UDP Мониторинг

Порт 514 (Syslog)

Узнайте о порте 514 (Syslog) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 514.

Краткая информация

Номер порта

514

Протокол

UDP

Сервис

Syslog

Имя IANA

Syslog

Описание сервиса

Порт UDP 514 традиционно используется для протокола Syslog, стандарта для передачи сообщений системных журналов (логов) между различными устройствами и серверами в сети. Syslog позволяет централизованно собирать, хранить и анализировать логи от различных источников, таких как маршрутизаторы, коммутаторы, серверы, брандмауэры и приложения. Исторически, Syslog был разработан для Unix-подобных систем, но сейчас широко используется на различных платформах. На техническом уровне, Syslog работает путем отправки сообщений в формате UDP на порт 514 сервера Syslog. Сообщения обычно содержат информацию о приоритете, времени события, имени хоста и самой записи журнала. Протокол Syslog описан в RFC 5424, RFC 5425 и RFC 5426, в которых стандартизованы форматы и протоколы передачи. Современные реализации Syslog часто поддерживают TCP для более надежной передачи, особенно в сетях с ненадежными соединениями, и используют TLS для шифрования передаваемых данных.

## Рекомендации по настройке файрвола

Рекомендуется блокировать порт UDP 514 из ненадежных сетей. Если Syslog необходимо использовать через интернет, настоятельно рекомендуется использовать TCP с TLS шифрованием (порт 6514). Внутри доверенной сети следует ограничить доступ к порту 514 только авторизованным хостам. Необходимо регулярно обновлять программное обеспечение сервера Syslog для устранения известных уязвимостей. Также следует рассмотреть возможность использования систем обнаружения вторжений (IDS) для мониторинга трафика Syslog на предмет подозрительной активности. Важно также тщательно конфигурировать Syslog, чтобы логи не содержали избыточной или конфиденциальной информации, которая может быть использована злоумышленниками.

Информация о безопасности

Поскольку Syslog использует UDP по умолчанию, он подвержен различным атакам. Отсутствие встроенной защиты в UDP означает, что сообщения могут быть подделаны или перехвачены злоумышленниками. Атаки типа "отказ в обслуживании" (DoS) могут быть легко осуществлены путем наводнения сервера Syslog поддельными сообщениями. Если Syslog сконфигурирован неправильно, конфиденциальная информация, содержащаяся в логах, может быть раскрыта. Кроме того, уязвимости в программном обеспечении сервера Syslog могут быть использованы для получения несанкционированного доступа к системе. Из-за широкого распространения и важности логов для мониторинга безопасности, Syslog является привлекательной целью для злоумышленников, стремящихся скрыть свои действия или получить доступ к конфиденциальной информации.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2019-14900	rsyslog: Crafted messages can crash rsyslogd	Medium	rsyslogd can crash if it receives a specially crafted message, leading to a denial of service.
CVE-2017-16809	syslog-ng: Heap-based buffer overflow in IPv6 parsing	High	A heap-based buffer overflow vulnerability exists in syslog-ng when parsing IPv6 addresses in log messages, potentially allowing for arbitrary code execution.
CVE-2013-2065	rsyslog: Input Validation Vulnerability	Medium	rsyslog contains an input validation vulnerability in the imuxsock module which may allow an attacker to execute arbitrary code.
CVE-2008-0640	syslog-ng: Format String Vulnerability	High	syslog-ng contains a format string vulnerability that allows remote attackers to execute arbitrary code.
CVE-2021-44228	Log4Shell	Critical	Although technically a vulnerability in the Log4j library, it heavily impacts applications that use Log4j to process Syslog messages, allowing remote code execution via crafted log entries.