CISSP · Réussir du premier coup

Chapitre 10
Modèles et
protocoles réseau

Domaine 4, première partie : le modèle OSI couche par couche, l'adressage, TCP/UDP, les ports et le câblage — avec les chiffres à mémoriser.

Domaine
4 — Communication & Network Security · 13 %
Objectifs couverts
4.1 (première moitié)
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • OSI, 7 couches : Physical, Data Link, Network, Transport, Session, Presentation, Application — « Please Do Not Throw Sausage Pizza Away ».
  • PDU : bits (L1) → frames (L2) → packets (L3) → segments/datagrams (L4).
  • Équipements : hub/répéteur (L1), switch/pont (L2), routeur (L3), passerelle/pare-feu applicatif (L7).
  • TCP/IP en 4 couches : Link, Internet, Transport, Application.
  • RFC 1918 privées : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 ; loopback 127.0.0.1 ; APIPA 169.254.0.0/16.
  • TCP = fiable, connecté, three-way handshake SYN → SYN/ACK → ACK ; UDP = rapide, sans connexion.
  • Ports clés : 22 SSH · 25 SMTP · 53 DNS · 80 HTTP · 443 HTTPS · 389 LDAP · 636 LDAPS · 3389 RDP · 88 Kerberos.
  • DNS : DNSSEC signe les réponses ; DoH/DoT chiffrent ; le cache s'empoisonne. ARP n'a pas d'authentification → ARP poisoning.
  • Câblage cuivre : distance standard 100 m (Cat5e→Cat8) ; fibre monomode = longue distance, multimode = courte.
  • Flux : north-south (client↔datacenter) vs east-west (serveur↔serveur interne).

Objectif 4.1Le modèle OSI, couche par couche

Le modèle OSI découpe la communication en sept couches empilées : chaque couche rend service à celle du dessus et s'appuie sur celle du dessous. À l'émission, la donnée descend en s'encapsulant (chaque couche ajoute son en-tête) ; à la réception, elle remonte en se désencapsulant. L'examen teste trois choses par couche : sa fonction, ses protocoles/équipements, et les attaques associées.

#CouchePDURôleProtocoles / équipementsAttaques
7ApplicationDataInterface applicativeHTTP, FTP, SMTP, DNS ; pare-feu applicatif, passerelleInjection, malware, phishing
6PresentationDataFormat, chiffrement, compressionTLS/SSL, JPEG, ASCIIAttaques crypto
5SessionDataOuvre/gère/ferme les sessionsRPC, NetBIOS, PPTPSession hijacking
4TransportSegment / datagramLivraison bout-en-bout, fiabilitéTCP, UDPSYN flood, scan de ports
3NetworkPacketAdressage logique, routageIP, ICMP, IGMP ; routeur, L3 switchSpoofing IP, attaques de routage
2Data LinkFrameAdressage physique (MAC), accès médiaEthernet, ARP, PPP ; switch, pontARP poisoning, MAC flooding, VLAN hopping
1PhysicalBitSignaux électriques/optiquesCâbles, connecteurs ; hub, répéteurÉcoute (tap), brouillage, coupure
🧠 Mnémoniques — OSI

Du haut (7) vers le bas (1) : « All People Seem To Need Data Processing ». Du bas (1) vers le haut (7) : « Please Do Not Throw Sausage Pizza Away ». Pour les PDU : Bits, Frames, Packets, Segments aux couches 1-2-3-4.

Le modèle TCP/IP condense l'OSI en quatre couches : Link/Network Access (OSI 1-2), Internet (OSI 3), Transport (OSI 4), Application (OSI 5-6-7). C'est le modèle réellement implémenté ; l'OSI reste la grille de référence pour raisonner et situer une attaque.

