Skip to content
PortsDB

Référence des ports

Port 1645 (UDP) – Authentification RADIUS (héritée)

Port d'authentification RADIUS hérité — transporte les requêtes d'authentification AAA, remplacé par le port officiel 1812.

udpRegisteredSouvent attaqué

État par défaut

Ouvert sur les anciens serveurs RADIUS et équipements NAS conservés pour la compatibilité ascendante. Devrait être migré vers le port 1812.

Attaques courantes

  • Collision MD5 Blast-RADIUS forgeant des réponses Access-Accept (CVE-2024-3596)
  • Cassage du secret partagé à partir des échanges RADIUS capturés
  • Cassage hors ligne des identifiants PAP/CHAP faibles
  • Man-in-the-middle et rejeu contre le RADIUS UDP non protégé

CVE-2024-3596

Durcissement

  • Corriger serveurs et clients contre Blast-RADIUS (CVE-2024-3596)
  • Activer Message-Authenticator sur tous les paquets RADIUS
  • Migrer du 1645 hérité vers le port officiel 1812
  • Utiliser des secrets partagés longs et uniques et tunneliser RADIUS sur IPsec/TLS (RadSec)
  • Restreindre RADIUS aux équipements NAS de confiance et réseaux de gestion

Commande nmap

nmap -sU -p1645 --script radius-test <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 1645

Le port 1645 est le port d'authentification RADIUS hérité. RADIUS est le protocole AAA que les serveurs d'accès réseau — passerelles VPN, contrôleurs Wi-Fi, commutateurs — utilisent pour authentifier les utilisateurs auprès d'un serveur central. Le port 1645 était le port d'authentification d'origine (associé au 1646 pour la comptabilité) avant que l'IANA ne normalise le 1812 (et le 1813). De nombreux équipements écoutent encore sur le 1645 pour la compatibilité ascendante, si bien que l'ancien port persiste en production.

Pourquoi c'est important pour la sécurité

RADIUS contrôle l'accès réseau et distant ; les faiblesses ici se traduisent directement par des entrées non autorisées. Le protocole authentifie les réponses avec une construction basée sur MD5 sur UDP, à la fois cassable et, comme Blast-RADIUS (CVE-2024-3596) l'a montré, vulnérable aux attaques par collision MD5 qui permettent à un adversaire sur le chemin de forger un Access-Accept. Les secrets partagés faibles et les identifiants PAP/CHAP hérités aggravent l'exposition.

Comment il est attaqué

L'attaque Blast-RADIUS exploite l'authentificateur de réponse MD5 pour forger des paquets Access-Accept, transformant une connexion refusée en connexion approuvée sans connaître le mot de passe. Les attaquants capturent aussi les échanges RADIUS pour casser le secret partagé ou les identifiants PAP/CHAP faibles hors ligne, et rejouent ou interceptent (MITM) le trafic RADIUS UDP non protégé.

Liste de durcissement

Corrigez les serveurs et clients RADIUS contre Blast-RADIUS (CVE-2024-3596) et exigez l'attribut Message-Authenticator sur chaque paquet. Migrez du 1645 hérité vers le port officiel 1812. Utilisez des secrets partagés longs et uniques et, lorsque c'est possible, tunnelisez RADIUS sur IPsec ou TLS (RadSec). Restreignez RADIUS aux équipements NAS de confiance et réseaux de gestion. Le script nmap ci-dessus sonde RADIUS sur les hôtes que vous êtes autorisé à tester. </content>

Ports liés

Port 1812Port 1813Port 1646Port 49

Questions fréquentes

Quelle est la différence entre le port 1645 et le 1812 ?
Les deux transportent l'authentification RADIUS. Le port 1645 est le port d'origine, hérité ; le 1812 est le port officiel attribué par l'IANA qui l'a remplacé. De nombreux équipements supportent encore le 1645 pour la compatibilité.
RADIUS sur le port 1645 est-il affecté par Blast-RADIUS ?
Oui. Blast-RADIUS (CVE-2024-3596) exploite une faiblesse de l'authentification de réponse MD5 de RADIUS sur UDP, permettant à un attaquant sur le chemin de forger des réponses Access-Accept quel que soit le port UDP utilisé.