Close Menu
Subscribe

10.6.2 Module Questionnaire – Concepts de Sécurité LAN

Aucun commentaire CCNA v7 #2

10.6.2 Module Questionnaire – Concepts de Sécurité LAN réponses

1. Quels sont les deux protocoles pris en charge sur les périphériques Cisco pour les communications AAA ? (Choisissez deux propositions.)

  • VTP
  • LLDP
  • HSRP
  • RADIUS
  • TACACS

Explication: Deux protocoles AAA sont pris en charge sur les périphériques Cisco, TACACS + et RADIUS. Le protocole HSRP (Hot Standby Router Protocol) est utilisé sur les routeurs Cisco pour permettre la redondance de la passerelle. Le protocole LLDP (Link Layer Discovery Protocol) est un protocole de détection des voisins. Le protocole VTP (VLAN Trunking Protocol) est utilisé sur les commutateurs Cisco pour gérer les VLAN sur un commutateur de serveur compatible avec le VTP.

2. Quel service est activé par défaut sur un routeur Cisco, peut fournir d’importants renseignements sur le routeur et peut le rendre éventuellement vulnérable aux attaques ?

  • HTTP
  • CDP
  • FTP
  • LLDP

Explication: CDP est un protocole propriétaire de Cisco qui collecte des informations à partir d’autres périphériques Cisco connectés, il est activé par défaut sur les périphériques Cisco. LLDP est un protocole standard ouvert qui fournit le même service. On peut l’activer sur un routeur Cisco. Les protocoles HTTP et FTP sont des protocoles de la couche Application qui ne collectent pas d’informations sur les périphériques réseau.

3. Lorsque la sécurité est une préoccupation, quelle couche OSI est considérée comme le lien le plus faible d’un système de réseau ?

  • Couche 4
  • Couche 2
  • Couche 3
  • Couche 7

Explication: La sécurité n’est également solide que la liaison le plus faible du système, et la couche 2 est considérée ce liaison le plus faible. Parallèlement à la protection des couches 3 à 7, les professionnels de la sécurité réseau doivent aussi limiter les attaques contre l’infrastructure LAN de couche 2.

4. Quelle attaque de couche 2 se traduira par un commutateur inondant les trames entrantes vers tous les ports ?

  • Empoisonnement ARP
  • Usurpation d’adresse IP
  • Inondation d’adresses MAC
  • Manipulation du protocole Spanning Tree

Explication: Lorsqu’un attaquant envoie rapidement des trames avec des adresses MAC usurpées à un commutateur, la table d’adresses MAC du commutateur devient pleine. Quand la table d’adresses MAC du commutateur est pleine, le commutateur inondera toutes les nouvelles trames entrantes à tous les ports.

5. Pourquoi l’authentification par AAA est-elle préférée à une méthode de base de données locale ?

  • Il utilise moins de bande passante du réseau.
  • Il nécessite une combinaison d’identification et de mot de passe sur la console, les lignes vty et les ports auxiliaires.
  • Il fournit une méthode d’authentification de secours si l’administrateur oublie le nom d’utilisateur ou le mot de passe.
  • Il spécifie un mot de passe différent pour chaque ligne ou port.

Explication: La méthode d’authentification de la base de données locale ne fournit pas de méthode d’authentification de secours si un administrateur oublie le nom d’utilisateur ou le mot de passe. La reprise du mot de passe sera la seule option. Lorsque l’authentification avec AAA est utilisée, une méthode de secours peut être configurée pour permettre à un administrateur d’utiliser l’une des nombreuses méthodes possibles d’authentification de sauvegarde.

6. Dans une implémentation AAA basée sur un serveur, quel protocole permettra au routeur de communiquer avec succès avec le serveur AAA ?

  • SSH
  • RADIUS
  • Un serveur DHCP non autorisé fournit de faux paramètres de configuration IP à des clients DHCP légitimes.
  • 802.1x

Explication: Avec une méthode basée sur un serveur, le routeur accède à un serveur AAA central en utilisant le protocole RADIUS (Remote Authentication Dial-In User) ou TACACS + (Terminal Access Controller Access Control System). SSH est un protocole utilisé pour la connexion à distance. 802.1x est un protocole utilisé dans l’authentification basée sur les ports. TACACS est un protocole hérité et n’est plus utilisé.

7. Quelle solution Cisco aide à prévenir les attaques d’usurpation d’adresse MAC et IP ?

  • Sécurité des ports
  • Surveillance DHCP
  • Protection de la source IP
  • Inspection ARP dynamique

Explication: Cisco fournit des solutions pour aider à atténuer les attaques de couche 2, y compris :

– La protection de la source IP (IPSG) – permet d’éviter les attaques d’usurpation des adresses MAC et IP.
– L’inspection ARP dynamique (DAI) – permet d’éviter les attaques par l’usurpation et par l’empoisonnement du ARP
– L’espionnage DHCP (snooping) – permet d’éviter l’insuffisance de ressources DHCP et les attaques par usurpation SHCP.
– Sécurité des ports – permet d’éviter de nombreux types d’attaques, y compris les attaques de saturation de le tableau MAC et les attaques d’insuffisance de resources DHCP.