Objectif 4.1Adressage IPv4 et IPv6

IPv4 — classes et plages à connaître

ClassePremier octetUsage
A1–126Très grands réseaux (/8)
B128–191Réseaux moyens (/16)
C192–223Petits réseaux (/24)
D224–239Multicast
E240–255Réservé (expérimental)
Plage spécialeBlocRôle
Privée A (RFC 1918)10.0.0.0/8Non routable sur Internet
Privée B (RFC 1918)172.16.0.0 – 172.31.255.255 (/12)Non routable sur Internet
Privée C (RFC 1918)192.168.0.0/16Non routable sur Internet
Loopback127.0.0.0/8 (127.0.0.1)La machine elle-même
APIPA169.254.0.0/16Auto-attribution si DHCP échoue

Le CIDR (notation /n) remplace les classes rigides par des masques variables. Le NAT traduit adresses privées ↔ publique (le PAT multiplexe plusieurs hôtes derrière une seule IP publique via les ports) — il économise les adresses et masque la topologie interne.

IPv6

Adresses de 128 bits (contre 32 en IPv4), notées en 8 groupes hexadécimaux. Types : unicast, multicast, anycast (plus de broadcast). L'auto-configuration SLAAC permet à un hôte de se donner une adresse ; la double pile (dual stack) et le tunneling assurent la transition. Sécurité : IPsec y est intégré nativement, mais les mécanismes de découverte de voisins (NDP) créent de nouvelles surfaces d'attaque, et les tunnels de transition peuvent contourner des contrôles conçus pour IPv4.

Objectif 4.1TCP, UDP et les ports

TCP contre UDP

CritèreTCPUDP
ConnexionOrientée connexion (handshake)Sans connexion
FiabilitéGarantie (accusés, retransmission, ordre)Aucune garantie (best effort)
VitessePlus lent (surcoût)Rapide, léger
UsagesWeb, email, transfert de fichiersDNS, VoIP, streaming, SNMP

Le three-way handshake TCP ouvre une connexion en trois temps : SYN (le client demande) → SYN/ACK (le serveur accepte) → ACK (le client confirme). L'attaque SYN flood (couche 4) exploite ce mécanisme : l'attaquant envoie des SYN sans jamais renvoyer l'ACK, saturant la table des connexions à moitié ouvertes. Les principaux flags : SYN, ACK, FIN (fin propre), RST (fin brutale), PSH, URG.

La table des ports à mémoriser

PortServicePortService
20/21FTP (données/contrôle)143IMAP
22SSH / SCP / SFTP161/162SNMP
23Telnet (clair)389LDAP
25SMTP443HTTPS (TLS)
53DNS445SMB
67/68DHCP636LDAPS
69TFTP993IMAPS
80HTTP995POP3S
88Kerberos1433SQL Server
110POP33268Global Catalog LDAP
123NTP3389RDP
135/137-139RPC / NetBIOS1521Oracle

Les trois tranches : well-known 0–1023, registered 1024–49151, dynamic/ephemeral 49152–65535. Repérez les couples clair/chiffré : Telnet 23 vs SSH 22, HTTP 80 vs HTTPS 443, LDAP 389 vs LDAPS 636, POP3 110 vs POP3S 995 — la version chiffrée est presque toujours la bonne réponse. ICMP (ping, traceroute — types echo request/reply, time exceeded) et IGMP (gestion des groupes multicast) opèrent à la couche 3, sans numéro de port.

Objectif 4.1Protocoles sécurisés et convergés

DNS et ARP — les cibles favorites

Protocoles multicouches et convergés

Encapsuler un protocole dans un autre apporte de la souplesse mais crée des canaux cachés (tunneling) et complique l'inspection. Les protocoles convergés font passer des flux hétérogènes sur l'infrastructure de données :

ProtocoleRôle
FCoEFibre Channel over Ethernet — stockage SAN sur Ethernet
iSCSIStockage en mode bloc sur IP (alternative économique au Fibre Channel)
VoIPVoix sur IP : SIP (signalisation), RTP (transport média), SRTP (RTP chiffré)
DNP3Protocole des systèmes industriels/SCADA (chapitre 7)
InfiniBand, CXLInterconnexions haute performance (datacenters, HPC)

Objectif 4.1Architecture de transport et câblage

Topologies

Star (étoile — dominante aujourd'hui : chaque nœud relié à un switch central ; panne d'un lien = un seul nœud isolé), mesh (maillée — redondance maximale, coûteuse), bus (un segment partagé, une coupure paralyse tout), ring (anneau, jeton). Les plans logiques d'un équipement moderne : data plane (transfert des paquets), control plane (décisions de routage), management plane (administration) — séparation clé pour le SDN (chapitre 11).

