Vous êtes sur la page 1sur 11

Vous tes ici : Accueil Glossaire / les ports du protocole IP et la scurit

Bienvenue au port
Numro de port et de protocole IP
Il existe des milliers de ports (Cods sur16 bits, il y a donc 65536 possibilits), pour cela
une assignation standard a t mise au point, afin d'aider la configuration des rseaux.
La combinaison adresse IP + n de port s'appelle socket.
Le document RFC1700 (Request For Comments) traite de la dsignation des numros de
port.

Les ports de 0 1023, contrls et assigns par l'IANA, sont dnomms Well Known
Ports.

Les ports 1024 49151 sont appels ports enregistrs (Registered Ports)

Les ports 49152 65535 sont les ports dynamiques ou privs.

Un serveur (ordinateur que l'on contacte pour des services tels que FTP, Telnet, ...) possde
des numros de port fixes auxquels l'administrateur rseau a associ des services. Les ports
d'un serveur sont gnralement compris entre 0 et 1023.
Ct du client, le port est choisi alatoirement parmi ceux disponibles par le systme
d'exploitation. Les ports du client ne seront jamais compris entre 0 et 1023. Cet intervalle
de valeurs reprsentant des ports connus.
Le tableau ci-dessous, est un condens des numros de protocole et des numros de port les
plus utiliss.

Le numro de protocole identifie le protocole de la couche au-dessus de IP


laquelle les donnes doivent tre passes.

exemple TCP protocole 6


Ethernet
IP
TCP (6)

Aprs que IP a pass les donnes au protocole de transport (TCP ou UDP), ce


dernier les transmet aux processus d'application appropris qui sont eux identifis
par des numros de port.

exemple Telnet port 23


Ethernet
IP
TCP (6)
TELNET (23)

N couche ISO

Protocole

N de protocole
ou
N de port

IP

4 (transport)

UDP

17

4 (transport)

TCP

ICMP

IGMP

RSVP

46

ESP

50

AH

51

GRE

47

EGP

IGP

IGRP

88

OSPF

89

BGP

179

BOOTP

XOT

1998

LDAP

389

67 / 68

DNS

53

7 (application)

SNMP

161 / 162

7 (application)

TACACS

65

7 (application)

TFTP

69

7 (application)

NTP

123

7 (application)

HTTPS

443

7 (application)

SSH

22

7 (application)

FTP

20 / 21

7 (application)

Telnet

23

7 (application)

SMTP

25

7 (application)

IMAP4

143

7 (application)

POP3

110

7 (application)

HTTP

80

7 (application)

TACACS

65

7 (application)

RTSP

554

7 (application)

Printer

515

7 (application)

IRC

194

7 (application)

LotusNotes

1352

7 (application)

pcanywhere

5361 / 5362

7 (application)

AOL

5190

7 (application)

H323

1720

CERTA

Centre d'Expertise gouvernemental de Rponse et de Traitement des


Attaques informatiques

La scurit et les protocoles

IP V4
Le problme le plus connu concerne l'espace d'adressage. Les adresses IP sont actuellement
stockes sur 32 bits ce qui permet environ plus de quatre milliards d'adresses, ce qui tait
suffisant lors de sa mise en place. Ce nest plus le cas maintenant.
Un autre problme est celui pos par l'explosion de la taille des tables de routage dans
l'Internet. Le routage, dans un trs grand rseau, doit tre hirarchique avec une profondeur
d'autant plus importante que le rseau est grand. Le routage IP n'est hirarchique qu' trois
niveaux : rseau, sous-rseau et machine.
IPv4 ne permet pas d'indiquer de faon pratique le type de donnes transportes (TOS ou
Type Of Service dans IPv4).
Enfin, IPv4 ne fournit pas de mcanismes de scurit comme l'authentification des paquets,
leur intgrit ou leur confidentialit. Il a toujours t considr que ces techniques taient
de la responsabilit des applications elles-mmes.
IP V6
Il existe deux mcanismes de scurit dans IPv6. Le premier est le mcanisme de l'en-tte
d'authentification; le second, une technique d'encapsulation affecte la scurit appele
ESP (Encapsulating Security Payload) permettant l'intgrit, l'authentification et la
confidentialit.
L'en-tte d'authentification IPv6 cherche rendre possible l'intgrit et l'authentification des
datagrammes IPv6. ESP (ou l'en-tte de confidentialit) pour IPv6 permet d'apporter
l'intgrit, l'authentification et la confidentialit dans les datagrammes IPv6.
Il est possible de combiner la fois ces deux mcanismes dIPv6 afin d'obtenir un meilleur

