Objectifs du CBK (ISC)²
Les 3 domaines d'apprentissage officiels du Domaine 4. Cliquez un objectif pour le détail.
Évaluer et implémenter les principes de conception réseau
Modèles OSI (7 couches) et TCP/IP (4 couches). Segmentation (VLAN, subnet, microsegmentation). Defense in depth appliquée au réseau : périmètre, DMZ, interne, hardening host. Zero Trust Network Access (ZTNA) : aucune confiance par défaut.
Points clés
- OSI mnémo : All People Seem To Need Data Processing
- Segmentation limite la propagation latérale
- Zero Trust = verify always, assume breach
Sécuriser les composants réseau
Composants : routeurs, switches (VLAN, port security), firewalls (packet, stateful, NGFW), IDS/IPS (signature, heuristique), proxies, load balancers, WAF. Chacun doit être durci (désactiver services inutiles, patch, authent forte) et monitoré.
Points clés
- NGFW = DPI + IPS + contrôle applicatif
- IDS passif, IPS actif - choix selon risque
- WAF en front d'applis web publiques
Canaux de communication sécurisés
Protocoles sécurisés : TLS 1.3 (web), IPsec (site-to-site, tunnel), SSH (admin), WPA3 (wifi), DNSSEC (DNS intégrité), DKIM/SPF/DMARC (email). Voice/Video : SRTP. Messagerie : Signal Protocol. Toujours chiffrement de bout en bout quand sensible.
Points clés
- IPsec : AH (intégrité) + ESP (chiffrement), modes Tunnel/Transport
- WPA3 résiste aux attaques dictionnaire (SAE)
- TLS 1.3 : handshake 1-RTT, forward secrecy obligatoire
Concepts clés
Modèle OSI - 7 couches
L1 Physical (bits), L2 Data Link (trames, MAC), L3 Network (paquets, IP), L4 Transport (segments, TCP/UDP), L5 Session, L6 Presentation (chiffrement/format), L7 Application. Modèle de référence ISO pour décomposer et dépanner les communications. Mnémo ascendant : « All People Seem To Need Data Processing ».
Modèle TCP/IP - 4 couches
Network Access (≈ OSI L1-L2), Internet (≈ L3, IP/ICMP), Transport (≈ L4, TCP/UDP), Application (≈ L5-L7). Modèle réel d'Internet, plus concis qu'OSI. La cartographie OSI vers TCP/IP est un classique d'examen.
Encapsulation et PDU
Chaque couche ajoute son en-tête (et parfois sa fin) aux données reçues de la couche supérieure : données → segment (L4) → paquet (L3) → trame (L2) → bits (L1). À la réception, désencapsulation en sens inverse. Sécurité : la fragmentation et le tunneling exploitent ces frontières.
Topologies, média et CSMA
Topologies : bus, star (étoile, dominante), ring, mesh. Média : cuivre (UTP/STP, sensible aux EMI), coaxial, fibre (immune aux EMI, longue portée). Accès au média : CSMA/CD (Ethernet filaire, détection de collision) vs CSMA/CA (Wi-Fi, évitement de collision).
Adressage IP, sous-réseaux et NAT
IPv4 = 32 bits (classes A/B/C, CIDR, masques). Privés RFC 1918 : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. IPv6 = 128 bits. NAT traduit privé↔public (PAT = surcharge de ports). APIPA 169.254.x.x si DHCP échoue.
Routage et protocoles
Le routeur (L3) sépare les broadcast domains et achemine entre réseaux. Protocoles : RIP (distance-vector, ancien), OSPF (link-state, interne), BGP (path-vector, entre AS d'Internet). Attaques : route poisoning défensif vs injection de routes malveillantes, détournement BGP.
TCP, UDP et ports
TCP = connecté, fiable, ordonné (3-way handshake). UDP = sans connexion, rapide, sans garantie (DNS, VoIP, streaming). Ports well-known 0-1023, registered 1024-49151, dynamiques 49152-65535. Clés : 22 SSH, 25 SMTP, 53 DNS, 80 HTTP, 443 HTTPS, 389 LDAP, 636 LDAPS.