Câblage — distances et débits

MédiaDébitDistanceNote
Cat5e1 Gbps100 mPaire torsadée cuivre
Cat61–10 Gbps100 m (10G : 55 m)Cuivre
Cat6a10 Gbps100 mCuivre
Cat7 / Cat810–40 Gbps100 m / 30 mDatacenter
CoaxialVariablePlus longue que la paire torsadéeHistorique
Fibre multimodeÉlevéJusqu'à ~2 kmCourtes/moyennes distances, LED
Fibre monomodeTrès élevéDizaines de kmLongue distance, laser

Point à retenir : la paire torsadée cuivre plafonne à 100 m ; au-delà, on passe à la fibre. La fibre est de plus immunisée aux interférences électromagnétiques (EMI/RFI) et beaucoup plus difficile à mettre sur écoute — un argument de sécurité, pas seulement de performance. La distinction baseband (un signal, tout le média — Ethernet) vs broadband (plusieurs canaux) et analogique vs numérique, synchrone vs asynchrone complètent le vocabulaire.

Métriques et flux

⚠️ Pièges d'examen
  • Situez l'attaque à sa couche : ARP poisoning et VLAN hopping = L2 ; IP spoofing = L3 ; SYN flood = L4 ; injection = L7.
  • Équipements : hub = L1, switch = L2, routeur = L3, passerelle/proxy applicatif = L7. Un switch L3 route (exception fréquente).
  • PDU dans l'ordre : bits, frames, packets, segments (L1→L4). Un « packet » est en L3, pas partout.
  • RFC 1918 : 10/8, 172.16/12, 192.168/16. 169.254.x = APIPA (échec DHCP), pas une plage privée assignable.
  • DNSSEC = intégrité/authenticité (pas confidentialité) ; DoH/DoT = confidentialité. Ne les confondez pas.
  • ARP n'a pas d'authentification — c'est la racine de l'ARP poisoning.
  • Couples clair/chiffré : la version sécurisée (SSH 22, HTTPS 443, LDAPS 636, SNMPv3) est presque toujours la bonne réponse.
  • Cuivre = 100 m ; au-delà ou en environnement EMI/écoute sensible → fibre. Monomode = long, multimode = court.
  • UDP pour DNS, VoIP, streaming (rapidité) ; TCP pour ce qui exige la fiabilité.
  • East-west (serveur↔serveur) est le trafic clé pour le zero trust interne — pas le north-south.
Scénario fil rouge — Awa

Awa cartographie le réseau fusionné. Le site berlinois utilisait encore Telnet (port 23) et SNMPv1 en clair pour administrer ses switchs : bascule immédiate vers SSH et SNMPv3. Un incident de redirection de trafic est attribué à de l'ARP poisoning sur le LAN plat de Berlin — elle active la Dynamic ARP Inspection et segmente. Le résolveur DNS interne passe au DNSSEC après une tentative d'empoisonnement de cache visant le domaine de paiement. Côté câblage, une liaison cuivre de 130 m entre deux bâtiments (au-delà des 100 m réglementaires) expliquait des pertes de paquets : remplacée par de la fibre monomode, immunisée aux perturbations de la ligne électrique voisine. Enfin, Awa fait remarquer au comité que les pare-feu ne filtraient que le trafic north-south : tout le east-west entre serveurs de paiement circulait sans contrôle — chantier de micro-segmentation ouvert pour le chapitre suivant.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

At which OSI layer does a router primarily operate?

  1. Layer 1 (Physical)
  2. Layer 2 (Data Link)
  3. Layer 3 (Network)
  4. Layer 4 (Transport)
Voir la réponse Réponse : C

Le routeur raisonne en adresses logiques (IP) et route entre réseaux : couche 3. Le switch classique est L2 (B), le hub L1 (A).

