Modules 10 – 13: Examen de sécurité de couche 2 et de réseau sans fil (WLAN) Réponses

CCNA 2
1

Modules 10 – 13: L2 Security and WLANs Exam FRANÇAIS

Switching, Routing, and Wireless Essentials (Version 7.00) – Examen de sécurité de couche 2 et de réseau sans fil (WLAN) Réponses

1. Quelle méthode d’authentification stocke les noms d’utilisateur et les mots de passe dans le routeur et est idéale pour les petits réseaux ?

  • AAA local
  • AAA local sur TACACS+
  • AAA basé sur un serveur
  • AAA basé sur un serveur via RADIUS
  • AAA basé sur un serveur via TACACS+
  • AAA local sur RADIUS
Explique: Dans un petit réseau avec quelques périphériques réseau, l’authentification AAA peut être mise en œuvre avec la base de données locale et avec des noms d’utilisateur et des mots de passe stockés sur les périphériques réseau. L’authentification qui utilise le protocole TACACS+ ou RADIUS nécessitera des serveurs ACS dédiés, bien que cette solution d’authentification évolue bien dans un grand réseau.

2. Quel est le résultat d’une attaque par épuisement de ressources DHCP ?

  • Les clients légitimes ne peuvent pas louer d’adresses IP.
  • Le hacker transmet aux clients des informations incorrectes sur le DNS et la passerelle par défaut.
  • Les clients reçoivent des attributions d’adresses IP d’un serveur DHCP non autorisé.
  • Les adresses IP attribuées aux clients légitimes sont détournées.
Explique: Les attaques par épuisement des ressources DCHP sont lancées par un hacker avec l’intention de créer un DOS pour les clients DHCP. Pour atteindre cet objectif, le hacker utilise un outil qui permet d’envoyer de nombreux messages DHCPDISCOVER afin de louer le pool entier d’adresses IP disponibles, les rendant de ce fait indisponibles pour les hôtes légitimes.

3. Quelle instruction décrit le comportement d’un commutateur lorsque la table d’adresses MAC est pleine ?

  • Il traite les trames comme une monodiffusion inconnue et inonde toutes les trames entrantes sur tous les ports du commutateur.
  • Il traite les trames comme une monodiffusion inconnue et inonde toutes les trames entrantes à tous les ports du domaine de collision.
  • Il traite les trames comme des monodiffusions inconnues et inonde toutes les trames entrantes vers tous les ports via plusieurs commutateurs.
  • Il traite les trames comme une monodiffusion inconnue et inonde toutes les trames entrantes sur tous les ports du VLAN local.
Explique: Une fois que la table d’adresses MAC est pleine, le commutateur traite la trame comme une monodiffusion inconnue et commence à inonder tout le trafic entrant vers tous les ports uniquement au sein du VLAN local.

4. Quelle composante du modèle AAA permet à un administrateur d’effectuer le suivi des personnes qui accèdent aux ressources réseau, ainsi que des modifications qui sont apportées à ces ressources ?

  • accessibilité
  • authentification
  • traçabilité
  • autorisation
Explique: L’une des composantes de l’authentification AAA est la traçabilité. Dès qu’un utilisateur est authentifié par le biais du protocole AAA, les serveurs AAA conservent un journal détaillé des actions qu’il effectue sur le périphérique.

5. Quel appareil est considéré comme demandeur lors de la procédure d’authentification 802.1X ?

  • le serveur d’authentification qui réalise l’authentification du client
  • le commutateur qui contrôle l’accès au réseau
  • le routeur qui sert de passerelle par défaut
  • le client qui demande l’authentification
Explique: Les appareils impliqués dans le processus d’authentification 802.1X sont les suivants :
Le demandeur, qui est le client qui demande l’accès réseau
L’authentificateur, qui est le commutateur auquel le client se connecte et qui en fait contrôle l’accès au réseau physique
Le serveur d’authentification, qui effectue l’authentification réelle

6. Reportez-vous à l’illustration. L’interface Fa 0/2 du commutateur S1 a été configurée avec la commande switchport port-security mac-address 0023.189d.6456 et une station de travail a été connectée. Quelle pourrait être la raison de l’arrêt de l’interface Fa 0/2 ?

  • L’adresse MAC de PC1 qui se connecte à l’interface Fa 0/2 n’est pas l’adresse MAC configurée.
  • PC1 et connecté au S1 à partir d’un câble croisé.
  • S1 a été configuré avec la commande switchport port-security aging .
  • L’interface Fa 0/24 de S1 est configurée avec la même adresse MAC que l’interface Fa 0/2.
Explique: Le compteur de violation de sécurité de l’interface Fa 0/2 a été incrémenté (en évidence par le 1 dans la colonne Security Violation). Les adresses les plus sécurisées et autorisées sur le port Fa 0/2 est 1 et cette adresse a été saisie manuellement. Par conséquent, PC1 doit avoir une adresse MAC différente de celle qui est configurée sur le port Fa 0/2. Les connexions entre les appareils terminaux et le commutateur, ainsi que les connexions entre un routeur et un commutateur sont réalisés avec un câble direct.

7. Examinez l’illustration. Le port Fa0/2 a déjà été configuré correctement. Le téléphone IP et le PC fonctionnent correctement. Quelle configuration du commutateur est la plus appropriée pour le port Fa0/2 si l’administrateur réseau vise les objectifs suivants ?

Personne n’est autorisé à déconnecter le téléphone IP ou le PC et à connecter un autre périphérique câblé.
Si un périphérique différent est connecté, le port Fa0/2 est arrêté.
Le commutateur doit détecter automatiquement l’adresse MAC du téléphone IP et du PC, et ajouter ces adresses à la configuration en cours.

  • SWA(config-if)# switchport port-security
    SWA(config-if)# switchport port-security maximum 2
    SWA(config-if)# switchport port-security mac-address sticky
    SWA(config-if)# switchport port-security violation restrict
  • SWA(config-if)# switchport port-security
    SWA(config-if)# switchport port-security mac-address sticky
  • SWA(config-if)# switchport port-security mac-address sticky
    SWA(config-if)# switchport port-security maximum 2
    Correct Response
  • SWA(config-if)# switchport port-security
    SWA(config-if)# switchport port-security maximum 2
    SWA(config-if)# switchport port-security mac-address sticky
Explique: Le mode par défaut d’une violation de sécurité des ports consiste à fermer le port de sorte que la commande switchport port-security violation ne soit pas nécessaire. La commande switchport port-security doit être saisie sans options supplémentaires pour activer la sécurité du port. D’autres options de sécurité des ports peuvent être ajoutées par la suite.

