Close Menu
Subscribe

11.6.4 Questionnaire de module – La Configuration de la Sécurité du Commutateur

Aucun commentaire CCNA v7 #2

11.6.4 Questionnaire de module – La Configuration de la Sécurité du Commutateur réponses

1. Quelle est la meilleure pratique recommandée en ce qui concerne le VLAN natif ?

  • Désactiver le DTP
  • Utiliser une fonction de sécurité des ports
  • Attribuer le réseau natif à un VLAN non utilisé
  • Attribuer le même numéro de VLAN que le VLAN de gestion

Explication: La sécurité des ports ne peut pas être activer sur un trunc donc les truncs sont les seuls types de ports d’un réseau qui’ ont natif VLAN. Même si la désactivation du DTP sur une ligne est une bonne pratique recommandée, cela n’a aucun lien avec les risques des VLAN natifs. Pour éviter les failles qui profitent du VLAN natif, placez le VLAN natif dans un VLAN inutilisé, autre que VLAN 1. Le VLAN de gestion doit également être un VLAN inutilisé, différent du VLAN natif et autre que le VLAN 1.

2. Sur quels ports de commutateur PortFast doit-il être activé pour améliorer la stabilité STP ?

  • Tous les ports d’utilisateur finaux.
  • Seulement les ports qui se connectent à un commutateur voisin.
  • Tous les ports de trunc qui ne sont pas des ports racine
  • Seulement les ports élus comme des ports désignés

Explication: PortFast apportera immédiatement une interface configurée comme un port d’accès ou un port trunc de l’état de blocage à l’état de transmission, en rejetant les états d’écoute et d’apprentissage. Si elle est configurée sur une liaison trunc, le basculement immédiat vers l’état d’expédition pourrait entraîner la formation de boucles de couche 2.

3. Quelle commande serait préférable d’utiliser sur un port de commutateur inutilisé si une entreprise adhère aux meilleures pratiques recommandées par Cisco ?

  • shutdown
  • ip dhcp snooping
  • switchport port-security mac-address sticky
  • switchport port-security violation shutdown
  • switchport port-security mac-address sticky mac-address

Explication: Au Contrairement les ports ethernet du routeur et les ports du commutateures sont activés par défaut. Cisco recommande désactiver tous les ports qui ne sont pas utilisé. la commande ip dhcp snooping permettent globalement l’espionnage DHCP d’un commutateure. Une configuration supplémentaire permet de définir les ports qui peuvent répondre aux requêtes DHCP. la commande switchport port-security est utilisée pour protéger le réseau contre la connexion non identifiée ou non autorisée des périphériques réseau.

4. Quelles sont les deux fonctionnalités d’un commutateur Cisco Catalyst qui peuvent être utilisées pour atténuer les attaques par insuffisance et par usurpation de ressources DHCP ? (Choisissez deux)

  • Sécurisation des ports
  • Liste de contrôle d’accès étendue
  • Espionnage DHCP
  • Basculement du serveur DHCP
  • Un efficace mot de passe sur les serveurs DHCP.

Explication: à l’ attaque par insuffisance de ressources DHCP (starvation) un hacker inonde le serveur DHCP de fausse requêtes DHCP et réserve ainsi toutes les adresses IP disponibles dans le pool du serveur DHCP qu’il peut fournir. à l’attaque par usurpation DHCP (ou spoofing) un hacker configure un rogue serveur DHCP sur le réseau pour attribuer des fausses adresses de serveur DNS aux clients. La fonction de sécurité des ports peut limiter le nombre des adresses MAC apprissent dynamiquement par chaque port ou autorisent uniquement la connexion des NICs valides d’être connecté par leurs adresses MAC spécifiques. l’espionnage DHCP (DHCP snooping) peut identifier le légitime serveur DHCP et bloque les fausses serveurs DHCP de délivrer des information d’adresse IP. Ces deux fonctions peuvent aider à lutter contre les attaques DHCP.