Question 2

Which OSI layer is responsible for physical (MAC) addressing and media access?

  1. Physical
  2. Data Link
  3. Network
  4. Session
Voir la réponse Réponse : B

Adressage MAC et accès au média = Data Link (L2), où opèrent switchs et ARP. La couche physique (A) ne gère que les signaux.

Question 3

What is the correct order of protocol data units from Layer 1 to Layer 4?

  1. Packets, frames, bits, segments
  2. Bits, frames, packets, segments
  3. Frames, bits, segments, packets
  4. Segments, packets, frames, bits
Voir la réponse Réponse : B

Bits (L1) → frames (L2) → packets (L3) → segments (L4). Mémoriser cet ordre situe instantanément une attaque à sa couche.

Question 4

TLS encryption is MOST closely associated with which OSI layer?

  1. Session
  2. Presentation
  3. Transport
  4. Application
Voir la réponse Réponse : B

Chiffrement, formatage et compression relèvent de la présentation (L6) — TLS y est classiquement rattaché dans le modèle OSI. (En pratique il chevauche L4-L7, mais l'examen attend L6.)

Question 5

The TCP/IP model's Internet layer corresponds to which OSI layer?

  1. Layer 2 (Data Link)
  2. Layer 3 (Network)
  3. Layer 4 (Transport)
  4. Layer 7 (Application)
Voir la réponse Réponse : B

La couche Internet de TCP/IP correspond à la couche réseau (L3) de l'OSI : c'est là que vit IP.

Question 6

Which of the following is a RFC 1918 private address range?

  1. 169.254.0.0/16
  2. 172.16.0.0/12
  3. 127.0.0.0/8
  4. 224.0.0.0/4
Voir la réponse Réponse : B

172.16.0.0/12 est l'une des trois plages RFC 1918. 169.254 = APIPA (A), 127 = loopback (C), 224 = multicast (D) — aucune n'est une plage privée assignable.

Question 7

A workstation configured for DHCP fails to reach the server and assigns itself 169.254.10.5. What is this mechanism?

  1. Loopback addressing
  2. APIPA (automatic private IP addressing)
  3. Multicast assignment
  4. NAT translation
Voir la réponse Réponse : B

169.254.x/16 auto-attribuée après échec DHCP = APIPA. Signe classique d'un problème DHCP : la machine n'atteint personne hors de son segment.

Question 8

Which technology allows many internal hosts to share a single public IP address using port numbers?

  1. CIDR
  2. PAT (port address translation)
  3. SLAAC
  4. DNSSEC
Voir la réponse Réponse : B

Le PAT multiplexe plusieurs hôtes privés derrière une IP publique via les numéros de port. Le CIDR (A) découpe les réseaux ; SLAAC (C) est de l'auto-config IPv6.

Question 9

How many bits is an IPv6 address?

  1. 32
  2. 64
  3. 128
  4. 256
Voir la réponse Réponse : C

128 bits, contre 32 pour IPv4 — d'où un espace d'adressage immense. Les autres valeurs sont des leurres.

Question 10

Which statement about TCP and UDP is correct?

  1. UDP is connection-oriented and reliable
  2. TCP is connectionless and faster than UDP
  3. TCP is connection-oriented and reliable; UDP is connectionless and faster
  4. Both guarantee ordered delivery
Voir la réponse Réponse : C

TCP : connecté et fiable ; UDP : sans connexion et rapide. A et B inversent, D est faux (UDP ne garantit pas l'ordre).

Question 11

What is the correct sequence of the TCP three-way handshake?

  1. ACK, SYN, SYN/ACK
  2. SYN, SYN/ACK, ACK
  3. SYN, ACK, FIN
  4. SYN/ACK, SYN, ACK
Voir la réponse Réponse : B

SYN → SYN/ACK → ACK. Les autres ordres sont incorrects — FIN (C) clôt une connexion, il n'ouvre rien.

Question 12

A SYN flood attack works by exploiting which mechanism?

