Skip to content
PortsDB

Référence des ports

Port 1812 (UDP) – RADIUS Authentication

Authentification RADIUS — AAA centralisé pour l'accès réseau, les VPN, le Wi-Fi et les connexions d'administration.

udpRegisteredSouvent attaqué

État par défaut

Ouvert sur les serveurs RADIUS (NPS, FreeRADIUS, ISE) servant des clients NAS comme commutateurs, points d'accès et VPN, souvent avec des secrets partagés réutilisés.

Attaques courantes

  • Attaque protocolaire Blast-RADIUS sur MD5 (CVE-2024-3596)
  • Cassage hors ligne de secrets partagés faibles
  • Force brute et password spraying d'identifiants via le NAS
  • Écoute des attributs en clair sur RADIUS UDP

CVE-2024-3596

Durcissement

  • Corriger Blast-RADIUS et activer Message-Authenticator partout
  • Utiliser des secrets partagés longs et uniques par client NAS
  • Privilégier RADSEC (RADIUS sur TLS) ou IPsec pour le transport
  • Restreindre RADIUS à un réseau d'administration et aux IP NAS de confiance
  • Utiliser des méthodes EAP avec TLS mutuel ; imposer le MFA

Commande nmap

nmap -sU -p1812 --script radius-test <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 1812

Le port 1812 est le port moderne d'authentification RADIUS, le cœur du AAA centralisé (authentification, autorisation, comptabilité). Les serveurs d'accès réseau — concentrateurs VPN, points d'accès Wi-Fi, commutateurs faisant du 802.1X et connexions d'administration — transmettent les identifiants à un serveur RADIUS (NPS, FreeRADIUS, Cisco ISE) qui décide de l'accès. La comptabilité tourne à côté sur le 1813, et les déploiements hérités utilisent encore le 1645.

Pourquoi c'est important pour la sécurité

RADIUS est le gardien de l'accès réseau, donc les faiblesses ici déverrouillent tout le réseau. Le protocole repose sur un secret partagé et MD5, tous deux vieillissants. Les secrets faibles peuvent être cassés hors ligne à partir du trafic capturé, et Blast-RADIUS (CVE-2024-3596) abuse du Response Authenticator basé sur MD5 pour forger des réponses d'authentification en tant qu'attaquant en position d'intermédiaire. Les attributs UDP en clair peuvent aussi divulguer des données sensibles.

Comment il est attaqué

Les attaquants capturent les échanges RADIUS et cassent le secret partagé hors ligne, ou exploitent Blast-RADIUS pour forger un Access-Accept et contourner totalement l'authentification. Les clients NAS sont détournés pour force brute et spraying d'identifiants, et les attributs non chiffrés sont écoutés là où RADSEC ou IPsec n'est pas utilisé.

Liste de durcissement

Corrigez Blast-RADIUS et exigez l'attribut Message-Authenticator sur tous les paquets. Utilisez des secrets partagés longs et uniques par client NAS, et déplacez le transport vers RADSEC (RADIUS sur TLS) ou IPsec. Confinez RADIUS à un réseau d'administration avec des IP NAS de confiance, retirez le 1645, et utilisez des méthodes EAP robustes avec TLS mutuel plus MFA. Utilisez la commande nmap ci-dessus pour tester RADIUS sur les serveurs que vous êtes autorisé à évaluer.

Ports liés

Port 1813Port 1645Port 389Port 88

Questions fréquentes

Quelle est la différence entre le port 1812 et le 1645 ?
1812 est le port d'authentification RADIUS moderne attribué par l'IANA ; 1645 est le port hérité encore présent sur du matériel ancien. Les deux transportent l'auth RADIUS, mais le 1645 devrait être retiré.
Qu'est-ce que Blast-RADIUS (CVE-2024-3596) ?
Une faille protocolaire de 2024 abusant du Response Authenticator de RADIUS basé sur MD5 pour forger des réponses via une collision à préfixe choisi, permettant à un attaquant en position d'intermédiaire de contourner l'authentification. Atténuée par Message-Authenticator et les correctifs.