CISSP · Réussir du premier coup

Chapitre 11
Segmentation, sans-fil,
architectures modernes

Domaine 4, deuxième partie : VLAN et micro-segmentation, le Wi-Fi de bout en bout, le sans-fil courte portée, le cellulaire et le SDN.

Domaine
4 — Communication & Network Security · 13 %
Objectifs couverts
4.1 (seconde moitié)
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • Un VLAN segmente logiquement un réseau L2 ; le routage entre VLAN passe par la couche 3.
  • VLAN hopping (double tagging, switch spoofing) → parades : désactiver le DTP, VLAN natif dédié, ports en mode accès.
  • Micro-segmentation : isolation fine (souvent SDN) du trafic east-west — cœur du zero trust interne.
  • Wi-Fi : 2,4 GHz (portée, encombré) · 5 GHz (débit) · 6 GHz (Wi-Fi 6E). Masquer le SSID ≠ sécurité.
  • Évolution : WEP (cassé, IV RC4) → WPA (TKIP) → WPA2 (CCMP/AES) → WPA3 (SAE, forward secrecy).
  • WPA3-Personal remplace le PSK par SAE (résiste au déchiffrement hors ligne) ; Enhanced Open/OWE chiffre les réseaux ouverts.
  • Enterprise = 802.1X + EAP (EAP-TLS le plus fort, LEAP à bannir) via un serveur RADIUS.
  • Attaques : evil twin, rogue AP, deauth, jamming, wardriving, KRACK (WPA2), WPS (PIN cassable).
  • Courte portée : Bluetooth (blue-jacking/snarfing/bugging), Zigbee, RFID/NFC (skimming, relay), Li-Fi (lumière).
  • SDN sépare control plane et data plane ; en cloud, security groups (stateful, sur l'instance) ≠ NACL (stateless, sur le subnet).

Objectif 4.1Segmentation et micro-segmentation

Segmenter, c'est cloisonner le réseau pour limiter la portée d'une compromission et appliquer des politiques différenciées. Deux natures :

VLAN hopping

Deux techniques : le switch spoofing (l'attaquant se fait passer pour un switch et négocie un lien trunk via DTP, accédant à tous les VLAN) et le double tagging (deux étiquettes 802.1Q : le premier switch retire l'externe, le second route sur le VLAN interne — souvent le VLAN natif). Parades : désactiver la négociation automatique (DTP) et forcer les ports en mode accès, changer le VLAN natif et ne pas l'utiliser pour des données, désactiver les ports inutilisés.

Micro-segmentation

La segmentation VLAN reste grossière ; la micro-segmentation descend à la granularité de la charge de travail — chaque serveur, chaque application isolé par des politiques individuelles, généralement pilotées par le SDN. Son intérêt : maîtriser le trafic east-west (serveur↔serveur), longtemps invisible aux pare-feu périmétriques, et empêcher les mouvements latéraux d'un attaquant déjà entré. C'est la traduction réseau du zero trust (chapitre 6) : aucune confiance implicite entre deux machines du même datacenter.

Objectif 4.1Wi-Fi : normes, chiffrement, authentification

Norme 802.11BandeDébit indicatifNom commercial
a5 GHz54 Mbps
b2,4 GHz11 Mbps
g2,4 GHz54 Mbps
n2,4 / 5 GHz600 MbpsWi-Fi 4
ac5 GHz~1,3 Gbps+Wi-Fi 5
ax2,4 / 5 / 6 GHz~9,6 GbpsWi-Fi 6 / 6E

Compromis des bandes : 2,4 GHz porte plus loin et traverse mieux les murs mais est encombré et lent ; 5 GHz offre plus de débit et de canaux sur une portée moindre ; 6 GHz (Wi-Fi 6E) ouvre un spectre propre. La conception passe par un site survey et une heat map pour placer les points d'accès et régler la puissance. Le SSID identifie le réseau : le masquer (désactiver la diffusion) n'est pas une mesure de sécurité — il reste trivial à découvrir en écoutant les trames.

