Modules 10 – 13: Examen de sécurité de couche 2 et de réseau sans fil (WLAN) Réponses

Explique: Dans un petit réseau avec quelques périphériques réseau, l’authentification AAA peut être mise en œuvre avec la base de données locale et avec des noms d’utilisateur et des mots de passe stockés sur les périphériques réseau. L’authentification qui utilise le protocole TACACS+ ou RADIUS nécessitera des serveurs ACS dédiés, bien que cette solution d’authentification évolue bien dans un grand réseau.

Explique: Les attaques par épuisement des ressources DCHP sont lancées par un hacker avec l’intention de créer un DOS pour les clients DHCP. Pour atteindre cet objectif, le hacker utilise un outil qui permet d’envoyer de nombreux messages DHCPDISCOVER afin de louer le pool entier d’adresses IP disponibles, les rendant de ce fait indisponibles pour les hôtes légitimes.

Explique: Une fois que la table d’adresses MAC est pleine, le commutateur traite la trame comme une monodiffusion inconnue et commence à inonder tout le trafic entrant vers tous les ports uniquement au sein du VLAN local.

Explique: L’une des composantes de l’authentification AAA est la traçabilité. Dès qu’un utilisateur est authentifié par le biais du protocole AAA, les serveurs AAA conservent un journal détaillé des actions qu’il effectue sur le périphérique.

Explique: Les appareils impliqués dans le processus d’authentification 802.1X sont les suivants :
Le demandeur, qui est le client qui demande l’accès réseau
L’authentificateur, qui est le commutateur auquel le client se connecte et qui en fait contrôle l’accès au réseau physique
Le serveur d’authentification, qui effectue l’authentification réelle

Explique: Le compteur de violation de sécurité de l’interface Fa 0/2 a été incrémenté (en évidence par le 1 dans la colonne Security Violation). Les adresses les plus sécurisées et autorisées sur le port Fa 0/2 est 1 et cette adresse a été saisie manuellement. Par conséquent, PC1 doit avoir une adresse MAC différente de celle qui est configurée sur le port Fa 0/2. Les connexions entre les appareils terminaux et le commutateur, ainsi que les connexions entre un routeur et un commutateur sont réalisés avec un câble direct.

Explique: Le mode par défaut d’une violation de sécurité des ports consiste à fermer le port de sorte que la commande switchport port-security violation ne soit pas nécessaire. La commande switchport port-security doit être saisie sans options supplémentaires pour activer la sécurité du port. D’autres options de sécurité des ports peuvent être ajoutées par la suite.

Explique: La configuration de la surveillance DHCP comprend la création d’une base de données de liaison de surveillance DHCP et l’affectation de ports fiables nécessaires sur les commutateurs. Un port fiable indique les serveurs DHCP légitimes. Dans cette conception de réseau, étant donné que le serveur DHCP est relié à AS3, sept ports de commutateurs doivent être affectés comme ports fiables : un sur AS3 vers le serveur DHCP, un sur DS1 vers AS3, un sur DS2 vers AS3 et deux connexions sur AS1 et AS2 (vers DS1 et DS2).

Explique: Si aucun mode de violation n’est spécifié lorsque la sécurité des ports est activée sur un port de commutateur, le mode de violation de sécurité devient « shutdown » par défaut.

Explique: la protection BPDU peut être activée sur tous les portes activés par PortFast en exécutant la commande de configuration globale spanning-tree portfast bpduguard default . Autrement, la protection BPDU peut être activé sur un port activé par PortFast grâce à l’utilisation de la commande de configuration spanning-tree bpduguard enable .

Explique: Avec un adressage MAC à sécurité fixe, les adresses MAC peuvent soit être apprises dynamiquement, soit être configurées manuellement, puis stockées dans le tableau des adresses et ajoutées dan le fichier de configuration en cours. En revanche, l’adressage MAC à sécurité dynamique fournit des adresses MAC apprises dynamiquement qui sont stockées uniquement dans le tableau des adresses.

Explique: Les antennes omnidirectionnelles envoient les signaux radio à 360 degrés tout autour de l’antenne. Cette solution assure la couverture des périphériques situés n’importe où autour du point d’accès. Les antennes paraboliques, directionnelles et Yagi se concentrent sur les signaux radio dans une direction unique, ce qui les rend moins appropriées pour la couverture de larges zones ouvertes.