  1. Sending SYN packets without completing the handshake, exhausting half-open connections
  2. Flooding the ARP cache with fake entries
  3. Overwhelming DNS resolvers
  4. Injecting malicious SQL
Voir la réponse Réponse : A

Le SYN flood laisse des connexions à moitié ouvertes en n'envoyant jamais l'ACK final, saturant la table de l'hôte (attaque L4). B décrit l'ARP poisoning, C une attaque DNS, D une injection L7.

Question 13

Which port does SSH use?

  1. 22
  2. 23
  3. 25
  4. 443
Voir la réponse Réponse : A

SSH = 22. Telnet est 23 (B), SMTP 25 (C), HTTPS 443 (D). SSH remplace Telnet en chiffrant la session.

Question 14

Which pair correctly matches the service to its default port?

  1. LDAP 389, LDAPS 636
  2. HTTP 443, HTTPS 80
  3. RDP 22, SSH 3389
  4. DNS 80, HTTP 53
Voir la réponse Réponse : A

LDAP 389 / LDAPS 636 : exact. B inverse HTTP/HTTPS, C inverse RDP/SSH, D est fantaisiste.

Question 15

Which port is used by Kerberos?

  1. 53
  2. 88
  3. 389
  4. 445
Voir la réponse Réponse : B

Kerberos = 88. 53 = DNS, 389 = LDAP, 445 = SMB — tous à connaître, tous distincts.

Question 16

An administrator must choose between Telnet and SSH for remote management. Which is appropriate and why?

  1. Telnet, because it is faster
  2. SSH, because it encrypts the session while Telnet sends credentials in clear text
  3. Telnet, because it uses port 22
  4. Either, since both are equally secure
Voir la réponse Réponse : B

SSH chiffre ; Telnet transmet identifiants et commandes en clair — proscrit. C confond les ports (SSH = 22, pas Telnet), A et D ignorent le risque de confidentialité.

Question 17

What protection does DNSSEC provide?

  1. Confidentiality of DNS queries
  2. Authenticity and integrity of DNS responses through digital signatures
  3. Faster name resolution
  4. Encryption of the entire TCP session
Voir la réponse Réponse : B

DNSSEC signe les réponses : authenticité et intégrité, contre l'empoisonnement de cache — mais pas de confidentialité (c'est le rôle de DoH/DoT).

Question 18

Why is ARP inherently vulnerable to poisoning attacks?

  1. It uses strong authentication that attackers bypass
  2. It has no authentication, so forged replies are trusted
  3. It operates only over the Internet
  4. It encrypts responses, hiding the attack
Voir la réponse Réponse : B

ARP n'a aucune authentification : une réponse forgée est crue sur parole, d'où le MITM. Il opère sur le LAN (pas Internet, C) et en clair (pas chiffré, D).

Question 19

Which protocols support Voice over IP?

  1. SIP for signaling and RTP/SRTP for media transport
  2. FCoE and iSCSI
  3. DNP3 and Modbus
  4. SMTP and IMAP
Voir la réponse Réponse : A

VoIP = SIP (signalisation) + RTP/SRTP (média). FCoE/iSCSI sont du stockage (B), DNP3/Modbus de l'industriel (C), SMTP/IMAP de l'email (D).

Question 20

Which converged protocol carries block-level storage traffic over standard IP networks?

  1. iSCSI
  2. SIP
  3. NTP
  4. IGMP
Voir la réponse Réponse : A

iSCSI transporte du stockage en mode bloc sur IP — alternative économique au Fibre Channel. Les autres protocoles ont des rôles étrangers au stockage.

Question 21

What is the maximum standard distance for Category 6a twisted-pair cabling?

  1. 10 meters
  2. 55 meters
  3. 100 meters
  4. 2 kilometers
Voir la réponse Réponse : C

La paire torsadée (Cat5e à Cat6a) plafonne à 100 m. 55 m (B) est la limite du 10G sur Cat6 standard, pas du Cat6a. Au-delà de 100 m : fibre.

Question 22

A link must span 20 kilometers with immunity to electromagnetic interference. Which medium is BEST?