L'évolution du chiffrement

ProtocoleChiffrementStatut
WEPRC4 + IV court (24 bits)Cassé — réutilisation d'IV, à proscrire
WPATKIP (sur RC4)Transitoire, déprécié
WPA2CCMP / AESStandard longtemps dominant ; vulnérable à KRACK
WPA3AES-GCMP ; SAE ; forward secrecyRecommandé actuel

WPA3 apporte deux nouveautés testables : SAE (Simultaneous Authentication of Equals, dit « Dragonfly ») remplace le PSK de WPA2 et résiste aux attaques de dictionnaire hors ligne — capturer le handshake ne suffit plus à brute-forcer la clé ; et Enhanced Open (OWE) chiffre les réseaux ouverts (hotspots) sans mot de passe, contre l'écoute passive.

PSK contre Enterprise

WPA-Personal (PSK) : une clé partagée pour tous — simple, mais sa compromission expose tout le réseau et complique la révocation individuelle. WPA-Enterprise : authentification individuelle via 802.1X et un serveur RADIUS, en s'appuyant sur EAP :

Méthode EAPCaractéristique
EAP-TLSCertificats des deux côtés — le plus sûr, mais lourd (PKI)
PEAPTunnel TLS côté serveur, mot de passe à l'intérieur
EAP-TTLSSimilaire à PEAP, plus souple sur les méthodes internes
LEAPPropriétaire Cisco — faible, à éviter

Objectif 4.1Attaques Wi-Fi et contre-mesures

AttaquePrincipeContre-mesure
Rogue APPoint d'accès non autorisé branché sur le réseauWIPS, NAC, 802.1X sur les ports
Evil twinFaux AP imitant le SSID légitime pour piéger les clientsValidation serveur (EAP-TLS), méfiance des portails, VPN
DeauthenticationTrames de désauthentification forgées → déconnexion, souvent prélude à la capture du handshake802.11w (trames de gestion protégées)
JammingBrouillage radio (DoS de la couche physique)Détection de spectre, localisation de la source
WardrivingCartographier les réseaux en circulantRéduire la puissance débordante, durcir l'authentification
KRACKRejoue le handshake à 4 voies de WPA2 pour réinstaller une cléCorrectifs ; migrer vers WPA3
WPS PINLe PIN à 8 chiffres du WPS est brute-forçableDésactiver le WPS
🧠 Mnémonique — WEP→WPA3

« WEP est mort, WPA transite, WPA2 chiffre en AES, WPA3 scelle avec SAE. » Réflexe : dès qu'une question propose WEP ou WPA (TKIP), la bonne réponse est presque toujours de monter d'un cran vers WPA2-Enterprise ou WPA3.

Objectif 4.1Sans-fil courte portée et cellulaire

Objectif 4.1SDN, SD-WAN et cloud réseau

Le SDN (Software-Defined Networking) sépare le control plane (l'intelligence de routage, centralisée dans un contrôleur) du data plane (le simple transfert des paquets par les équipements). Bénéfices : programmabilité, automatisation, micro-segmentation ; risque : le contrôleur devient une cible critique (sa compromission livre tout le réseau). Déclinaisons : SD-WAN (piloter intelligemment plusieurs liens WAN, souvent avec sécurité intégrée — brique du SASE, chapitre 6), VXLAN (étendre des réseaux L2 sur une infrastructure L3, pour la mobilité des VM), NFV (Network Functions Virtualization — pare-feu, routeurs, load balancers en logiciel).

Réseau dans le cloud

Le VPC (Virtual Private Cloud) est un réseau privé isolé chez le fournisseur, découpé en subnets publics et privés. Deux contrôles à ne jamais confondre :

ContrôlePortéeNature
Security groupL'instance (pare-feu de la VM)Stateful : le retour d'une connexion autorisée est implicite ; règles allow uniquement
NACL (Network ACL)Le subnet entierStateless : il faut autoriser explicitement l'aller et le retour ; règles allow et deny

Surveillance et gestion du réseau

NetFlow (et IPFIX) exporte les métadonnées de flux — qui parle à qui, combien — pour la détection d'anomalies ; SNMPv3 supervise les équipements de façon authentifiée et chiffrée (vs v1/v2 en clair, chapitre 10) ; un NMS centralise l'état de la flotte. Ces flux alimentent le SIEM (chapitre 19).

