Référence des ports
Port 49 (TCP) – TACACS+
TACACS+ — le protocole AAA de Cisco qui authentifie et autorise l'accès administratif aux équipements réseau.
État par défaut
Ouvert sur les serveurs TACACS+ (ISE, ACS, tac_plus). Ne devrait être joignable que depuis les équipements réseau gérés, jamais depuis Internet.
Attaques courantes
- Cassage du secret partagé à partir du trafic TACACS+ capturé
- Déchiffrement du corps exposant identifiants, commandes et données d'autorisation
- Interception man-in-the-middle des sessions d'administration
- Rejeu et force brute des connexions administrateur
Durcissement
- Utiliser un secret partagé long et aléatoire par équipement, pas un secret global
- Restreindre le TCP 49 aux VLAN de gestion et serveurs AAA uniquement
- Tunneliser TACACS+ sur IPsec lorsque le réseau n'est pas de confiance
- Activer la comptabilité des commandes et alerter sur les connexions échouées
- Mettre à jour le serveur AAA (ISE/ACS) et faire tourner les secrets régulièrement
Commande nmap
nmap -p49 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 49
Le port 49 transporte TACACS+, le protocole de Cisco pour l'AAA —
authentification, autorisation et comptabilité — de l'accès administratif aux
équipements réseau. Lorsqu'un ingénieur se connecte à un routeur, un commutateur
ou un pare-feu, l'équipement transmet les identifiants via TCP 49 à un serveur
TACACS+ (comme Cisco ISE, ACS ou tac_plus), qui décide si la connexion et
chaque commande sont autorisées. Contrairement à RADIUS, TACACS+ sépare
l'autorisation de l'authentification et chiffre l'intégralité du corps du paquet.
Pourquoi c'est important pour la sécurité
TACACS+ contrôle l'accès privilégié au cœur de réseau ; le compromettre donne à un attaquant le contrôle des routeurs et commutateurs. Le chiffrement du corps repose sur un secret partagé et un schéma faible basé sur MD5 : quiconque capture le trafic peut tenter de récupérer le secret hors ligne, puis déchiffrer les identifiants, les commandes saisies et les décisions d'autorisation. Un secret réutilisé ou court rend cela trivial.
Comment il est attaqué
Les attaquants sur un chemin de gestion capturent les paquets TACACS+ et cassent le secret partagé hors ligne, après quoi toute la session — y compris les commandes exécutées sur les équipements de cœur — devient lisible. Ils tentent aussi l'interception man-in-the-middle, le rejeu des échanges capturés et la force brute des connexions administrateur en l'absence de comptabilité.
Liste de durcissement
Utilisez un secret partagé long et aléatoire par équipement plutôt qu'une valeur globale, et faites-le tourner régulièrement. Restreignez le TCP 49 aux VLAN de gestion et serveurs AAA, sans jamais l'exposer aux réseaux non fiables. Lorsque le chemin n'est pas de confiance, tunnelisez TACACS+ sur IPsec. Activez la comptabilité des commandes et alertez sur les connexions échouées. Maintenez le serveur AAA à jour. La vérification de bannière nmap ci-dessus confirme l'exposition sur les hôtes que vous êtes autorisé à tester. </content>
Ports liés
Questions fréquentes
- À quoi sert le port 49 ?
- Le port 49 est TACACS+, le protocole AAA de Cisco qui authentifie les administrateurs se connectant aux routeurs, commutateurs et pare-feu et autorise les commandes qu'ils peuvent exécuter.
- Le trafic TACACS+ est-il chiffré ?
- TACACS+ chiffre le corps du paquet avec le secret partagé, mais la conception est cryptographiquement faible. Une session capturée peut être déchiffrée hors ligne si le secret est deviné.