3-way handshake TCP
SYN → SYN/ACK → ACK pour établir la session ; FIN/ACK pour la fermer proprement. Exploité par le SYN Flood (semi-ouvertes laissées en suspens, épuisement de la table de connexions) ; parade : SYN cookies.
DHCP, DNS et DNSSEC
DHCP attribue dynamiquement les IP (ports 67/68 UDP) ; menacé par le rogue DHCP/DHCP starvation. DNS résout nom↔IP (53). DNSSEC signe les enregistrements (intégrité/authenticité) mais ne chiffre pas. Attaques : DNS spoofing, cache poisoning, DNS tunneling (exfiltration).
Protocoles d'administration sécurisés
SSH (22) remplace Telnet/rlogin. SNMPv3 (gestion d'équipements) ajoute auth + chiffrement absents de v1/v2c. LDAP (389) / LDAPS (636) pour l'annuaire. Kerberos (88) pour l'authentification réseau par tickets (KDC, TGT).
TLS / SSL
TLS chiffre la session au-dessus de TCP (HTTPS, SMTPS, FTPS). Handshake : négociation, échange de clés, authentification par certificat X.509, clé de session symétrique. SSLv2/v3 et TLS 1.0/1.1 sont obsolètes ; viser TLS 1.2/1.3.
IPsec - AH, ESP, modes
IPsec sécurise IP (L3). AH = intégrité/authentification sans confidentialité. ESP = chiffrement + intégrité. IKE négocie les SA et les clés. Mode Transport : seul le payload est protégé (host-to-host). Mode Tunnel : paquet IP entier encapsulé (gateway-to-gateway, VPN site à site).
VPN - PPTP / L2TP / IPsec / SSL-VPN
PPTP (L2, obsolète, faible). L2TP (L2, pas de chiffrement seul - combiné à IPsec). IPsec (L3, robuste, site-à-site). SSL/TLS VPN (portail applicatif, accès distant sans client lourd). Choisir selon couche et cas d'usage.
Firewalls, IDS/IPS, WAF, NAC
Firewalls : 1) packet filter, 2) application/proxy, 3) stateful, 4) dynamic/DMZ, 5) kernel proxy, NGFW (DPI + IPS + identité). IDS = détecte et alerte (passif) ; IPS = détecte et bloque (en ligne). WAF filtre HTTP (L7, OWASP). NAC contrôle l'admission des terminaux (posture, 802.1X).
SDN, SD-WAN, CDN, Zero Trust, DMZ
SDN sépare plan de contrôle et plan de données (programmable). SD-WAN orchestre des liens WAN multiples par politique. CDN distribue le contenu en périphérie (latence, anti-DDoS). Zero Trust = « never trust, always verify », micro-segmentation, vérification continue (NIST SP 800-207). DMZ = zone tampon entre Internet et LAN.
Wi-Fi, Bluetooth, RFID/NFC, cellulaire
Wi-Fi : WEP (RC4, cassé) < WPA (TKIP) < WPA2 (AES-CCMP) < WPA3 (SAE, anti-bruteforce). Enterprise = 802.1X + EAP + RADIUS. Bluetooth : bluejacking/bluesnarfing. RFID/NFC : courte portée, écoute/clonage. Zigbee : IoT basse conso. Cellulaire 4G/5G : SIM, chiffrement de l'air.
VoIP et réseaux convergés
VoIP : SIP (signalisation), RTP (média), SRTP (média chiffré). Menaces : vishing, SPIT, écoute RTP. Réseaux convergés (data + storage) : FCoE et iSCSI (SAN sur IP), MPLS (commutation par labels, WAN opérateur). Isoler la voix dans un VLAN dédié.
AAA et Root of Trust
AAA = Authentication, Authorization, Accounting. RADIUS (UDP, chiffre seulement le mot de passe, mélange authn/authz). TACACS+ (TCP, chiffre tout le payload, sépare AAA - usage Cisco/équipements). Diameter = successeur de RADIUS (mobile). RoT/TPM ancre matériellement la confiance (clés, attestation, boot mesuré).
