Diese Seite wurde exportiert von Exams Labs Braindumps [ http://blog.examslabs.com ] Exportdatum:Wed Jan 8 16:00:29 2025 / +0000 GMT ___________________________________________________ Titel: [Jun-2024] Gültiger Weg zum Bestehen der HP-Prüfung Dumps mit HPE6-A84 Exam Study Guide [Q25-Q44] --------------------------------------------------- [Jun-2024] Gültiger Weg zum Bestehen der HP-Prüfung Dumps mit HPE6-A84 Exam Study Guide Alle HPE6-A84 Dumps und Aruba Certified Network Security Expert Written Exam Trainingskurse helfen Kandidaten zu studieren und die Prüfungen problemlos zu bestehen! Q25. Welches Element trägt dazu bei, die Grundlage für eine solide Netzwerksicherheitsforensik zu schaffen? Aktivieren des BPDU-Schutzes und des Schleifenschutzes an edqe-Switch-Ports Aktivieren von Informationen auf Debug-Ebene für Netzwerkinfrastruktur-Geräteprotokolle Implementieren der 802.1X-Authentifizierung an Switch-Ports, die mit APs verbunden sind Sicherstellen, dass alle Netzwerkgeräte eine korrekte, konsistente Uhr verwenden ErläuterungDas liegt daran, dass die Netzwerkforensik auf der Analyse von Netzwerkverkehrsdaten beruht, die oft von den Geräten, die sie erzeugen oder übertragen, mit einem Zeitstempel versehen werden. Eine synchronisierte und genaue Uhr auf allen Netzwerkgeräten hilft dabei, eine zuverlässige Zeitleiste der Ereignisse zu erstellen und verschiedene Beweisquellen zu korrelieren12A: Die Aktivierung des BPDU-Schutzes und des Schleifenschutzes auf Edge-Switch-Ports hat nichts mit der Netzwerksicherheitsforensik zu tun, sondern dient eher der Verhinderung von Netzwerkschleifen und Topologieänderungen, die von Rogue-Switches oder -Bridges verursacht werden3B: Die Aktivierung von Debug-Level-Informationen für Netzwerkinfrastruktur-Geräteprotokolle kann mehr Details über die Netzwerkaktivität liefern, verbraucht aber auch mehr Ressourcen und Speicherplatz und ist für die forensische Analyse möglicherweise nicht relevant oder nützlich. Darüber hinaus sind Informationen auf Debug-Ebene möglicherweise nicht für die langfristige Aufbewahrung oder für rechtliche Zwecke verfügbar4C: Die Implementierung der 802.1X-Authentifizierung an Switch-Ports, die mit APs verbunden sind, ist eine gute Sicherheitspraxis, um den unbefugten Zugriff auf das Netzwerk zu verhindern, aber sie hilft nicht direkt bei der Netzwerksicherheitsforensik. Bei der 802.1X-Authentifizierung werden keine Netzwerkverkehrsdaten erfasst oder aufgezeichnet, die die wichtigste Beweisquelle für die Netzwerkforensik darstellenQ26. Ein Kunde verfügt über eine AOS 10-basierte Lösung, die Aruba-APs enthält. Der Kunde möchte Cloud Auth verwenden, um nicht 802.1X-fähige IoT-Geräte zu authentifizieren. Was ist eine Voraussetzung für die Einrichtung der Geräterollen-Zuordnungen? Konfigurieren einer NetConductor-basierten Fabric Konfigurieren von Device Insight (Client-Profil)-Tags in Central Integrieren von Aruba ClearPass Policy Manager (CPPM) und Device Insight Erstellen von globalen Rolle-zu-Rolle-Firewall-Richtlinien in Central ErklärungNach der Aruba Cloud Authentication and Policy Overview1 ist eine der Voraussetzungen für die Konfiguration von Cloud Authentication and Policy die Konfiguration von Device Insight (Client-Profil)-Tags in Central. Device Insight-Tags werden verwendet, um IoT-Geräte anhand ihres Verhaltens und ihrer Eigenschaften zu identifizieren und zu klassifizieren. Diese Tags können dann den Client-Rollen zugeordnet werden, die in der WLAN-Konfiguration für IAPs2 definiert sind. Client-Rollen werden verwendet, um rollenbasierte Zugriffsrichtlinien für IoT-Geräte durchzusetzen. Option A ist falsch, da NetConductor nicht mit Cloud-Authentifizierung und -Richtlinien verbunden ist. Option C ist falsch, da die Integration von Aruba ClearPass Policy Manager (CPPM) und Device Insight keine Voraussetzung für die Einrichtung der Geräte-Rollen-Zuordnungen ist. CPPM und Device Insight können zusammenarbeiten, um eine bessere Sichtbarkeit und Kontrolle über IoT-Geräte zu ermöglichen, sind aber für Cloud-Authentifizierung und -Richtlinien nicht erforderlich.Option D ist falsch, da die Erstellung globaler Rolle-zu-Rolle-Firewall-Richtlinien in Central keine Voraussetzung für die Einrichtung der Geräte-Rollen-Zuordnungen ist. Globale Rolle-zu-Rolle-Firewall-Richtlinien werden verwendet, um die Verkehrsregeln zwischen verschiedenen Client-Rollen im gesamten Netzwerk zu definieren, aber sie sind für Cloud-Authentifizierung und -Richtlinien nicht erforderlich.Q27. Beziehen Sie sich auf das Szenario.