RU
English
TCP
Мониторинг
Порт 514 (Syslog)
Узнайте о порте 514 (Syslog) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 514.
Краткая информация
Номер порта
514
Протокол
TCP
Сервис
Syslog
Имя IANA
Syslog
Описание сервиса
Порт TCP 514 традиционно используется для протокола Syslog, который является стандартом для пересылки сообщений системного журнала по IP-сетям. Syslog позволяет централизованно собирать логи с различных устройств, таких как серверы, маршрутизаторы, коммутаторы и даже принтеры. Изначально Syslog был разработан Эриком Оллманом как часть проекта sendmail, но впоследствии был стандартизирован в RFC 3164 и позже обновлен в RFC 5424 и RFC 5426. На техническом уровне, сервис syslog работает следующим образом: клиентское устройство генерирует сообщение, содержащее информацию о событии. Это сообщение форматируется в соответствии со стандартом Syslog и отправляется на syslog-сервер по порту 514/TCP (или UDP). Сервер получает сообщения и сохраняет их, анализирует или пересылает на другие системы для дальнейшей обработки. Формат сообщения включает в себя приоритет (facility и severity), временную метку, имя хоста и само сообщение.
## Рекомендации по настройке файрвола
Рекомендуется блокировать порт TCP 514 из внешней сети и разрешать только трафик с доверенных внутренних IP-адресов. Если требуется передача syslog-сообщений через небезопасную сеть, следует использовать безопасные альтернативы, такие как TLS (TCP Port 6514) или RELP (Reliable Event Logging Protocol). Также важно регулярно обновлять программное обеспечение syslog-клиентов и серверов, чтобы исправлять известные уязвимости. Настройки фильтрации и ограничения скорости должны быть реализованы на сервере syslog для предотвращения атак DoS. Аутентификация клиентов и шифрование сообщений должны быть включены везде, где это возможно, для защиты от перехвата и несанкционированного доступа.
## Рекомендации по настройке файрвола
Рекомендуется блокировать порт TCP 514 из внешней сети и разрешать только трафик с доверенных внутренних IP-адресов. Если требуется передача syslog-сообщений через небезопасную сеть, следует использовать безопасные альтернативы, такие как TLS (TCP Port 6514) или RELP (Reliable Event Logging Protocol). Также важно регулярно обновлять программное обеспечение syslog-клиентов и серверов, чтобы исправлять известные уязвимости. Настройки фильтрации и ограничения скорости должны быть реализованы на сервере syslog для предотвращения атак DoS. Аутентификация клиентов и шифрование сообщений должны быть включены везде, где это возможно, для защиты от перехвата и несанкционированного доступа.
Информация о безопасности
Поскольку Syslog часто передает конфиденциальную информацию в виде обычного текста, порт TCP 514 представляет собой значительный риск безопасности. Злоумышленник, перехвативший трафик, может получить доступ к информации о конфигурации сети, учетным данным пользователей и другим важным данным. Кроме того, если сервер Syslog не настроен должным образом, он может быть использован для атак типа denial-of-service (DoS) путем отправки большого количества поддельных сообщений, перегружающих сервер. Уязвимости также могут возникать из-за ошибок в реализации протокола Syslog в клиентском или серверном программном обеспечении. Отсутствие шифрования и аутентификации является основной причиной, по которой порт 514 является привлекательной целью для злоумышленников, особенно в сетях, где трафик не контролируется должным образом.
Известные уязвимости
| CVE | Название | Критичность | Описание |
|---|---|---|---|
| CVE-2019-14907 | rsyslog Remote Code Execution | Critical | A heap-based buffer overflow vulnerability exists in rsyslog versions before 8.19.08 due to improper validation of the length of data received from a client, potentially leading to remote code execution. |
| CVE-2017-6519 | syslog-ng Heap Buffer Overflow | High | A heap-based buffer overflow vulnerability exists in syslog-ng versions before 3.9, potentially leading to denial of service or arbitrary code execution. |
| CVE-2008-0565 | syslogd format string vulnerability | High | A format string vulnerability in syslogd allows remote attackers to execute arbitrary code via format string specifiers in a log message. |
| CVE-2023-27953 | rsyslog vulnerability | Medium | An input validation issue was discovered in rsyslog. This could potentially allow a malicious actor to cause a denial of service condition. |
| CVE-2023-36838 | syslog-ng vulnerability | High | A vulnerability was found in syslog-ng. This issue occurs when handling incoming messages from a TCP source that uses the IETF-syslog protocol. By sending a crafted message, a malicious user can cause a crash of syslog-ng. |
Связанное вредоносное ПО
- While no specific malware is definitively known to *exclusively* use port 514/TCP, some botnets and malware families may leverage Syslog as a communication channel for command and control or data exfiltration, especially when targeting vulnerable or misconfigured systems. Generic trojans might use it for stealthy logging and information gathering.
Распространённое ПО
- rsyslog
- syslog-ng
- NXLog
- Kiwi Syslog Server
- Splunk
- Graylog
- Logstash
- SolarWinds Log & Event Manager
Найти устройства с этим портом
Обнаружьте все устройства с открытым портом 514 в любой стране.
Искать порт 514Найдите все устройства с открытым портом 514
ScaniteX сканирует миллионы IP-адресов для поиска устройств с определёнными открытыми портами. Идеально для исследований безопасности и аудита сети.
Начать массовое сканирование