Skip to content
PortsDB

Référence des ports

Port 500 (UDP) – IKE/ISAKMP

Internet Key Exchange — négocie les associations de sécurité et les clés des tunnels VPN IPsec.

udpWell-knownSouvent attaqué

État par défaut

Ouvert sur les passerelles VPN, pare-feu et routeurs terminant des tunnels IPsec. Souvent exposé à Internet par conception.

Attaques courantes

  • Capture du hash PSK en mode agressif et cassage hors ligne
  • Empreinte et énumération des passerelles VPN (ike-scan)
  • DoS IKE / épuisement des ressources

Durcissement

  • Désactiver le mode agressif d'IKE ; utiliser le mode principal ou IKEv2
  • Préférer l'authentification par certificat aux clés pré-partagées, ou utiliser de longues PSK aléatoires
  • Restreindre les IP des pairs autorisés à initier IKE lorsque c'est possible
  • Corriger rapidement le firmware VPN et activer DPD/limitation de débit

Commande nmap

nmap -sU -p500 --script ike-version <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 500 ?

Le port 500 transporte IKE (Internet Key Exchange) s'exécutant sur ISAKMP, le protocole de contrôle qui établit les tunnels VPN IPsec. Il négocie la suite de chiffrement, authentifie les pairs et dérive les clés de l'association de sécurité avant que le trafic chiffré ne circule. Lorsque du NAT est sur le chemin, IKE migre généralement vers UDP 4500 pour la traversée NAT. Le port 500 se trouve sur les concentrateurs VPN, les pare-feu et les routeurs.

Pourquoi c'est important pour la sécurité

Comme les points de terminaison IKE sont généralement exposés à Internet par conception, le port 500 est une cible permanente. Le protocole divulgue des détails de passerelle qui aident les attaquants à identifier le fournisseur et la version logicielle. La plus grande faiblesse classique est le mode agressif d'IKE avec clés pré-partagées : la passerelle renvoie un hash dérivé de la PSK qu'un attaquant peut capturer et casser hors ligne, récupérant le secret du VPN. Les démons IKE ont aussi souffert de bugs de DoS et de gestion mémoire au fil des ans.

Comment il est attaqué

Les attaquants utilisent des outils comme ike-scan pour énumérer les passerelles, identifier le fournisseur via les empreintes et tester le mode agressif. Si le mode agressif est activé, ils capturent le hash PSK et lancent un cassage hors ligne. Des flots de poignées de main IKE malformées ou semi-ouvertes servent au DoS, et les équipements VPN non corrigés sont sondés pour des CVE firmware connues.

Liste de durcissement

Désactivez le mode agressif et exigez le mode principal ou, de préférence, IKEv2. Utilisez l'authentification par certificat plutôt que des PSK ; si les PSK sont inévitables, rendez-les longues et aléatoires. Restreignez les IP des pairs acceptés lorsque la topologie le permet, activez la détection de pair mort et la limitation de débit pour atténuer le DoS, et corrigez rapidement le firmware VPN. Utilisez la commande nmap ci-dessus pour identifier IKE sur les passerelles que vous êtes autorisé à tester.

Ports liés

Port 4500Port 1194Port 1701Port 443

Questions fréquentes

À quoi sert le port 500 ?
Le port 500 transporte IKE/ISAKMP, le protocole qui négocie les clés et les associations de sécurité des VPN IPsec. La traversée NAT déplace ensuite souvent le trafic vers UDP 4500.
Pourquoi le mode agressif d'IKE est-il risqué ?
Le mode agressif envoie un hash de la clé pré-partagée d'une manière qu'un attaquant peut capturer et casser hors ligne ; il doit donc être désactivé au profit du mode principal ou d'IKEv2.