8. Examinez l’illustration. Le PC1 et le PC2 doivent pouvoir obtenir des affectations d’adresses IP à partir du serveur DHCP. Combien de ports parmi les commutateurs doivent être affectés comme ports fiables dans le cadre de la configuration de la surveillance DHCP ?

  • 1
  • 3
  • 5
  • 7
Explique: La configuration de la surveillance DHCP comprend la création d’une base de données de liaison de surveillance DHCP et l’affectation de ports fiables nécessaires sur les commutateurs. Un port fiable indique les serveurs DHCP légitimes. Dans cette conception de réseau, étant donné que le serveur DHCP est relié à AS3, sept ports de commutateurs doivent être affectés comme ports fiables : un sur AS3 vers le serveur DHCP, un sur DS1 vers AS3, un sur DS2 vers AS3 et deux connexions sur AS1 et AS2 (vers DS1 et DS2).

9. Un expert en sécurité informatique active la sécurité des ports sur un port de commutateur d’un commutateur Cisco. Quel mode de violation par défaut est utilisé avant qu’un autre mode de violation soit configuré sur le port de commutateur ?

  • protect
  • shutdown
  • restrict
  • désactivé
Explique: Si aucun mode de violation n’est spécifié lorsque la sécurité des ports est activée sur un port de commutateur, le mode de violation de sécurité devient « shutdown » par défaut.

10. Quelles sont les deux commandes qui peuvent être utilisées pour activer la protection BPDU sur un commutateur ? (Choisissez deux.)

  • S1(config)# spanning-tree portfast bpduguard default
  • S1(config)# spanning-tree bpduguard default
  • S1(config-if)# enable spanning-tree bpduguard
  • S1(config-if)# spanning-tree portfast bpduguard
  • S1(config-if)# spanning-tree bpduguard enable
Explique: la protection BPDU peut être activée sur tous les portes activés par PortFast en exécutant la commande de configuration globale spanning-tree portfast bpduguard default . Autrement, la protection BPDU peut être activé sur un port activé par PortFast grâce à l’utilisation de la commande de configuration spanning-tree bpduguard enable .

11. Dans le cadre de la nouvelle politique de sécurité, tous les commutateurs du réseau sont configurés pour apprendre automatiquement les adresses MAC de chaque port. Toutes les configurations en cours sont enregistrées au début et à la fin de chaque jour ouvrable. Un violent orage provoque une panne d’alimentation prolongée de plusieurs heures après la fermeture de l’entreprise. Lorsque les commutateurs sont reconnectés au réseau, les adresses MAC enregistrées de manière dynamique sont conservées. Quelle configuration de la sécurité des ports a activé cette fonctionnalité ?

  • adresses MAC sécurisées automatiques
  • adresses MAC sécurisées dynamiques
  • adresses MAC sécurisées statiques
  • adresses MAC sécurisées rémanente
Explique: Avec un adressage MAC à sécurité fixe, les adresses MAC peuvent soit être apprises dynamiquement, soit être configurées manuellement, puis stockées dans le tableau des adresses et ajoutées dan le fichier de configuration en cours. En revanche, l’adressage MAC à sécurité dynamique fournit des adresses MAC apprises dynamiquement qui sont stockées uniquement dans le tableau des adresses.

12. Quel type d’antenne sans fil est la mieux adaptée à la couverture de grands espaces ouverts, tels que des couloirs ou de grandes salles de conférence ?

  • omnidirectionnelle
  • Yagi
  • directionnelle
  • parabolique
Explique: Les antennes omnidirectionnelles envoient les signaux radio à 360 degrés tout autour de l’antenne. Cette solution assure la couverture des périphériques situés n’importe où autour du point d’accès. Les antennes paraboliques, directionnelles et Yagi se concentrent sur les signaux radio dans une direction unique, ce qui les rend moins appropriées pour la couverture de larges zones ouvertes.

13. Quelle topologie réseau sans fil doit être utilisée par les techniciens réseau souhaitant proposer une connexion sans fil dans l’ensemble d’un bâtiment universitaire ?

  • mode mixte
  • infrastructure
  • hotspot
  • ad hoc
Explique: Le mode ad hoc (également connu sous le nom d’ensemble de services de base indépendants ou IBSS) est utilisé dans un réseau sans fil de type P2P (peer-to-peer), par exemple lors de l’utilisation de la technologie Bluetooth. Il existe une variante de la topologie ad hoc dans laquelle un smartphone ou une tablette disposant d’un accès aux données de réseau cellulaire peut créer un hotspot sans fil temporaire. Le mode mixte permet de relier d’anciennes cartes réseau sans fil à un point d’accès utilisant une norme sans fil plus récente.

14. Quelles sont les deux normes sans fil IEEE 802.11 qui ne fonctionnent que dans la gamme de 5 GHz ? (Choisissez deux.)

  • 802.11b
  • 802.11a
  • 802.11g
  • 802.11n
  • 802.11ac
  • 802.11ad
Explique: Les normes 802.11a et 802.11ac ne fonctionnent que dans la gamme de 5 GHz. Les normes 802.11b et 802.11g ne fonctionnent que dans la gamme de 2,4 GHz. La norme 802.11n fonctionne dans les gammes de 2,4 et 5 GHz. La norme 802.11ad fonctionne dans les gammes de 2,4 ,5 et 60 GHz.

15. Un technicien configure un routeur sans fil pour qu’il utilise le canal 1, 6 ou 11. À quoi sert le réglage du canal ?

  • À activer différentes normes 802.11
  • À désactiver la diffusion du SSID
  • À fournir des modes de sécurité renforcée
  • À éviter les interférences générées par des périphériques sans fil à proximité
Explique: Les canaux 1, 6 et 11 sont sélectionnés, car ils sont séparés chacun de 5 canaux, ce qui réduit les interférences avec les canaux adjacents. Une fréquence de canal peut perturber des canaux aux deux extrémités de la fréquence principale. Tous les périphériques sans fil doivent être utilisés sur des canaux non adjacents.

16. Lorsque les participants participent à une conférence, ils utilisent des ordinateurs portables pour se connecter au réseau. Lorsqu’un présentateur tente de se connecter au réseau, l’ordinateur portable n’affiche aucun des réseaux sans fil disponibles. Le point d’accès doit fonctionner dans quel mode ?

  • Actif
  • Ouvert
  • Passif
  • Mixte
Explique: Active est un mode utilisé pour configurer un point d’accès de sorte que les clients doivent connaître le SSID pour se connecter au point d’accès. Les points d’accès et les routeurs sans fil peuvent fonctionner en mode mixte, ce qui signifie qu’ils peuvent simultanément prendre en charge les clients qui se connectent via plusieurs normes. Le mode ouvert est un mode d’authentification pour un point d’accès qui n’a aucun impact sur la liste des réseaux sans fil disponibles pour un client. Lorsqu’un point d’accès est configuré en mode passif, le SSID est diffusé de sorte que le nom du réseau sans fil apparaisse dans la liste des réseaux disponibles pour les clients.

17. Un technicien se prépare à installer et à configurer un réseau sans fil dans une petite filiale. Quelle est la première mesure de sécurité qu’il doit appliquer juste après avoir allumé le routeur ?

  • Désactiver la diffusion des SSID sur le réseau sans fil
  • Changer le nom d’utilisateur et le mot de passe par défaut du routeur sans fil
  • Activer le filtrage d’adresses MAC sur le routeur sans fil
  • Configurer le chiffrement sur le routeur sans fil et les périphériques sans fil connectés
Explique: Pour sécuriser un réseau sans fil, le technicien doit commencer par changer le nom d’utilisateur et le mot de passe par défaut du routeur sans fil. Ensuite, il configure généralement le chiffrement. Puis, une fois que les hôtes sans fil initiaux sont connectés au réseau, il active le filtrage d’adresses MAC et désactive la diffusion SSID. Ainsi, il est impossible pour d’autres hôtes non autorisés de trouver le réseau sans fil et de s’y connecter.

18. Sur un tableau de bord Cisco 3504 WLC, quelle option permet l’accès au menu complet des fonctionnalités ?

  • Avancé
  • Points d’accès
  • Des voleurs
  • Résumé du réseau
Explique: Le tableau de bord Cisco 3504 WLC s’affiche lorsqu’un utilisateur se connecte au WLC. Il fournit quelques paramètres de base et des menus auxquels les utilisateurs peuvent accéder rapidement pour mettre en œuvre une variété de configurations courantes. En cliquant sur le bouton Advanced , l’utilisateur accède à la page récapitulative avancée et accède à toutes les fonctionnalités du WLC.

19. Sur la page Summary du WLC Cisco 3504 (Advanced> Summary ), quel onglet permet à un administrateur réseau d’accéder et de configurer un WLAN pour une option de sécurité spécifique telle que WPA2 ?

  • WLAN
  • SÉCURITÉ
  • GESTION
  • SANS FIL
Explique: L’onglet WLAN de la page récapitulative avancé du WLC Cisco 3504 permet à un utilisateur d’accéder à la configuration des WLAN, y compris la sécurité, la QoS et le mappage de stratégies.

20. Quel est le service qui peut être utilisé sur un routeur sans fil pour prioriser le trafic réseau parmi différents types d’applications afin que la voix et les données vidéo soient prioritaires par rapport au courrier électronique et aux données Web ?

  • NAT
  • QoS
  • DNS
  • DHCP
Explique: De nombreux routeurs sans fil ont une option de configuration de la qualité de service (QoS). En configurant la QoS, certains types de trafic sensibles au temps, tels que la voix et la vidéo, sont prioritaires par rapport au trafic moins sensible au temps, comme le courrier électronique et la navigation sur le web.

21. Un ingénieur réseau est en mission de dépanner un réseau sans fil récemment déployé qui utilise les dernières normes 802.11. Lorsque les utilisateurs accèdent à des services à large bande passante tels que la vidéo en streaming, les performances du réseau sans fil sont faibles. Pour améliorer les performances, l’ingénieur réseau décide de configurer un SSID de bande de fréquences de 5 GHz et de former les utilisateurs à utiliser ce SSID pour les services de médias en streaming. Pourquoi cette solution peut-elle améliorer les performances du réseau sans fil pour ce type de service?

  • Les seuls utilisateurs qui pourront passer à la bande de 5 GHz seront ceux qui disposeront des NIC sans fil plus récents , ce qui réduira l’utilisation.
  • La bande de 5 GHz a une gamme plus étendue et est donc susceptible de ne pas causer d’interférences.
  • La bande de 5 GHz comprend plusieurs canaux et est moins encombrée que la bande de 2,4 GHz, ce qui la rend plus adaptée à la diffusion multimédia en streaming.
  • Forcer les utilisateurs de basculer à la bande de 5 GHz pour la diffusion de médias en streaming est gênant et réduira le nombre d’utilisateurs qui accèdent à ces services.
Explique: La gamme sans fil est déterminée par l’antenne du point d’accès et la puissance de sortie, et non par la bande de fréquence utilisée. Dans ce scénario, il est indiqué que tous les utilisateurs disposent les NIC sans fil conformes à la dernière norme, et que tous peuvent donc accéder à la bande de 5 GHz. Bien que certains utilisateurs considèrent qu’il est gênant de passer à la bande 5 Ghz pour accéder aux services de streaming, c’est le plus grand nombre de canaux, mais pas seulement le nombre d’utilisateurs qui améliorera les performances du réseau.

22. Un administrateur réseau configure une connexion au serveur RADIUS sur un WLC de la série Cisco 3500. La configuration nécessite un mot de passe secret partagé. Quel est le but du mot de passe secret partagé ?

  • Il est utilisé pour chiffrer les messages entre le WLC et le serveur RADIUS.
  • Il est utilisé par le serveur RADIUS pour authentifier les utilisateurs WLAN.
  • Il est utilisé pour authentifier et chiffrer les données d’utilisateur sur le WLAN.
  • Il permet aux utilisateurs d’authentifier et d’accéder au WLAN.
Explique: Le protocole RADIUS utilise des fonctionnalités de sécurité pour protéger les communications entre le serveur RADIUS et les clients. Un secret partagé est le mot de passe utilisé entre le WLC et le serveur RADIUS. Il n’est pas pour les utilisateurs finaux.

23. Quel est le composant, la mise en œuvre ou le protocole de contrôle d’accès qui indique le succès ou l’échec d’un service demandé par le client avec un message PASS ou FAIL ?

  • Gestion des comptes
  • 802.1X
  • Authentification
  • Autorisation

24. Quel sont les WLAN qui sont basés sur la norme 802.11 et une fréquence radio 2,4 GHz ou 5 GHz.

  • Réseau étendu sans fil (WAN)
  • Réseau métropolitain sans fil
  • Réseau local sans fil (WLAN)
  • Réseau personnel sans fil

25. Associer chaque composante fonctionnelle de l’AAA à sa description. (Toutes les options ne doivent pas être utilisées.)

26. Quelles sont les deux solutions Cisco qui aident à prévenir les attaques d’insuffisance de ressources DHCP ? (Choisissez deux.)

  • Sécurité des ports
  • Protection de la source IP
  • Espionnage (snooping) DHCP
  • Inspection ARP dynamique
  • Appliances de sécurisation du Web

Explique: Cisco fournit des solutions pour aider à atténuer les attaques de couche 2, y compris :

  • La protection de la source IP (IPSG) – permet d’éviter les attaques d’usurpation des adresses MAC et IP.
  • L’inspection ARP dynamique (DAI) – permet d’éviter les attaques par l’usurpation et par l’empoisonnement du ARP
  • L’espionnage DHCP (snooping) – permet d’éviter l’insuffisance de ressources DHCP et les attaques par usurpation DHCP.
  • Sécurité des ports – permet d’éviter de nombreux types d’attaques, y compris les attaques de saturation de la table MAC et les attaques d’insuffisance de resources DHCP.

L’appliance de sécurité Web (WSA) est une technologie d’atténuation des menaces Web.

27. Plusieurs actions peuvent pallier une attaque de VLAN. Citez-en trois. (Choisissez trois propositions.)

  • Faire d’un VLAN inutilisé le VLAN natif.
  • Désactiver le protocole DTP.
  • Activer manuellement le trunking.
  • Activer la fonction de protection BPDU.
  • Activer la fonction de protection de source.
  • Utiliser des VLAN privés.
Explique: Il est possible de pallier une attaque de VLAN en désactivant le DTP (Dynamic Trunking Protocol), en réglant manuellement le mode d’agrégation de liens pour les ports et en faisant de VLAN inutilisés les VLAN natifs des liaisons trunk.

28. Examinez l’illustration. Que peut-on conclure à propos de la sécurité des ports à partir des informations présentées ?

  • Le port est désactivé.
  • Le port possède le nombre maximal d’adresses MAC pris en charge par un port de commutateur de couche 2 configuré pour la sécurité des ports.
  • Deux périphériques sont connectés au port.
  • Le mode de violation du port utilisé est le mode par défaut pour n’importe quel port dont la sécurité est activée.
Explique: La ligne Port Security affiche simplement un état Enabled si la commande switchport port-security (sans options) a été sélectionnée pour un port de commutateur donné. Si une violation de sécurité des ports s’est produite, un autre message d’erreur apparaît, tel que Secure-shutdown . Le nombre maximum d’adresses MAC prises en charge est de 50. La ligne Maximum MAC Addresses est utilisée pour afficher le nombre d’adresses MAC pouvant être acquises (2 dans ce cas). La ligne Sticky MAC Addresses indique qu’un seul périphérique a été connecté et automatiquement acquis par le commutateur. Cette configuration peut être utilisée lorsqu’un port est partagé par deux personnes partageant un bureau cloisonné avec des ordinateurs portables distincts.

29. Un administrateur réseau d’un collège configure le processus d’authentification des utilisateurs WLAN. Les utilisateurs sans fil doivent saisir un nom d’utilisateur et un mot de passe qui seront vérifiés par un serveur. Quel est le serveur qui fournirait ce service ?

  • AAA
  • SNMP
  • NAT
  • RADIUS
Explique: Remote Authentication Dial-In User Service (RADIUS) est un protocole et un logiciel de serveur qui fournit une authentification basée sur l’utilisateur dans une organisation. Lorsqu’un WLAN est configuré pour utiliser un serveur RADIUS, les utilisateurs saisissent les informations d’identification du nom d’utilisateur et du mot de passe vérifiées par le serveur RADIUS avant d’autoriser le WLAN.

30. Un technicien dépanne un réseau local sans fil (WLAN) lent composé de périphériques 802.11b et 802.11g. Un nouveau routeur double bande 802.11n/ac a été déployé sur le réseau pour remplacer l’ancien routeur 802.11g. Que peut faire le technicien pour résoudre la lenteur de la vitesse sans fil?

  • Modifier le SSID.
  • Configurer les périphériques pour qu’ils utilisent un autre canal.
  • Mettre à jour le firmware du nouveau routeur.
  • Diviser le trafic sans fil entre la bande 802.11n 2,4 GHz et la bande 5 GHz.
Explique: La division du trafic sans fil entre la bande 802.11n 2,4 GHz et la bande 5 GHz permettra à la 802.11n d’utiliser les deux bandes comme deux réseaux sans fil distincts afin de gérer le trafic, et donc améliorer les performances sans fil.

31. Selon le règlement de travail, les employés ne peuvent pas avoir de four à micro-ondes dans leur bureau. Ils doivent utiliser les fours à micro-ondes se trouvant dans la cafétéria du personnel. Quel risque lié à la sécurité des réseaux sans fil l’entreprise essaie-t-elle d’éviter ?

  • les interférences accidentelles
  • les points d’accès indésirables
  • une configuration incorrecte des périphériques
  • l’interception de données
Explique: Les attaques par déni de service peuvent être le résultat de périphériques mal configurés, pouvant désactiver le WLAN. Des interférences accidentelles dues à des appareils tels que des fours à micro-ondes ou des téléphones sans fil peuvent avoir une incidence à la fois sur la sécurité et les performances d’un WLAN. Les attaques de type Man-in-the-Middle peuvent permettre à un pirate informatique d’intercepter des données. Les points d’accès indésirables peuvent permettre à des utilisateurs non autorisés d’accéder au réseau sans fil.

32. Quelle est la fonction fournie par le protocole CAPWAP dans un réseau sans fil d’entreprise ?

  • CAPWAP fournit le chiffrement du trafic utilisateur sans fil entre un point d’accès et un client sans fil.
  • CAPWAP crée un tunnel sur les ports TCP (Transmission Control Protocol) afin de permettre à un WLC de configurer un point d’accès autonome.
  • CAPWAP fournit l’encapsulation et le transfert du trafic utilisateur sans fil entre un point d’accès et un contrôleur LAN sans fil.
  • CAPWAP fournit la connectivité entre un point d’accès qui utilise l’adressage IPv6 et un client sans fil qui utilise l’adressage IPv4.
Explique: CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et WLAN. CAPWAP est également responsable de l’encapsulation et de la transmission du trafic client WLAN entre un AP et un WLC.

33. Ouvrez le fichier d’activité Packet Tracer. Effectuez les tâches dans les instructions relatives et puis répondez à la question.Que se passe-t-il s’il y a une violation de sécurité de port sur l’interface Fa 0/1 du commutateur S1 ?

  • Un message syslog est enregistré.
  • Les paquets dont les adresses source sont inconnues sont abandonnés.
  • Une notification est envoyée.
  • L’interface est placée dans l’état de désactivation des erreurs.
Explique: Le mode de violation peut être affiché en exécutant la commande show port-security interface <int> . L’interface FastEthernet 0/1 est configurée avec le mode violation de protection. En cas de violation, l’interface FastEthernet 0/1 abandonne les paquets avec des adresses MAC inconnues.

34. Quel est le composant, la mise en œuvre ou le protocole de contrôle d’accès qui vérifie quelles actions des utilisateurs sont effectuées sur le réseau ?

  • Autorisation
  • 802.1X
  • Authentification
  • Gestion des comptes

35. Quels sont les trois paramètres qui devraient être modifiés si des meilleurs pratiques sont mises en œuvre pour un point d’accès sans fil domestique ? (Choisissez trois.)

  • Mot de passe du réseau sans fil
  • Mot de passe du système d’exploitation de client sans fil
  • Mot de passe d’AP
  • Heure de la balise sans fil
  • Fréquence de l’antenne
  • SSID
Explique: Dès qu’un point d’accès est déballé, le mot de passe par défaut de l’appareil, le SSID et les paramètres de sécurité (mot de passe du réseau sans fil) doivent être définis. La fréquence d’une antenne sans fil peut être ajustée, mais cela n’est pas obligatoire. L’heure de la balise n’est pas normalement configurée. Le mot de passe du système d’exploitation du client sans fil n’est pas affecté par la configuration d’un réseau sans fil domestique.

36. Un ordinateur portable ne peut pas se connecter à un point d’accès sans fil. Quelles sont les deux étapes de dépannage à effectuer en premier? (Choisissez deux.)

  • S’assurer que le SSID sans fil est choisi.
  • S’assurer que le support réseau correct est sélectionné.
  • S’assurer que la carte réseau sans fil est activée.
  • S’assurer que la carte réseau est configurée pour la fréquence appropriée.
  • S’assurer que l’antenne de l’ordinateur portable est fixée.
Explique: Un ordinateur portable sans fil n’a pas normalement une antenne attachée, sauf si une réparation nouvelle est mise en place. Si la carte NIC sans fil est activée, les médias appropriés et la radio seront utilisés. Lorsque le NIC détecte un point d’accès, la correcte fréquence est automatiquement utilisée.

37. Quel est le protocole qui peut être utilisé pour surveiller le réseau ?

  • SNMP
  • RADIUS
  • DHCP
  • AAA
Explique: SNMP (Simple Network Management Protocol) est utilisé pour surveiller et gérer le réseau.

38. Un administrateur réseau tente d’améliorer les performances WLAN d’un routeur sans fil dual-bande. Quelle est la façon la plus simple pour réaliser le résultat de partage du trafic ?

  • Ajouter un extenseur de gamme Wi-Fi au WLAN et réglez l’AP et l’extenseur de gamme pour qu’ils servent des bandes différentes.
  • Vérifier et tenir à jour le micrologiciel du routeur sans fil.
  • Exiger que tous les périphériques sans fil utilisent la norme 802.11n.
  • S’assurer que différents SSID sont utilisés pour les bandes 2,4 GHz et 5 GHz.
Explique: Par défaut, les routeurs double bande et les points d’accès utilisent le même nom de réseau sur la bande 2,4 GHz et la bande 5 GHz. Le moyen le plus simple de segmenter le trafic consiste à renommer l’un des réseaux sans fil.

39. Quel est le type de réseau sans fil qui convient aux communications nationales et mondiales ?

  • Réseau métropolitain sans fil
  • Réseau personnel sans fil
  • Réseau étendu sans fil (WAN)
  • Réseau local sans fil (WLAN)

40. Quelle fonctionnalité ou configuration d’un commutateur le rend vulnérable aux attaques à double étiquetage VLAN ?

  • Le VLAN natif du port trunking étant le même qu’un VLAN utilisateur.
  • La taille limitée de l’espace mémoire est adressable au contenu.
  • Le mode duplex mixte est activé par défaut sur tous les ports.
  • La fonctionnalité de port de liaison automatique activée sur tous les ports par défaut.
Explique: Une attaque par double étiquetage (ou double encapsulation) de saut de VLAN profite de la manière dont le matériel de la plupart des commutateurs fonctionne. La plupart des commutateurs n’effectuent qu’un seul niveau de décapsulation 802.1Q, qui permet à un attaquant d’intégrer une balise 802.1Q dissimulée à l’intérieur de la trame. Cette étiquette permet de transmettre la trame à un VLAN que l’étiquette 802.1Q originale ne spécifiait pas. Une caractéristique importante de l’attaque par saut VLAN à double encapsulation est qu’elle fonctionne même si les ports du trunc sont désactivés, car un hôte envoie généralement une trame sur un segment qui n’est pas un liaison de trunc. Ce type d’attaque de double étiquetage VLAN est unidirectionnelle et ne fonctionne que lorsque l’attaquant est connecté à un port résidant dans le même VLAN que le VLAN natif du port de trunc.

41. Quel est l’un des avantages du masquage du SSID ?

  • Il s’agit de la meilleure façon de sécuriser un réseau sans fil.
  • Les SSID sont très difficiles à détecter parce que les points d’accès ne les diffusent pas.​
  • Les clients devront identifier manuellement le SSID pour se connecter au réseau.​
  • Il fournit un accès Internet gratuit dans les endroits publics où il n’est pas important de connaître le SSID.
Explique: Le masquage du SSID est une fonction de sécurité faible exécutée par les points d’accès et certains routeurs sans fil, et qui autorise la désactivation de la trame de balise du SSID. Bien que les clients doivent identifier manuellement le SSID pour se connecter au réseau, ce SSID peut être aisément détecté. Le meilleur moyen de sécuriser un réseau sans fil consiste à utiliser des systèmes d’authentification et de chiffrement. Le masquage du SSID n’offre pas d’accès Internet gratuit dans des lieux publics, mais une authentification système ouverte peut être appliquée dans cette situation.

42. Un administrateur réseau est chargé de mettre à niveau l’accès sans fil des utilisateurs finaux dans un bâtiment. Pour fournir des débits de données pouvant atteindre 1,3 Gbit/s et toujours assurer une rétrocompatibilité avec des périphériques plus anciens, quelle norme sans fil doit être implémentée ?

  • 802.11b
  • 802.11n
  • 802.11ac
  • 802.11g
Explique: 802.11ac fournit des débits de données pouvant atteindre 1,3 Gbit/s et est toujours rétrocompatible avec des périphériques 802.11a/b/g/n. 802.11g et 802.11n sont des normes plus anciennes qui ne peuvent pas atteindre des débits supérieurs à 1 Gbit/s. 802.11ad est une norme plus récente offrant des débits théoriques pouvant atteindre 7 Gbit/s.

43. Quelles sont les deux méthodes utilisées par une carte réseau sans fil pour détecter un point d’accès ? (Choisissez deux réponses.)

  • transmission d’une requête d’analyse
  • envoi d’une trame de diffusion
  • réception d’une trame de balise de diffusion
  • établissement d’une connexion en trois étapes
  • envoi d’une requête ARP
Explique: Deux méthodes peuvent être utilisées par un périphérique sans fil pour détecter un point d’accès et s’y enregistrer, à savoir le mode passif et le mode actif. En mode passif, le point d’accès envoie une trame de balise de diffusion contenant le SSID ainsi que d’autres paramètres sans fil. En mode actif, le périphérique sans fil doit être configuré manuellement pour le SSID, puis le périphérique diffuse une requête d’analyse.

44. Reportez-vous à l’illustration. La sécurité de port a été configurée sur l’interface Fa 0/12 du commutateur S1. Quelle action se produira lorsque PC1 est connecté au commutateur S1 avec la configuration appliquée?

  • Les trames de PC1 seront transférées à sa destination, mais aucune entrée de journal ne sera créée.
  • Les trames de PC1 seront transférées à sa destination et une entrée de journal sera créée.
  • Les trames de PC1 seront supprimées et un message de journal sera créé.
  • Les trames de PC1 seront transférées dans la mesure où la commande switchport port security violation est manquante.
  • Les trames de PC1 seront supprimées, et il n’y aura pas de journal de la violation.
  • Les trames de PC1 provoquent l’arrêt immédiat de l’interface, et une entrée de journal sera effectuée.
Explique: La configuration manuelle de l’adresse MAC unique autorisée a été saisie sur le port fa 0/12. PC1 a une adresse MAC différente et une fois qu’il se connecte, le port s’éteint (action par défaut), un message de journal sera automatiquement créé et le compteur de violation sera incrémenté. L’action par défaut d’arrêt est recommandée car l’option de restriction peut échouer si une attaque est en cours.

45. Quel type d’attaque par saut de VLAN peut être prévenu en définissant un VLAN inutilisé comme VLAN natif ?

  • L’attaque de double étiquetage VLAN
  • Usurpation (spoofing) DHCP
  • Insuffisance de ressources DHCP
  • Usurpation de DTP
Explique: L’usurpation de messages DTP oblige un commutateur de passer en mode trunking au cours d’une attaque par saut de VLAN , mais le double étiquetage de VLAN fonctionne même si les ports du trunc sont désactivés. Le remplacement du VLAN natif par défaut par un VLAN non utilisé réduit la possibilité de ce type d’attaque. L’usurpation DHCP et l’insuffisance DHCP exploitent les vulnérabilités dans l’échange de messages DHCP .​

46. Un administrateur réseau configure DAI sur un commutateur avec la commande ip arp inspection validate src-mac . Quel est l’objectif de cette commande de configuration?

  • Il vérifie l’adresse MAC de source dans l’en-tête Ethernet par rapport aux listes de contrôle d’accès ARP configurées par l’utilisateur.
  • Il vérifie l’adresse MAC de source dans l’en-tête Ethernet par rapport à l’adresse MAC cible dans le corps ARP.
  • Il vérifie l’adresse MAC de source dans l’en-tête Ethernet par rapport à l’adresse MAC de l’expéditeur dans le corps ARP.
  • Il vérifie l’adresse MAC de source dans l’en-tête Ethernet par rapport à la table d’adresse MAC.

Explique: L’inspection ARP dynamique (DAI) peut être configuré pour examiner la destination ou la source des adresses MAC et IP :

  • Destination MAC – Vérifie la destination d’adresse MAC dans l’en-tête Ethernet contre l’adresse MAC cible dans le corps ARP.
  • Adresse MAC source – Vérifie la source d’adresse MAC dans l’en-tête Ethernet contre l’adresse MAC de l’expéditeur dans le corps ARP.
  • Adresse IP – Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris l’adresses 0.0.0.0, 255.255.255.255 et tous les adresses multidiffusion IP.

47. Un administrateur réseau configure la sécurité des ports sur un commutateur Cisco. La politique de sécurité de l’entreprise indique qu’en cas de violation, les paquets associés à des adresses source inconnues sont à supprimer, et ce sans aucune notification. Quel mode de violation doit être configuré sur les interfaces ?

  • off
  • restrict
  • protect
  • shutdown

Explique: Sur un commutateur Cisco, une interface peut être configurée pour l’un des trois modes de violation, en spécifiant la mesure à prendre si une violation a lieu :

  • Protéger – Les paquets avec des adresses source inconnues sont abandonnés jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soient supprimées ou que le nombre maximum d’adresses autorisées soit atteint. Aucune notification n’indique qu’une violation de sécurité s’est produite.
  • Restreindre – Les paquets avec des adresses source inconnues sont abandonnés jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soient supprimées ou que le nombre maximum d’adresses autorisées soit atteint. Dans ce mode, une notification indique qu’une violation de sécurité s’est produite.
  • Arrêt – L’interface devient immédiatement error-disabled et la LED du port s’éteint.

48. Quel est l’avantage en matière de sécurité qui permet la protection BPDU sur les interfaces activées par PortFast ?

  • Renforcer la mise en place des ponts de racines
  • Prévenir les attaques par saturation de la mémoire tampon
  • Potection contre les boucles de couche 2
  • Empêcher l’ajout de commutateurs non fiables au réseau
Explique: La protection BPDU désactive immédiatement par erreur un port qui reçoit une unité BPDU. Cela empêche l’ajout de commutateurs non fiables au réseau. La protection BPDU ne doit être appliquée qu’à tous les ports de l’utilisateur final.

49. Un administrateur réseau saisit les commandes suivantes sur le commutateur SW1.

SW1(config)# interface range fa0/5 – 10
SW1(config-if)# ip dhcp snooping limit rate 6

Quel est l’effet après la saisie de ces commandes ?

  • Si l’un des ports FastEthernet 5 à 10 reçoit plus de 6 messages DHCP par seconde, le port sera arrêté.
  • Si l’un des ports FastEthernet 5 à 10 reçoit plus de 6 messages DHCP par seconde, le port continuera à fonctionner et un message d’erreur sera envoyé à l’administrateur réseau.
  • Les ports FastEthernet 5 à 10 peuvent recevoir jusqu’à 6 messages DHCP par seconde de tout type.
  • Les ports FastEthernet 5 à 10 peuvent recevoir jusqu’à 6 messages de découverte DHCP par seconde.

50. Quel protocole devrait être utilisé pour atténuer la vulnérabilité liée à l’utilisation de Telnet pour gérer des périphériques réseau à distance ?

  • SNMP
  • SSH
  • TFTP
  • SCP
Explique: Telnet utilise du texte brut pour communiquer dans un réseau. Le nom d’utilisateur et le mot de passe peuvent être capturés si la transmission des données est interceptée. SSH chiffre les communications de données entre deux périphériques de réseau. TFTP et SCP sont utilisés pour le transfert de fichiers sur le réseau. SNMP est utilisé dans les solutions de gestion de réseau.

51. Quel composant du modèle AAA est utilisé pour déterminer les ressources auxquelles l’utilisateur peut accéder et les opérations qu’il est autorisé à effectuer ?

  • traçabilité
  • Audit
  • authentification
  • autorisation
Explique: L’une des composantes de l’authentification AAA est l’autorisation. Une fois que l’utilisateur est authentifié via AAA, les services d’autorisation déterminent les ressources auxquelles l’utilisateur peut accéder et les opérations qu’il est autorisé à effectuer.

52. Quel type de trame de gestion peut être régulièrement diffusé par un point d’accès ?

  • réponse d’analyse
  • authentification
  • requête d’analyse
  • balise
Explique: Les balises sont les seules trames de gestion pouvant être diffusées régulièrement par un point d’accès. Les trames d’analyse, d’authentification et d’association sont utilisées exclusivement durant le processus d’association (ou de réassociation).

53. Une entreprise a récemment mis en place un réseau sans fil 802.11n. Certains utilisateurs se plaignent que le réseau sans fil est trop lent. Quelle solution est la meilleure méthode pour améliorer la performance du réseau sans fil?

  • Mettre à niveau le firmware sur le point d’accès sans fil.
  • Désactiver DHCP sur le point d’accès et attribuer des adresses statiques aux clients sans fil.
  • Répartir le trafic entre les bandes de fréquences 2,4 GHz et 5 GHz.
  • Remplacer les cartes réseau (NIC) sans fil sur les ordinateurs dont les connexions sont lentes.
Explique: Étant donné que certains utilisateurs se plaignent que le réseau est trop lent, la meilleure solution serait de diviser le trafic donc deux réseaux utilisent des fréquences différentes en même temps. Le remplacement de NIC sans fil ne résoudra pas le problème de la lenteur du réseau et pourrait être coûteux pour l’entreprise.L’adressage DHCP par rapport à l’adressage statique ne devrait pas avoir d’impact sur la lenteur du réseau et il serait une tâche énorme d’attribuer un adressage statique à tous les utilisateurs pour leur connexion sans fil. Mettre à niveau le firmware sur le point d’accès sans fil est toujours la meilleure idée. Toutefois, si certains utilisateurs souffrent d’une connexion réseau lente, cela n’améliorerapas probablement de manière substantielle les performances du réseau.

54. Un administrateur réseau déploie un routeur sans fil dans un petit cabinet d’avocats. Les ordinateurs portables des employés rejoignent le WLAN et reçoivent des adresses IP dans le réseau 10.0.10.0/24. Quel est le service utilisé sur le routeur sans fil pour permettre aux ordinateurs portables des employés d’accéder à l’internet ?

  • RADIUS
  • NAT
  • DNS
  • DHCP
Explique: Toute adresse dont le premier octet comporte le chiffre 10 est une adresse IPv4 privée qui ne peut pas être routée sur l’internet. Le routeur sans fil utilisera un service appelé “Traduction D’adresses Réseau” (NAT) pour convertir les adresses IPv4 privées en adresses IPv4 routables sur l’internet pour que les appareils sans fil puissent accéder à l’internet.

55. Quel est le composant, la mise en œuvre ou le protocole de contrôle d’accès qui enregistre les commandes d’EXEC et de configuration configurées par un utilisateur ?

  • Authentification
  • Autorisation
  • 802.1X
  • Gestion des comptes

56. Quel est le type de réseau sans fil qui est approprié pour une utilisation au maison ou au bureau ?

  • Réseau métropolitain sans fil
  • Réseau local sans fil (WLAN)
  • Réseau étendu sans fil (WAN)
  • Réseau personnel sans fil

57. Quels sont les deux protocoles utilisés par AAA pour authentifier les utilisateurs par rapport à une base de données centrale de noms d’utilisateur et de mot de passe ? (Choisissez deux.)

  • NTP
  • SSH
  • TACACS+
  • RADIUS
  • CHAP
  • HTTPS
Explique: En utilisant TACACS+ ou RADIUS, AAA peut authentifier les utilisateurs à partir d’une base de données de noms d’utilisateur et de mots de passe stockés de manière centralisée sur un serveur tel qu’un serveur Cisco ACS.