# Einführung in den KundenSie unterstützen ein Unternehmen beim Hinzufügen von Aruba ClearPass zu seinem Netzwerk, das Aruba-Netzwerkinfrastrukturgeräte verwendet.Das Unternehmen verfügt derzeit über eine Windows-Domäne und eine Windows-CA. Die Windows-Zertifizierungsstelle stellt Zertifikate für Domänencomputer, Domänenbenutzer und Server wie z. B. Domänencontroller aus. Das Unternehmen ist dabei, Microsoft Endpoint Manager (Intune) hinzuzufügen, um seine mobilen Clients zu verwalten.# Anforderungen für die Ausstellung von Zertifikaten für mobile ClientsDas Unternehmen möchte ClearPass Onboard verwenden, um Zertifikate automatisch an mobile Clients zu verteilen, die in Intune registriert sind. Während dieses Prozesses sollte Onboard mit Azure AD kommunizieren, um die Clients zu validieren. Für dieses Szenario sollte auch eine hohe Verfügbarkeit gewährleistet sein, d. h. die Clients sollten in der Lage sein, Zertifikate von Teilnehmer 2 zu erhalten, wenn Teilnehmer 1 ausgefallen ist.1 Die Intune-Administratoren beabsichtigen, Zertifikatsprofile zu erstellen, die ein UPN-SAN mit dem UPN des Benutzers enthalten, der das Gerät registriert hat.# Anforderungen für die Authentifizierung von ClientsDer Kunde möchte, dass sich alle Arten von Clients mit derselben Unternehmens-SSID verbinden und authentifizieren.Das Unternehmen möchte, dass CPPM diese Authentifizierungsmethoden verwendet:EAP-TLS zur Authentifizierung von Benutzern auf mobilen Clients, die in IntuneTEAR registriert sind, mit EAP-TLS als innerer Methode zur Authentifizierung von Windows-Domänencomputern und den darauf befindlichen Benutzern Um erfolgreich zu sein, müssen EAP-TLS-Clients (eigenständig oder als TEAP-Methode) diese Anforderungen erfüllen:Ihr Zertifikat ist gültig und nicht widerrufen, wie durch OCSPT validiertDer Benutzername des Clients stimmt mit einem Konto in AD# übereinAnforderungen für die Zuweisung von Clients zu RollenNach der Authentifizierung möchte der Kunde, dass das CPPM Clients auf der Grundlage der folgenden Regeln ClearPass-Rollen zuweist:Clients mit von Onboard ausgestellten Zertifikaten wird die Rolle "mobile-onboarded" zugewiesen Clients, die TEAP-Methode 1 bestanden haben, wird die Rolle "domain-computer" zugewiesen Clients in der AD-Gruppe "Medical" werden der Rolle "medical-staff" zugewiesen Clients in der AD-Gruppe "Reception" werden der Rolle "reception-staff" zugewiesen Der Kunde möchte, dass CPPM authentifizierte Clients den AOS-Firewall-Rollen wie folgt zuweist:Medizinisches Personal auf Mobile-Onboarded-Clients der Firewall-Rolle "medical-mobile" zuweisen Andere Mobile-Onboarded-Clients der Firewall-Rolle "mobile-other" zuweisen Medizinisches Personal auf Domänencomputern der Firewall-Rolle "medical-domain" zuweisen Alle Empfangsmitarbeiter auf Domänencomputern der Firewall-Rolle "reception-domain" zuweisen Alle Domänencomputer, bei denen kein gültiger Benutzer angemeldet ist, der Firewall-Rolle "computer-only" zuweisen Anderen Clients den Zugriff verweigern# Andere AnforderungenDie Kommunikation zwischen ClearPass-Servern und AD-Domänencontrollern vor Ort muss verschlüsselt werden.# NetzwerktopologieFür die Netzwerkinfrastruktur verfügt dieser Kunde über Aruba-APs und Aruba-Gateways, die von Central verwaltet werden. Die APs verwenden getunnelte WLANs, die den Datenverkehr an den Gateway-Cluster tunneln. Der Kunde verfügt außerdem über AOS-CX-Switches, die zu diesem Zeitpunkt nicht von Central verwaltet werden.