⚠️ Pièges d'examen
  • Masquer le SSID n'est pas une mesure de sécurité — la bonne réponse est un chiffrement fort (WPA2/3-Enterprise).
  • WEP et WPA (TKIP) sont cassés ; ne jamais les recommander. WPA2 = AES/CCMP ; WPA3 = SAE.
  • SAE (WPA3) résiste au brute force hors ligne — c'est son apport clé face au PSK de WPA2.
  • Enterprise = 802.1X + RADIUS + EAP ; EAP-TLS le plus fort (certificats), LEAP à bannir.
  • Evil twin = faux AP imitant le SSID ; rogue AP = AP non autorisé sur votre réseau. Nuance testée.
  • WPS : toujours le désactiver (PIN brute-forçable).
  • Bluesnarfing = vol de données ; bluejacking = messages non sollicités (bénin). Ne pas confondre.
  • Security group = stateful, sur l'instance ; NACL = stateless, sur le subnet. Un NACL exige des règles aller-retour.
  • SDN : le contrôleur (control plane) est la cible critique ; le data plane ne fait qu'exécuter.
  • Micro-segmentation vise l'east-west et le zero trust interne, pas le périmètre.
Scénario fil rouge — Awa

Le chantier east-west du chapitre 10 avance. Awa déploie la micro-segmentation pilotée par SDN : les serveurs de paiement ne peuvent plus parler qu'aux services strictement nécessaires — zero trust interne. Côté Wi-Fi, l'audit de Berlin révèle un réseau invité encore en WEP et un SSID « caché » présenté comme sécurisé : migration vers WPA3, réseau corporate en WPA2/3-Enterprise avec 802.1X, EAP-TLS et RADIUS ; le WPS est désactivé partout. Un evil twin imitant le SSID de l'entreprise est détecté lors d'un salon — la validation du certificat serveur par EAP-TLS l'a neutralisé, les postes ayant refusé le faux AP. Dans le cloud de paiement, Awa corrige une confiance mal placée : une NACL de subnet avait été configurée comme un security group, en oubliant les règles de retour (stateless) — le trafic légitime tombait par intermittence. Les badges RFID d'accès aux salles, enfin, passent en modèle chiffré après une démonstration de clonage par l'équipe de test.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

At which OSI layer does a VLAN segment a network, and what is required to route between VLANs?

  1. Layer 2; routing between VLANs requires a Layer 3 device
  2. Layer 3; no additional device is needed
  3. Layer 1; a hub connects the VLANs
  4. Layer 4; TCP handles VLAN routing
Voir la réponse Réponse : A

Le VLAN segmente en couche 2 ; passer d'un VLAN à l'autre exige un équipement L3 (routeur ou switch L3) où s'appliquent les ACL. B, C et D se trompent de couche ou d'équipement.

Question 2

An attacker crafts frames with two 802.1Q tags to reach a VLAN they should not access. What is this attack?

  1. ARP poisoning
  2. VLAN hopping via double tagging
  3. MAC flooding
  4. SYN flooding
Voir la réponse Réponse : B

Deux étiquettes 802.1Q = double tagging, une variante de VLAN hopping. L'ARP poisoning (A) et le MAC flooding (C) sont d'autres attaques L2 ; le SYN flood (D) est L4.

Question 3

Which measure BEST prevents switch-spoofing VLAN hopping?

  1. Enabling DTP on all ports
  2. Disabling automatic trunk negotiation and forcing access mode on user ports
  3. Using the native VLAN for user data
  4. Broadcasting the SSID
Voir la réponse Réponse : B

Désactiver le DTP et forcer le mode accès empêche l'attaquant de négocier un trunk. Activer le DTP (A) et utiliser le VLAN natif pour des données (C) aggravent le risque.

Question 4

What is the PRIMARY security benefit of micro-segmentation?

  1. Increasing Internet bandwidth
  2. Controlling east-west traffic and limiting lateral movement between workloads
  3. Replacing the need for encryption
  4. Eliminating the perimeter firewall
Voir la réponse Réponse : B

La micro-segmentation contrôle le trafic east-west et bloque les mouvements latéraux — le zero trust interne. Elle ne remplace ni le chiffrement (C) ni le pare-feu périmétrique (D).

Question 5

Which management approach uses a dedicated network separate from production traffic?

  1. In-band management
  2. Out-of-band management
  3. Broadcast management
  4. Loopback management
Voir la réponse Réponse : B

L'out-of-band administre par un réseau séparé de la production : si la production tombe ou est compromise, l'administration reste accessible et isolée. L'in-band (A) partage le réseau de production.

Question 6

Which Wi-Fi band offers the greatest range and wall penetration but is the most congested?

  1. 2.4 GHz
  2. 5 GHz
  3. 6 GHz
  4. 60 GHz
Voir la réponse Réponse : A

2,4 GHz porte loin et traverse mieux les murs, mais est saturé et lent. 5 et 6 GHz privilégient le débit sur une portée moindre.

Question 7

Is hiding (not broadcasting) the SSID an effective security control?

  1. Yes, it makes the network undetectable
  2. No, the SSID is easily discovered by sniffing traffic; strong encryption is needed
  3. Yes, it replaces the need for WPA2
  4. No, but it encrypts all traffic
Voir la réponse Réponse : B

Le SSID masqué apparaît dès qu'un client s'y connecte : trivial à retrouver en écoutant. Seul un chiffrement fort protège réellement. C et D prêtent au masquage des vertus qu'il n'a pas.

Question 8

Why is WEP considered insecure?

  1. It uses AES with long keys
  2. Its short RC4 initialization vectors are reused, allowing key recovery
  3. It requires certificates
  4. It has no wireless range
Voir la réponse Réponse : B

Les IV de 24 bits de WEP se réutilisent vite : en capturant assez de trafic, on récupère la clé. WEP n'utilise ni AES (A) ni certificats (C).

Question 9

Which encryption standard does WPA2 use?

  1. TKIP over RC4
  2. CCMP with AES
  3. WEP with RC4
  4. DES in CBC mode
Voir la réponse Réponse : B

WPA2 = CCMP avec AES. TKIP/RC4 (A) est WPA ; WEP (C) est cassé. C'est le saut vers l'AES qui distingue WPA2.

Question 10

What is the KEY improvement that SAE brings to WPA3-Personal?

  1. It broadcasts the SSID automatically
  2. It resists offline dictionary attacks against captured handshakes
  3. It removes the need for any authentication
  4. It disables encryption for speed
Voir la réponse Réponse : B

SAE résiste au brute force hors ligne : capturer le handshake ne permet plus de casser la clé par dictionnaire. Il ne supprime pas l'authentification (C) ni le chiffrement (D).

Question 11

Which WPA3 feature encrypts traffic on open (password-free) networks?

  1. WPS
  2. Enhanced Open (OWE)
  3. TKIP
  4. MAC filtering
Voir la réponse Réponse : B

Enhanced Open (OWE) chiffre opportunément les réseaux ouverts, contre l'écoute passive des hotspots. Le WPS (A) et le filtrage MAC (D) ne chiffrent rien.

Question 12

A company wants individual user authentication on its corporate Wi-Fi. Which architecture is appropriate?

  1. WPA2-Personal with a shared PSK
  2. WPA2/3-Enterprise using 802.1X, EAP, and a RADIUS server
  3. An open network with a hidden SSID
  4. WEP with MAC filtering
Voir la réponse Réponse : B

L'authentification individuelle passe par WPA-Enterprise : 802.1X + EAP + RADIUS. Le PSK partagé (A) n'individualise rien ; WEP et SSID caché (C, D) sont hors sujet.

Question 13

Which EAP method provides the strongest authentication using certificates on both client and server?

  1. LEAP
  2. EAP-TLS
  3. PAP
  4. EAP-MD5
Voir la réponse Réponse : B

EAP-TLS exige des certificats des deux côtés : l'authentification la plus forte. LEAP (A) est faible, PAP (C) transmet en clair, EAP-MD5 (D) est obsolète.

Question 14

An attacker sets up a fake access point advertising the same SSID as the corporate network to lure clients. What is this attack?

  1. Rogue AP planted internally
  2. Evil twin
  3. Jamming
  4. Wardriving
Voir la réponse Réponse : B

Un faux AP imitant le SSID légitime pour piéger les clients = evil twin. Le rogue AP (A) est un point d'accès non autorisé branché sur votre réseau — nuance testée.

Question 15

Which attack sends forged deauthentication frames, often to force a client to reconnect and capture the handshake?

  1. Deauthentication attack
  2. Bluesnarfing
  3. SQL injection
  4. Skimming
Voir la réponse Réponse : A

Les trames de désauthentification forgées déconnectent la victime, souvent pour capturer son handshake à la reconnexion — parade : 802.11w. Les autres options relèvent d'autres technologies.

Question 16

What is the recommended action regarding Wi-Fi Protected Setup (WPS)?

  1. Enable it for convenience
  2. Disable it, because its 8-digit PIN is brute-forceable
  3. Use it only on guest networks
  4. Combine it with WEP
Voir la réponse Réponse : B

Le PIN WPS à 8 chiffres se brute-force en heures : il faut le désactiver. L'activer (A) ou le combiner à WEP (D) aggrave la vulnérabilité.

Question 17

The KRACK attack targets which protocol?

  1. WPA2's four-way handshake
  2. WEP's initialization vectors
  3. Bluetooth pairing
  4. NFC payment
Voir la réponse Réponse : A

KRACK rejoue le handshake à 4 voies de WPA2 pour réinstaller une clé et déchiffrer du trafic. Correctifs + migration WPA3. Les autres cibles n'ont rien à voir.

Question 18

Which Bluetooth attack involves stealing data such as contacts from a device?

  1. Bluejacking
  2. Bluesnarfing
  3. Bluebugging
  4. Wardriving
Voir la réponse Réponse : B

Le bluesnarfing vole des données. Le bluejacking (A) n'envoie que des messages non sollicités (bénin) ; le bluebugging (C) prend le contrôle de l'appareil.

Question 19

Which characteristic makes Li-Fi harder to intercept from outside a room?

  1. It uses light, which does not pass through walls
  2. It uses the 6 GHz band
  3. It broadcasts on satellite links
  4. It relies on RFID tags
Voir la réponse Réponse : A

Le Li-Fi transmet par la lumière, confinée à la pièce (pas de traversée des murs) : l'interception à distance devient très difficile. Les autres options décrivent d'autres technologies.

Question 20

What does 5G network slicing provide?

  1. Isolated logical networks over shared physical infrastructure
  2. Longer battery life for phones
  3. Free roaming worldwide
  4. A replacement for Wi-Fi encryption
Voir la réponse Réponse : A

Le network slicing crée des réseaux logiques isolés sur une infrastructure 5G partagée — chacun avec ses propres garanties. Les autres réponses sont fantaisistes.

Question 21

In software-defined networking, which plane is centralized in a controller and becomes a critical target?

  1. The data plane
  2. The control plane
  3. The management plane only
  4. The physical plane
Voir la réponse Réponse : B

Le SDN centralise le control plane dans un contrôleur : sa compromission livre tout le réseau — cible critique. Le data plane (A) ne fait qu'exécuter le transfert.

Question 22

Which statement correctly distinguishes cloud security groups from network ACLs?

  1. Security groups are stateful and applied to instances; NACLs are stateless and applied to subnets
  2. Security groups are stateless; NACLs are stateful
  3. Both are stateless and identical
  4. Security groups apply to subnets; NACLs to instances
Voir la réponse Réponse : A

Security group = stateful, sur l'instance (le retour est implicite) ; NACL = stateless, sur le subnet (aller et retour à autoriser). B et D inversent tout.

Question 23

An administrator configured a subnet NACL to allow inbound traffic but forgot the outbound return rules, causing intermittent failures. Why?

  1. NACLs are stateless, so return traffic must be explicitly allowed
  2. NACLs are stateful and never need return rules
  3. Security groups block all traffic by default
  4. The subnet was too small
Voir la réponse Réponse : A

Une NACL est stateless : le trafic de retour n'est pas suivi, il faut l'autoriser explicitement — d'où les échecs intermittents quand on l'oublie. C'est la confusion classique avec les security groups (stateful).

Question 24

Which technology extends Layer 2 networks across a Layer 3 infrastructure to support VM mobility?

  1. VXLAN
  2. NetFlow
  3. WPA3
  4. NFV
Voir la réponse Réponse : A

VXLAN encapsule du L2 sur du L3, permettant d'étendre un segment et de déplacer des VM entre datacenters. NetFlow (B) surveille, WPA3 (C) est du Wi-Fi, NFV (D) virtualise des fonctions.

Question 25

Which tool exports flow metadata (who talks to whom, and how much) for anomaly detection?

  1. NetFlow
  2. WEP
  3. APIPA
  4. SAE
Voir la réponse Réponse : A

NetFlow exporte les métadonnées de flux (sources, destinations, volumes) pour repérer les anomalies. WEP, APIPA et SAE n'ont aucune fonction de supervision.

Auto-diagnostic

≥ 20/25 : passez au chapitre 12. Entre 15 et 19 : récitez l'échelle WEP→WPA3 et la paire security group/NACL. < 15 : relisez le chapitre ; le sans-fil et le cloud réseau sont des sources fiables de questions.

FicheFiche de révision

À savoir par cœur avant le chapitre 12
  1. VLAN segmente en L2 ; routage inter-VLAN par équipement L3.
  2. VLAN hopping : switch spoofing (DTP) + double tagging ; parades : désactiver DTP, mode accès, VLAN natif dédié.
  3. Segmentation : physique (air gap, out-of-band) vs logique (VLAN, VRF, VPN).
  4. Micro-segmentation (SDN) = contrôle east-west, anti-mouvement latéral, zero trust interne.
  5. Wi-Fi : 2,4 GHz (portée, encombré) · 5 GHz (débit) · 6 GHz (Wi-Fi 6E) ; masquer le SSID ≠ sécurité.
  6. WEP (RC4/IV cassé) → WPA (TKIP) → WPA2 (CCMP/AES) → WPA3 (SAE, forward secrecy).
  7. SAE résiste au brute force hors ligne ; Enhanced Open/OWE chiffre les réseaux ouverts.
  8. Enterprise = 802.1X + RADIUS + EAP ; EAP-TLS le plus fort (certificats), LEAP à bannir.
  9. Attaques Wi-Fi : rogue AP, evil twin, deauth, jamming, wardriving, KRACK (WPA2), WPS (désactiver).
  10. Bluetooth : bluejacking (messages), bluesnarfing (vol), bluebugging (contrôle) ; BLE pour IoT.
  11. RFID/NFC : skimming, clonage, relay → blindage, chiffrement ; Li-Fi = lumière (confinée à la pièce).
  12. 5G : network slicing + chiffrement renforcé ; risques IMSI catcher, downgrade.
  13. SDN : control plane centralisé (cible critique) vs data plane (transfert) ; SD-WAN, VXLAN (L2 sur L3), NFV.
  14. Cloud : security group = stateful, sur l'instance ; NACL = stateless, sur le subnet (aller+retour).
  15. Monitoring : NetFlow/IPFIX (métadonnées de flux), SNMPv3 (authentifié/chiffré), NMS → SIEM.