CISSP · Réussir du premier coup

Chapitre 12
Équipements et
canaux sécurisés

Domaine 4, troisième partie : équipements réseau, pare-feu et architectures, NAC, puis les canaux de communication — voix, VPN et connexions tierces.

Domaine
4 — Communication & Network Security · 13 %
Objectifs couverts
4.2 · 4.3
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • Équipements par couche : hub/répéteur (L1), switch/pont (L2), routeur (L3), passerelle/proxy applicatif (L7).
  • Pare-feu, du plus simple au plus riche : packet filter (stateless) → statefulproxy/applicationNGFW ; le WAF protège les applis web (L7).
  • Toute politique de pare-feu se termine par un implicit deny.
  • Le screened subnet (DMZ) place les services publics entre deux pare-feu ; le bastion host est exposé et durci.
  • NAC : contrôle l'admission (802.1X), évalue la posture, met en quarantaine/remédiation ; agent ou agentless.
  • Endpoint : EDR/XDR, HIDS/HIPS, pare-feu local, allow/deny listing.
  • VoIP : risques vishing, SPIT, toll fraud ; SRTP chiffre le média, le PBX se durcit.
  • VPN : PPTP (obsolète) · L2TP/IPsec · IPsec (AH/ESP, transport/tunnel) · SSL/TLS VPN ; split tunnel vs full tunnel.
  • RADIUS (UDP, chiffre le mot de passe seul) vs TACACS+ (TCP, chiffre tout, sépare AAA) vs Diameter.
  • Accords tiers : ISA (interconnexion technique) · MOU (intentions) · BPA (partenariat) · SLA (niveaux de service).

Objectif 4.2Équipements d'infrastructure

ÉquipementCouche OSIFonction
Répéteur / hub1Régénère/diffuse le signal à tous les ports (un seul domaine de collision — obsolète)
Pont / switch2Commute par adresse MAC ; chaque port = un domaine de collision ; prend en charge les VLAN
Routeur / switch L33Route entre réseaux par adresse IP ; applique des ACL ; sépare les domaines de broadcast
Passerelle (gateway)Jusqu'à 7Traduit entre protocoles/formats différents
Proxy7 (souvent)Relaie les requêtes : forward (protège les clients), reverse (protège/masque les serveurs), transparent (sans configuration client)
Load balancer4–7Répartit la charge (round-robin, least-connections) ; persistence (affinité de session) ; active-active vs active-passive

Point testé : chaque port de switch isole les collisions, mais un switch ne sépare pas les domaines de broadcast — c'est le rôle du routeur (ou du VLAN, chapitre 11). Un LAN extender prolonge un segment sur une longue distance.

Objectif 4.2Pare-feu et architectures

Les types de pare-feu

TypeCoucheDécision fondée surLimite
Static packet filter3–4IP source/dest, port, protocole (stateless)Ignore l'état des connexions ; trompé par des paquets forgés
Stateful inspection3–4Table des connexions actives — n'admet que le retour légitimeNe lit pas le contenu applicatif
Application-level / proxy7Comprend le protocole applicatif (HTTP, FTP) ; coupe les connexions directesPlus lent ; un proxy par protocole
Circuit-level (SOCKS)5Valide la session (handshake) sans inspecter le contenuPas d'analyse applicative
NGFW3–7Stateful + inspection profonde + IPS + identité + threat intelComplexe, coûteux
WAF7Spécialisé web : bloque injection, XSS, etc. (chapitre 23)Protège l'appli web, pas le reste

Règle universelle : une politique se termine toujours par un implicit deny — tout ce qui n'est pas explicitement autorisé est refusé (deny by default, chapitre 6). L'UTM regroupe plusieurs fonctions (pare-feu, antivirus, IPS, filtrage web) dans un seul boîtier.

Les architectures de déploiement

ArchitecturePrincipe
Screened subnet (DMZ)Deux pare-feu encadrent une zone tampon : le pare-feu externe filtre Internet→DMZ, l'interne filtre DMZ→LAN. Les services publics (web, mail) vivent dans la DMZ, jamais sur le LAN interne.
Screened hostUn routeur filtrant devant un hôte bastion — architecture plus ancienne, moins robuste
Multihomed firewallUn pare-feu à plusieurs interfaces séparant plusieurs zones
Bastion hostHôte volontairement exposé (dans la DMZ), fortement durci — surface d'attaque minimale, services réduits au strict nécessaire
Internet ──[ FW externe ]── DMZ (web, mail — bastion) ──[ FW interne ]── LAN interne
                              zone tampon                        données sensibles
  
🧠 Mnémonique — pare-feu

« Stateless voit les paquets, Stateful suit les conversations, Proxy comprend les mots, NGFW voit tout. » Et pour la DMZ : deux pare-feu, une zone tampon, les services publics au milieu — jamais un serveur exposé directement sur le LAN.

Objectif 4.2NAC et sécurité des endpoints

Le NAC (Network Access Control) contrôle qui et quoi rejoint le réseau. Il évalue la posture d'un appareil (antivirus à jour, correctifs, conformité) avant de l'admettre :

Sur les postes eux-mêmes : EDR (Endpoint Detection and Response — détection comportementale et réponse) et XDR (corrélation étendue endpoint+réseau+cloud) ; HIDS/HIPS (détection/prévention d'intrusion hôte) ; pare-feu local ; allow-listing (n'exécuter que l'approuvé — plus sûr) vs deny-listing (bloquer le connu-mauvais — plus faible).

Objectif 4.3Voix, vidéo et accès distant

Objectif 4.3VPN et protocoles AAA

Les protocoles VPN

ProtocoleCaractéristiqueStatut
PPTPAncien, chiffrement faible (MS-CHAP)Obsolète — ne plus utiliser
L2TP/IPsecL2TP (tunnel) + IPsec (chiffrement) — combinés car L2TP seul ne chiffre pasCorrect
IPsecAH (intégrité/auth) vs ESP (chiffrement) ; transport (charge) vs tunnel (paquet entier) ; IKE négocie (chapitre 8)Standard site-à-site
SSL/TLS VPNFonctionne via le navigateur/port 443 — franchit les pare-feu, idéal accès distant utilisateurRépandu (accès distant)

Deux modes de routage du client VPN : full tunnel (tout le trafic passe par l'entreprise — plus sûr, permet l'inspection) vs split tunnel (seul le trafic entreprise emprunte le tunnel, le reste va direct — plus rapide, mais l'appareil devient un pont potentiel vers le réseau interne). L'always-on VPN force la connexion en permanence. Pour l'administration : jump box / bastion et PAW (Privileged Access Workstation) isolent les accès privilégiés ; le RDP (port 3389) doit être protégé, jamais exposé nu sur Internet ; le screen scraping capture l'affichage distant.

RADIUS, TACACS+ et Diameter

CritèreRADIUSTACACS+Diameter
TransportUDP (1812/1813)TCP (49)TCP/SCTP
ChiffrementLe mot de passe seulTout le paquetChiffré (successeur de RADIUS)
AAACombine Authn + AuthzSépare les trois (A/A/A)AAA étendu (mobilité, IMS)
OrigineStandard ouvertCiscoÉvolution de RADIUS
🧠 Mnémonique — RADIUS vs TACACS+

« RADIUS = UDP, cache juste le mot de passe ; TACACS+ = TCP, cache tout et sépare l'AAA. » TACACS+ (TCP 49) est préféré pour l'administration des équipements réseau grâce à sa séparation fine de l'autorisation.