# ClearPass-Cluster IP-Adressierung und HostnamenDer ClearPass-Cluster des Kunden hat folgende IP-Adressen:Publisher = 10.47.47.5Subscriber 1 = 10.47.47.6Subscriber 2 = 10.47.47.7Virtuelle IP mit Subscriber 1 und Subscriber 2 = 10.47.47.8Der DNS-Server des Kunden hat folgende Einträgecp.acnsxtest.com = 10.47.47.5cps1.acnsxtest.com = 10.47.47.6cps2.acnsxtest.com = 10.47.47.7radius.acnsxtest.com = 10.47.47.8onboard.acnsxtest.com = 10.47.47.8Der Kunde hat nun beschlossen, dass er CPPM benötigt, um bestimmte mobile Onboard-Geräte einer "Nurse-Call"-AOS-Benutzerrolle zuzuweisen. Es handelt sich dabei um mobile Geräte, die mit der IP-Adresse 10.1.18.12 über Port 4343 kommunizieren.Welche Voraussetzungen müssen erfüllt sein, um diese Anforderung zu erfüllen? Einrichtung von Verkehrsklassen und Rollenzuweisungsregeln innerhalb der globalen Einstellungen von Central Erstellen von serverbasierten Rollenzuweisungsregeln auf APs, die den Clients Rollen basierend auf den Verkehrszielen zuweisen Erstellen von serverbasierten Rollenzuweisungsregeln auf Gateways, die Rollen auf Clients basierend auf Verkehrszielen zuweisen Erstellen eines Tags in Central zur Auswahl der richtigen Zielverbindung und Integration von CPPM mit Device Insight Q28. Beziehen Sie sich auf das Szenario: Ein Kunde verfügt über einen Aruba ClearPass-Cluster. Der Kunde verfügt über AOS-CX-Switches, die 802.1X-Authentifizierung für ClearPass Policy Manager (CPPM) implementieren. Die Switches verwenden lokale Port-Zugriffsrichtlinien. Der Gateway-Cluster sollte diese Clients der Rolle "eth-internet" zuweisen. Der Plan für die Durchsetzungsrichtlinie und die Profile ist unten dargestellt:Der Gateway-Cluster verfügt über zwei Gateways mit folgenden IP-Adressen:* Gateway 1o VLAN 4085 (System-IP) = 10.20.4.21o VLAN 20 (Benutzer) = 10.20.20.1o VLAN 4094 (WAN) = 198.51.100.14* Gateway 2o VLAN 4085 (System-IP) = 10.20.4.22o VLAN 20 (Benutzer) = 10.20.20.2o VLAN 4094 (WAN) = 198.51.100.12* VRRP auf VLAN 20 = 10.20.20.254Der Kunde benötigt hohe Verfügbarkeit für die Tunnel zwischen den Switches und dem Gateway-Cluster. Wenn ein Gateway ausfällt, sollte das andere Gateway dessen Tunnel übernehmen. Außerdem sollte der Switch in der Lage sein, den Gateway-Cluster zu erkennen, unabhängig davon, ob sich eines der Gateways im Cluster befindet.Angenommen, Sie haben die richtigen Einstellungen für die UBT-Zone und die Port-Access-Rolle konfiguriert. Die Lösung funktioniert jedoch nicht. Was sollten Sie noch beachten? Weisen Sie VLAN 20 als Zugriffs-VLAN auf allen Edge-Ports zu, mit denen sich getunnelte Clients verbinden könnten. Erstellen Sie ein neues VLAN auf dem AOS-CX-Switch und konfigurieren Sie dieses VLAN als das UBT-Client-VLAN. Weisen Sie den Gateways eine ausreichende Anzahl von VIA-Lizenzen zu, basierend auf der Anzahl der kabelgebundenen Clients, die sich verbinden werden. Ändern Sie den Modus port-access auth-mode auf allen Edge-Ports, mit denen sich getunnelte Clients verbinden könnten, auf client-mode. Q29. Ein Kunde benötigt folgende Rechte für Clients in der AOS-Firewall-Rolle "medical-mobile" auf Aruba Mobility Controllern (MCs):Erlaubnis zum Empfang von IP-Adressen mit DHCPPerlaubter Zugriff auf DNS-Dienste von 10.8.9.7 und keinem anderen ServerErlaubter Zugriff auf alle Subnetze im Bereich 10.1.0.0/16 mit Ausnahme des verweigerten Zugriffs auf 10.1.12.0/22 Verweigerter Zugriff auf andere 10.0.0.0/8-Subnetze Erlaubter Zugriff auf das Internet Verweigerter Zugriff auf das WLAN für eine bestimmte Zeit, wenn sie SSH-Verkehr senden Verweigerter Zugriff auf das WLAN für eine bestimmte Zeit, wenn sie Telnet-Verkehr senden Verweigerter Zugriff auf alle risikoreichen Websites Externe Geräte sollten keine Sitzungen mit "medical-mobile"-Clients initiieren dürfen, sondern nur Rückverkehr senden.Die folgenden Abbildungen zeigen die Konfiguration für die Rolle.Es gibt mehrere Probleme mit der Konfiguration.Welche Änderungen müssen Sie an den Richtlinien vornehmen, um die Anforderungen des Szenarios zu erfüllen? (In den Optionen werden die Regeln in einer Richtlinie von oben nach unten referenziert. Beispiel: "medical-mobile" Regel 1 ist "ipv4 any any svc-dhcp permit" und Regel 8 ist "ipv4 any any any permit".) Ändern Sie in der Richtlinie "medical-mobile" die Quelle in Regel 1 in "user". Ändern Sie in der Richtlinie "medical-mobile" die Subnetzmaske in Regel 3 auf 255.255.248.0. Verschieben Sie in der Richtlinie "medical-mobile" die Regeln 6 und 7 an den Anfang der Liste. Verschieben Sie die Regel in der Richtlinie "apprf-medical-mobile-sacl" zwischen die Regeln 7 und 8 in der Richtlinie "medical-mobile". Q30. Beziehen Sie sich auf das Szenario.# Einführung in den KundenSie unterstützen ein Unternehmen bei der Hinzufügung von Aruba ClearPass zu seinem Netzwerk, das Aruba-Netzwerkinfrastrukturgeräte verwendet.Das Unternehmen verfügt derzeit über eine Windows-Domäne und eine Windows-CA. Die Windows-Zertifizierungsstelle stellt Zertifikate für Domänencomputer, Domänenbenutzer und Server wie z. B. Domänencontroller aus. Das Unternehmen ist dabei, Microsoft Endpoint Manager (Intune) hinzuzufügen, um seine mobilen Clients zu verwalten.# Anforderungen für die Ausstellung von Zertifikaten für mobile ClientsDas Unternehmen möchte ClearPass Onboard verwenden, um Zertifikate automatisch an mobile Clients zu verteilen, die in Intune registriert sind. Während dieses Prozesses sollte Onboard mit Azure AD kommunizieren, um die Clients zu validieren. Für dieses Szenario sollte auch eine hohe Verfügbarkeit gewährleistet sein, d. h. die Clients sollten in der Lage sein, Zertifikate von Teilnehmer 2 zu erhalten, wenn Teilnehmer 1 ausgefallen ist.1 Die Intune-Administratoren beabsichtigen, Zertifikatsprofile zu erstellen, die ein UPN-SAN mit dem UPN des Benutzers enthalten, der das Gerät registriert hat.# Anforderungen für die Authentifizierung von ClientsDer Kunde möchte, dass sich alle Arten von Clients mit derselben Unternehmens-SSID verbinden und authentifizieren.Das Unternehmen möchte, dass CPPM diese Authentifizierungsmethoden verwendet:* EAP-TLS zur Authentifizierung von Benutzern auf mobilen Clients, die in Intune registriert sind* TEAR, mit EAP-TLS als innerer Methode zur Authentifizierung von Windows-Domänencomputern und den darauf befindlichen Benutzern Um erfolgreich zu sein, müssen EAP-TLS-Clients (eigenständig oder als TEAP-Methode) diese Anforderungen erfüllen:Ihr Zertifikat ist gültig und nicht widerrufen, wie durch OCSPT validiertDer Benutzername des Clients stimmt mit einem Konto in AD# übereinAnforderungen für die Zuweisung von Clients zu RollenNach der Authentifizierung möchte der Kunde, dass das CPPM Clients auf der Grundlage der folgenden Regeln ClearPass-Rollen zuweist:* Clients mit von Onboard ausgestellten Zertifikaten wird die Rolle "mobile-onboarded" zugewiesen* Clients, die TEAP-Methode 1 bestanden haben, wird die Rolle "domain-computer" zugewiesen Clients in der AD-Gruppe "Medical" werden der Rolle "medical-staff" zugewiesen Clients in der AD-Gruppe "Reception" werden der Rolle "reception-staff" zugewiesen Der Kunde möchte, dass CPPM authentifizierte Clients wie folgt den AOS-Firewall-Rollen zuweist:* Medizinisches Personal auf mobilen Clients der Firewall-Rolle "medical-mobile" zuweisen* Andere mobile Clients der Firewall-Rolle "mobile-other" zuweisen* Medizinisches Personal auf Domänencomputern der Firewall-Rolle "medical-domain" zuweisen* Alle Mitarbeiter am Empfang auf Domänencomputern der Firewall-Rolle "reception-Domänen"-Firewall-Rolle zuordnen* Alle Domänencomputer, auf denen kein gültiger Benutzer angemeldet ist, der "Nur-Computer"-Firewall-Rolle zuordnen* Anderen Clients den Zugriff verweigern# Sonstige AnforderungenDie Kommunikation zwischen ClearPass-Servern und AD-Domänencontrollern vor Ort muss verschlüsselt werden.# NetzwerktopologieFür die Netzwerkinfrastruktur verfügt dieser Kunde über Aruba-APs und Aruba-Gateways, die von Central verwaltet werden. Die APs verwenden getunnelte WLANs, die den Datenverkehr an den Gateway-Cluster tunneln. Der Kunde verfügt außerdem über AOS-CX-Switches, die zu diesem Zeitpunkt nicht von Central verwaltet werden.# ClearPass-Cluster IP-Adressierung und HostnamenDer ClearPass-Cluster des Kunden hat folgende IP-Adressen:* Publisher = 10.47.47.5* Subscriber 1 = 10.47.47.6* Subscriber 2 = 10.47.47.7* Virtuelle IP mit Subscriber 1 und Subscriber 2 = 10.47.47.8Der DNS-Server des Kunden hat folgende Einträge* cp.acnsxtest.com = 10.47.47.5* cps1.acnsxtest.com = 10.47.47.6* cps2.acnsxtest.com = 10.47.47.7* radius.acnsxtest.com = 10.47.47.8* onboard.acnsxtest.com = 10.47.47.8Sie haben mit der Erstellung einer CA begonnen, um die Anforderungen des Kunden für die Ausstellung von Zertifikaten für mobile Clients zu erfüllen, wie in der folgenden Abbildung dargestellt. Ändern Sie die EST-Authentifizierungsmethode so, dass ein externer Validator verwendet wird. Ändern Sie den EST-Digest-Algorithmus auf SHA-512. Legen Sie die Zertifizierungsstelle als Registrierungsstelle unter Azure AD neu an. Geben Sie einen OCSP-Responder an und setzen Sie den Hostnamen auf localhost. Q31. Beziehen Sie sich auf das folgende Szenario: Ein Kunde migriert von On-Prem AD zu Azure AD als einzige Domänenlösung. Der Kunde verwaltet außerdem sowohl kabelgebundene als auch drahtlose Geräte mit Microsoft Endpoint Manager (Intune) und möchte die Sicherheit am Netzwerkrand verbessern. Sie unterstützen den Kunden bei der Entwicklung einer ClearPass-Bereitstellung für diesen Zweck. Aruba-Netzwerkgeräte werden drahtlose und kabelgebundene Clients bei einem Aruba ClearPass Policy Manager (CPPM)-Cluster (Version 6.10) authentifizieren. Der Kunde hat mehrere Anforderungen an die Authentifizierung. Die Clients sollten die EAP-TLS-Authentifizierung nur dann bestehen, wenn eine Abfrage bei Azure AD zeigt, dass sie über Konten in Azure AD verfügen. Sie planen die CPPM-Authentifizierungsquelle, die Sie als Authentifizierungsquelle in 802.1X-Diensten verwenden werden. Wie sollten Sie diese Authentifizierungsquelle einrichten? Als Kerberos-Typ Als Active Directory-Typ Als HTTP-Typ, der auf die Intune-Erweiterung verweist Als HTTP-Typ mit Verweis auf den FODN von Azure AD Q32. Sie müssen ein Zertifikat auf einem eigenständigen Aruba Mobility Controller (MC) installieren. Der MC muss das Zertifikat für die Web-UI und für die Implementierung von RadSec mit Aruba ClearPass Policy Manager verwenden. Sie haben ein Zertifikat mit den folgenden Einstellungen erhalten:Subject: CN=mc41.site94.example.comKeine SANsIssuer: CN=ca41.example.comEKUs: Server-Authentifizierung, Client-AuthentifizierungWelches Problem hat dieses Zertifikat für die Zwecke, für die es bestimmt ist? Es hat widersprüchliche EKUs. Es wird von einer privaten CA ausgestellt. Es gibt Domäneninformationen im CN-Feld anstelle des DC-Feldes an. Es fehlt ein DNS-SAN. Q33. Sie überprüfen einen Endpunkteintrag im ClearPass Policy Manager (CPPM) Endpoints Repository. Was ist ein gutes Zeichen dafür, dass jemand versucht hat, sich unberechtigten Zugang zum Netzwerk zu verschaffen? Der Eintrag zeigt mehrere DHCP-Optionen unter den Fingerprints an. Der Eintrag zeigt den Status Unbekannt an. Der Eintrag weist einen Profilkonflikt auf, da er ein neues Profil Computer für einen profilierten Drucker enthält. Der Eintrag enthält keinen Hostnamen oder einen Hostnamen mit langen, scheinbar zufälligen Zeichen. ErklärungEin Profilkonflikt tritt auf, wenn ClearPass Policy Manager (CPPM) eine Änderung der Gerätekategorie oder Betriebssystemfamilie eines Endpunkts feststellt, für den zuvor ein Profil erstellt wurde. Dies könnte darauf hindeuten, dass jemand die MAC-Adresse eines legitimen Geräts gefälscht hat und versucht, unbefugten Zugang zum Netzwerk zu erhalten. Wenn zum Beispiel ein Endpunkt, der zuvor als Drucker profiliert war, plötzlich das neue Profil Computer aufweist, könnte dies ein Zeichen für einen Angriff sein. Weitere Informationen zu Profilkonflikten und deren Behebung finden Sie im ClearPass Policy Manager-Benutzerhandbuch1. Die anderen Optionen sind nicht unbedingt Anzeichen für einen unbefugten Zugriff, da sie auch andere Erklärungen haben können. Beispielsweise könnten mehrere DHCP-Optionen unter den Fingerabdrücken darauf hindeuten, dass das Gerät mit verschiedenen Netzwerken oder Subnetzen verbunden ist, der Status Unbekannt könnte darauf hindeuten, dass das Gerät noch nicht authentifiziert wurde, und das Fehlen eines Hostnamens oder ein zufälliger Hostname könnte darauf hindeuten, dass das Gerät nicht ordnungsgemäß konfiguriert oder auf die Werkseinstellungen zurückgesetzt wurde.Q34. Ein Unternehmen möchte, dass der AOS-CX-Switch einen Alarm auslöst, wenn der RADIUS-Server (cp.acnsxtest.local) eine ungewöhnliche Anzahl von Client-Authentifizierungsanforderungen pro Stunde zurückweist. Nach einigen Diskussionen mit anderen Aruba-Administratoren sind Sie immer noch nicht sicher, wie viele Ablehnungen üblich oder ungewöhnlich sind. Sie unterstützen den Entwickler bei der Entwicklung eines NAE-Skripts für diesen Anwendungsfall. Der Entwickler erklärt, dass er die Regel mit einer Logik wie der folgenden definieren möchte:monitor > valueDer Entwickler fragt Sie jedoch, welchen Wert er einbeziehen soll. Überprüfen Sie die RADIUS-Statistiken eines der Access Switches und addieren Sie 10 zu der für Zurückweisungen aufgeführten Zahl. Definieren Sie eine Basislinie und beziehen Sie sich auf diese für den Wert Verwendung von 10 (pro Stunde) als guter Ausgangspunkt für den Wert Definieren eines Parameters und Bezugnahme auf diesen (self ^ramsfname]) für den Wert Q35. Der Aruba ClearPass Policy Manager (CPPM) verwendet die in der Abbildung gezeigten Einstellungen. Sie verweisen auf das in der Abbildung gezeigte Tag in Durchsetzungsrichtlinien für NAS verschiedener Typen, einschließlich Aruba APs, Aruba Gateways und AOS-CX-Switches. Ändern Sie die RADIUS-Aktion in [Aruba Wireless - Terminate Session], die von allen betroffenen NAS unterstützt wird. Ändern Sie die RADIUS-Aktion in [Aruba Wireless - Bounce Switch Port], die von allen betroffenen NAS unterstützt wird. Aktivieren Sie die Profilerstellung in jedem Dienst mithilfe eines dieser Durchsetzungsprofile. Setzen Sie die Profilerstellungsaktion auf die richtige Aktion für die NAS, die diesen Dienst verwenden. Setzen Sie die Aktion "Tags aktualisieren" auf "Keine Aktion". Aktivieren Sie dann stattdessen die RADIUS-CoAs unter Verwendung von Durchsetzungsprofilen in den Regeln, die Clients mit dem in der Abbildung gezeigten Tag entsprechen. ErläuterungNach dem ClearPass Policy Manager-Benutzerhandbuch1 ist das in der Abbildung gezeigte Tag ein Device Insight-Tag, das zur Klassifizierung und Identifizierung von Geräten auf der Grundlage ihres Verhaltens und ihrer Eigenschaften verwendet wird. Device Insight-Tags können als Bedingungen in Durchsetzungsrichtlinien verwendet werden, um unterschiedliche Aktionen oder Rollen auf Geräte auf der Grundlage ihrer Tags anzuwenden. Um jedoch sicherzustellen, dass Geräte neu klassifiziert werden und die richtige Behandlung auf der Grundlage ihrer Tags erhalten, muss die Profilerstellung in jedem Dienst aktiviert werden, der eines dieser Durchsetzungsprofile verwendet. Die Profilerstellung ist eine Funktion, die es ClearPass ermöglicht, Geräte im Netzwerk dynamisch zu erkennen und zu profilieren und ihre Attribute und Tags entsprechend zu aktualisieren. Die Profilerstellung ermöglicht es ClearPass auch, RADIUS-Nachrichten zur Änderung der Autorisierung (CoA) an die Netzwerkzugangsserver (NAS) zu senden, die den Zugriff auf die Geräte kontrollieren, und sie anzuweisen, die Sitzungen der Geräte, die ihre Tags geändert haben, neu zu authentifizieren oder zu beenden. Die Profilierungsaktion muss für die NAS, die diesen Dienst verwenden, auf die richtige eingestellt werden, da verschiedene NAS unterschiedliche Typen von CoA-Nachrichten unterstützen können. Daher ist Option C die richtige Antwort.Q36. Wann würden Sie BPDU-Schutz auf einem AOS-CX-Switchport im Gegensatz zu BPDU-Filterung implementieren? Verwenden Sie BPDU-Schutz an Edge-Ports, um sich vor Rogue-Geräten zu schützen, wenn der Switch MSTP implementiert; verwenden Sie BPDU-Filterung, um sich vor Rogue-Geräten zu schützen, wenn der Switch PVSTP+ implementiert. Verwenden Sie BPDU-Schutz an Edge-Ports, um zu verhindern, dass Rogue-Geräte eine Verbindung herstellen; verwenden Sie BPDU-Filterung an Inter-Switch-Ports für spezielle Anwendungsfälle. Verwenden Sie BPDU-Schutz an Inter-Switch-Ports, um sicherzustellen, dass sie als Root ausgewählt werden; verwenden Sie BPDU-Filterung an Edge-Ports, um zu verhindern, dass Rogue-Geräte eine Verbindung herstellen. Verwenden Sie BPDU-Schutz an Edge-Ports, um abtrünnige Geräte dauerhaft auszusperren; verwenden Sie BPDU-Filterung an Edge-Ports, um abtrünnige Geräte vorübergehend auszusperren. ErläuterungBPDU (Bridge Protocol Data Unit) ist eine Nachricht, die zwischen Switches ausgetauscht wird, um die Spanning-Tree-Topologie aufrechtzuerhalten und Schleifen zu verhindern. BPDU-Schutz und BPDU-Filterung sind zwei Funktionen, die auf AOS-CX-Switch-Ports konfiguriert werden können, um die Sicherheit und Leistung zu verbessern.BPDU-Schutz ist eine Funktion, die einen Port deaktiviert, wenn er eine BPDU empfängt, die anzeigt, dass ein nicht autorisierter Switch oder ein nicht autorisiertes Gerät mit dem Port verbunden wurde. Der BPDU-Schutz wird in der Regel an Edge-Ports eingesetzt, also an Ports, die mit Endgeräten wie PCs oder Druckern verbunden sind und von denen nicht erwartet wird, dass sie BPDUs empfangen. BPDU-Filterung ist eine Funktion, die verhindert, dass ein Port BPDUs sendet oder empfängt, und den Port effektiv von der Spanning-Tree-Topologie isoliert. BPDU-Filterung wird in der Regel an Inter-Switch-Ports verwendet, d. h. an Ports, die mit anderen Switches verbunden sind, und zwar für spezielle Anwendungsfälle wie die Erstellung einer separaten Spanning-Tree-Domäne oder die Reduzierung des Overheads von BPDUs. Weitere Informationen zur Konfiguration des BPDU-Schutzes und der BPDU-Filterung an AOS-CX-Switch-Ports finden Sie auf der Seite [Configuring Spanning Tree Protocol - Aruba] und auf der Seite [AOS-CX Switching Configuration Guide]. Die anderen Optionen sind nicht korrekt, da sie entweder BPDU-Schutz oder BPDU-Filterung auf dem falschen Porttyp oder für den falschen Zweck verwenden. Die Verwendung des BPDU-Schutzes auf Inter-Switch-Ports würde die Ports deaktivieren, wenn sie BPDUs empfangen, die im Normalbetrieb erwartet werden, und die Verwendung der BPDU-Filterung auf Edge-Ports würde es abtrünnigen Geräten ermöglichen, sich mit dem Netzwerk zu verbinden und Schleifen zu erzeugen oder die Spanning-Tree-Topologie zu beeinträchtigen.Q37. Ein Kunde benötigt folgende Rechte für Clients in der AOS-Firewall-Rolle "medical-mobile" auf Aruba Mobility Controllern (MCs):Erlaubnis zum Empfang von IP-Adressen mit DHCP* Erlaubnis zum Zugriff auf DNS-Dienste von 10.8.9.7 und keinem anderen Server* Erlaubnis zum Zugriff auf alle Subnetze im Bereich 10.1.0.0/16 mit Ausnahme des verweigerten Zugriffs auf 10.1.12.0/22* Verweigerter Zugriff auf andere 10.0.0.0/8-Subnetze* Erlaubter Zugriff auf das Internet* Verweigerter Zugriff auf das WLAN für eine bestimmte Zeit, wenn sie SSH-Datenverkehr senden* Verweigerter Zugriff auf das WLAN für eine bestimmte Zeit, wenn sie Telnet-Datenverkehr senden* Verweigerter Zugriff auf alle Websites mit hohem RisikoExterne Geräte sollten keine Sitzungen mit "medical-mobile"-Clients initiieren dürfen, sondern nur Rückverkehr senden.Die folgenden Abbildungen zeigen die Konfiguration für die Rolle.Es gibt mehrere Probleme mit dieser Konfiguration. Welche Änderung müssen Sie vornehmen, um die Anforderungen des Szenarios zu erfüllen? (In den Optionen werden die Regeln in einer Richtlinie von oben nach unten referenziert. Beispiel: "medical-mobile", Regel 1 ist "ipv4 any any svc-dhcp permit" und Regel 8 ist "ipv4 any any any permit".) Verschieben Sie in der Richtlinie "medical-mobile" die Regeln 2 und 3 zwischen die Regeln 7 und 8. Ändern Sie in der Richtlinie "medical-mobile" die Subnetzmaske in Regel 3 auf 255.255.248.0. Verschieben Sie die Regel in der Richtlinie "apprf-medical-mobile-sacl" zwischen die Regeln 7 und 8 in der Richtlinie "medical-mobile". Ändern Sie in der Richtlinie "medical-mobile" die Quelle in Regel 8 in "user". ErläuterungDie Subnetzmaske in Regel 3 der Richtlinie "medical-mobile" lautet derzeit 255.255.252.0, was bedeutet, dass die Regel den Zugriff auf das Subnetz 10.1.12.0/22 sowie auf das benachbarte Subnetz 10.1.16.0/22 verweigert. Um dieses Problem zu beheben, sollte die Subnetzmaske in Regel 3 auf 255.255.248.0 geändert werden, was bedeutet, dass die Regel nur den Zugriff auf das Subnetz 10.1.8.0/21 verweigert, das das Subnetz 10.1.12.0/22 1 einschließt. Auf diese Weise entspricht die Regel den Anforderungen des Szenarios genauer.Q38. Der Kunde benötigt eine Möglichkeit für Benutzer, neue kabelgebundene Clients in Intune zu registrieren. Die Clients sollten einen eingeschränkten Zugriff haben, der es ihnen nur erlaubt, Zertifikate zu registrieren und zu empfangen. Sie planen, diese Rechte in einer AOS-CX-Rolle namens "Provision" einzurichten. Das Sicherheitsteam des Kunden schreibt vor, dass Sie den Internetzugang dieser Clients auf die notwendigen Standorte beschränken müssen. Ihre Switch-Software unterstützt IPv4- und IPv6-Adressen für die in der "Provision"-Rolle angewandten Regeln. Konfigurieren Sie die Regeln für die "Provision"-Rolle mit IPv6-Adressen, die in der Regel stabiler