Attaques réseau
MITM, ARP poisoning/spoofing, DNS spoofing, session hijacking, replay. DoS/DDoS : SYN flood, Smurf (ICMP amplifié par broadcast, usurpe la victime), Fraggle (idem en UDP echo/chargen), Ping of Death, Teardrop (fragments). VLAN hopping, MAC flooding, eavesdropping. Parades : segmentation, chiffrement, anti-spoofing, rate limiting.
Frameworks & standards
| Framework | Rôle |
|---|---|
| Modèle OSI (ISO/IEC 7498-1) | Modèle de référence en 7 couches pour décomposer et dépanner les communications. |
| Modèle TCP/IP (DoD) | Modèle en 4 couches réellement implémenté sur Internet. |
| NIST SP 800-207 (Zero Trust) | Architecture Zero Trust : vérification continue, micro-segmentation, moindre confiance. |
| Cyber Kill Chain (Lockheed Martin) | 7 étapes d'une intrusion : reconnaissance → weaponization → delivery → exploitation → installation → C2 → actions. |
| IEEE 802.x | Famille de standards LAN/WLAN : 802.3 (Ethernet), 802.11 (Wi-Fi), 802.1X (NAC), 802.1Q (VLAN). |
| NIST SP 800-41 (Firewalls) | Recommandations de conception et de politique des pare-feu. |
| DOCSIS | Standard de transmission de données sur réseaux câblés (modems câble). |
Acronymes
| Sigle | Signification |
|---|---|
| OSI | Open Systems Interconnection |
| ARP | Address Resolution Protocol (IP→MAC) |
| ICMP | Internet Control Message Protocol (ping, erreurs) |
| IGMP | Internet Group Management Protocol (multicast) |
| DHCP | Dynamic Host Configuration Protocol |
| DNS | Domain Name System (nom↔IP) |
| DNSSEC | DNS Security Extensions (signe, ne chiffre pas) |
| NAT | Network Address Translation |
| PAT | Port Address Translation (NAT surchargé) |
| MPLS | Multiprotocol Label Switching |
| FCoE | Fibre Channel over Ethernet (SAN) |
| iSCSI | Internet Small Computer Systems Interface (SAN sur IP) |
| SIP | Session Initiation Protocol (signalisation VoIP) |
| RTP | Real-time Transport Protocol (média) |
| SRTP | Secure Real-time Transport Protocol (média chiffré) |
| EAP | Extensible Authentication Protocol |
| WPA | Wi-Fi Protected Access |
| SAE | Simultaneous Authentication of Equals (WPA3) |
| TACACS+ | Terminal Access Controller Access-Control System Plus |
| RADIUS | Remote Authentication Dial-In User Service |
| Diameter | Successeur de RADIUS (AAA mobile) |
| AAA | Authentication, Authorization, Accounting |
| SDN | Software-Defined Networking |
| SD-WAN | Software-Defined Wide Area Network |
| NFV | Network Functions Virtualization |
| CDN | Content Delivery Network |
| VPC | Virtual Private Cloud |
| NAC | Network Access Control |
| WAF | Web Application Firewall |
| RoT | Root of Trust (ancre de confiance matérielle) |
| TPM | Trusted Platform Module |
| MITM | Man-in-the-Middle |
| DDoS | Distributed Denial of Service |
| VLAN | Virtual Local Area Network |
| IPsec | Internet Protocol Security |
| AH | Authentication Header (intégrité seule) |
| ESP | Encapsulating Security Payload (chiffrement) |
| IKE | Internet Key Exchange |
| SSH | Secure Shell (remplace Telnet) |
| TLS | Transport Layer Security |
| LDAP | Lightweight Directory Access Protocol |
| SNMP | Simple Network Management Protocol (v3 sécurisé) |
| BGP | Border Gateway Protocol (entre AS) |
| OSPF | Open Shortest Path First (link-state) |
| RIP | Routing Information Protocol (distance-vector) |
| DMZ | Demilitarized Zone (zone tampon) |
| NGFW | Next-Generation Firewall |
| 802.1X | Authentification réseau par port (NAC) |
| CSMA/CD | Carrier Sense Multiple Access / Collision Detection |
| CSMA/CA | Carrier Sense Multiple Access / Collision Avoidance |
| APIPA | Automatic Private IP Addressing (169.254.x.x) |
Mnémotechniques
OSI L1→L7 : « All People Seem To Need Data Processing » (Physical, Data Link, Network, Transport, Session, Presentation, Application).
