UDP Удалённый доступ

Порт 1194 (OpenVPN)

Узнайте о порте 1194 (OpenVPN) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 1194.

Краткая информация

Номер порта

1194

Протокол

UDP

Сервис

OpenVPN

Имя IANA

OpenVPN

Описание сервиса

Порт UDP 1194 является стандартным портом, используемым OpenVPN, популярным решением для виртуальной частной сети (VPN) с открытым исходным кодом. OpenVPN создает безопасный туннель между двумя конечными точками, позволяя передавать данные через общедоступную сеть, такую как Интернет, как если бы они находились в частной сети. OpenVPN использует SSL/TLS для шифрования и аутентификации, обеспечивая конфиденциальность и целостность данных. Исторически, выбор порта 1194 был произвольным, но он стал де-факто стандартом для OpenVPN-серверов.

На техническом уровне, OpenVPN может работать как в режиме маршрутизации (L3) так и в режиме моста (L2). В режиме маршрутизации OpenVPN создает виртуальный интерфейс (tun) на каждой конечной точке и назначает им IP-адреса. Трафик между этими интерфейсами маршрутизируется через зашифрованный туннель. В режиме моста OpenVPN создает виртуальный интерфейс (tap) на каждой конечной точке и мостит их с существующим сетевым интерфейсом. Это позволяет передавать Ethernet-фреймы через туннель, что полезно для приложений, требующих L2-связности, таких как трансляция Windows Network Discovery. OpenVPN поддерживает различные методы аутентификации, включая предварительно общие ключи, сертификаты и аутентификацию на основе имени пользователя/пароля. OpenVPN также поддерживает сжатие данных для повышения производительности.

## Рекомендации по настройке файрвола

Рекомендуется блокировать входящие соединения к порту UDP 1194, если вы не запускаете OpenVPN-сервер. Если вы запускаете OpenVPN-сервер, следует разрешить входящие соединения к порту UDP 1194 только с доверенных IP-адресов или сетей. Также следует рассмотреть возможность использования брандмауэра для ограничения исходящих соединений с порта UDP 1194 только к необходимым серверам OpenVPN. Важно поддерживать OpenVPN-программное обеспечение в актуальном состоянии с последними исправлениями безопасности, чтобы снизить риск эксплуатации уязвимостей. Использование надежных ключей шифрования и строгой аутентификации также является важной практикой безопасности. Рассмотрите возможность использования TCP вместо UDP, если стабильность важнее производительности.

Информация о безопасности

Порт UDP 1194, используемый OpenVPN, может стать мишенью для злоумышленников, если OpenVPN-сервер неправильно настроен или содержит уязвимости. Распространенные векторы атак включают атаки типа «отказ в обслуживании» (DoS), направленные на перегрузку сервера и предотвращение подключения законных пользователей. Уязвимости в OpenVPN-программном обеспечении также могут быть использованы для получения несанкционированного доступа к сети. Кроме того, слабые или скомпрометированные ключи шифрования могут позволить злоумышленникам перехватывать и расшифровывать трафик VPN. Серверы OpenVPN, не защищенные брандмауэром или подверженные общедоступным IP-адресам, представляют собой повышенный риск. Злоумышленники могут сканировать Интернет на наличие открытых портов UDP 1194 и пытаться использовать известные уязвимости.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2022-0547	OpenVPN AS and OpenVPN 2.5.5/2.5.6 vulnerable to Denial of Service	Medium	OpenVPN Access Server 2.9.5 and earlier, OpenVPN 2.5 version 2.5.5 and version 2.5.6 contain a vulnerability in the management interface that could allow a remote authenticated attacker to cause a denial of service condition on the system.
CVE-2020-15078	OpenVPN 2.4.9 has a remote unauthenticated denial of service vulnerability	High	OpenVPN versions before 2.4.9 and 2.5 before 2.5_alpha3 have a remote unauthenticated denial of service vulnerability in the tls-crypt feature. If tls-crypt is enabled, an attacker can send a single UDP packet to the OpenVPN server which will cause the server process to exit.
CVE-2019-14899	OpenVPN: Data channel v2 -- authentication bypass via crafted control channel message	Critical	OpenVPN versions before v2.4.8 and before v2.3.18 are vulnerable to an authentication bypass. By sending a crafted control channel message, an attacker can bypass authentication and inject arbitrary packets into the data channel.