Skip to content
PortsDB

Référence des ports

Port 520 (UDP) – RIP (Routing Information Protocol)

Protocole de routage à vecteur de distance qui échange les tables de routes entre routeurs via UDP.

udpWell-knownSouvent attaqué

État par défaut

Ouvert sur les routeurs exécutant RIP ; RIPv1 n'a aucune authentification et l'auth RIPv2 est souvent laissée désactivée.

Attaques courantes

  • Injection de routes pour rediriger ou faire disparaître le trafic
  • Mises à jour RIP usurpées empoisonnant la table de routage
  • Homme du milieu via des routes annoncées par l'attaquant
  • Déni de service par injection de routes fausses ou excessives

Durcissement

  • Préférer un protocole moderne (OSPF) ou des routes statiques à RIP
  • Si RIP est requis, utiliser RIPv2 avec authentification MD5/cryptographique
  • Appliquer des interfaces passives et des ACL pour bloquer RIP des segments non fiables
  • Filtrer l'UDP 520 entrant aux bordures réseau et utiliser des filtres de routes

Commande nmap

nmap -sU -p520 --script rip-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 520

Le port 520 (UDP) transporte RIP, le Routing Information Protocol, un protocole de routage classique à vecteur de distance. Les routeurs l'utilisent pour annoncer et apprendre des routes en échangeant périodiquement leurs tables de routage. RIPv1 n'offre aucune sécurité ; RIPv2 ajoute une authentification optionnelle mais est souvent déployé sans elle. RIP est largement supplanté par OSPF mais apparaît encore dans les petits réseaux ou les réseaux hérités.

Pourquoi c'est important pour la sécurité

La faiblesse de RIP est la confiance sans vérification. Comme RIPv1 n'a aucune authentification et que l'auth RIPv2 est souvent désactivée, un routeur croira les mises à jour de routage de n'importe quel hôte sur le segment. Un attaquant qui peut injecter des mises à jour réécrit le chemin du trafic — le redirigeant via sa machine pour l'interception, le supprimant (blackhole) ou déstabilisant le réseau. Le rayon d'impact est tout le chemin routé.

Comment il est attaqué

Un attaquant sur un segment connecté falsifie des mises à jour RIP sur l'UDP 520 annonçant des routes attractives (métrique faible). Les routeurs acceptent les entrées empoisonnées et mettent à jour leurs tables, permettant l'interception par homme du milieu, le blackholing du trafic ou un déni de service en inondant de routes fausses ou excessives. Avec RIPv1 rien n'arrête cela ; avec un RIPv2 non authentifié c'est tout aussi facile.

Liste de durcissement

Dans la mesure du possible, remplacez RIP par OSPF ou des routes statiques. Si RIP est requis, utilisez RIPv2 avec authentification MD5/cryptographique, configurez des interfaces passives pour que les mises à jour ne soient pas acceptées sur les segments utilisateurs, et appliquez des filtres de routes et des ACL pour limiter les routes et voisins de confiance. Filtrez l'UDP 520 entrant aux bordures réseau. La commande nmap ci-dessus interroge RIP sur les équipements que vous êtes autorisé à tester.

Ports liés

Port 521Port 179Port 88Port 53

Questions fréquentes

RIP dispose-t-il d'une authentification ?
RIPv1 n'en a aucune. RIPv2 prend en charge une authentification simple et MD5, mais elle est souvent laissée désactivée, donc les mises à jour RIP circulent fréquemment sans authentification et peuvent être usurpées.
Comment RIP est-il attaqué ?
Un attaquant sur le segment envoie des mises à jour RIP falsifiées sur l'UDP 520 annonçant des routes attractives. Les routeurs les acceptent et redirigent le trafic, permettant interception, blackhole ou déni de service.