OSI L7→L1 : « All People Seem To Need Data Processing » lu à l'envers, ou « Please Do Not Throw Sausage Pizza Away ».
AH = intégrité seule (pas de confidentialité). ESP = chiffre ET protège. Astuce : ESP a un E comme « Encrypt ».
Transport = protège le payload (host-to-host, en-tête IP visible). Tunnel = encapsule tout le paquet (gateway-to-gateway, VPN site à site).
Sans-fil, du pire au mieux : WEP (cassé) < WPA (TKIP) < WPA2 (AES-CCMP) < WPA3 (SAE).
22 SSH · 25 SMTP · 53 DNS · 80 HTTP · 88 Kerberos · 389 LDAP · 443 HTTPS · 636 LDAPS · 3389 RDP.
RADIUS : UDP, chiffre seulement le mot de passe, mélange AAA. TACACS+ : TCP, chiffre tout, sépare AAA. « TACACS+ Tout en TCP ».
Firewall : 1-packet filter → 2-proxy → 3-stateful → 4-dynamic/DMZ → 5-kernel proxy → NGFW (DPI + IPS).
L'unité de données (PDU) change de nom en descendant : Data (L5-L7) → Segment (L4 TCP) / Datagram (L4 UDP) → Packet (L3) → Frame (L2) → Bits (L1). « Des Sots Pas Fins Bavardent » (Data, Segment, Packet, Frame, Bits).
Ouverture TCP en 3 temps : SYN → SYN/ACK → ACK. Fermeture propre en 4 temps : FIN → ACK → FIN → ACK. « Le client toque (SYN), le serveur répond (SYN/ACK), le client confirme (ACK) ».
Classes : A = /8 (1-126), B = /16 (128-191), C = /24 (192-223), D = multicast (224-239), E = expérimental (240-255). Hôtes utilisables = 2^h − 2 (on retire réseau + broadcast).
Mantra Zero Trust (NIST SP 800-207) : « never trust, always verify ». Le périmètre disparaît : on vérifie identité, posture et contexte à chaque accès, par micro-segmentation.
Formules
Hôtes par sous-réseau = 2^h − 2
h = bits d'hôte. On retire l'adresse réseau et l'adresse de broadcast (d'où −2).
Sous-réseaux = 2^s
s = bits empruntés au masque pour le subnetting.
Espace IPv4 = 2^32 ≈ 4,29 milliards
32 bits d'adresse ; épuisement à l'origine de NAT et IPv6.
Espace IPv6 = 2^128
128 bits ; environ 3,4 × 10^38 adresses, supprimant le besoin de NAT.
Ports TCP/UDP : 0-1023 / 1024-49151 / 49152-65535
Well-known / registered / dynamiques (éphémères). 16 bits → 65 536 ports.
Pièges d'examen
AH ne chiffre pas
AH offre intégrité et authentification mais aucune confidentialité. Pour chiffrer, il faut ESP. L'examen oppose souvent AH (intégrité) et ESP (chiffrement).
Multicast vs broadcast vs unicast
Unicast = 1 vers 1. Multicast = 1 vers un groupe (IGMP). Broadcast = 1 vers tous (limité au broadcast domain). Le routeur bloque le broadcast, d'où la séparation des domaines.
Smurf vs Fraggle
Smurf = amplification ICMP (echo) via broadcast, source usurpée = victime. Fraggle = même principe en UDP (echo/chargen). Confondre le protocole est un piège classique.
IDS détecte, IPS bloque
IDS = passif (hors bande, alerte). IPS = en ligne (in-line, peut couper le trafic). Un IPS mal réglé crée des faux positifs bloquants ; un IDS ne stoppe jamais une attaque seul.
TACACS+ vs RADIUS
RADIUS : UDP, chiffre seulement le mot de passe, combine authn/authz. TACACS+ : TCP, chiffre tout le payload, sépare A/A/A. Ne pas inverser le protocole de transport.
WEP et WPA(1) sont cassés
WEP (RC4, IV faibles) est trivialement cassé ; WPA/TKIP l'est aussi. Minimum acceptable : WPA2-AES ; préférer WPA3 (SAE) contre le bruteforce hors-ligne.