Objectif 4.3Connexions tierces

Relier son réseau à un tiers (partenaire, fournisseur) formalise le lien par des accords — dont l'examen teste la distinction :

AccordObjet
ISA (Interconnection Security Agreement)Les exigences techniques et de sécurité de l'interconnexion elle-même
MOU / MOADéclaration d'intentions et de rôles — non nécessairement contraignante
BPA (Business Partnership Agreement)Les termes d'un partenariat commercial
SLALes niveaux de service mesurables (disponibilité, délais)

Compléments : backhaul (liaison de collecte vers le cœur de réseau), extranets et connexions B2B, recours à des tiers de confiance. Toute connexion tierce élargit la surface d'attaque — d'où le lien direct avec le SCRM (chapitre 3) : évaluer, contractualiser, surveiller.

⚠️ Pièges d'examen
  • Le switch isole les collisions mais pas les broadcasts — seuls le routeur ou le VLAN séparent les domaines de broadcast.
  • Stateless ≠ stateful : le filtre statique ignore l'état des connexions et se laisse tromper par des paquets forgés.
  • DMZ / screened subnet = deux pare-feu et une zone tampon ; un serveur public ne se place jamais sur le LAN interne.
  • Bastion host = exposé et durci — pas un serveur ordinaire.
  • Toute règle de pare-feu se termine par un implicit deny.
  • Allow-listing (n'autoriser que l'approuvé) > deny-listing (bloquer le connu-mauvais).
  • PPTP est obsolète ; pour l'accès distant utilisateur via navigateur, on privilégie le SSL/TLS VPN.
  • Split tunnel = plus rapide mais l'appareil devient un pont ; full tunnel = plus sûr, tout passe par l'entreprise.
  • RADIUS = UDP, chiffre le mot de passe seul ; TACACS+ = TCP, chiffre tout et sépare l'AAA (préféré pour l'admin réseau).
  • ISA = interconnexion technique ; MOU = intentions ; BPA = partenariat ; SLA = niveaux de service. Ne pas les confondre.
  • IPsec (rappel chapitre 8) : AH authentifie, ESP chiffre ; tunnel pour le site-à-site.
Scénario fil rouge — Awa

Awa refond l'architecture périmétrique. Les serveurs web et mail, jusque-là posés sur le LAN interne berlinois (!), migrent dans une vraie DMZ encadrée de deux pare-feu ; les hôtes exposés sont durcis en bastions, services inutiles coupés. Les pare-feu passent en NGFW avec IPS et inspection applicative, chaque politique se terminant par un implicit deny. Le NAC impose une vérification de posture avant admission : un poste sans correctifs bascule en réseau de remédiation. Côté accès distant, le vieux PPTP est retiré au profit d'un SSL/TLS VPN en full tunnel pour les commerciaux, et d'IPsec tunnel pour la liaison site-à-site avec la maison mère ; les administrateurs passent désormais par une jump box et un PAW, le RDP n'étant plus jamais exposé. L'authentification des équipements réseau bascule de RADIUS vers TACACS+ pour sa séparation fine de l'autorisation. Enfin, la connexion avec le nouveau partenaire de paiement est encadrée par un ISA (exigences techniques), un BPA (partenariat) et un SLA — le SCRM du chapitre 3 en action.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

Which device separates broadcast domains?

  1. A hub
  2. A Layer 2 switch
  3. A router
  4. A repeater
Voir la réponse Réponse : C

Seul le routeur (ou le VLAN) sépare les domaines de broadcast ; le switch (B) n'isole que les collisions. Hub (A) et répéteur (D) ne séparent rien.

Question 2

A reverse proxy PRIMARILY protects what?

  1. Internal clients browsing the Internet
  2. Backend servers by receiving requests on their behalf
  3. The physical cabling
  4. Wireless clients
Voir la réponse Réponse : B

Le reverse proxy reçoit les requêtes à la place des serveurs backend qu'il masque et protège. Le forward proxy (A) protège les clients — la distinction est le piège.

Question 3

Which load balancer configuration keeps both nodes serving traffic simultaneously?

  1. Active-passive
  2. Active-active
  3. Cold standby
  4. Round-robin DNS only
Voir la réponse Réponse : B

Active-active : les deux nœuds servent en parallèle (capacité + résilience). Active-passive (A) garde un nœud en secours inactif.

Question 4

Which firewall type tracks the state of active connections and only allows legitimate return traffic?

  1. Static packet filter
  2. Stateful inspection firewall
  3. Circuit-level gateway
  4. Hub-based filter
Voir la réponse Réponse : B

Le stateful maintient une table des connexions et n'admet que le retour légitime. Le filtre statique (A) est stateless ; le circuit-level (C) valide la session sans suivre chaque paquet applicatif.

Question 5

Which firewall understands application protocols such as HTTP and terminates the client's direct connection?

  1. Static packet filter
  2. Application-level (proxy) firewall
  3. Stateless filter
  4. Repeater
Voir la réponse Réponse : B

Le proxy applicatif comprend le protocole (HTTP, FTP) et coupe la connexion directe client↔serveur. Le filtre statique (A) reste en L3-4 ; le répéteur (D) est en L1.

Question 6

Every firewall rule set should end with which rule?

  1. Implicit allow
  2. Implicit deny
  3. Log and forward
  4. Random drop
Voir la réponse Réponse : B

Implicit deny : tout ce qui n'est pas explicitement autorisé est refusé (deny by default). Un implicit allow (A) ouvrirait le pare-feu par défaut — l'anti-modèle.

Question 7

Which capability distinguishes a next-generation firewall (NGFW) from a traditional stateful firewall?

  1. It only filters by IP and port
  2. It adds deep packet inspection, integrated IPS, application awareness, and identity
  3. It operates only at Layer 2
  4. It cannot inspect encrypted traffic under any condition
Voir la réponse Réponse : B

Le NGFW ajoute inspection profonde, IPS, conscience applicative et identité au stateful. A décrit un filtre basique, C se trompe de couche, D est faux (le NGFW peut inspecter le TLS s'il le termine).

Question 8

A screened subnet (DMZ) architecture is characterized by what?

  1. A single firewall protecting the LAN
  2. Two firewalls creating a buffer zone where public services reside
  3. Public servers placed directly on the internal LAN
  4. No firewalls, only a router
Voir la réponse Réponse : B

Deux pare-feu encadrant une zone tampon où résident les services publics = screened subnet. Un serveur public sur le LAN interne (C) est précisément l'erreur à éviter.

Question 9

What BEST describes a bastion host?

  1. An ordinary internal file server
  2. A deliberately exposed, heavily hardened host with minimal services
  3. A wireless access point
  4. A backup tape library
Voir la réponse Réponse : B

Le bastion est exposé et fortement durci, services réduits au minimum. Ce n'est ni un serveur interne ordinaire (A) ni un équipement réseau (C).

Question 10

Where should an organization place its public-facing web server?

  1. On the internal LAN with sensitive data
  2. In the DMZ (screened subnet)
  3. On the administrator's workstation
  4. Directly on the Internet with no firewall
Voir la réponse Réponse : B

Le serveur web public va dans la DMZ, isolé du LAN interne par le pare-feu interne : une compromission ne donne pas accès aux données sensibles. A est le contresens classique.

Question 11

What is the PRIMARY function of network access control (NAC)?

  1. Encrypting all traffic
  2. Evaluating device posture and controlling admission to the network
  3. Load balancing web servers
  4. Assigning public IP addresses
Voir la réponse Réponse : B

Le NAC évalue la posture et décide de l'admission (802.1X, quarantaine). Il ne chiffre pas (A), n'équilibre pas la charge (C) et n'attribue pas d'IP publiques (D).

Question 12

A non-compliant laptop connecting via NAC is placed on a restricted network until it updates. What is this network called?

  1. A honeypot
  2. A remediation (quarantine) network
  3. A DMZ
  4. A backhaul link
Voir la réponse Réponse : B

L'appareil non conforme est isolé sur un réseau de remédiation/quarantaine le temps de se mettre à jour. Un honeypot (A) piège les attaquants — autre fonction (chapitre 19).

Question 13

Which endpoint approach only permits approved applications to run and is more secure than the alternative?

  1. Deny-listing
  2. Allow-listing
  3. Signature-only antivirus
  4. Open execution
Voir la réponse Réponse : B

L'allow-listing n'autorise que l'approuvé : par défaut, tout le reste est bloqué — plus sûr que le deny-listing (A), qui laisse passer l'inconnu.

Question 14

Which control BEST protects VoIP media streams from eavesdropping?

  1. SRTP encryption of the media
  2. Broadcasting the SSID
  3. Using PPTP
  4. Disabling the firewall
Voir la réponse Réponse : A

SRTP chiffre le média RTP contre l'écoute. Diffuser le SSID (B), utiliser PPTP (C) ou couper le pare-feu (D) n'ont aucun effet protecteur ici.

Question 15

Making unauthorized long-distance or premium calls at a company's expense is known as what?

  1. Toll fraud
  2. Bluesnarfing
  3. Wardriving
  4. Skimming
Voir la réponse Réponse : A

Passer des appels surtaxés aux frais de l'entreprise = toll fraud. Les autres termes relèvent du Bluetooth (B), du Wi-Fi (C) et du RFID/NFC (D).

Question 16

Which remote-access VPN protocol is considered obsolete due to weak encryption?

  1. IPsec
  2. PPTP
  3. SSL/TLS VPN
  4. L2TP/IPsec
Voir la réponse Réponse : B

PPTP repose sur un chiffrement faible (MS-CHAP) : obsolète. IPsec, SSL/TLS VPN et L2TP/IPsec restent valables.

Question 17

Which VPN type operates over the browser using port 443 and easily traverses firewalls, making it ideal for user remote access?

  1. PPTP
  2. SSL/TLS VPN
  3. AH-only IPsec
  4. Frame Relay
Voir la réponse Réponse : B

Le SSL/TLS VPN passe par le navigateur sur le port 443 et franchit aisément les pare-feu — idéal pour l'accès distant utilisateur. PPTP (A) est obsolète.

Question 18

What is a security drawback of split tunneling?

  1. It routes all traffic through the corporate network
  2. The device can become a bridge between the Internet and the internal network
  3. It encrypts too much traffic
  4. It disables the VPN entirely
Voir la réponse Réponse : B

En split tunnel, une partie du trafic sort directement : l'appareil peut relier Internet et réseau interne, devenant un pont pour l'attaquant. A décrit le full tunnel.

Question 19

Which statement correctly compares RADIUS and TACACS+?

  1. RADIUS uses TCP and encrypts the entire packet; TACACS+ uses UDP
  2. RADIUS uses UDP and encrypts only the password; TACACS+ uses TCP and encrypts the entire packet
  3. Both use UDP and encrypt everything
  4. TACACS+ combines authentication and authorization; RADIUS separates them
Voir la réponse Réponse : B

RADIUS = UDP, chiffre seulement le mot de passe ; TACACS+ = TCP, chiffre tout le paquet et sépare l'AAA. A inverse les transports, D inverse la séparation AAA.

Question 20

Which protocol is often preferred for administering network devices because it separates authentication, authorization, and accounting?

  1. RADIUS
  2. TACACS+
  3. PPTP
  4. SNMPv1
Voir la réponse Réponse : B

TACACS+ sépare authentification, autorisation et accounting — précieux pour l'administration granulaire des équipements. RADIUS combine authn et authz.

Question 21

Which document specifically defines the technical and security requirements of a connection between two organizations' networks?

  1. Interconnection Security Agreement (ISA)
  2. Memorandum of Understanding (MOU)
  3. Business Partnership Agreement (BPA)
  4. Service Level Agreement (SLA)
Voir la réponse Réponse : A

L'ISA définit les exigences techniques et de sécurité de l'interconnexion. Le MOU exprime des intentions (B), le BPA un partenariat (C), le SLA des niveaux de service (D).

