Skip to content
PortsDB

Référence des ports

Port 4500 (UDP) – IPsec NAT-T (traversée de NAT pour IKE)

Port d'encapsulation UDP pour IPsec NAT-Traversal, transportant le trafic IKE et ESP à travers les équipements NAT.

udpRegisteredSouvent attaqué

État par défaut

Ouvert sur les passerelles VPN et concentrateurs d'accès distant qui prennent en charge les clients derrière du NAT. Généralement associé à IKE sur UDP 500 ; la sécurité dépend de la configuration IKE/IPsec.

Attaques courantes

  • Empreinte IKE/VPN et identification du fournisseur
  • Capture de PSK en mode agressif et crackage hors ligne
  • Brute-force ou pulvérisation de mots de passe des identifiants VPN d'accès distant
  • Exploitation de firmware de passerelle VPN vulnérable joignable via NAT-T

Durcissement

  • Désactiver le mode agressif IKEv1 ; préférer IKEv2 avec une cryptographie forte et moderne
  • Utiliser l'authentification par certificat ou EAP plutôt que des PSK de groupe faibles
  • Restreindre UDP 500/4500 aux réseaux clients attendus lorsque c'est possible
  • Imposer le MFA sur le VPN d'accès distant et limiter le débit d'authentification
  • Garder le firmware de la passerelle VPN à jour contre les CVE connues

Commande nmap

nmap -sU -p4500 --script ike-version <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 4500

Le port 4500 transporte IPsec NAT-Traversal (NAT-T). L'ESP IPsec brut n'a pas de numéros de port, donc les routeurs NAT ne peuvent pas le suivre. NAT-T détecte un NAT sur le chemin et encapsule IKE et ESP dans de l'UDP sur le port 4500, permettant au tunnel VPN de fonctionner derrière du NAT. Il fonctionne aux côtés d'IKE sur UDP 500 et est courant sur les passerelles d'accès distant et les montages L2TP/IPsec (avec L2TP sur 1701).

Pourquoi c'est important pour la sécurité

Le port 4500 est la porte d'entrée d'un VPN d'accès distant, qui accorde souvent un large accès au réseau interne. Le port lui-même est inoffensif, mais la configuration IKE/IPsec derrière lui est une cible de choix. Le mode agressif IKEv1 avec un PSK partagé peut divulguer un hachage crackable, et des identifiants VPN faibles ou réutilisés laissent les attaquants entrer directement dans le réseau de l'entreprise.

Comment c'est attaqué

Les attaquants prennent l'empreinte de la passerelle avec des outils comme ike-version ou ike-scan pour identifier le fournisseur et les modes pris en charge. Contre le mode agressif, ils capturent le hachage du PSK et le crackent hors ligne. Ils pulvérisent ou brute-forcent aussi les identifiants d'accès distant et exploitent des CVE firmware connues dans des boîtiers VPN populaires joignables via NAT-T.

Liste de durcissement

Désactivez le mode agressif IKEv1 et préférez IKEv2 avec une cryptographie forte et moderne. Utilisez l'authentification par certificat ou EAP plutôt que des PSK de groupe faibles, et imposez le MFA sur l'accès distant. Restreignez UDP 500/4500 aux réseaux clients attendus si possible, limitez le débit d'authentification et gardez le firmware de la passerelle à jour contre les CVE connues. Utilisez la commande nmap ci-dessus pour vérifier l'exposition sur les systèmes que vous êtes autorisé à évaluer.

Ports liés

Port 500Port 1701Port 1194Port 443

Questions fréquentes

Pourquoi IPsec a-t-il besoin du port 4500 en plus du 500 ?
L'ESP IPsec standard n'est pas un protocole UDP/TCP, donc les équipements NAT ne peuvent pas le suivre. NAT-Traversal détecte le NAT et enveloppe IKE et ESP dans de l'UDP sur le port 4500 pour que le tunnel survive à la traduction d'adresses.
Le port 4500 est-il une vulnérabilité en soi ?
Non. C'est un transport VPN légitime. Le risque vient de configurations faibles — mode agressif IKEv1 avec un PSK devinable, absence de MFA ou firmware de passerelle non corrigé — et non de l'ouverture du port.