8. Quel est l’objectif de la comptabilité AAA ?

  • Pour collecter et signaler l’utilisation des applications
  • Pour déterminer les ressources auxquelles l’utilisateur peut accéder
  • Autorisation
  • Authentification

Explication: La comptabilisation AAA collecte et rapporte les données d’utilisation des applications. Ces données peuvent être utilisées pour l’audit ou la facturation. L’authentification AAA consiste à vérifier que les utilisateurs sont comme ils disent. L’autorisation AAA est ce que les utilisateurs peuvent et ne peuvent pas effectuer sur le réseau après leur authentification.

9. Quelle attaque de couche 2 empêchera les utilisateurs légitimes d’obtenir des adresses IP valides ?

  • Usurpation ARP
  • Insuffisance de ressources DHCP
  • Usurpation d’adresse IP
  • Inondation d’adresses MAC

Explication: L’attaque par insuffisance de resources DHCP provoque l’épuisement du pool d’adresses IP d’un serveur DHCP avant que les utilisateurs légitimes puissent obtenir des adresses IP valides.

10. Quels sont les trois produits Cisco axés sur les solutions de sécurité des terminaux ? (Choisissez trois réponses.)

  • Appareil capteur IPS
  • Appliances de sécurisation du Web
  • Appliances de sécurisation de la messagerie
  • Appareil VPN SSL/IPSec
  • Adaptive Security Appliance
  • NAC Appliance

Explication: Les principaux parties des solutions de sécurité des points d’extrémité sont les appliances Cisco Email and Web Security et Cisco NAC. Tous les appareils capteurs ASA, du VPN SSL/IPsec et IPS offrent des solutions de sécurité axées sur le réseau de l’entreprise et pas sur les terminaux.

11. Vrai ou faux ?
Dans la norme 802.1X, le client qui tente d’accéder au réseau est appelé le demandeur.

  • VRAI
  • Faux

Explication: Dans la terminologie 802.1X une station de travail client est appelé demandeur.

12. Que signifie une attaque par mystification d’adresse IP ?

  • Une adresse réseau IP légitime a été détournée par un nœud non autorisé.
  • Un nœud non autorisé répond à une requête ARP avec sa propre adresse MAC associée à l’adresse IP cible.
  • Un serveur DHCP non autorisé fournit de faux paramètres de configuration IP à des clients DHCP légitimes.
  • De faux messages DHCPDISCOVER sont envoyés pour consommer toutes les adresses IP disponibles sur un serveur DHCP.

Explication: Dans une attaque d’usurpation d’adresse IP, l’adresse IP d’un hôte réseau légitime est détournée et utilisée par un nœud indésirables. Cela permet au nœud non autorisé d’être installé comme un nœud valide sur le réseau.

13. Quels sont les trois services fournis par le cadre AAA ? (Choisissez trois réponses)

  • Traçabilité
  • Automatisation
  • Autorisation
  • Authentification
  • Autobalancing
  • Autoconfiguration

Explication: Le cadre d’authentification, d’autorisation et de comptabilisation (AAA) fournissent des services pour aider à sécuriser l’accès aux périphériques réseau.

14. En raison des contrôles de sécurité appliqués, un utilisateur ne peut accéder à un serveur qu’à l’aide du protocole FTP. Quel composant du modèle AAA effectue cela ?

  • Accessibilité
  • Traçabilité
  • Audit
  • Authentification
  • Autorisation

Explication: L’un des parties de AAA est l’autorisation. Une fois que l’utilisateur est authentifié via AAA, les services d’autorisation déterminent les ressources auxquelles l’utilisateur peut accéder et les opérations qu’il est autorisé à effectuer.

15. Quel plan d’atténuation est le meilleur pour contrecarrer une attaque DoS qui crée un débordement de table d’adresses MAC ?

  • Désactiver le protocole DTP
  • Désactiver le protocole STP
  • Activer la sécurité des ports
  • Placer les ports non utilisés dans un VLAN non utilisé

Explication: Attaque par saturation de table d’adresses MAC (CAM), la saturation de tampon, et une usurpation d’adresse MAC peuvent tous être atténuée en configurant la sécurité des ports. Habituellement, un administrateur réseau ne voudra pas désactiver le STP, car cela évitera les boucles de la couche 2. Le DTP est désactivé pour éviter les sauts dans le réseau VLAN. Placez les ports inutilisés dans un VLAN inutilisé empêche la connectivité filaire indésirables.

 

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires