Révision rapide : Sécurité – CCNA

Ce que vous devez vraiment savoir

La sécurité dans le CCNA concerne les contrôles de base nécessaires pour protéger les dispositifs, les accès, le trafic et l'infrastructure réseau. Il ne faut pas penser à la sécurité uniquement comme firewall ou antivirus : dans un réseau Cisco, le hardening des dispositifs, l'authentification, l'autorisation, les ACL, les protections Layer 2, la segmentation, le logging, les mises à jour et l'accès distant sécurisé entrent tous en jeu.

Pour CCNA, vous devez comprendre quels contrôles réduisent le risque, où ils s'appliquent et quels problèmes ils cherchent à prévenir. Beaucoup de questions ne demandent pas seulement la définition, mais quelle mesure est la plus adaptée dans un scénario.

Le point central est celui-ci : la sécurité réseau est faite de plusieurs couches. Aucun contrôle unique ne suffit à lui seul.

Concepts clés

• Triade CIA : confidentialité, intégrité et disponibilité.
• Threat : menace pouvant causer un dommage.
• Vulnerability : faiblesse exploitable par une menace.
• Risk : possibilité qu'une menace exploite une vulnérabilité avec un impact.
• Hardening : réduction de la surface d'attaque d'un dispositif.
• AAA : Authentication, Authorization et Accounting.
• SSH : accès distant sécurisé et chiffré.
• Telnet : accès distant non chiffré, à éviter.
• ACL : règles qui filtrent le trafic.
• Port security : limite les adresses MAC autorisées sur un port switch.
• DHCP snooping : protège contre les serveurs DHCP non autorisés.
• DAI : Dynamic ARP Inspection, protège contre ARP spoofing.
• VPN : crée des communications chiffrées sur des réseaux non fiables.
• Segmentation : sépare les réseaux et réduit le mouvement latéral.
• Logging : enregistre des événements utiles pour monitoring, audit et troubleshooting.

Différences à ne pas confondre

Concept	Signification principale
Authentication	Vérifie l'identité
Authorization	Définit ce qui est autorisé
Accounting	Enregistre les activités
SSH	Accès distant chiffré
Telnet	Accès distant non chiffré
ACL	Filtre le trafic Layer 3/4
Port security	Contrôle les MAC sur les ports switch
DHCP snooping	Bloque DHCP non autorisé
DAI	Protège contre ARP spoofing
VPN	Chiffre les communications
Segmentation	Sépare les réseaux et limite l'impact

Triade CIA

La triade CIA est l'un des concepts de base de la sécurité.

• Confidentiality / Confidentialité : empêcher les accès non autorisés aux informations.
• Integrity / Intégrité : empêcher les modifications non autorisées ou incorrectes.
• Availability / Disponibilité : garantir que les systèmes et services soient accessibles lorsqu'ils sont nécessaires.

Exemples :

• chiffrement et contrôle d'accès aident la confidentialité ;
• hashing, contrôles et autorisations aident l'intégrité ;
• redondance, sauvegardes et protection contre les attaques DoS aident la disponibilité.

Pour CCNA, vous devez savoir relier un scénario au bon principe CIA.

Menaces, vulnérabilités et risque

Une menace est quelque chose qui peut causer un dommage, comme des malwares, attaquants, erreurs humaines, mauvaises configurations ou accès non autorisés.

Une vulnérabilité est une faiblesse, comme des mots de passe faibles, logiciels non mis à jour, ports ouverts inutilement ou protocoles non sécurisés.

Le risque apparaît lorsqu'une menace peut exploiter une vulnérabilité avec un impact.

Exemple :

• menace : attaquant ;
• vulnérabilité : Telnet activé ;
• risque : vol d'identifiants et accès non autorisé au dispositif.

Hardening des dispositifs

Le hardening consiste à rendre un dispositif plus sécurisé en réduisant les fonctions inutiles, les configurations faibles et les surfaces d'attaque.

Exemples de hardening :

• utiliser SSH au lieu de Telnet ;
• désactiver les services non nécessaires ;
• utiliser des mots de passe robustes ;
• configurer les bons privilege levels ;
• utiliser des bannières légales si nécessaire ;
• limiter l'accès aux lignes VTY ;
• utiliser des ACL pour l'accès management ;
• désactiver les ports inutilisés ;
• mettre à jour firmware ou software ;
• sauvegarder et protéger les configurations.

Pour CCNA, vous devez retenir que hardening signifie réduire les possibilités d'abus et d'accès non autorisé.

SSH vs Telnet

SSH et Telnet permettent l'accès distant à la CLI, mais ils ont une différence fondamentale.

• SSH chiffre la communication.
• Telnet envoie les données en clair.

Dans un scénario sécurisé, SSH est le bon choix. Telnet peut exposer usernames et mots de passe à l'interception.

Une configuration sécurisée d'accès distant peut inclure :

• hostname configuré ;
• domain name configuré ;
• clés RSA ;
• username local ;
• mots de passe ou secrets robustes ;
• lignes VTY activées uniquement pour SSH ;
• ACL pour limiter les adresses source autorisées.

Mots de passe et privilèges

Les mots de passe protègent l'accès aux dispositifs, mais tous les mots de passe n'ont pas le même rôle.

Concepts importants :

• mot de passe console ;
• mot de passe VTY ;
• enable password ;
• enable secret ;
• utilisateurs locaux ;
• privilege levels ;
• chiffrement des mots de passe dans la configuration.

Enable secret est préférable à enable password parce qu'il est stocké sous une forme plus sécurisée.

Pour CCNA, vous devez retenir que les mots de passe doivent être robustes, protégés et associés à des niveaux de privilège appropriés.

AAA

AAA signifie :

• Authentication : vérifie qui vous êtes.
• Authorization : définit ce que vous pouvez faire.
• Accounting : enregistre ce que vous faites.

AAA peut être géré localement ou via des serveurs externes comme RADIUS ou TACACS+.

Exemple :

• un administrateur s'authentifie ;
• le système vérifie quelles commandes il peut utiliser ;
• ses activités sont enregistrées.

AAA est important parce qu'il centralise et contrôle mieux les accès, permissions et traces.

RADIUS et TACACS+

RADIUS et TACACS+ sont des protocoles utilisés pour l'AAA centralisé.

Concepts généraux :

• RADIUS est souvent utilisé pour l'authentification d'accès réseau, VPN et wireless.
• TACACS+ est très utilisé dans les environnements Cisco pour l'administration des dispositifs et un contrôle plus granulaire des commandes.

Pour CCNA, il n'est pas nécessaire de connaître chaque détail profond, mais vous devez savoir que les deux peuvent supporter l'authentification centralisée.

ACL

Les ACL, Access Control List, filtrent le trafic selon des critères comme :

• adresse IP source ;
• adresse IP destination ;
• protocole ;
• port ;
• direction ;
• interface.

Types généraux :

• ACL standard : filtrent principalement selon la source.
• ACL étendues : peuvent filtrer source, destination, protocole et ports.

Les ACL sont puissantes, mais doivent être ordonnées avec attention.

Règles importantes :

• elles sont lues de haut en bas ;
• le premier match décide ;
• il existe un deny implicite final ;
• la direction et l'interface sont fondamentales.

Erreurs fréquentes avec les ACL

Les erreurs les plus fréquentes sont :

• règles dans le mauvais ordre ;
• oublier le deny implicite ;
• appliquer l'ACL sur le mauvais port ou la mauvaise interface ;
• l'appliquer inbound au lieu de outbound ;
• bloquer le trafic de retour nécessaire ;
• utiliser des wildcard masks erronés ;
• écrire des règles trop larges ;
• oublier d'autoriser des services nécessaires comme DNS ou DHCP.

Dans les quiz CCNA, si une ACL semble correcte mais que le trafic ne passe pas, vérifiez toujours ordre, direction et deny implicite.

Segmentation

La segmentation divise le réseau en zones ou domaines séparés.

Elle peut être faite avec :

• VLAN ;
• subnets ;
• ACL ;
• firewalls ;
• VRF dans des scénarios plus avancés ;
• réseaux guest séparés ;
• DMZ dans des architectures plus structurées.

La segmentation aide à :

• limiter le mouvement latéral ;
• séparer utilisateurs et serveurs ;
• protéger les réseaux sensibles ;
• appliquer des policies différentes ;
• réduire l'impact d'une compromission.

Pour CCNA, vous devez retenir que différentes VLAN ne communiquent pas sans routage, et que le routage peut être contrôlé par ACL ou firewall.

Sécurité Layer 2

De nombreuses attaques se produisent au Layer 2, donc protéger seulement le routage ne suffit pas.

Menaces Layer 2 courantes :

• MAC flooding ;
• serveur DHCP rogue ;
• ARP spoofing ;
• VLAN hopping ;
• accès physique non autorisé ;
• connexion de dispositifs non autorisés.

Contrôles utiles :

• port security ;
• DHCP snooping ;
• Dynamic ARP Inspection ;
• désactiver les ports inutilisés ;
• assigner les ports inutilisés à des VLAN non utilisées ;
• éviter VLAN 1 pour le trafic important ;
• configurer les trunks uniquement lorsque nécessaire.

Port security

Port security limite les adresses MAC pouvant utiliser un port switch.

Elle est surtout utile sur les ports access vers les dispositifs finaux.

Elle peut utiliser :

• MAC statiques ;
• MAC dynamiques ;
• sticky MAC address.

Actions en cas de violation :

• protect : supprime le trafic non autorisé sans logs détaillés ;
• restrict : supprime et peut générer logs ou compteurs ;
• shutdown : place le port en état err-disabled.

Dans CCNA, shutdown est souvent le comportement par défaut le plus sévère.

DHCP snooping

DHCP snooping protège contre les serveurs DHCP non autorisés.

Il fonctionne en distinguant :

• ports trusted ;
• ports untrusted.

Les ports vers des serveurs DHCP légitimes ou uplinks contrôlés peuvent être trusted. Les ports vers les utilisateurs finaux doivent généralement être untrusted.

Si un dispositif sur un port untrusted essaie d'envoyer des réponses DHCP, DHCP snooping peut les bloquer.

Cela aide à éviter qu'un serveur DHCP rogue distribue des gateways ou DNS malveillants.

Dynamic ARP Inspection

Dynamic ARP Inspection, ou DAI, protège contre ARP spoofing et ARP poisoning.

DAI vérifie les messages ARP en les comparant avec des informations fiables, souvent dérivées de la DHCP snooping binding table.

Concept important :

• DHCP snooping construit une base fiable ;
• DAI utilise cette base pour valider ARP.

DAI est un contrôle Layer 2 utile contre les attaques qui cherchent à détourner le trafic ou intercepter les communications locales.

VLAN hopping

Le VLAN hopping est une attaque dans laquelle un host tente d'accéder au trafic de VLAN différentes de celle qui lui est attribuée.

Contremesures courantes :

• désactiver le trunking automatique lorsqu'il n'est pas nécessaire ;
• configurer les ports utilisateurs comme access ports ;
• ne pas utiliser VLAN 1 pour le trafic important ;
• utiliser une native VLAN non utilisée ;
• empêcher les access ports de négocier des trunks ;
• limiter les VLAN autorisées sur les trunks.

Pour CCNA, vous devez retenir que les ports vers les utilisateurs finaux ne devraient pas devenir trunks.

VPN

Un VPN crée un tunnel chiffré à travers un réseau non fiable, comme Internet.

Il peut être utilisé pour :

• accès distant des utilisateurs ;
• liens site-to-site ;
• protection du trafic entre sites ;
• connexions sécurisées vers les ressources d'entreprise.

Un VPN protège le trafic en transit, mais ne remplace pas l'authentification forte, les ACL, les firewalls, le patching et le monitoring.

Logging et monitoring

Le logging et le monitoring aident à détecter les problèmes, analyser les incidents et vérifier les activités suspectes.

Exemples :

• connexions réussies et échouées ;
• modifications de configuration ;
• interfaces up/down ;
• événements ACL ;
• erreurs de protocole ;
• alertes de sécurité ;
• messages Syslog.

Centraliser les logs aide parce qu'un dispositif peut perdre les logs locaux après un redémarrage ou manquer de mémoire.

Pour CCNA, vous devez retenir que le logging est utile à la fois pour le troubleshooting et pour la sécurité.

Mises à jour et patching

Mettre à jour les dispositifs et logiciels réduit le risque de vulnérabilités connues.

Le patching doit être contrôlé :

• vérifier la version ;
• lire les release notes ;
• planifier une fenêtre de maintenance ;
• sauvegarder la configuration ;
• tester lorsque c'est possible ;
• prévoir un rollback ;
• documenter la modification.

Un dispositif non mis à jour peut être vulnérable même s'il est bien configuré.

Sécurité wireless

Les réseaux wireless nécessitent aussi des contrôles spécifiques.

Bonnes pratiques :

• utiliser WPA2 ou WPA3 ;
• éviter WEP ;
• utiliser des mots de passe robustes si PSK ;
• préférer 802.1X/RADIUS en enterprise ;
• séparer les réseaux guest ;
• utiliser des VLAN dédiées ;
• limiter l'accès au réseau interne ;
• surveiller les AP non autorisés ;
• gérer correctement contrôleurs et policies.

Le wireless n'est pas seulement un signal : il inclut authentification, chiffrement, VLAN, DHCP, DNS et policies.

Bonnes pratiques opérationnelles

Bonnes pratiques générales :

• utiliser SSH ;
• désactiver Telnet ;
• protéger l'accès console et VTY ;
• utiliser enable secret ;
• limiter l'accès management avec ACL ;
• désactiver les ports inutilisés ;
• utiliser des VLAN séparées ;
• documenter les modifications ;
• sauvegarder les configurations ;
• activer le logging ;
• mettre à jour les dispositifs ;
• appliquer le principe du least privilege.

Ces mesures n'éliminent pas tous les risques, mais réduisent beaucoup la surface d'attaque.

Troubleshooting sécurité

Lorsqu'un problème semble lié à la sécurité, vérifiez :

• ACL appliquées ;
• direction ACL ;
• ordre des règles ;
• deny implicite ;
• lignes VTY ;
• configuration SSH ;
• identifiants ;
• privilege level ;
• port security ;
• DHCP snooping ;
• DAI ;
• VLAN et trunks ;
• firewall ou policies externes ;
• logs du dispositif.

Exemple : si un utilisateur ne parvient pas à accéder via SSH, le problème peut être mot de passe, utilisateur local, clés RSA, VTY, ACL de management ou reachability IP.

Erreurs fréquentes dans les quiz

• Penser que Telnet est aussi sécurisé que SSH.
• Confondre authentication et authorization.
• Oublier accounting dans AAA.
• Penser que les ACL n'ont pas de deny implicite.
• Appliquer les ACL dans la mauvaise direction.
• Confondre port security et ACL.
• Penser que DHCP snooping bloque tout le DHCP.
• Oublier que DAI protège contre ARP spoofing.
• Penser qu'un VPN remplace firewall et authentification.
• Penser qu'une VLAN équivaut automatiquement à une sécurité complète.
• Oublier de protéger les ports switch inutilisés.
• Penser que le logging est utile seulement après un incident grave.
• Utiliser WEP dans des scénarios wireless sécurisés.

Mini scénario d'examen

Un administrateur veut empêcher les utilisateurs de connecter des dispositifs non autorisés aux ports access des switches. La solution la plus adaptée est d'utiliser port security, en limitant les adresses MAC autorisées sur le port.

Autre scénario : un attaquant connecte un serveur DHCP non autorisé et essaie de distribuer des gateways malveillantes aux clients. La protection la plus adaptée est DHCP snooping, en configurant correctement les ports trusted et untrusted.

Mini checklist avant le quiz

Avant de commencer le quiz, vous devriez savoir expliquer :

• ce que signifie la triade CIA ;
• la différence entre threat, vulnerability et risk ;
• ce que signifie hardening ;
• pourquoi SSH est préférable à Telnet ;
• ce que signifie AAA ;
• la différence entre authentication, authorization et accounting ;
• ce que font les ACL standard et étendues ;
• pourquoi le deny implicite est important ;
• ce que fait port security ;
• à quoi sert DHCP snooping ;
• à quoi sert Dynamic ARP Inspection ;
• pourquoi la segmentation réduit le risque ;
• à quoi sert un VPN ;
• pourquoi logging et patching sont des contrôles importants.