Explique: Le mode ad hoc (également connu sous le nom d’ensemble de services de base indépendants ou IBSS) est utilisé dans un réseau sans fil de type P2P (peer-to-peer), par exemple lors de l’utilisation de la technologie Bluetooth. Il existe une variante de la topologie ad hoc dans laquelle un smartphone ou une tablette disposant d’un accès aux données de réseau cellulaire peut créer un hotspot sans fil temporaire. Le mode mixte permet de relier d’anciennes cartes réseau sans fil à un point d’accès utilisant une norme sans fil plus récente.

Explique: Les normes 802.11a et 802.11ac ne fonctionnent que dans la gamme de 5 GHz. Les normes 802.11b et 802.11g ne fonctionnent que dans la gamme de 2,4 GHz. La norme 802.11n fonctionne dans les gammes de 2,4 et 5 GHz. La norme 802.11ad fonctionne dans les gammes de 2,4 ,5 et 60 GHz.

Explique: Les canaux 1, 6 et 11 sont sélectionnés, car ils sont séparés chacun de 5 canaux, ce qui réduit les interférences avec les canaux adjacents. Une fréquence de canal peut perturber des canaux aux deux extrémités de la fréquence principale. Tous les périphériques sans fil doivent être utilisés sur des canaux non adjacents.

Explique: Active est un mode utilisé pour configurer un point d’accès de sorte que les clients doivent connaître le SSID pour se connecter au point d’accès. Les points d’accès et les routeurs sans fil peuvent fonctionner en mode mixte, ce qui signifie qu’ils peuvent simultanément prendre en charge les clients qui se connectent via plusieurs normes. Le mode ouvert est un mode d’authentification pour un point d’accès qui n’a aucun impact sur la liste des réseaux sans fil disponibles pour un client. Lorsqu’un point d’accès est configuré en mode passif, le SSID est diffusé de sorte que le nom du réseau sans fil apparaisse dans la liste des réseaux disponibles pour les clients.

Explique: Pour sécuriser un réseau sans fil, le technicien doit commencer par changer le nom d’utilisateur et le mot de passe par défaut du routeur sans fil. Ensuite, il configure généralement le chiffrement. Puis, une fois que les hôtes sans fil initiaux sont connectés au réseau, il active le filtrage d’adresses MAC et désactive la diffusion SSID. Ainsi, il est impossible pour d’autres hôtes non autorisés de trouver le réseau sans fil et de s’y connecter.

Explique: Le tableau de bord Cisco 3504 WLC s’affiche lorsqu’un utilisateur se connecte au WLC. Il fournit quelques paramètres de base et des menus auxquels les utilisateurs peuvent accéder rapidement pour mettre en œuvre une variété de configurations courantes. En cliquant sur le bouton Advanced , l’utilisateur accède à la page récapitulative avancée et accède à toutes les fonctionnalités du WLC.

Explique: L’onglet WLAN de la page récapitulative avancé du WLC Cisco 3504 permet à un utilisateur d’accéder à la configuration des WLAN, y compris la sécurité, la QoS et le mappage de stratégies.

Explique: De nombreux routeurs sans fil ont une option de configuration de la qualité de service (QoS). En configurant la QoS, certains types de trafic sensibles au temps, tels que la voix et la vidéo, sont prioritaires par rapport au trafic moins sensible au temps, comme le courrier électronique et la navigation sur le web.

Explique: La gamme sans fil est déterminée par l’antenne du point d’accès et la puissance de sortie, et non par la bande de fréquence utilisée. Dans ce scénario, il est indiqué que tous les utilisateurs disposent les NIC sans fil conformes à la dernière norme, et que tous peuvent donc accéder à la bande de 5 GHz. Bien que certains utilisateurs considèrent qu’il est gênant de passer à la bande 5 Ghz pour accéder aux services de streaming, c’est le plus grand nombre de canaux, mais pas seulement le nombre d’utilisateurs qui améliorera les performances du réseau.

Explique: Le protocole RADIUS utilise des fonctionnalités de sécurité pour protéger les communications entre le serveur RADIUS et les clients. Un secret partagé est le mot de passe utilisé entre le WLC et le serveur RADIUS. Il n’est pas pour les utilisateurs finaux.