  1. Category 6 twisted pair
  2. Coaxial cable
  3. Single-mode fiber
  4. Category 8 twisted pair
Voir la réponse Réponse : C

20 km + immunité EMI = fibre monomode (longue distance, insensible aux interférences, difficile à écouter). Le cuivre est limité à 100 m et sensible à l'EMI.

Question 23

Which network topology provides the greatest redundancy through multiple interconnections?

  1. Bus
  2. Ring
  3. Star
  4. Mesh
Voir la réponse Réponse : D

Le maillage (mesh) relie les nœuds par de multiples chemins : redondance maximale, au prix du coût. L'étoile (C) dépend du switch central ; le bus (A) tombe entier sur une coupure.

Question 24

Which metric describes the variation in packet delay, critical to VoIP quality?

  1. Bandwidth
  2. Jitter
  3. Throughput
  4. Signal-to-noise ratio
Voir la réponse Réponse : B

Le jitter est la variation du délai entre paquets — fatal à la VoIP (voix hachée). La bande passante (A) est la capacité, le throughput (C) le débit réel.

Question 25

Traffic between two servers inside the same data center is described as which type of flow?

  1. North-south
  2. East-west
  3. Broadcast
  4. Loopback
Voir la réponse Réponse : B

Serveur↔serveur interne = east-west, le trafic que le zero trust interne vise à contrôler. Le north-south (A) relie l'extérieur au datacenter.

Auto-diagnostic

≥ 20/25 : passez au chapitre 11. Entre 15 et 19 : récitez la table des ports et l'ordre des couches OSI jusqu'à l'automatisme. < 15 : relisez le chapitre ; le domaine 4 récompense la mémorisation brute des ports, couches et distances.

FicheFiche de révision

À savoir par cœur avant le chapitre 11
  1. OSI 7→1 : All People Seem To Need Data Processing ; 1→7 : Please Do Not Throw Sausage Pizza Away.
  2. PDU : bits (L1) · frames (L2) · packets (L3) · segments (L4).
  3. Équipements : hub/répéteur L1 · switch/pont L2 · routeur L3 · passerelle/proxy applicatif L7.
  4. Attaques par couche : tap/brouillage L1 · ARP poisoning/MAC flooding/VLAN hopping L2 · IP spoofing L3 · SYN flood/scan L4 · injection/malware L7.
  5. TCP/IP : Link (OSI 1-2) · Internet (L3) · Transport (L4) · Application (L5-7).
  6. Classes IPv4 : A 1–126 · B 128–191 · C 192–223 · D multicast · E réservé.
  7. RFC 1918 : 10.0.0.0/8 · 172.16.0.0/12 · 192.168.0.0/16 ; loopback 127.0.0.1 ; APIPA 169.254.0.0/16.
  8. NAT/PAT masquent et multiplexent ; CIDR = masques variables.
  9. IPv6 = 128 bits ; unicast/multicast/anycast ; SLAAC, dual stack, tunneling.
  10. TCP = connecté/fiable/lent ; UDP = sans connexion/rapide (DNS, VoIP, streaming).
  11. Handshake TCP : SYN → SYN/ACK → ACK ; SYN flood = connexions à moitié ouvertes.
  12. Ports : 20/21 FTP · 22 SSH · 23 Telnet · 25 SMTP · 53 DNS · 67/68 DHCP · 80 HTTP · 88 Kerberos · 110 POP3 · 123 NTP · 143 IMAP · 161/162 SNMP · 389 LDAP · 443 HTTPS · 445 SMB · 636 LDAPS · 993 IMAPS · 995 POP3S · 3389 RDP.
  13. Well-known 0–1023 · registered 1024–49151 · dynamic 49152–65535.
  14. DNSSEC = intégrité/authenticité ; DoH/DoT = confidentialité ; ARP sans auth → poisoning.
  15. Convergés : FCoE, iSCSI (stockage), VoIP (SIP/RTP/SRTP), DNP3 (ICS).
  16. Cuivre = 100 m (Cat5e→Cat8) ; fibre monomode = long, multimode = court, immunisée EMI.
  17. Métriques : bandwidth, latency, jitter (VoIP), throughput, SNR ; flux north-south (externe↔DC) vs east-west (serveur↔serveur).