niveau de scurit.
ICMP
Protocole utilis pour grer les informations contrlant le trafic IP, qui permet notamment
aux routeurs d'envoyer des messages de contrle ou d'erreur vers d'autres ordinateurs ou
routeurs connects.
Le protocole ICMP supporte les paquets IP contenant des messages d'erreur, de contrle et
d'information. Il ne permet pas de corriger ces erreurs, mais fait part de celles-ci aux
protocoles des couches voisines. Utilis par tous les routeurs, il a pour but de fournir une
autre couche IP, ou une couche suprieure de protocole (TCP ou UDP), le compte-rendu
d'une erreur dtecte dans un routeur. Les principaux types de messages d'erreur ICMP
sont : destination inconnue (le datagramme ne peut pas tre achemin), temps expir (la
dure de vie est zro) et reroutage (indication de changement de route).
IGMP
RSVP
DHCP
BOOTP
TDP
ESP
Le protocole ESP peut assurer, au choix, un ou plusieurs des services suivants :

confidentialit des donnes et protection partielle contre l'analyse du trafic si l'on


utilise le mode tunnel ;

intgrit des donnes en mode non connect et authentification de l'origine des


donnes, protection partielle contre le rejeu.

Contrairement au protocole AH, o l'on se contentait d'ajouter un en-tte supplmentaire au


paquet IP, le protocole ESP fonctionne suivant le principe de l'encapsulation : les donnes
originales sont chiffres puis encapsules.
AH
Le protocole AH est conu pour assurer l'intgrit en mode non connect et
l'authentification de l'origine des datagrammes IP sans chiffrement des donnes (pas de
confidentialit).
Son principe est d'adjoindre au datagramme IP classique un champ supplmentaire
permettant la rception de vrifier l'authenticit des donnes incluses dans le datagramme.
Ce bloc de donnes est appel valeur de vrification d'intgrit (Intgrity Check Value,
ICV). La protection contre le rejeu se fait grce un numro de squence.
Il est noter que lutilisation du protocole AH interdit lutilisation des mcanismes de
translation dadresses. En effet, le contenu de la trame ntant pas chiffr, le protocole AH
ajoute une signature numrique au paquet IP sortant : un mcanisme de translation
dadresses rcrivant ladresse source fausse systmatiquement le calcul de vrification de

la signature numrique effectue lautre bout du tunnel VPN.