58. Quelle caractéristique d’un commutateur le rend vulnérable aux attaques par saut de VLAN ?

  • La fonctionnalité de port de liaison automatique activée sur tous les ports par défaut.
  • Prise en charge de la bande passante des ports mixtes activée par défaut pour tous les ports.
  • Le mode duplex mixte est activé par défaut sur tous les ports.
  • La taille limitée de l’espace mémoire est adressable au contenu.
Explique: Une attaque par saut de VLAN permet au trafic d’un VLAN d’être détecté par un autre VLAN sans routage. Dans une attaque de base de saut de VLAN, l’acteur de menace profite de la fonction de port de trunc automatique activée par défaut sur la plupart des ports de commutateur.

59. Quel est le composant, la mise en œuvre ou le protocole de contrôle d’accès qui contrôle ce que les utilisateurs peuvent réaliser sur le réseau ?

  • 802.1X
  • Gestion des comptes
  • Autorisation
  • Authentification

60. Quel est le type de réseau sans fil utilise couramment des appareils Bluetooth ou ZigBee ?

  • Réseau local sans fil (WLAN)
  • Réseau étendu sans fil (WAN)
  • Réseau métropolitain sans fil
  • Réseau personnel sans fil

61. Quel mode de sécurité sans fil requiert un serveur RADIUS pour authentifier les utilisateurs sans fil ?

  • personnel
  • entreprise
  • WEP
  • clé partagée
Explique: Les technologies WPA et WPA2 existent sous deux formes, à savoir Personal et Enterprise. La version Personal est utilisée dans les réseaux domestiques ou de petits bureaux. La clé partagée permet d’utiliser trois techniques d’authentification différentes : (1) WEP, (2) WPA et (3) 802.11i/WPA2. WEP est une méthode de chiffrement.

62. Quelle est la meilleure pratique concernant les protocoles de découverte tels que CDP et LLDP sur les périphériques réseau ?

  • Activer CDP sur les périphériques de bord et activer LLDP sur les périphériques intérieurs.
  • Utiliser le LLDP standard ouvert plutôt que CDP.
  • Utiliser les paramètres de routeur par défaut pour CDP et LLDP.
  • Désactiver les deux protocoles sur toutes les interfaces où ils ne sont pas requis.
Explique: Les deux protocoles de découverte peuvent fournir aux hackers des informations sensibles concernant le réseau. Ils ne doivent pas être activés sur les périphériques de bord et doivent être désactivés globalement ou sur la base d’une interface si cela n’est pas nécessaire. La fonctionnalité CDP est activée par défaut.​

63. Quelle est l’étape requise avant de créer un nouveau WLAN sur un WLC Cisco 3500 ?

  • Créer ou disposer un serveur SNMP.
  • Créer ou disposer un serveur RADIUS.
  • Créer un nouveau SSID.
  • Créer une nouvelle interface de VLAN.
Explique: Chaque nouveau WLAN configuré sur un WLC Cisco 3500 a besoin de sa propre interface VLAN. Il est donc nécessaire de créer une nouvelle interface VLAN avant de pouvoir créer un nouveau WLAN.

64. Sur la page Summary du WLC Cisco 3504 ( Advanced> Summary ), quel onglet permet à un administrateur réseau d’accéder et de configurer un WLAN pour une option de sécurité spécifique telle que WPA2 ?

  • SÉCURITÉ
  • SANS FIL
  • GESTION
  • WLAN
Explique: L’onglet WLAN de la page récapitulative avancé du WLC Cisco 3504 permet à un utilisateur d’accéder à la configuration des WLAN, y compris la sécurité, la QoS et le mappage de stratégies.

65. Quel est le composant, la mise en œuvre ou le protocole de contrôle d’accès restreint l’accès au réseau local par des ports de commutateur accessibles au public ?

  • autorisation
  • 802.1X
  • authentification
  • gestion de comptes

66. Quel est le type de réseau sans fil qui utilise des transmetteurs pour assurer une couverture sur une zone géographique étendue ?

  • Réseau étendu sans fil (WAN)
  • Réseau métropolitain sans fil
  • Réseau personnel sans fil
  • Réseau local sans fil (WLAN)

67. Quel est le composant, la mise en œuvre ou le protocole de contrôle d’accès qui est basé sur les rôles de périphérique du demandeur, d’authentificateur et du serveur d’authentification ?

  • Gestion des comptes
  • Authentification
  • 802.1X
  • Autorisation

68. Quel est le composant, la mise en œuvre ou le protocole de contrôle d’accès basé sur les noms d’utilisateur et les mots de passe ?

  • Authentification
  • 802.1X
  • Autorisation
  • Gestion des comptes

69. Quel est le composant, la mise en œuvre ou le protocole de contrôle d’accès qui contrôle ce ui est autorisé à accéder à un réseau ?

  • Authentification
  • 802.1X
  • Autorisation
  • Gestion des comptes

70. Quel est le type de réseau sans fil qui utilise des émetteurs de faible puissance pour un réseau à courte gamme, généralement de 6 à 9 mètres (20 à 30 pieds)?

  • Réseau personnel sans fil
  • Réseau local sans fil (WLAN)
  • Réseau étendu sans fil (WAN)
  • Réseau métropolitain sans fil

71. Quel est le type de réseau sans fil qui utilise des émetteurs pour fournir un service sans fil dans une grande région urbaine ?

  • Réseau personnel sans fil
  • Réseau local sans fil (WLAN)
  • Réseau métropolitain sans fil
  • Réseau étendu sans fil (WAN)

72. Quel est le type de réseau sans fil qui utilise souvent des appareils montés sur les bâtiments ?

  • Réseau personnel sans fil
  • Réseau local sans fil (WLAN)
  • Réseau étendu sans fil (WAN)
  • Réseau métropolitain sans fil

 

You might also like More from author
Subscribe
Notify of
guest

1 Comment
Newest
Oldest Most Voted
Inline Feedbacks
View all comments
Maman
Maman
1 year ago

Manque trois questions :

-Quel est le type de réseau sans fil qui utilise souvent des appareils montés sur les bâtiments ?

-Quel est le type de réseau sans fil qui utilise souvent des appareils montés sur les bâtiments ?

-Quel est le type de réseau sans fil qui utilise souvent des appareils montés sur les bâtiments ?

3
Reply