Chapitre 5 - Sécurité et surveillance du réseau

Question 1

Quel plan d’atténuation est le mieux adapté pour contrer une attaque DoS créant un débordement de mémoire du commutateur ?

Answer 1

• Activer la sécurité des ports

Explication : Une attaque de surcharge, un débordement de mémoire tampon et le piratage d’adresses MAC d’une table d’adresses MAC (CAM) peuvent tous être mitigés en configurant la sécurité des ports. Habituellement, un administrateur réseau ne voudra pas désactiver le STP, car cela évitera les boucles de la couche 2. Le DTP est désactivé pour éviter les sauts dans le réseau VLAN. Placer les ports inutilisés dans un VLAN inutilisé empêche toute connectivité filaire non autorisée.

Question 2

Qu’est-ce qu’un agent de gestion SNMP ?

Answer 2

• Un logiciel installé sur les périphériques gérés par SNMP

Explication : Une station de gestion est utilisée par un administrateur pour la surveillance. Une MIB est une base de données d’informations de surveillance. Le protocole SNMP (Simple Network Management Protocol) est le protocole de communication utilisé entre la station de gestion et les agents de gestion. Les agents de gestion exécutent le logiciel qui permet aux administrateurs de collecter les données relatives aux performances du réseau.

Question 3

Quel mode permet de configurer SNMP ?

Answer 3

• Mode de configuration globale

Explication : L’ensemble des étapes requises et facultatives lors de la configuration du protocole SNMP sont effectuées en mode de configuration globale.

Question 4

Lister les opérations SNMP :

Answer 4

• get-bulk-request
• get-next-request
• set-request
• get-response

Question 5

Définition de get-bulk-request :

Answer 5

extraction de plusieurs lignes d’une table dans une seule transmission

Question 6

Définition de get-next-request :

Answer 6

recherche séquentielle dans les tables pour extraire la valeur d’une variable

Question 7

Définition de set-request :

Answer 7

stockage d’une valeur dans une variable spécifique

Question 8

Définition de get-response :

Answer 8

réponse aux messages de demande GET et SET envoyés par un NMS

Question 9

Quels sont les trois services fournis par le cadre AAA ? (Choisissez trois réponses.)

Answer 9

1 - traçabilité
2 - autorisation
3 - authentification

Explication : Le cadre AAA (authentification, autorisation et comptabilité) fournit les services qui permettent de sécuriser l’accès aux appareils réseau.

Question 10

La _____________DHCP est une technique d’atténuation pour empêcher les serveurs DHCP non autorisés de fournir de faux paramètres de configuration IP.

Answer 10

• surveillance

Explication : La surveillance DHCP est utilisée pour atténuer les attaques par usurpation DHCP (ou spoofing) ; elle consiste à configurer un commutateur pour qu’il arrête les messages du serveur DHCP sur les ports qui ne doivent pas les recevoir.

Question 11

Une entreprise conçoit un système de surveillance du réseau et envisage d’utiliser SNMPv3. Citez trois caractéristiques de SNMPv3. (Choisissez trois réponses.)

Answer 11

• Il se sert de l’intégrité des messages pour garantir que les paquets n’ont pas été modifiés lors du transit.
• Il utilise l’authentification pour déterminer si les messages proviennent d’une source valide.
• Il utilise le chiffrement pour brouiller le contenu des paquets et ainsi empêcher les accès non autorisés.

Explication : SNMPv3 assure la sécurité à travers la confidentialité des messages, l’authentification et le chiffrement, et il utilise une structure de base de données MIB hiérarchique. SNMPv2c fournit des codes d’erreur étendus pour identifier différents types de situations d’erreur.

Question 12

Comment limiter l’accès SNMP à un gestionnaire SNMP spécifique ?

Answer 12

En définissant une liste de contrôle d’accès et en la référençant à l’aide de la commande snmp-server community.

Explication : La commande snmp-server community string access-list-number-or-name limite l’accès SNMP aux hôtes NMS (gestionnaires SNMP) qui sont autorisés par une liste de contrôle d’accès. La commande snmp-server host host-id [version {1 | 2c | 3 [auth | noauth | priv]}] community-string spécifie le destinataire des opérations de déroutement SNMP. La commande snmp-server community string {ro | rw} configure l’identifiant de communauté ainsi que le niveau d’accès. La commande snmp-server enable traps notification-types active les déroutements sur un agent SNMP.

Question 13

Quelle étape de configuration de SNMPv2 doit être réalisée ?

Answer 13

• Configurer la chaîne de communauté et le niveau d’accès

Explication : Lors de la configuration de SNMPv2, la chaîne de communauté et le niveau d’accès doivent être configurés. Les autres étapes de configuration, comme le contact du système, l’accès aux hôtes NMS, la spécification des destinataires de déroutement et l’activation des déroutements sont toutes facultatives.