Explique: Cisco fournit des solutions pour aider à atténuer les attaques de couche 2, y compris :

• La protection de la source IP (IPSG) – permet d’éviter les attaques d’usurpation des adresses MAC et IP.
• L’inspection ARP dynamique (DAI) – permet d’éviter les attaques par l’usurpation et par l’empoisonnement du ARP
• L’espionnage DHCP (snooping) – permet d’éviter l’insuffisance de ressources DHCP et les attaques par usurpation DHCP.
• Sécurité des ports – permet d’éviter de nombreux types d’attaques, y compris les attaques de saturation de la table MAC et les attaques d’insuffisance de resources DHCP.

L’appliance de sécurité Web (WSA) est une technologie d’atténuation des menaces Web.

Explique: Il est possible de pallier une attaque de VLAN en désactivant le DTP (Dynamic Trunking Protocol), en réglant manuellement le mode d’agrégation de liens pour les ports et en faisant de VLAN inutilisés les VLAN natifs des liaisons trunk.

Explique: La ligne Port Security affiche simplement un état Enabled si la commande switchport port-security (sans options) a été sélectionnée pour un port de commutateur donné. Si une violation de sécurité des ports s’est produite, un autre message d’erreur apparaît, tel que Secure-shutdown . Le nombre maximum d’adresses MAC prises en charge est de 50. La ligne Maximum MAC Addresses est utilisée pour afficher le nombre d’adresses MAC pouvant être acquises (2 dans ce cas). La ligne Sticky MAC Addresses indique qu’un seul périphérique a été connecté et automatiquement acquis par le commutateur. Cette configuration peut être utilisée lorsqu’un port est partagé par deux personnes partageant un bureau cloisonné avec des ordinateurs portables distincts.

Explique: Remote Authentication Dial-In User Service (RADIUS) est un protocole et un logiciel de serveur qui fournit une authentification basée sur l’utilisateur dans une organisation. Lorsqu’un WLAN est configuré pour utiliser un serveur RADIUS, les utilisateurs saisissent les informations d’identification du nom d’utilisateur et du mot de passe vérifiées par le serveur RADIUS avant d’autoriser le WLAN.

Explique: La division du trafic sans fil entre la bande 802.11n 2,4 GHz et la bande 5 GHz permettra à la 802.11n d’utiliser les deux bandes comme deux réseaux sans fil distincts afin de gérer le trafic, et donc améliorer les performances sans fil.

Explique: Les attaques par déni de service peuvent être le résultat de périphériques mal configurés, pouvant désactiver le WLAN. Des interférences accidentelles dues à des appareils tels que des fours à micro-ondes ou des téléphones sans fil peuvent avoir une incidence à la fois sur la sécurité et les performances d’un WLAN. Les attaques de type Man-in-the-Middle peuvent permettre à un pirate informatique d’intercepter des données. Les points d’accès indésirables peuvent permettre à des utilisateurs non autorisés d’accéder au réseau sans fil.

Explique: CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et WLAN. CAPWAP est également responsable de l’encapsulation et de la transmission du trafic client WLAN entre un AP et un WLC.

Explique: Le mode de violation peut être affiché en exécutant la commande show port-security interface <int> . L’interface FastEthernet 0/1 est configurée avec le mode violation de protection. En cas de violation, l’interface FastEthernet 0/1 abandonne les paquets avec des adresses MAC inconnues.

Explique: Dès qu’un point d’accès est déballé, le mot de passe par défaut de l’appareil, le SSID et les paramètres de sécurité (mot de passe du réseau sans fil) doivent être définis. La fréquence d’une antenne sans fil peut être ajustée, mais cela n’est pas obligatoire. L’heure de la balise n’est pas normalement configurée. Le mot de passe du système d’exploitation du client sans fil n’est pas affecté par la configuration d’un réseau sans fil domestique.

Explique: Un ordinateur portable sans fil n’a pas normalement une antenne attachée, sauf si une réparation nouvelle est mise en place. Si la carte NIC sans fil est activée, les médias appropriés et la radio seront utilisés. Lorsque le NIC détecte un point d’accès, la correcte fréquence est automatiquement utilisée.

Explique: SNMP (Simple Network Management Protocol) est utilisé pour surveiller et gérer le réseau.

