Skip to content
PortsDB

Référence des ports

Port 113 (TCP) – Ident / Auth

Protocole d'identification qui indique le nom d'utilisateur propriétaire d'une connexion TCP donnée.

tcpWell-knownSouvent attaqué

État par défaut

Largement désactivé aujourd'hui mais historiquement interrogé par les serveurs IRC, mail et FTP ; identd subsiste sur Unix hérité.

Attaques courantes

  • Divulgation du nom d'utilisateur propriétaire d'une connexion
  • Sondage de reconnaissance, classiquement par les serveurs IRC à la connexion
  • Réponses ident usurpées pour contourner ou tromper les contrôles d'accès

Durcissement

  • Désactiver identd sauf si un service précis l'exige strictement
  • Renvoyer un jeton fixe ou un ID aléatoire au lieu des vrais noms d'utilisateurs
  • Bloquer ou REJECT le port TCP 113 en entrée au pare-feu
  • Préférer REJECT à DROP pour que les clients échouent vite au lieu de patienter

Commande nmap

nmap -p113 --script auth-owners <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 113

Le port 113 est le port par défaut du protocole Ident (RFC 1413), également appelé Auth. Lorsque vous établissez une connexion TCP sortante, le serveur distant peut interroger le port 113 de votre hôte pour demander quel nom d'utilisateur local possède cette connexion. Il était largement utilisé par les serveurs IRC, SMTP et FTP pour journaliser ou vérifier l'identité derrière les sessions entrantes. Les systèmes modernes exécutent rarement identd, mais il persiste sur Unix hérité.

Pourquoi c'est important pour la sécurité

Ident est une divulgation d'informations par conception. Répondre fidèlement révèle le nom d'utilisateur de chaque connexion, aidant un attaquant à associer les comptes aux services et à les cibler. À l'inverse, la réponse est trivialement usurpable par celui qui contrôle l'hôte interrogé, elle n'offre donc aucune authentification fiable — seulement un risque de fuite. Exécuter un vrai identd sur un hôte exposé livre des données de compte pour rien.

Comment il est attaqué

L'interaction classique est un serveur IRC sondant le port 113 quand un client se connecte, que les attaquants observent pour apprendre les noms d'utilisateurs. Plus directement, les scanners utilisent ident pour énumérer les comptes derrière les services en cours pour des attaques ultérieures. Comme les réponses peuvent être falsifiées, un attaquant contrôlant un hôte peut aussi fournir des identités trompeuses aux systèmes qui font naïvement confiance à ident.

Liste de durcissement

Désactivez identd sauf si un service l'exige strictement ; le cas échéant, configurez-le pour renvoyer un jeton fixe ou un ID aléatoire plutôt que les vrais noms d'utilisateurs. Faites REJECT sur le port TCP 113 en entrée plutôt que DROP, afin que les serveurs IRC et mail qui le sondent obtiennent un refus immédiat au lieu de caler sur un délai. La commande nmap ci-dessus indique l'utilisateur propriétaire que ident divulgue sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 194Port 79Port 25Port 21

Questions fréquentes

Qu'est-ce que le protocole Ident sur le port 113 ?
Ident (RFC 1413), aussi appelé Auth, permet à un serveur distant de demander quel nom d'utilisateur local possède une connexion TCP sortante. Les serveurs IRC, mail et FTP l'interrogeaient historiquement à la connexion.
Dois-je bloquer le port 113 ?
Généralement oui — désactivez identd ou faites REJECT sur le port. Utilisez REJECT plutôt que DROP pour que les serveurs IRC et mail qui le sondent obtiennent une réponse immédiate au lieu d'attendre un délai.