Question 22

Which agreement primarily expresses intentions and roles and may not be legally binding?

  1. ISA
  2. MOU
  3. SLA
  4. BPA
Voir la réponse Réponse : B

Le MOU/MOA formalise intentions et rôles, sans être nécessairement contraignant. L'ISA, le SLA et le BPA portent des engagements plus précis.

Question 23

Which isolated, hardened system should administrators use to manage privileged access to critical servers?

  1. A jump box / privileged access workstation
  2. A personal laptop over public Wi-Fi
  3. A shared kiosk
  4. An unpatched legacy server
Voir la réponse Réponse : A

La jump box / PAW isole et durcit les accès privilégiés : l'administration transite par un point contrôlé, jamais par un poste ordinaire (B, C) ou un serveur vulnérable (D).

Question 24

In IPsec, which component provides confidentiality through encryption?

  1. AH
  2. ESP
  3. IKE only
  4. SOCKS
Voir la réponse Réponse : B

ESP chiffre (confidentialité + intégrité) ; AH n'authentifie que. Rappel du chapitre 8 : « ESP Enveloppe ». IKE négocie les clés, SOCKS est un proxy de circuit.

Question 25

Which endpoint technology provides behavioral detection and automated response on hosts?

  1. EDR
  2. A hub
  3. NAT
  4. APIPA
Voir la réponse Réponse : A

L'EDR assure détection comportementale et réponse automatisée sur les hôtes. Hub (B), NAT (C) et APIPA (D) n'ont aucune fonction de sécurité endpoint.

Auto-diagnostic

≥ 20/25 : le domaine 4 est bouclé — cap sur le domaine 5 (chapitre 13). Entre 15 et 19 : récitez la hiérarchie des pare-feu, l'architecture DMZ et la table RADIUS/TACACS+. < 15 : relisez le chapitre ; pare-feu, VPN et AAA sont des incontournables de l'examen.

FicheFiche de révision

À savoir par cœur avant le chapitre 13
  1. Équipements : hub/répéteur L1 · switch/pont L2 · routeur/switch L3 · passerelle L7 ; le routeur sépare les broadcasts, pas le switch.
  2. Proxy : forward (protège clients) · reverse (protège serveurs) · transparent ; load balancer : persistence, active-active vs active-passive.
  3. Pare-feu : static/stateless → stateful → proxy/application (L7) → NGFW ; circuit-level (SOCKS, L5) ; WAF (web) ; UTM (tout-en-un).
  4. Toute politique se termine par un implicit deny.
  5. Screened subnet/DMZ = deux pare-feu + zone tampon ; bastion host = exposé et durci ; jamais de serveur public sur le LAN interne.
  6. NAC : pre/post-admission, agent/agentless, 802.1X, quarantaine → remédiation.
  7. Endpoint : EDR/XDR, HIDS/HIPS, pare-feu local ; allow-listing > deny-listing.
  8. VoIP : vishing, SPIT, toll fraud, PBX phreaking ; SRTP chiffre le média, TLS la signalisation, VLAN voix.
  9. VPN : PPTP obsolète · L2TP/IPsec · IPsec (AH/ESP, transport/tunnel) · SSL/TLS VPN (accès distant, 443).
  10. Full tunnel = tout par l'entreprise (sûr) ; split tunnel = plus rapide mais pont potentiel ; always-on ; jump box/PAW pour l'admin.
  11. RADIUS = UDP, chiffre le mot de passe seul, combine authn/authz ; TACACS+ = TCP 49, chiffre tout, sépare l'AAA (admin réseau) ; Diameter = successeur.
  12. Accords tiers : ISA (interconnexion technique) · MOU (intentions) · BPA (partenariat) · SLA (niveaux de service).