Port TCP 161 : SNMP, usages réseau, risques et protections

Qu’on le veuille ou non, le port 161 – surtout sa version UDP – est indissociable de la supervision réseau avec SNMP. Mal maîtrisé ou laissé grand-ouvert, il se transforme vite en passerelle royale pour quiconque veut dresser la carte de votre infrastructure, recenser vos équipements, voire prendre la main dessus. Ce guide fait le tour de la question : pourquoi le port 161 est si essentiel, ce qui le distingue des ports 162 et 6161, où se nichent les failles de sécurité, et surtout comment tester puis verrouiller proprement son accès.

1. Port 161 : définition et protocole associé

Origine et normalisation IANA

Le port 161 appartient à la famille des « well-known ports » (0–1023). L’IANA l’a attribué au SNMP (Simple Network Management Protocol), la brique maîtresse de la supervision et de la gestion d’équipements réseau.

Dès qu’un flux transite sur le 161, on peut pratiquement parier qu’il s’agit de SNMP. Les attributions officielles sont simples :

• UDP 161 : canal privilégié pour les requêtes SNMP (GET, SET, etc.).
• TCP 161 : prévu pour des cas particuliers, moins fréquent.

En deux mots : le port 161, c’est quoi ?
C’est le numéro de port réservé par l’IANA à SNMP, principalement exploité en UDP pour interroger ou configurer routeurs, switches, serveurs, objets connectés, et bien plus encore.

SNMP v1, v2c, v3 : évolutions clés

Depuis ses débuts, SNMP a évolué par paliers marquants, notamment côté sécurité :

Version SNMP	Période d’utilisation	Niveau de sécurité	Recommandation
SNMPv1	Début 90’s – encore trouvable	Identifiants en clair, chiffrement absent, authentification rudimentaire	À proscrire en production, tolérable uniquement sur réseaux isolés
SNMPv2c	Milieu 90’s – encore très répandu	Mêmes failles que v1 (mot-clef « community » en clair) mais plus efficace côté performance	Dépannage ou segments ultra-filtrés uniquement
SNMPv3	Depuis 2002 – la référence	Authentification forte, chiffrement, contrôle d’accès fin	À privilégier dans tout environnement actuel

Les deux premières versions reposent sur la community string (public, private, etc.), véritable sésame… envoyé en clair ! SNMPv3 change la donne grâce :

• à une authentification robuste (MD5, SHA) ;
• au chiffrement (DES, AES…) ;
• à un contrôle d’accès par utilisateurs et vues MIB.

Pourquoi l’UDP 161 domine, et quand basculer en TCP ?

Alors, UDP ou TCP ? Par défaut, SNMP voyage en UDP sur le 161. La version TCP existe bien dans les RFC, mais reste minoritaire.

Pourquoi l’UDP a la cote ?

• Il évite le triple handshake et la gestion d’état, donc moins de surcharge.
• Parfait pour de petits paquets de supervision envoyés en rafale.
• Les agents embarqués (routeurs, IoT) disposent souvent de ressources limitées.

Quand passer au TCP 161 ? Quelques scénarios typiques :

• Des pare-feu tatillons qui brident l’UDP.
• Des liaisons longue distance instables où l’on recherche plus de fiabilité.
• Des infrastructures exigeant une inspection stateful stricte.

Attention : SNMP sur TCP demande souvent une activation explicite côté agent et manager. Un tour dans la doc du constructeur s’impose avant de se lancer.

2. À quoi sert le port 161 dans une infrastructure réseau ?

Supervision et collecte de métriques

Le 161 est la voie royale qu’emprunte votre manager SNMP pour discuter avec chaque agent caché dans vos équipements. Grâce à lui, on peut tirer :

• l’état des interfaces (UP/DOWN, erreurs, débit) ;
• l’utilisation CPU, RAM, disques ;
• les infos de température, alimentation, ventilation ;
• le statut des services (VPN, BGP, démons applicatifs…).

Toutes ces données résident dans la MIB, consultable via les fameux OID. Le manager balance ses GET, GETNEXT ou GETBULK sur le 161 et récolte les réponses.

Configuration et gestion des équipements

Lire, c’est bien ; écrire, c’est puissant… et risqué. Avec les requêtes SET, on peut, par exemple :

• couper un port sur un switch ;
• modifier une ACL ou un paramètre réseau ;
• déclencher un redémarrage d’équipement ;
• tuner à distance un capteur IoT.

