CISSP · Réussir du premier coup
Domaine 4, deuxième partie : VLAN et micro-segmentation, le Wi-Fi de bout en bout, le sans-fil courte portée, le cellulaire et le SDN.
Segmenter, c'est cloisonner le réseau pour limiter la portée d'une compromission et appliquer des politiques différenciées. Deux natures :
Deux techniques : le switch spoofing (l'attaquant se fait passer pour un switch et négocie un lien trunk via DTP, accédant à tous les VLAN) et le double tagging (deux étiquettes 802.1Q : le premier switch retire l'externe, le second route sur le VLAN interne — souvent le VLAN natif). Parades : désactiver la négociation automatique (DTP) et forcer les ports en mode accès, changer le VLAN natif et ne pas l'utiliser pour des données, désactiver les ports inutilisés.
La segmentation VLAN reste grossière ; la micro-segmentation descend à la granularité de la charge de travail — chaque serveur, chaque application isolé par des politiques individuelles, généralement pilotées par le SDN. Son intérêt : maîtriser le trafic east-west (serveur↔serveur), longtemps invisible aux pare-feu périmétriques, et empêcher les mouvements latéraux d'un attaquant déjà entré. C'est la traduction réseau du zero trust (chapitre 6) : aucune confiance implicite entre deux machines du même datacenter.
| Norme 802.11 | Bande | Débit indicatif | Nom commercial |
|---|---|---|---|
| a | 5 GHz | 54 Mbps | — |
| b | 2,4 GHz | 11 Mbps | — |
| g | 2,4 GHz | 54 Mbps | — |
| n | 2,4 / 5 GHz | 600 Mbps | Wi-Fi 4 |
| ac | 5 GHz | ~1,3 Gbps+ | Wi-Fi 5 |
| ax | 2,4 / 5 / 6 GHz | ~9,6 Gbps | Wi-Fi 6 / 6E |
Compromis des bandes : 2,4 GHz porte plus loin et traverse mieux les murs mais est encombré et lent ; 5 GHz offre plus de débit et de canaux sur une portée moindre ; 6 GHz (Wi-Fi 6E) ouvre un spectre propre. La conception passe par un site survey et une heat map pour placer les points d'accès et régler la puissance. Le SSID identifie le réseau : le masquer (désactiver la diffusion) n'est pas une mesure de sécurité — il reste trivial à découvrir en écoutant les trames.
| Protocole | Chiffrement | Statut |
|---|---|---|
| WEP | RC4 + IV court (24 bits) | Cassé — réutilisation d'IV, à proscrire |
| WPA | TKIP (sur RC4) | Transitoire, déprécié |
| WPA2 | CCMP / AES | Standard longtemps dominant ; vulnérable à KRACK |
| WPA3 | AES-GCMP ; SAE ; forward secrecy | Recommandé actuel |
WPA3 apporte deux nouveautés testables : SAE (Simultaneous Authentication of Equals, dit « Dragonfly ») remplace le PSK de WPA2 et résiste aux attaques de dictionnaire hors ligne — capturer le handshake ne suffit plus à brute-forcer la clé ; et Enhanced Open (OWE) chiffre les réseaux ouverts (hotspots) sans mot de passe, contre l'écoute passive.
WPA-Personal (PSK) : une clé partagée pour tous — simple, mais sa compromission expose tout le réseau et complique la révocation individuelle. WPA-Enterprise : authentification individuelle via 802.1X et un serveur RADIUS, en s'appuyant sur EAP :
| Méthode EAP | Caractéristique |
|---|---|
| EAP-TLS | Certificats des deux côtés — le plus sûr, mais lourd (PKI) |
| PEAP | Tunnel TLS côté serveur, mot de passe à l'intérieur |
| EAP-TTLS | Similaire à PEAP, plus souple sur les méthodes internes |
| LEAP | Propriétaire Cisco — faible, à éviter |
| Attaque | Principe | Contre-mesure |
|---|---|---|
| Rogue AP | Point d'accès non autorisé branché sur le réseau | WIPS, NAC, 802.1X sur les ports |
| Evil twin | Faux AP imitant le SSID légitime pour piéger les clients | Validation serveur (EAP-TLS), méfiance des portails, VPN |
| Deauthentication | Trames de désauthentification forgées → déconnexion, souvent prélude à la capture du handshake | 802.11w (trames de gestion protégées) |
| Jamming | Brouillage radio (DoS de la couche physique) | Détection de spectre, localisation de la source |
| Wardriving | Cartographier les réseaux en circulant | Réduire la puissance débordante, durcir l'authentification |
| KRACK | Rejoue le handshake à 4 voies de WPA2 pour réinstaller une clé | Correctifs ; migrer vers WPA3 |
| WPS PIN | Le PIN à 8 chiffres du WPS est brute-forçable | Désactiver le WPS |
« WEP est mort, WPA transite, WPA2 chiffre en AES, WPA3 scelle avec SAE. » Réflexe : dès qu'une question propose WEP ou WPA (TKIP), la bonne réponse est presque toujours de monter d'un cran vers WPA2-Enterprise ou WPA3.
Le SDN (Software-Defined Networking) sépare le control plane (l'intelligence de routage, centralisée dans un contrôleur) du data plane (le simple transfert des paquets par les équipements). Bénéfices : programmabilité, automatisation, micro-segmentation ; risque : le contrôleur devient une cible critique (sa compromission livre tout le réseau). Déclinaisons : SD-WAN (piloter intelligemment plusieurs liens WAN, souvent avec sécurité intégrée — brique du SASE, chapitre 6), VXLAN (étendre des réseaux L2 sur une infrastructure L3, pour la mobilité des VM), NFV (Network Functions Virtualization — pare-feu, routeurs, load balancers en logiciel).
Le VPC (Virtual Private Cloud) est un réseau privé isolé chez le fournisseur, découpé en subnets publics et privés. Deux contrôles à ne jamais confondre :
| Contrôle | Portée | Nature |
|---|---|---|
| Security group | L'instance (pare-feu de la VM) | Stateful : le retour d'une connexion autorisée est implicite ; règles allow uniquement |
| NACL (Network ACL) | Le subnet entier | Stateless : il faut autoriser explicitement l'aller et le retour ; règles allow et deny |
NetFlow (et IPFIX) exporte les métadonnées de flux — qui parle à qui, combien — pour la détection d'anomalies ; SNMPv3 supervise les équipements de façon authentifiée et chiffrée (vs v1/v2 en clair, chapitre 10) ; un NMS centralise l'état de la flotte. Ces flux alimentent le SIEM (chapitre 19).
Le chantier east-west du chapitre 10 avance. Awa déploie la micro-segmentation pilotée par SDN : les serveurs de paiement ne peuvent plus parler qu'aux services strictement nécessaires — zero trust interne. Côté Wi-Fi, l'audit de Berlin révèle un réseau invité encore en WEP et un SSID « caché » présenté comme sécurisé : migration vers WPA3, réseau corporate en WPA2/3-Enterprise avec 802.1X, EAP-TLS et RADIUS ; le WPS est désactivé partout. Un evil twin imitant le SSID de l'entreprise est détecté lors d'un salon — la validation du certificat serveur par EAP-TLS l'a neutralisé, les postes ayant refusé le faux AP. Dans le cloud de paiement, Awa corrige une confiance mal placée : une NACL de subnet avait été configurée comme un security group, en oubliant les règles de retour (stateless) — le trafic légitime tombait par intermittence. Les badges RFID d'accès aux salles, enfin, passent en modèle chiffré après une démonstration de clonage par l'équipe de test.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
At which OSI layer does a VLAN segment a network, and what is required to route between VLANs?
Le VLAN segmente en couche 2 ; passer d'un VLAN à l'autre exige un équipement L3 (routeur ou switch L3) où s'appliquent les ACL. B, C et D se trompent de couche ou d'équipement.
An attacker crafts frames with two 802.1Q tags to reach a VLAN they should not access. What is this attack?
Deux étiquettes 802.1Q = double tagging, une variante de VLAN hopping. L'ARP poisoning (A) et le MAC flooding (C) sont d'autres attaques L2 ; le SYN flood (D) est L4.
Which measure BEST prevents switch-spoofing VLAN hopping?
Désactiver le DTP et forcer le mode accès empêche l'attaquant de négocier un trunk. Activer le DTP (A) et utiliser le VLAN natif pour des données (C) aggravent le risque.
What is the PRIMARY security benefit of micro-segmentation?
La micro-segmentation contrôle le trafic east-west et bloque les mouvements latéraux — le zero trust interne. Elle ne remplace ni le chiffrement (C) ni le pare-feu périmétrique (D).
Which management approach uses a dedicated network separate from production traffic?
L'out-of-band administre par un réseau séparé de la production : si la production tombe ou est compromise, l'administration reste accessible et isolée. L'in-band (A) partage le réseau de production.
Which Wi-Fi band offers the greatest range and wall penetration but is the most congested?
2,4 GHz porte loin et traverse mieux les murs, mais est saturé et lent. 5 et 6 GHz privilégient le débit sur une portée moindre.
Is hiding (not broadcasting) the SSID an effective security control?
Le SSID masqué apparaît dès qu'un client s'y connecte : trivial à retrouver en écoutant. Seul un chiffrement fort protège réellement. C et D prêtent au masquage des vertus qu'il n'a pas.
Why is WEP considered insecure?
Les IV de 24 bits de WEP se réutilisent vite : en capturant assez de trafic, on récupère la clé. WEP n'utilise ni AES (A) ni certificats (C).
Which encryption standard does WPA2 use?
WPA2 = CCMP avec AES. TKIP/RC4 (A) est WPA ; WEP (C) est cassé. C'est le saut vers l'AES qui distingue WPA2.
What is the KEY improvement that SAE brings to WPA3-Personal?
SAE résiste au brute force hors ligne : capturer le handshake ne permet plus de casser la clé par dictionnaire. Il ne supprime pas l'authentification (C) ni le chiffrement (D).
Which WPA3 feature encrypts traffic on open (password-free) networks?
Enhanced Open (OWE) chiffre opportunément les réseaux ouverts, contre l'écoute passive des hotspots. Le WPS (A) et le filtrage MAC (D) ne chiffrent rien.
A company wants individual user authentication on its corporate Wi-Fi. Which architecture is appropriate?
L'authentification individuelle passe par WPA-Enterprise : 802.1X + EAP + RADIUS. Le PSK partagé (A) n'individualise rien ; WEP et SSID caché (C, D) sont hors sujet.
Which EAP method provides the strongest authentication using certificates on both client and server?
EAP-TLS exige des certificats des deux côtés : l'authentification la plus forte. LEAP (A) est faible, PAP (C) transmet en clair, EAP-MD5 (D) est obsolète.
An attacker sets up a fake access point advertising the same SSID as the corporate network to lure clients. What is this attack?
Un faux AP imitant le SSID légitime pour piéger les clients = evil twin. Le rogue AP (A) est un point d'accès non autorisé branché sur votre réseau — nuance testée.
Which attack sends forged deauthentication frames, often to force a client to reconnect and capture the handshake?
Les trames de désauthentification forgées déconnectent la victime, souvent pour capturer son handshake à la reconnexion — parade : 802.11w. Les autres options relèvent d'autres technologies.
What is the recommended action regarding Wi-Fi Protected Setup (WPS)?
Le PIN WPS à 8 chiffres se brute-force en heures : il faut le désactiver. L'activer (A) ou le combiner à WEP (D) aggrave la vulnérabilité.
The KRACK attack targets which protocol?
KRACK rejoue le handshake à 4 voies de WPA2 pour réinstaller une clé et déchiffrer du trafic. Correctifs + migration WPA3. Les autres cibles n'ont rien à voir.
Which Bluetooth attack involves stealing data such as contacts from a device?
Le bluesnarfing vole des données. Le bluejacking (A) n'envoie que des messages non sollicités (bénin) ; le bluebugging (C) prend le contrôle de l'appareil.
Which characteristic makes Li-Fi harder to intercept from outside a room?
Le Li-Fi transmet par la lumière, confinée à la pièce (pas de traversée des murs) : l'interception à distance devient très difficile. Les autres options décrivent d'autres technologies.
What does 5G network slicing provide?
Le network slicing crée des réseaux logiques isolés sur une infrastructure 5G partagée — chacun avec ses propres garanties. Les autres réponses sont fantaisistes.
In software-defined networking, which plane is centralized in a controller and becomes a critical target?
Le SDN centralise le control plane dans un contrôleur : sa compromission livre tout le réseau — cible critique. Le data plane (A) ne fait qu'exécuter le transfert.
Which statement correctly distinguishes cloud security groups from network ACLs?
Security group = stateful, sur l'instance (le retour est implicite) ; NACL = stateless, sur le subnet (aller et retour à autoriser). B et D inversent tout.
An administrator configured a subnet NACL to allow inbound traffic but forgot the outbound return rules, causing intermittent failures. Why?
Une NACL est stateless : le trafic de retour n'est pas suivi, il faut l'autoriser explicitement — d'où les échecs intermittents quand on l'oublie. C'est la confusion classique avec les security groups (stateful).
Which technology extends Layer 2 networks across a Layer 3 infrastructure to support VM mobility?
VXLAN encapsule du L2 sur du L3, permettant d'étendre un segment et de déplacer des VM entre datacenters. NetFlow (B) surveille, WPA3 (C) est du Wi-Fi, NFV (D) virtualise des fonctions.
Which tool exports flow metadata (who talks to whom, and how much) for anomaly detection?
NetFlow exporte les métadonnées de flux (sources, destinations, volumes) pour repérer les anomalies. WEP, APIPA et SAE n'ont aucune fonction de supervision.
≥ 20/25 : passez au chapitre 12. Entre 15 et 19 : récitez l'échelle WEP→WPA3 et la paire security group/NACL. < 15 : relisez le chapitre ; le sans-fil et le cloud réseau sont des sources fiables de questions.