Question 14

Quelles sont les caractéristiques des chaînes de communauté SNMP ? (Choisissez deux propositions.)

Answer 14

• Les chaînes de communauté SNMP en lecture seule peuvent être utilisées pour obtenir des informations à partir d’un périphérique utilisant le protocole SNMP.
• Les chaînes de communauté SNMP en écriture seule peuvent être utilisées pour définir des informations sur un périphérique utilisant le protocole SNMP.

Explication : Il existe deux types de chaînes de communauté SNMP : en lecture seule et en lecture-écriture. La chaîne de communauté en lecture seule permet au gestionnaire d’obtenir des informations de l’agent. Celle en lecture-écriture permet d’obtenir ou de définir des informations sur l’agent.

Question 15

Quel service est activé par défaut sur un routeur Cisco, peut fournir d’importants renseignements sur le routeur et peut le rendre éventuellement vulnérable aux attaques ?

Answer 15

• CDP

Explication : CDP est un protocole propriétaire de Cisco qui collecte les renseignements des autres périphériques Cisco connectés. Il est activé par défaut sur les périphériques Cisco. LLDP est un protocole ouvert standard qui fournit le même service. On peut l’activer sur un routeur Cisco. Les protocoles HTTP et FTP sont des protocoles de la couche Application qui ne collectent pas d’informations sur les périphériques réseau.

Question 16

Quelles sont les trois propositions qui décrivent correctement les fonctions SPAN et RSPAN ? (Choisissez trois réponses.)

Answer 16

• SPAN peut être configuré pour envoyer une copie du trafic à un port de destination du même commutateur.
• SPAN peut copier le trafic d’un port ou d’un VLAN source vers un port de destination du même commutateur.
• RSPAN peut être utilisé pour acheminer le trafic vers un système de protection contre les intrusions (IPS) qui analyse le trafic afin de détecter les comportements nuisibles.

Explication : Sur les commutateurs Cisco, la fonction SPAN (Switched Port Analyzer) est un type de mise en miroir des ports qui permet d’envoyer des copies de la trame entrant sur un port source (ou VLAN) en sortie d’un autre port du même commutateur. Généralement, le port de destination est associé à un analyseur de paquets ou à un appareil IPS. Remote SPAN (RSPAN) permet aux ports source et de destination d’être sur des commutateurs différents.

Question 17

Dans la norme 802.1X, le client qui tente d’accéder au réseau est appelé demandeur.

Answer 17

• Dans la terminologie 802.1X, le poste de travail client est appelé demandeur.

Question 18

Quels sont les deux types de ports de commutateur utilisés sur les commutateurs Cisco dans le cadre de la défense contre les attaques par usurpation DHCP ? (Choisissez deux propositions.)

Answer 18

• port non approuvé
• port DHCP approuvé

Explication : La surveillance DHCP reconnaît deux types de ports sur les commutateurs Cisco :

Ports DHCP approuvés – ports de commutateur connectés aux serveurs DHCP en amont
Ports non approuvés – ports de commutateur connectés aux hôtes qui ne doivent pas fournir de messages de serveurs DHCP.

Question 19

SW1(config)# interface Fa3/1
SW1(Config-if)# switchport mode trunk
SW1(Config-if)# switchport trunk encapsulation dot1a
SW1(Config-if)# end

SW1(Config)# interface Fa3/21
SW1(Config-if)# switchport mode access
SW1(Config-if)# switchport access VLAN 10
SW1(Config-if)# end

SW1(Config)# monitor session 1 source interface Fa3/1
SW1(Config)# monitor session 1 destination interface Fa3/21
SW1(Config)# end

Reportez-vous à l’illustration. Concernant la configuration du SPAN local sur le commutateur SW1, laquelle de ces affirmations est vraie ?

Answer 19

Vrai : La session SPAN transmet une copie de tout le trafic surveillé sur le port Fa3/1 à un appareil sur le port Fa3/21.

Faux : La session SPAN transmet une copie de tout le trafic surveillé sur le port Fa3/1 à un appareil sur le port Fa3/21, mais seulement si le port Fa3/1 a été configuré dans le VLAN 10.

Faux : La session SPAN transmet une copie de tout le trafic surveillé sur le port Fa3/1 à un appareil sur le port Fa3/21, mais seulement si le port Fa3/1 est configuré en tant que trunk.

Faux : La session SPAN transmet uniquement une copie du trafic monodiffusion surveillé sur le port Fa3/1 à un appareil sur le port Fa3/21. Toutes les trames BPDU et multidiffusion sont exclues du processus de surveillance.

Explication : Sur les commutateurs Cisco, la fonction SPAN (Switched Port Analyzer) est un type de mise en miroir des ports qui permet d’envoyer des copies de la trame entrant sur un port source (ou VLAN) en sortie d’un autre port du même commutateur. Généralement, un analyseur de paquets ou un appareil IPS est connecté au port de destination.