditionnel fonctionne sur UDP 514 en texte brut, sans accusé de réception. (L'ancien service rsh/rshd utilisait aussi historiquement TCP 514.)

Pourquoi c'est important pour la sécurité

Les journaux sont la base de preuves pour la détection et la criminalistique, donc leur intégrité est elle-même un contrôle de sécurité. Le syslog UDP n'en offre aucune : les messages sont non authentifiés, non chiffrés et facilement usurpés. Un attaquant sur le chemin peut falsifier des entrées pour masquer une intrusion, injecter des événements trompeurs pour égarer les analystes, ou inonder le collecteur pour que de vraies alertes soient perdues. Les données sensibles dans les lignes de journal sont aussi exposées à quiconque renifle le clair.

Comment il est attaqué

Comme les adresses source UDP sont triviales à usurper, un attaquant envoie des messages de journal falsifiés qui polluent ou réécrivent la piste d'audit. L'injection de journaux forge des champs qui brisent l'analyse SIEM ou déclenchent de fausses alertes, et l'inondation du collecteur le force à perdre des événements — masquant l'activité réelle dans un déni de service. Sur le réseau, les messages en clair sont interceptés à des fins de reconnaissance.

Liste de durcissement

Remplacez le syslog UDP brut par syslog sur TLS (RFC 5425) sur TCP 6514, qui ajoute authentification, intégrité et chiffrement. Là où UDP 514 doit subsister, restreignez-le aux IP de sources connues par pare-feu, validez et assainissez les messages avant l'ingestion SIEM, et limitez le débit du collecteur pour résister à l'inondation. Maintenez la journalisation sur un segment d'administration de confiance. La commande nmap ci-dessus identifie un écouteur syslog sur un hôte que vous êtes autorisé à tester.

Ports liés

Port 601Port 6514Port 161Port 123

Questions fréquentes

Syslog sur UDP 514 est-il sécurisé ?
Non. Le syslog classique sur UDP 514 n'a ni authentification, ni intégrité, ni chiffrement, donc les messages peuvent être usurpés, altérés ou lus en transit. Utilisez plutôt syslog sur TLS (TCP 6514).
Pourquoi l'usurpation de journaux est-elle importante ?
Des entrées de journal falsifiées peuvent masquer une intrusion, incriminer une activité innocente ou déclencher de fausses alertes — sapant la piste d'audit dont dépendent les enquêteurs après un incident.