5. Quelle est la meilleure façon d’empêcher une attaque de saut de réseau VLAN ?

  • Désactivez le protocole STP sur les autres ports non trunc
  • Utilisez l’encapsulation ISL sur toutes les liaisons Trunc
  • Utilisez le VLAN 1 en tant que VLAN natif sur tous les ports trunc
  • Désactiver la négociation des liaisons pour les ports trunc et statistiquement définir les autres ports en tant que ports d’accès.

Explication: Les attaques de saut VLAN assurent sur la capabilitée d’un hacker à créer un liaison trunc avec un commutateur. La désactivation du DTP et la configuration des ports utilisateur comme des ports d’accès statiques peuvent aider à prévenir ces types d’attaques. Désactiver le protocole STP (Spanning Tree Protocol) n’éliminera pas les attaques de saut VLAN.

6. Quelle procédure est recommandée pour atténuer les risques d’usurpation ARP ?

  • Activez la sécurité de port globalement.
  • Activer l’espionnage DHCP sur les VLAN sélectionnés.
  • Activez DAI sur le VLAN de gestion.
  • Activez IP Source Guard sur les ports approuvés.

Explication: Pour atténuer les risques d’usurpation ARP (ou spoofing), ces procédures sont recommandées :
Mettre en place la protection contre l’usurpation (spoofing)DHCP en activant globalement l’espionnage DHCP (DHCP Snooping).
– Activer l’espionnage DHCP sur les VLAN sélectionnés.
– Activer l’inspection ARP dynamique (DAI) sur les VLAN sélectionnés.
– Configurer les interface approuvées avec l’espionnage DHCP et l’inspection ARP. Ports non approuvé sont par défaut configurés.​

7. Quels sont les deux types de ports de commutateur utilisés sur les commutateurs Cisco dans le cadre de la défense contre les attaques par usurpation DHCP ? (Choisissez deux)

  • Port inconnu
  • Port non approuvé
  • Port non autorisé
  • Port DHCP approuvé
  • Port DHCP autorisé
  • Port DHCP établi

Explication: L’espionnage DHCP reconnaît deux types de ports sur les commutateurs Cisco :

  • Ports DHCP approuvés – ports de commutateur connectés aux serveurs DHCP en amont.
  • les Ports non approuvés – ports de commutateur connectés aux hôtes qui ne doivent pas deliverer des messages de serveurs DHCP.

8. Quelles sont les deux commandes peuvent être utilisées pour activer PortFast sur un commutateur ? (Choisissez deux)

  • S1(config-if)# spanning-tree portfast
  • S1(config-line)# spanning-tree portfast
  • S1(config)# spanning-tree portfast default
  • S1(config-if)# enable spanning-tree portfast
  • S1(config)# enable spanning-tree portfast default

Explication: la fonction PortFast peut être configurée sur tous les ports non trunc avec la commande de configuration globale par défautSpanning-Tree PortFast. La fonction PortFast peut être activée alternativement sur une interface avec la commande de configuration Spanning-Tree PortFast.

9. Un administrateur qui dépanne les problèmes de connectivité sur un commutateur remarque que le port de commutateur configuré pour la sécurité des ports est en mode de désactivation des erreurs. Après la vérification de la cause de la violation, comment l’administrateur doit-il réactiver le port sans interrompre le fonctionnement du réseau ?

  • Redémarrer le commutateur.
  • Exécuter la commande shutdown suivie par la commande no shutdown sur l’interface.
  • Exécuter la commande no switchport port-security, puis réactiver la sécurité des ports.
  • Exécuter la commande no switchport port-security violation shutdown sur l’interface.

Explication: Si une interface qui a été protégée avec la sécurité des ports passe dans l’état error-disabled, alors une violation s’est produite et l’administrateur doit rechercher la cause de cette violation. Une fois la cause est déterminée, l’administrateur peut exécuter la commande shutdown suivie par la commande no shutdown pour activer l’interface.

10. L’administrateur d’un réseau configure l’espionnage DHCP sur un commutateur. Quelle est le premier commande de configuration doit être utilisée ?