Route poisoning n'est pas une attaque
Le route poisoning est un mécanisme défensif des protocoles de routage (annoncer une route inaccessible avec métrique infinie pour éviter les boucles). À ne pas confondre avec l'injection de routes malveillantes.
PPTP et L2TP sont en couche 2
PPTP et L2TP opèrent à la couche 2 ; IPsec est en couche 3. L2TP seul ne chiffre pas : il faut L2TP/IPsec. PPTP est obsolète (chiffrement MPPE faible).
DNSSEC signe mais ne chiffre pas
DNSSEC garantit l'intégrité et l'authenticité des réponses DNS (signatures), pas la confidentialité. Pour chiffrer les requêtes : DoH (DNS over HTTPS) ou DoT (DNS over TLS).
Switch (L2) vs Router (L3)
Le switch crée des collision domains et des VLANs (L2) mais propage le broadcast. Le routeur sépare les broadcast domains (L3). MAC flooding vise le switch, pas le routeur.
SNMP v1/v2c vs v3
SNMP v1/v2c transmet la community string en clair (souvent « public »/« private »). Seul SNMPv3 ajoute authentification et chiffrement. L'examen valorise v3.
TCP fiable, UDP rapide
TCP garantit livraison et ordre (handshake, retransmission) ; UDP non. Voix, vidéo et DNS utilisent UDP pour la latence. Confondre leurs propriétés est piégeux.
Cas concrets
DMZ à double pare-feu devant un serveur web
Internet → Firewall externe → DMZ (serveur web, reverse-proxy) → Firewall interne → LAN. Le serveur exposé vit en DMZ : s'il est compromis, l'attaquant ne touche pas directement le LAN. Règle d'or : aucun flux entrant Internet→LAN ne traverse sans passer par la DMZ.
Choisir IPsec Tunnel pour un VPN site à site
Deux agences à relier via Internet. On déploie IPsec en mode Tunnel entre les deux passerelles : ESP chiffre le paquet IP interne entier, IKE négocie les clés. Les postes n'ont rien à configurer. Mode Transport aurait été réservé à du host-to-host, pas à du gateway-to-gateway.
Contenir une attaque SYN Flood
Un serveur web ralentit : sa table de connexions est saturée de connexions semi-ouvertes (SYN reçus, ACK jamais reçus). Diagnostic : SYN Flood (DoS L4). Parades : SYN cookies, réduction du timeout half-open, rate limiting et filtrage anti-spoofing en amont, voire CDN/anti-DDoS.
Wi-Fi Enterprise avec 802.1X
Une entreprise veut éviter une clé Wi-Fi partagée (PSK) difficile à révoquer. Solution : WPA2/WPA3-Enterprise = 802.1X + EAP + serveur RADIUS. Chaque utilisateur s'authentifie avec ses identifiants ou un certificat ; on révoque un compte sans changer la clé globale.
À retenir en 10 secondes
À retenir en 10 secondes
- OSI 7 couches (mnémo APSTNDP), TCP/IP 4 couches ; encapsulation à chaque couche.
- Handshake TCP : SYN / SYN-ACK / ACK ; UDP sans connexion pour DNS/VoIP.
- IPsec : AH = intégrité, ESP = chiffrement ; Transport (payload) vs Tunnel (paquet entier).
- VPN moderne : IPsec (site-à-site) ou SSL/TLS VPN (accès distant) ; PPTP/L2TP en L2.
- Wi-Fi : minimum WPA2-AES, préférer WPA3 (SAE) ; Enterprise = 802.1X + EAP + RADIUS.
- Firewalls jusqu'au NGFW ; IDS détecte, IPS bloque ; NAC contrôle l'admission.
- AAA : RADIUS (UDP, mot de passe seul) vs TACACS+ (TCP, tout chiffré, AAA séparé).
- Zero Trust (SP 800-207) : never trust, always verify, micro-segmentation.
- Attaques : Smurf (ICMP) vs Fraggle (UDP), SYN flood, ARP/DNS spoofing, MITM.
Quiz du domaine
Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.
🔒 Inscription requise pour les quiz
Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.