Explique: Par défaut, les routeurs double bande et les points d’accès utilisent le même nom de réseau sur la bande 2,4 GHz et la bande 5 GHz. Le moyen le plus simple de segmenter le trafic consiste à renommer l’un des réseaux sans fil.

Explique: Une attaque par double étiquetage (ou double encapsulation) de saut de VLAN profite de la manière dont le matériel de la plupart des commutateurs fonctionne. La plupart des commutateurs n’effectuent qu’un seul niveau de décapsulation 802.1Q, qui permet à un attaquant d’intégrer une balise 802.1Q dissimulée à l’intérieur de la trame. Cette étiquette permet de transmettre la trame à un VLAN que l’étiquette 802.1Q originale ne spécifiait pas. Une caractéristique importante de l’attaque par saut VLAN à double encapsulation est qu’elle fonctionne même si les ports du trunc sont désactivés, car un hôte envoie généralement une trame sur un segment qui n’est pas un liaison de trunc. Ce type d’attaque de double étiquetage VLAN est unidirectionnelle et ne fonctionne que lorsque l’attaquant est connecté à un port résidant dans le même VLAN que le VLAN natif du port de trunc.

Explique: Le masquage du SSID est une fonction de sécurité faible exécutée par les points d’accès et certains routeurs sans fil, et qui autorise la désactivation de la trame de balise du SSID. Bien que les clients doivent identifier manuellement le SSID pour se connecter au réseau, ce SSID peut être aisément détecté. Le meilleur moyen de sécuriser un réseau sans fil consiste à utiliser des systèmes d’authentification et de chiffrement. Le masquage du SSID n’offre pas d’accès Internet gratuit dans des lieux publics, mais une authentification système ouverte peut être appliquée dans cette situation.

Explique: 802.11ac fournit des débits de données pouvant atteindre 1,3 Gbit/s et est toujours rétrocompatible avec des périphériques 802.11a/b/g/n. 802.11g et 802.11n sont des normes plus anciennes qui ne peuvent pas atteindre des débits supérieurs à 1 Gbit/s. 802.11ad est une norme plus récente offrant des débits théoriques pouvant atteindre 7 Gbit/s.

Explique: Deux méthodes peuvent être utilisées par un périphérique sans fil pour détecter un point d’accès et s’y enregistrer, à savoir le mode passif et le mode actif. En mode passif, le point d’accès envoie une trame de balise de diffusion contenant le SSID ainsi que d’autres paramètres sans fil. En mode actif, le périphérique sans fil doit être configuré manuellement pour le SSID, puis le périphérique diffuse une requête d’analyse.

Explique: La configuration manuelle de l’adresse MAC unique autorisée a été saisie sur le port fa 0/12. PC1 a une adresse MAC différente et une fois qu’il se connecte, le port s’éteint (action par défaut), un message de journal sera automatiquement créé et le compteur de violation sera incrémenté. L’action par défaut d’arrêt est recommandée car l’option de restriction peut échouer si une attaque est en cours.

Explique: L’usurpation de messages DTP oblige un commutateur de passer en mode trunking au cours d’une attaque par saut de VLAN , mais le double étiquetage de VLAN fonctionne même si les ports du trunc sont désactivés. Le remplacement du VLAN natif par défaut par un VLAN non utilisé réduit la possibilité de ce type d’attaque. L’usurpation DHCP et l’insuffisance DHCP exploitent les vulnérabilités dans l’échange de messages DHCP .​

Explique: L’inspection ARP dynamique (DAI) peut être configuré pour examiner la destination ou la source des adresses MAC et IP :

• Destination MAC – Vérifie la destination d’adresse MAC dans l’en-tête Ethernet contre l’adresse MAC cible dans le corps ARP.
• Adresse MAC source – Vérifie la source d’adresse MAC dans l’en-tête Ethernet contre l’adresse MAC de l’expéditeur dans le corps ARP.
• Adresse IP – Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris l’adresses 0.0.0.0, 255.255.255.255 et tous les adresses multidiffusion IP.

Explique: Sur un commutateur Cisco, une interface peut être configurée pour l’un des trois modes de violation, en spécifiant la mesure à prendre si une violation a lieu :

• Protéger – Les paquets avec des adresses source inconnues sont abandonnés jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soient supprimées ou que le nombre maximum d’adresses autorisées soit atteint. Aucune notification n’indique qu’une violation de sécurité s’est produite.
• Restreindre – Les paquets avec des adresses source inconnues sont abandonnés jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soient supprimées ou que le nombre maximum d’adresses autorisées soit atteint. Dans ce mode, une notification indique qu’une violation de sécurité s’est produite.
• Arrêt – L’interface devient immédiatement error-disabled et la LED du port s’éteint.

Explique: La protection BPDU désactive immédiatement par erreur un port qui reçoit une unité BPDU. Cela empêche l’ajout de commutateurs non fiables au réseau. La protection BPDU ne doit être appliquée qu’à tous les ports de l’utilisateur final.

Explique: Telnet utilise du texte brut pour communiquer dans un réseau. Le nom d’utilisateur et le mot de passe peuvent être capturés si la transmission des données est interceptée. SSH chiffre les communications de données entre deux périphériques de réseau. TFTP et SCP sont utilisés pour le transfert de fichiers sur le réseau. SNMP est utilisé dans les solutions de gestion de réseau.

Explique: L’une des composantes de l’authentification AAA est l’autorisation. Une fois que l’utilisateur est authentifié via AAA, les services d’autorisation déterminent les ressources auxquelles l’utilisateur peut accéder et les opérations qu’il est autorisé à effectuer.

Explique: Les balises sont les seules trames de gestion pouvant être diffusées régulièrement par un point d’accès. Les trames d’analyse, d’authentification et d’association sont utilisées exclusivement durant le processus d’association (ou de réassociation).

Explique: Étant donné que certains utilisateurs se plaignent que le réseau est trop lent, la meilleure solution serait de diviser le trafic donc deux réseaux utilisent des fréquences différentes en même temps. Le remplacement de NIC sans fil ne résoudra pas le problème de la lenteur du réseau et pourrait être coûteux pour l’entreprise.L’adressage DHCP par rapport à l’adressage statique ne devrait pas avoir d’impact sur la lenteur du réseau et il serait une tâche énorme d’attribuer un adressage statique à tous les utilisateurs pour leur connexion sans fil. Mettre à niveau le firmware sur le point d’accès sans fil est toujours la meilleure idée. Toutefois, si certains utilisateurs souffrent d’une connexion réseau lente, cela n’améliorerapas probablement de manière substantielle les performances du réseau.

Explique: Toute adresse dont le premier octet comporte le chiffre 10 est une adresse IPv4 privée qui ne peut pas être routée sur l’internet. Le routeur sans fil utilisera un service appelé “Traduction D’adresses Réseau” (NAT) pour convertir les adresses IPv4 privées en adresses IPv4 routables sur l’internet pour que les appareils sans fil puissent accéder à l’internet.

Explique: En utilisant TACACS+ ou RADIUS, AAA peut authentifier les utilisateurs à partir d’une base de données de noms d’utilisateur et de mots de passe stockés de manière centralisée sur un serveur tel qu’un serveur Cisco ACS.

Explique: Une attaque par saut de VLAN permet au trafic d’un VLAN d’être détecté par un autre VLAN sans routage. Dans une attaque de base de saut de VLAN, l’acteur de menace profite de la fonction de port de trunc automatique activée par défaut sur la plupart des ports de commutateur.

Explique: Les technologies WPA et WPA2 existent sous deux formes, à savoir Personal et Enterprise. La version Personal est utilisée dans les réseaux domestiques ou de petits bureaux. La clé partagée permet d’utiliser trois techniques d’authentification différentes : (1) WEP, (2) WPA et (3) 802.11i/WPA2. WEP est une méthode de chiffrement.

Explique: Les deux protocoles de découverte peuvent fournir aux hackers des informations sensibles concernant le réseau. Ils ne doivent pas être activés sur les périphériques de bord et doivent être désactivés globalement ou sur la base d’une interface si cela n’est pas nécessaire. La fonctionnalité CDP est activée par défaut.​

Explique: Chaque nouveau WLAN configuré sur un WLC Cisco 3500 a besoin de sa propre interface VLAN. Il est donc nécessaire de créer une nouvelle interface VLAN avant de pouvoir créer un nouveau WLAN.

Explique: L’onglet WLAN de la page récapitulative avancé du WLC Cisco 3504 permet à un utilisateur d’accéder à la configuration des WLAN, y compris la sécurité, la QoS et le mappage de stratégies.