BGP
Protocole de routage externe, utilis pour la connectivit entre systmes autonomes, qui
permet d'changer des informations entre des rseaux ayant des politiques de routage
diffrentes, et notamment d'assurer, par l'utilisation de vecteurs de chemin, une protection
contre les boucles de routage.
Internet fut d'abord administr comme un rseau unifi, mais en raison de sa forte
croissance, il fut ncessaire d'adopter une structure hirarchique (arborescence) et il fut
dcoup en plusieurs systmes autonomes. L'ensemble des rseaux (et des routeurs)
partageant la mme politique de routage, utilisant un protocole de routage interne, forme un
systme autonome. Les informations de routage entre systmes autonomes (AS) sont
changes par un protocole de routage externe, tel le protocole BGP. Le protocole BGP, qui
doit remplacer le protocole EGP (External Gateway Protocol), fait partie des protocoles
vecteurs de chemin, qui grent le problme des boucles entre systmes autonomes, en les
enlevant automatiquement des tables de routage.
RIP
GRE
EIGRP
HSRP
Le protocole HSRP (Hot Standby Routing Protocol) est un protocole de routage implment
dans les routeurs CISCO pour la gestion des liens de secours. HSRP sert augmenter la
tolrance de panne sur le rseau.
D'aprs CISCO, HSRP n'est pas un protocole scuris. Il n'est pas activ par dfaut.
Dans ce protocole, la cl d'authentification des communications entre routeurs est diffuse
en clair sur le rseau, et permet une machine falsifiant l'adresse IP d'un des routeurs
d'entraner un mauvais routage des paquets et des conflits de priorit entre les routeurs.
Cette vulnrabilit permet entre autre chose d'effectuer un dni de service, ou une tempte
sur le rseau. Des outils exploitants de cette vulnrabilit ont t diffuss sur l'Internet.
EGP
IGRP
OSPF
Compte tenu de lexplosion du nombre de rseaux et de la difficult maintenir de grandes
tables de routage IP, des mcanismes de routage dynamiques ont t mis au point. Le
premier protocole de routage IP dynamique RIP a t rapidement abandonn car souffrant
de nombreuses limitations. LIETF a propos le protocole OSPF qui tend stendre dans
tous les grands rseaux dentreprise
OSPF est un protocole de routage dynamique prsentant deux caractristiques essentielles :

il sagit dun protocole ouvert, son fonctionnement peut tre connu de tous ;

il utilise lalgorithme SPF (Shortest Path First) afin dlire la meilleure route vers

une destination donne.


UDP
RTCP
RAS
RTP
SNMP
Le protocole SNMP (Simple Network Management Protocol) est un protocol utilis pour
surveiller et grer les ordinateurs sur un rseau. Plusieurs failles de scurit lies ce
protocole ont t dcouverts et annonces par des organismes de scurit. Un certain
nombre doutils utilisent ces failles sous la forme d'attaques par dni de service, en vue de
causer un redmarrage de l'quipement ou mme de gagner l'accs privilgi.
TACACS+
Le protocole TACACS+ est la dernire version du protocole TACACS mis au point par la
socit CISCO. Ce protocole utilise la couche de transport TCP et gre sparment les trois
fonctions AAA (les implmentations du protocole TACACS+ ne mettent pas toutes en
uvre les trois mcanismes)
Le protocole TACACS+ utilise la notion de session pour ses communications entre le client
et le serveur. Une session ne contient quun change qui peut tre un change
dauthentification, dautorisation, ou de rapports. Les changes TACACS+ peuvent
ventuellement tre chiffrs (lidentifiant des sessions est alors utilis pour chiffrer
lintgralit des paquets)
TFTP
Le protocole TFTP est typiquement utilis pour dmarrer des stations de travail sans disque
ou des dispositifs de rseau comme des routeurs. TFTP est un protocole de type UDP qui ne
fournit quune scurit trs limite. Un serveur TFTP mal configur peut permettre :

le remplacement de fichiers de configuration (ex : fichier /etc/passwd : le fichier


des noms dutilisateurs) sur le serveur TFTP,

le remplacement de fichiers de configuration de routeurs (souvent de la forme


nom_du_routeur.cfg)

NTP
HTTPS
SSH
SSH est un quivalent scuris par chiffrement des protocoles standard Telnet, rlogin, rsh et
des commandes rcp. Le client et le serveur SSH chiffrent tous deux les sessions au moyen
dun systme cryptographique cl publique.
Les techniques mises en uvre dans SSH font que ce mcanisme daccs interactif et
scuris un systme distant doit imprativement remplacer lensemble des protocoles

standard sur tout systme dont on cherche protger les ressources.


Il est noter que si ce produit est aujourdhui commercialis, ses spcifications publiques
ont permis le dveloppement de nombreux logiciels client/serveur compatibles avec SSH
ainsi quune version OpenSSH dveloppe dans le cadre du projet de systme
dexploitation OpenBSD totalement compatible SSH.
RADIUS
Le standard RADIUS est bas sur un ensemble dattributs relatifs aux utilisateurs. Ils sont
tous stocks dans la base RADIUS dun serveur dauthentification. Au cours dune
connexion, un change dinformations a lieu entre le serveur et le client. Le standard
RADIUS propose un certain nombre dattributs devant tre mis en uvre, mais beaucoup
dimplmentations spcifiques du protocole apportent leur propre jeu dattributs.
Le protocole RADIUS permet une authentification utilisateur/mot de passe ou
utilisateur/challenge/rponse ou les deux, qui peut tre configure spcifiquement pour
chaque utilisateur. La vrification est ralise par le serveur RADIUS, qui retourne alors un
authentication reply au client qui a mis la requte. Lautorisation, elle, est ralise par
lquipement cot client, en utilisant les informations sur lutilisateur retournes par le
serveur.
Le protocole RADIUS est bas sur un change de paquets utilisant le protocole UDP. Il
existe 4 types de paquets UDP diffrents :

Access-Request ;

Access-Accept ;

Access-Reject ;

Access-Challenge .

Il est important de noter que contrairement au protocole TACACS +, il nest pas possible de
chiffrer lintgralit des paquets RADIUS (chiffrement du mot de passe uniquement).
ISAKMP
RTSP
TCP
XOT
LDAP
Le protocole LDAP est un protocole d'annuaire standard et extensible. Il fournit :

le protocole permettant d'accder l'information contenue dans l'annuaire ;

un modle d'information dfinissant le type de donnes contenues dans l'annuaire ;

un modle de nommage dfinissant comment l'information est organise et

rfrence ;

un modle fonctionnel qui dfinit comment on accde linformation ;

un modle de scurit qui dfinit comment donnes et accs sont protgs ;

un modle de duplication qui dfinit comment la base est rpartie entre serveurs ;

des APIs pour dvelopper des applications clientes ;

LDIF, un format d'change de donnes.

Le protocole dfinit comment s'tablit la communication client-serveur. Il fournit


l'utilisateur des commandes pour se connecter ou se dconnecter, pour rechercher,
comparer, crer, modifier ou effacer des entres. Des mcanismes de chiffrement (SSL ou
TLS) et d'authentification (SASL (Simple Authentification and Security Layer)), coupls
des mcanismes de rgles d'accs (ACL) permettent de protger les transactions et l'accs
aux donnes.
La plupart des logiciels serveurs LDAP proposent galement un protocole de
communication serveur-serveur permettant plusieurs serveurs d'changer leur contenu et
de le synchroniser (replication service) ou de crer entre eux des liens permettant ainsi de
relier des annuaires les uns aux autres (referral service).
LDAP propose plusieurs choix d'authentification :

anonymous authentification - correspond un accs au serveur sans


authentification, qui permet uniquement de consulter les donnes accessibles en
lecture pour tous ;

root DN Authentication - c'est l'utilisateur privilgi. Il a accs en modification


toutes les donnes ;

mot de passe en clair - c'est la mthode classique o le mot de passe transite en clair
sur le rseau ;

mot de passe + SSL ou TLS - la session entre le serveur et le client est chiffre et le
mot de passe ne transite plus en clair ;

certificats + SSL ;

Simple Authentification and Security Layer (SASL) - permet de faire appel des
mcanismes d'authentification plus labors base de cls (OTP (One Time
Password), Kerberos...).

Le protocole LDAP fournit galement la possibilit de dfinir les droits daccs des
utilisateurs sur les ressources de lannuaire.

DNS
FTP
Le protocole FTP est lun des protocoles les plus usits en matire de transfert de fichiers.
De nombreuses vulnrabilits sont dcouvertes rgulirement sur les serveurs FTP (ex :
vulnrabilit sur le serveur FTP Bison dcouverte le 17 fvrier 2003) permettant
lutilisation des accs anonymes prsents sur de nombreux systmes pour modifier la
configuration du serveur ou lutilisation de techniques de dbordement de tampon.
Telnet
Une vulnrabilit a t dcouverte dans la gestion des paquets TCP des
services telnet et reverse telnet par le systme d'exploitation Cisco IOS.
Le service telnet (port 23/tcp) est utilis pour l'administration des quipements sous Cisco
IOS.
Le service reverse telnet est utilis pour se connecter un quipement tiers via une
connexion telnet vers un quipement Cisco. Ce service utilise les ports suivants :

2001/tcp 2999/tcp ;

3001/tcp 3099/tcp ;

6001/tcp 6999 /tcp ;

7001/tcp 7099/tcp.

La vulnrabilit peut tre exploite par l'envoi d'un paquet TCP malicieusement construit
destination du port 23 ou de l'un des ports du service reverse telnet.
Un utilisateur distant mal intentionn peut utiliser cette vulnrabilit pour provoquer un
dni de service des services d'administration telnet, reverse telnet, RSH (port
514/tcp), SSH (port 22/tcp), SCP (port 22/tcp) et dans certains cas HTTP (port 80/tcp).
Les autres services (routage des paquets, protocoles de routage, ...) ne sont pas affects. De
plus, les connexions des services d'administration tablies avant une attaque restent actives
aprs celle-ci
SMTP
Les changes de courrier entre serveurs sont en gnral grs par le protocole Simple Mail
Transfert Protocol. Le serveur SMTP examine ladresse de destination du courrier et va le
relayer vers un autre serveur ou va le dlivrer en local, dans les deux cas aprs avoir
modifi les enttes.
IMAP4
POP3
( Post Office Protocol) est un protocole client-serveur, qui permet un utilisateur daccder
son courrier lectronique partir dune machine cliente, alors que le courrier est sur un
serveur distant.
Les problmes de scurit du protocole POP se posent sur le manque de confidentialit lors
des changes de donnes, telles que le mot de passe utilis pour se connecter, ou bien le

texte du courrier qui est consult.


On tolre les connexions POP sortantes, mais pas celles entrantes. Cest le cas lorsquun
utilisateur consulte sa messagerie (sur le serveur) depuis lextrieur. Ici aussi se pose le
problme de la confidentialit des changes. Sil est ncessaire dutiliser des connexions
POP entrantes, on va chercher limiter ces connexions sur un seul serveur tournant sur un
seul hte, afin de limiter la quantit dinformations qui passe, mais galement le nombre de
comptes clients vulnrables.
SSL
Le protocole SSL (Secured Socket Layer) a t conu pour assurer une communication
confidentielle et fiable entre deux applications et pour identifier le serveur et parfois le
client. Ce protocole a t repris et lgrement modifi par lIETF (RFC 2246) sous le nom
de TLS (Transport Layer Security). Le terme SSL dsigne communment les protocoles
SSL version 3 ou TLS. Le protocole SSL ncessite un protocole de transport sr (par
exemple TCP) pour la transmission et la rception de donnes.
Le protocole est compos de deux couches. Au niveau le plus bas, juste au dessus dun
protocole de transport sr, se trouve le SSL Record Protocol. Celui-ci est utilis pour
encapsuler dautres protocoles de plus haut niveau tel le SSL Handshake Protocol qui
permet au serveur et au client de sauthentifier et de ngocier un algorithme de chiffrement
et des cls cryptographiques communes avant que le protocole dapplication ne reoive son
premier octet dinformation.
Un protocole dapplication de niveau suprieur peut ainsi se placer au dessus du
protocole SSL de manire transparente (par exemple HTTP, FTP, TELNET,...). Le protocole
SSL assure un canal de scurit dont les trois proprits principales sont :

dtre un canal priv : tous les messages sont chiffrs ;

dtre un canal authentifi : lidentit de lautre peut tre authentifie en utilisant


la cryptographie asymtrique ou cl publique ;

dtre un canal rput sr : le transport du message inclut un message de vrification


dintgrit (Message Authentication Code, MAC).

HTTP