  • ip dhcp snooping
  • la surveillance DHCP de L’address IP (ip dhcp snooping) Vlan
  • ip dhcp snooping trust
  • ip dhcp snooping limit rate

Explication: Les étapes pour activer l’espionnage DHCP comprend les suivants :

  • Étape 1. Activer l’espionnage DHCP avec la commande de configuration globale ip dhcp snooping.
  • Étape 2. Sur les ports approuvés, configure l’interface avec la commande de confiance ip dhcp snooping.
  • Étape 3. Activez l’espionnage DHCP par VLAN ou par une gamme de VLAN.

11. Un administrateur réseau configure DAI sur un commutateur avec la commande ip arp inspection validate dst-mac. Quel est l’objectif de cette commande de configuration ?

  • Pour vérifier la destination adresse MAC dans l’en-tête Ethernet contre la table d’adresse MAC
  • Pour vérifier l’adresse MAC de destination dans l’en-tête Ethernet par rapport aux listes de contrôle d’accès ARP configurées par l’utilisateur
  • Pour vérifier l’adresse MAC de destination dans l’en-tête Ethernet par rapport à l’adresse MAC cible dans le corps ARP
  • Pour vérifier l’adresse MAC de destination dans l’en-tête Ethernet par rapport à l’adresse MAC source dans le corps ARP

Explication: l’inspection ARP dynamique (DAI) peut être configuré pour examiner la destination ou la source des adresses MAC et IP:

  • Destination MAC – Vérifie la destination adresse MAC dans l’en-tête Ethernet contre la cible adresse MAC dans le corps ARP.
  • Source MAC – Vérifie la source Adresse MAC dans l’en-tête Ethernet contre l’expéditeur Adresse MAC dans le corps ARP.
  • Adresse IP – Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris l’adresses 0.0.0.0, 255.255.255.255, et tous les adresses de multidiffusion IP.

12. Quelle est la fonction de sécurité doit être activée pour empêcher un hacker de saturer la table d’adresses MAC d’un commutateur ?

  • Filtrage BPDU
  • Sécurisation des ports
  • Contrôle des tempêtes
  • La protection de racine

Explication: La sécurité des ports limite le nombre des sources adresses MAC valides à transmettre par un port de commutateur. Cette fonction peut prévenir un hacker d’inonder un commutateur avec de nombreuses adresses MAC usurpées.

13. Quelle est l’attaque de couche 2 qui se réduit en désactivant le protocole de Trunk dynamique DTP (Dynamic Trunking Protocol) ?

  • Saut de VLAN
  • Usurpation DHCP (ou spoofing)
  • Empoisonnement ARP
  • Spoofing ARP

Explication: L’atténuation d’une attaque par saut de VLAN peut être effectuée en désactivant le protocole Dynamic Trunking Protocol (DTP) et mettre en place le VLAN natif des liaisons trunc sur les VLAN non utilisés.

14. L’administrateur d’un réseau configure DAI sur un commutateur. Quelle commande doit être utilisée sur l’interface de liaison montante qui se connecte à un routeur ?

  • ip arp inspection vlan
  • ip arp inspection trust
  • ip dhcp snooping
  • spanning-tree portfast

Explication: En général, un routeur agisse comme passerelle par défaut pour le LAN ou le VLAN sur le commutateur. Par conséquent, l’interface de liaison montante qui communique à un routeur doit être un port approuvé pour la transmission de requêtes ARP.

15. Où sont stockées les adresses MAC apprises dynamiquement lorsque l’apprentissage collant est activé avec la commande switchport port-security mac-address sticky ?

  • ROM
  • Mémoire vive (RAM)
  • NVRAM
  • Dans la mémoire FLASH

Explication: Quand l’adresse MAC est automatiquement enregistrée avec l’option du commande sticky l’enregistrée des adresses MAC sont ajoutée dans la configuration courante donc est stockée dans la RAM.

 

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires