CISSP · Réussir du premier coup
Domaine 4, troisième partie : équipements réseau, pare-feu et architectures, NAC, puis les canaux de communication — voix, VPN et connexions tierces.
| Équipement | Couche OSI | Fonction |
|---|---|---|
| Répéteur / hub | 1 | Régénère/diffuse le signal à tous les ports (un seul domaine de collision — obsolète) |
| Pont / switch | 2 | Commute par adresse MAC ; chaque port = un domaine de collision ; prend en charge les VLAN |
| Routeur / switch L3 | 3 | Route entre réseaux par adresse IP ; applique des ACL ; sépare les domaines de broadcast |
| Passerelle (gateway) | Jusqu'à 7 | Traduit entre protocoles/formats différents |
| Proxy | 7 (souvent) | Relaie les requêtes : forward (protège les clients), reverse (protège/masque les serveurs), transparent (sans configuration client) |
| Load balancer | 4–7 | Répartit la charge (round-robin, least-connections) ; persistence (affinité de session) ; active-active vs active-passive |
Point testé : chaque port de switch isole les collisions, mais un switch ne sépare pas les domaines de broadcast — c'est le rôle du routeur (ou du VLAN, chapitre 11). Un LAN extender prolonge un segment sur une longue distance.
| Type | Couche | Décision fondée sur | Limite |
|---|---|---|---|
| Static packet filter | 3–4 | IP source/dest, port, protocole (stateless) | Ignore l'état des connexions ; trompé par des paquets forgés |
| Stateful inspection | 3–4 | Table des connexions actives — n'admet que le retour légitime | Ne lit pas le contenu applicatif |
| Application-level / proxy | 7 | Comprend le protocole applicatif (HTTP, FTP) ; coupe les connexions directes | Plus lent ; un proxy par protocole |
| Circuit-level (SOCKS) | 5 | Valide la session (handshake) sans inspecter le contenu | Pas d'analyse applicative |
| NGFW | 3–7 | Stateful + inspection profonde + IPS + identité + threat intel | Complexe, coûteux |
| WAF | 7 | Spécialisé web : bloque injection, XSS, etc. (chapitre 23) | Protège l'appli web, pas le reste |
Règle universelle : une politique se termine toujours par un implicit deny — tout ce qui n'est pas explicitement autorisé est refusé (deny by default, chapitre 6). L'UTM regroupe plusieurs fonctions (pare-feu, antivirus, IPS, filtrage web) dans un seul boîtier.
| Architecture | Principe |
|---|---|
| Screened subnet (DMZ) | Deux pare-feu encadrent une zone tampon : le pare-feu externe filtre Internet→DMZ, l'interne filtre DMZ→LAN. Les services publics (web, mail) vivent dans la DMZ, jamais sur le LAN interne. |
| Screened host | Un routeur filtrant devant un hôte bastion — architecture plus ancienne, moins robuste |
| Multihomed firewall | Un pare-feu à plusieurs interfaces séparant plusieurs zones |
| Bastion host | Hôte volontairement exposé (dans la DMZ), fortement durci — surface d'attaque minimale, services réduits au strict nécessaire |
Internet ──[ FW externe ]── DMZ (web, mail — bastion) ──[ FW interne ]── LAN interne
zone tampon données sensibles
« Stateless voit les paquets, Stateful suit les conversations, Proxy comprend les mots, NGFW voit tout. » Et pour la DMZ : deux pare-feu, une zone tampon, les services publics au milieu — jamais un serveur exposé directement sur le LAN.
Le NAC (Network Access Control) contrôle qui et quoi rejoint le réseau. Il évalue la posture d'un appareil (antivirus à jour, correctifs, conformité) avant de l'admettre :
Sur les postes eux-mêmes : EDR (Endpoint Detection and Response — détection comportementale et réponse) et XDR (corrélation étendue endpoint+réseau+cloud) ; HIDS/HIPS (détection/prévention d'intrusion hôte) ; pare-feu local ; allow-listing (n'exécuter que l'approuvé — plus sûr) vs deny-listing (bloquer le connu-mauvais — plus faible).
| Protocole | Caractéristique | Statut |
|---|---|---|
| PPTP | Ancien, chiffrement faible (MS-CHAP) | Obsolète — ne plus utiliser |
| L2TP/IPsec | L2TP (tunnel) + IPsec (chiffrement) — combinés car L2TP seul ne chiffre pas | Correct |
| IPsec | AH (intégrité/auth) vs ESP (chiffrement) ; transport (charge) vs tunnel (paquet entier) ; IKE négocie (chapitre 8) | Standard site-à-site |
| SSL/TLS VPN | Fonctionne via le navigateur/port 443 — franchit les pare-feu, idéal accès distant utilisateur | Répandu (accès distant) |
Deux modes de routage du client VPN : full tunnel (tout le trafic passe par l'entreprise — plus sûr, permet l'inspection) vs split tunnel (seul le trafic entreprise emprunte le tunnel, le reste va direct — plus rapide, mais l'appareil devient un pont potentiel vers le réseau interne). L'always-on VPN force la connexion en permanence. Pour l'administration : jump box / bastion et PAW (Privileged Access Workstation) isolent les accès privilégiés ; le RDP (port 3389) doit être protégé, jamais exposé nu sur Internet ; le screen scraping capture l'affichage distant.
| Critère | RADIUS | TACACS+ | Diameter |
|---|---|---|---|
| Transport | UDP (1812/1813) | TCP (49) | TCP/SCTP |
| Chiffrement | Le mot de passe seul | Tout le paquet | Chiffré (successeur de RADIUS) |
| AAA | Combine Authn + Authz | Sépare les trois (A/A/A) | AAA étendu (mobilité, IMS) |
| Origine | Standard ouvert | Cisco | Évolution de RADIUS |
« RADIUS = UDP, cache juste le mot de passe ; TACACS+ = TCP, cache tout et sépare l'AAA. » TACACS+ (TCP 49) est préféré pour l'administration des équipements réseau grâce à sa séparation fine de l'autorisation.
Relier son réseau à un tiers (partenaire, fournisseur) formalise le lien par des accords — dont l'examen teste la distinction :
| Accord | Objet |
|---|---|
| ISA (Interconnection Security Agreement) | Les exigences techniques et de sécurité de l'interconnexion elle-même |
| MOU / MOA | Déclaration d'intentions et de rôles — non nécessairement contraignante |
| BPA (Business Partnership Agreement) | Les termes d'un partenariat commercial |
| SLA | Les niveaux de service mesurables (disponibilité, délais) |
Compléments : backhaul (liaison de collecte vers le cœur de réseau), extranets et connexions B2B, recours à des tiers de confiance. Toute connexion tierce élargit la surface d'attaque — d'où le lien direct avec le SCRM (chapitre 3) : évaluer, contractualiser, surveiller.
Awa refond l'architecture périmétrique. Les serveurs web et mail, jusque-là posés sur le LAN interne berlinois (!), migrent dans une vraie DMZ encadrée de deux pare-feu ; les hôtes exposés sont durcis en bastions, services inutiles coupés. Les pare-feu passent en NGFW avec IPS et inspection applicative, chaque politique se terminant par un implicit deny. Le NAC impose une vérification de posture avant admission : un poste sans correctifs bascule en réseau de remédiation. Côté accès distant, le vieux PPTP est retiré au profit d'un SSL/TLS VPN en full tunnel pour les commerciaux, et d'IPsec tunnel pour la liaison site-à-site avec la maison mère ; les administrateurs passent désormais par une jump box et un PAW, le RDP n'étant plus jamais exposé. L'authentification des équipements réseau bascule de RADIUS vers TACACS+ pour sa séparation fine de l'autorisation. Enfin, la connexion avec le nouveau partenaire de paiement est encadrée par un ISA (exigences techniques), un BPA (partenariat) et un SLA — le SCRM du chapitre 3 en action.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
Which device separates broadcast domains?
Seul le routeur (ou le VLAN) sépare les domaines de broadcast ; le switch (B) n'isole que les collisions. Hub (A) et répéteur (D) ne séparent rien.
A reverse proxy PRIMARILY protects what?
Le reverse proxy reçoit les requêtes à la place des serveurs backend qu'il masque et protège. Le forward proxy (A) protège les clients — la distinction est le piège.
Which load balancer configuration keeps both nodes serving traffic simultaneously?
Active-active : les deux nœuds servent en parallèle (capacité + résilience). Active-passive (A) garde un nœud en secours inactif.
Which firewall type tracks the state of active connections and only allows legitimate return traffic?
Le stateful maintient une table des connexions et n'admet que le retour légitime. Le filtre statique (A) est stateless ; le circuit-level (C) valide la session sans suivre chaque paquet applicatif.
Which firewall understands application protocols such as HTTP and terminates the client's direct connection?
Le proxy applicatif comprend le protocole (HTTP, FTP) et coupe la connexion directe client↔serveur. Le filtre statique (A) reste en L3-4 ; le répéteur (D) est en L1.
Every firewall rule set should end with which rule?
Implicit deny : tout ce qui n'est pas explicitement autorisé est refusé (deny by default). Un implicit allow (A) ouvrirait le pare-feu par défaut — l'anti-modèle.
Which capability distinguishes a next-generation firewall (NGFW) from a traditional stateful firewall?
Le NGFW ajoute inspection profonde, IPS, conscience applicative et identité au stateful. A décrit un filtre basique, C se trompe de couche, D est faux (le NGFW peut inspecter le TLS s'il le termine).
A screened subnet (DMZ) architecture is characterized by what?
Deux pare-feu encadrant une zone tampon où résident les services publics = screened subnet. Un serveur public sur le LAN interne (C) est précisément l'erreur à éviter.
What BEST describes a bastion host?
Le bastion est exposé et fortement durci, services réduits au minimum. Ce n'est ni un serveur interne ordinaire (A) ni un équipement réseau (C).
Where should an organization place its public-facing web server?
Le serveur web public va dans la DMZ, isolé du LAN interne par le pare-feu interne : une compromission ne donne pas accès aux données sensibles. A est le contresens classique.
What is the PRIMARY function of network access control (NAC)?
Le NAC évalue la posture et décide de l'admission (802.1X, quarantaine). Il ne chiffre pas (A), n'équilibre pas la charge (C) et n'attribue pas d'IP publiques (D).
A non-compliant laptop connecting via NAC is placed on a restricted network until it updates. What is this network called?
L'appareil non conforme est isolé sur un réseau de remédiation/quarantaine le temps de se mettre à jour. Un honeypot (A) piège les attaquants — autre fonction (chapitre 19).
Which endpoint approach only permits approved applications to run and is more secure than the alternative?
L'allow-listing n'autorise que l'approuvé : par défaut, tout le reste est bloqué — plus sûr que le deny-listing (A), qui laisse passer l'inconnu.
Which control BEST protects VoIP media streams from eavesdropping?
SRTP chiffre le média RTP contre l'écoute. Diffuser le SSID (B), utiliser PPTP (C) ou couper le pare-feu (D) n'ont aucun effet protecteur ici.
Making unauthorized long-distance or premium calls at a company's expense is known as what?
Passer des appels surtaxés aux frais de l'entreprise = toll fraud. Les autres termes relèvent du Bluetooth (B), du Wi-Fi (C) et du RFID/NFC (D).
Which remote-access VPN protocol is considered obsolete due to weak encryption?
PPTP repose sur un chiffrement faible (MS-CHAP) : obsolète. IPsec, SSL/TLS VPN et L2TP/IPsec restent valables.
Which VPN type operates over the browser using port 443 and easily traverses firewalls, making it ideal for user remote access?
Le SSL/TLS VPN passe par le navigateur sur le port 443 et franchit aisément les pare-feu — idéal pour l'accès distant utilisateur. PPTP (A) est obsolète.
What is a security drawback of split tunneling?
En split tunnel, une partie du trafic sort directement : l'appareil peut relier Internet et réseau interne, devenant un pont pour l'attaquant. A décrit le full tunnel.
Which statement correctly compares RADIUS and TACACS+?
RADIUS = UDP, chiffre seulement le mot de passe ; TACACS+ = TCP, chiffre tout le paquet et sépare l'AAA. A inverse les transports, D inverse la séparation AAA.
Which protocol is often preferred for administering network devices because it separates authentication, authorization, and accounting?
TACACS+ sépare authentification, autorisation et accounting — précieux pour l'administration granulaire des équipements. RADIUS combine authn et authz.
Which document specifically defines the technical and security requirements of a connection between two organizations' networks?
L'ISA définit les exigences techniques et de sécurité de l'interconnexion. Le MOU exprime des intentions (B), le BPA un partenariat (C), le SLA des niveaux de service (D).
Which agreement primarily expresses intentions and roles and may not be legally binding?
Le MOU/MOA formalise intentions et rôles, sans être nécessairement contraignant. L'ISA, le SLA et le BPA portent des engagements plus précis.
Which isolated, hardened system should administrators use to manage privileged access to critical servers?
La jump box / PAW isole et durcit les accès privilégiés : l'administration transite par un point contrôlé, jamais par un poste ordinaire (B, C) ou un serveur vulnérable (D).
In IPsec, which component provides confidentiality through encryption?
ESP chiffre (confidentialité + intégrité) ; AH n'authentifie que. Rappel du chapitre 8 : « ESP Enveloppe ». IKE négocie les clés, SOCKS est un proxy de circuit.
Which endpoint technology provides behavioral detection and automated response on hosts?
L'EDR assure détection comportementale et réponse automatisée sur les hôtes. Hub (B), NAT (C) et APIPA (D) n'ont aucune fonction de sécurité endpoint.
≥ 20/25 : le domaine 4 est bouclé — cap sur le domaine 5 (chapitre 13). Entre 15 et 19 : récitez la hiérarchie des pare-feu, l'architecture DMZ et la table RADIUS/TACACS+. < 15 : relisez le chapitre ; pare-feu, VPN et AAA sont des incontournables de l'examen.