Autant dire qu’une configuration trop permissive sur SNMP SET peut mettre en péril une chaîne de production.

Les outils qui parlent SNMP

Impossible de les citer tous, mais vous croiserez forcément :

• Surveillance : Zabbix, Centreon, PRTG, Nagios, SolarWinds, LibreNMS…
• Diagnostics rapides : snmpwalk, snmpget, snmpbulkget.
• Écosystèmes IoT ou SCADA : passerelles, superviseurs, etc.

La recette ? Un serveur de supervision interroge, en UDP 161, les agents nichés sur :

• switches, routeurs (Cisco, Juniper, HPE…) ;
• pare-feux, load balancers, appliances de sécu ;
• serveurs Linux, Windows, NAS, imprimantes ;
• capteurs et automates industriels, objets connectés.

3. Différences entre les ports 161, 162 et 6161

Port 162 : les traps arrivent ici

161 ou 162, qui fait quoi ?

• 161 : le manager questionne l’agent (polling).
• 162 : l’agent envoie des alertes (traps/informs).

Ces alertes débarquent généralement en :

• UDP 162 (la norme) ;
• éventuellement TCP 162 pour plus de garanties.

Et le port 6161 ?

Rien d’officiel côté IANA ; pourtant on le rencontre souvent. Il sert, par exemple :

• de passerelle pour certains connecteurs JMX (Java) ;
• de point d’ancrage à des solutions de monitoring maison ;
• d’interface à un proxy SNMP qui redistribue le trafic.

Bref : sans la doc, impossible de deviner. Examinez toujours l’appli qui l’emploie avant d’ouvrir 6161.

Attribution des ports : quelques repères

Pour replacer le TCP 161 dans le paysage :

• 80/tcp : HTTP
• 443/tcp : HTTPS
• 22/tcp : SSH
• 25/tcp : SMTP
• 53/udp|tcp : DNS
• 161/udp : SNMP requêtes
• 162/udp : SNMP traps
• 6161/tcp : usage divers de monitoring/gestion

Quelques reflexes simples :

• Gardez 161/162 pour SNMP, point.
• Vos applis perso ? Au-delà de 1024, merci.
• Consignez chaque ouverture de port dans la CMDB.
• Filtrez tout accès d’administration, surtout depuis l’extérieur.

4. Sécurité : risques et bonnes pratiques autour du port 161

Pièges les plus fréquents

Pourquoi ce petit port fait-il trembler les RSSI ?

Principaux écueils (notamment en v1/v2c) :

• Les community strings par défaut (public/private) restent actives.
• Aucun chiffrement : tout transite en clair, mots de passe compris.
• Attaques par dictionnaire sur les communities.
• Accès en écriture : un SET malintentionné et vos ports switch tombent.
• Récolte d’infos sensibles : version d’OS, topologie, routes… un rêve pour l’attaquant.

On croise encore ces failles sur :

• des VLAN utilisateurs qui voient le 161 des équipements ;
• des VPN « tout ouvert » vers le LAN ;
• des boîtiers exposés sur Internet avec SNMP actif (hélas).

Filtrage, ACL et cloisonnement

Première barrière : décider qui a le droit de discuter en 161.

• Segmentez vos réseaux : VLAN ou VRF dédiés à l’admin.
• ACL côté équipement : seules les IP des managers SNMP passent.
• Pare-feu : 161/162 ouverts depuis le serveur de supervision, bloqués ailleurs.
• Liaisons OOB : quand c’est possible, isolez complètement le management.

En clair, hors du périmètre supervision, personne ne devrait voir ce port.

Chiffrement, authentification : cap sur SNMPv3

Envie de dormir tranquille ? Voici la to-do :

• Désactivez v1/v2c dès que vos matériels le permettent.
• Migrez vers SNMPv3 en authPriv :
  • comptes dédiés ;
  • SHA/AES ou mieux ;
  • mots de passe tournants.
• V2c incontournable ? Allongez les communities, lisez-seulement, et restreignez par IP.
• Exposez uniquement les OID utiles via des vues ciblées.
• Si le trafic traverse un réseau tiers, montez un VPN ou IPSec.

Lors d’un audit, un 161 en v1/v2c accessible à tous déclenche illico la sirène d’alarme.

5. Tester, ouvrir ou bloquer le port 161 : mode d’emploi

nmap, netstat, snmpwalk : vos meilleurs alliés

Le 161 est-il ouvert ? filtré ? muet ? Quelques commandes suffisent.

