Référence des ports
Port 5671 (TCP) – AMQPS (AMQP over TLS)
Port par défaut d'AMQPS, la variante sécurisée par TLS d'AMQP 0-9-1 utilisée par les brokers RabbitMQ ; la forme en clair tourne sur 5672.
État par défaut
Réservé à l'AMQP enveloppé dans TLS. Le chiffrement est en place, mais RabbitMQ est toujours livré avec un compte guest/guest par défaut, et le 5672 en clair ou l'interface de gestion sur 15672 peuvent aussi être accessibles.
Attaques courantes
- Connexion avec les identifiants guest/guest par défaut malgré TLS
- Repli vers AMQP en clair sur 5672 quand les deux ports sont ouverts
- Exploitation de configurations TLS faibles ou de l'absence de validation de certificat
- Accès à l'interface/API de gestion sur 15672 pour un contrôle total du broker
Durcissement
- Supprimer ou restreindre l'utilisateur guest par défaut ; imposer des identifiants forts
- Désactiver le 5672 en clair pour empêcher le repli des clients
- Utiliser des versions TLS modernes et des chiffrements forts ; valider les certificats
- Lier à une interface privée et limiter 5671 (et 15672) par pare-feu aux hôtes de confiance
- Utiliser des vhosts et des permissions par utilisateur, et maintenir RabbitMQ et Erlang à jour
Commande nmap
nmap -p5671 --script ssl-cert,amqp-info <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Que tourne sur le port 5671 ?
Le port 5671 est le port par défaut d'AMQPS — AMQP 0-9-1 sécurisé par TLS — la contrepartie chiffrée du protocole de messagerie utilisé par les brokers RabbitMQ. Producteurs et consommateurs se connectent via 5671 pour publier et consommer des messages au travers d'échanges et de files d'attente, avec topics, charges utiles et identifiants protégés en transit. La forme en clair tourne sur 5672 et l'interface de gestion sur 15672.
Pourquoi c'est important pour la sécurité
Le 5671 comble le défaut de confidentialité de l'AMQP en clair, mais TLS n'est pas un contrôle d'accès. RabbitMQ est toujours livré avec un compte guest/guest par défaut, et si le 5672 en clair ou l'interface de gestion sur 15672 est aussi accessible, un attaquant peut revenir en arrière ou prendre le contrôle. Le broker transporte les messages qui relient les services, donc une authentification faible fuit toujours des données métier.
Comment c'est attaqué
Les attaquants essaient les identifiants guest/guest par défaut même sur TLS, et là où les deux ports sont ouverts, ils rabaissent les clients vers le 5672 en clair. Les configurations TLS faibles et l'absence de validation de certificat sont sondées pour intercepter ou usurper, et le 15672 est visé pour l'interface/API de gestion afin d'énumérer vhosts et files d'attente ou d'en prendre le contrôle total.
Liste de durcissement
Supprimez ou restreignez l'utilisateur guest par défaut et imposez des identifiants forts. Désactivez le 5672 en clair pour empêcher le repli des clients, utilisez un TLS moderne avec des chiffrements forts, et validez les certificats. Liez à une interface privée et limitez 5671 et 15672 par pare-feu aux hôtes de confiance, utilisez des vhosts et des permissions par utilisateur, et maintenez RabbitMQ et Erlang à jour. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- En quoi le port 5671 diffère-t-il du 5672 ?
- Le port 5671 transporte AMQP dans un tunnel TLS, chiffrant messages et identifiants, tandis que 5672 est le même protocole en clair. Utilisez 5671 et désactivez 5672 si possible.
- AMQPS sur 5671 supprime-t-il le besoin de corriger les identifiants par défaut ?
- Non. TLS chiffre le trafic mais pas le contrôle d'accès. Le compte guest/guest par défaut de RabbitMQ s'applique toujours ; supprimez-le ou restreignez-le, imposez des identifiants forts et limitez l'interface de gestion par pare-feu.