1) nmap

• Scan UDP :

nmap -sU -p 161 <ip-cible>

Résultats fréquents : open|filtered (probablement ouvert ou filtré) ; closed (pas d’agent ou rejet explicite).

• Scan TCP :

nmap -sT -p 161 <ip-cible>

2) netstat / ss

# Linux
ss -lunp | grep 161   # UDP
ss -ltnp | grep 161   # TCP

# Windows
netstat -ano | findstr 161

3) snmpwalk – pour voir si ça répond vraiment.

• Version 2c :

snmpwalk -v2c -c public <ip-cible> 1.3.6.1.2.1.1

• Version 3 :

snmpwalk -v3 -u monuser -a SHA -A "MonPassAuth" \
 -x AES -X "MonPassCrypt" -l authPriv <ip-cible> 1.3.6.1.2.1.1

Configurer l’agent SNMP

Côté Linux (Net-SNMP) : tout se joue dans /etc/snmp/snmpd.conf. Vous y préciserez l’agentAddress udp:161 (et éventuellement tcp:161), les communities ou les utilisateurs v3, sans oublier les ACL.

Sur un switch ou un routeur Cisco/Juniper, la CLI vous attend : paramétrez les communities ou utilisateurs, collez une ACL bien serrée, puis indiquez où envoyer les traps (162).

Le mode TCP ? Parfois un simple agentAddress udp:161,tcp:161 suffit, mais chaque constructeur a sa petite sauce.

Dépanner un 161 capricieux

Le port répond, mais rien ne remonte ? Quelques pistes :

• Logs : /var/log/snmpd.log, Syslog, ou journaux des équipements.
• Timeouts : les liaisons WAN lentes trompent souvent snmpwalk.
• Versions/identifiants : v3 activé ? Une community erronée ? Le silence est parfois un refus poli.
• Capture réseau : un coup de tcpdump révèle si les paquets sortent et reviennent.

Conclusion : checklist express pour un port 161 sous contrôle

• Architecturer
  • SNMP sur un réseau d’admin dédié.
  • Seules les IP du ou des managers voient 161/162.
• Sécuriser
  • SNMPv3 + authPriv de préférence.
  • Si v1/v2c restent : communities solides, lecture-seule, ACL strictes.
  • Jamais de 161 exposé directement sur Internet.
• Exploiter
  • Documenter MIB, OID, et équipements.
  • Audits périodiques via nmap, snmpwalk, et analyse de logs.
  • Surveiller toute tentative d’accès non autorisé.
• Particularités
  • TCP 161 : uniquement si l’UDP ne passe pas.
  • Port 6161 : comprendre l’appli, puis sécuriser comme un accès admin.

Appliquez ces réflexes et vous profiterez de la puissance de SNMP sans offrir votre réseau en libre-service.

Questions fréquentes sur le port TCP 161

Qu’est-ce que le port TCP 161 ?

Le port TCP 161 est attribué au protocole SNMP (Simple Network Management Protocol). Il est utilisé pour la supervision et la gestion des équipements réseau, bien que l’UDP 161 soit plus courant pour ce protocole.

Quel protocole utilise le port 161 ?

Le port 161 est principalement utilisé par le protocole SNMP (Simple Network Management Protocol). Ce protocole fonctionne généralement en UDP, mais peut également utiliser TCP dans des cas spécifiques.

À quoi sert le port 161 dans un réseau ?

Le port 161 sert à collecter des données de supervision (état des interfaces, utilisation des ressources) et à configurer des équipements réseau via le protocole SNMP. Il est essentiel pour la gestion des infrastructures IT.

Pourquoi le port 161 utilise-t-il principalement l’UDP ?

Le port 161 utilise principalement l’UDP car ce protocole est léger, rapide et adapté aux petits paquets de données SNMP. Il évite la surcharge liée à la gestion d’état, ce qui le rend idéal pour les équipements à ressources limitées.

Quelle est la différence entre les ports 161 et 162 ?

Le port 161 est utilisé pour envoyer des requêtes SNMP (GET, SET), tandis que le port 162 est réservé aux notifications SNMP (traps et informs) envoyées par les agents vers le manager.

Le port 6161 est-il lié au port 161 ?

Non, le port 6161 n’est pas directement lié au port 161. Ce dernier est réservé au protocole SNMP, tandis que le port 6161 peut être utilisé par d’autres applications ou services spécifiques selon les configurations.