sind. Aktivieren des Tunnelings zu den MCs in der "Bereitstellungs"-Rolle und anschließendes Einrichten der Berechtigungen auf den MCs Konfigurieren der "Bereitstellungs"-Rolle als herunterladbare Benutzerrolle (DUR) in CPPM Zuweisen der "Provision"-Rolle zu einem VLAN und anschließendes Einrichten der Regeln innerhalb einer Layer-2-Zugangskontrollliste (ACL) Q39. Sie konfigurieren Gateway-IDS/IPS-Einstellungen in Aruba Central. Aus welchem Grund würden Sie die Fail Strategy auf Bypass setzen? Um den Datenverkehr zuzulassen, wenn die IPS-Engine ihn nicht inspiziert Um das Gateway in die Lage zu versetzen, die in IDS/IPS-Richtlinien konfigurierten Einstellungen der Zulassen-Liste zu berücksichtigen Um Gateways anzuweisen, die Durchsetzung von IDS/IPS-Richtlinien zu beenden, wenn sie die Verbindung zum Internet verlieren Um zu vermeiden, dass IPS-Engine-Ressourcen für das Filtern von Verkehr für nicht authentifizierte Clients verschwendet werden ErläuterungDie Fail Strategy ist eine Konfigurationsoption für den IPS-Prüfmodus auf Aruba-Gateways. Sie definiert die Maßnahme, die ergriffen werden soll, wenn die IPS-Engine abstürzt und den Datenverkehr nicht untersuchen kann. Es gibt zwei mögliche Optionen für die Fail Strategy: Bypass und Block1 Wenn Sie die Fail Strategy auf Bypass setzen, teilen Sie dem Gateway mit, dass der Datenverkehr ohne Inspektion fließen soll, wenn die IPS-Engine ausfällt. Diese Option stellt sicher, dass die Netzwerkkonnektivität nicht unterbrochen wird, setzt das Netzwerk jedoch auch potenziellen Bedrohungen aus, die von der IPS-Engine nicht erkannt oder verhindert werden.1 Wenn Sie die Fail Strategy auf Block setzen, weisen Sie das Kabelmodem an, den Datenverkehr zu stoppen, bis die IPS-Engine die Überprüfung wieder aufnimmt. Diese Option stellt sicher, dass die Netzwerksicherheit nicht beeinträchtigt wird, führt aber auch zu einem Verlust der Netzwerkkonnektivität für die Dauer des Ausfalls der IPS-Engine1Q40. Ein Kunde benötigt einen Schutz gegen ARP-Poisoning in VLAN 4. Nachfolgend sind alle Einstellungen für VLAN 4 und die mit VLAN 4 verbundenen physischen Schnittstellen auf dem AOS-CX Access Layer Switch aufgeführt:Was ist ein Problem bei dieser Konfiguration? Der ARP-Proxy ist auf VLAN 4 nicht aktiviert. LAG 1 ist für die ARP-Überprüfung als vertrauenswürdig konfiguriert, sollte aber nicht vertrauenswürdig sein. DHCP-Snooping ist in VLAN 4 nicht aktiviert. Edge-Ports sind nicht als nicht vertrauenswürdig für die ARP-Inspektion konfiguriert. ErklärungDas liegt daran, dass die ARP-Inspektion eine Sicherheitsfunktion ist, die ARP-Pakete in einem Netzwerk validiert und ARP-Poisoning-Angriffe verhindert12 Die ARP-Inspektion funktioniert, indem ARP-Pakete mit ungültigen IP-zu-MAC-Adressbindungen abgefangen, protokolliert und verworfen werden1 Um die ARP-Inspektion zu aktivieren, muss der Switch wissen, welche Ports vertrauenswürdig und welche nicht vertrauenswürdig sind. Vertrauenswürdige Ports sind solche, die mit autorisierten DHCP-Servern oder anderen Netzwerkgeräten verbunden sind, die nicht für ARP-Spoofing anfällig sind. Nicht vertrauenswürdige Ports sind solche, die mit Endhosts oder Geräten verbunden sind, die gefälschte ARP-Pakete senden könnten13 In der Abbildung ist LAG 1 als vertrauenswürdiger Port für die ARP-Überprüfung konfiguriert, was korrekt ist, da er mit dem Core-Switch verbunden ist. Die Edge-Ports (1/1/1-1/1/24) sind jedoch nicht als nicht vertrauenswürdige Ports für die ARP-Überprüfung konfiguriert, was nicht korrekt ist, da sie mit Endhosts verbunden sind, die von einem Angreifer kompromittiert werden könnten. Standardmäßig sind alle Ports für die ARP-Prüfung nicht vertrauenswürdig, dies kann jedoch mit dem Befehl ip arp inspection trust im Schnittstellenkonfigurationsmodus3 geändert werden. Um VLAN 4 vor ARP-Poisoning zu schützen, sollten daher die Edge-Ports für die ARP-Prüfung als nicht vertrauenswürdig konfiguriert werden, indem der Befehl no ip arp inspection trust im Schnittstellenkonfigurationsmodus verwendet wird. Auf diese Weise überprüft der Switch die an diesen Ports empfangenen ARP-Pakete anhand der DHCP-Snooping-Datenbank oder einer ARP-Zugriffsliste und verwirft alle ungültigen Pakete34A: ARP-Proxy ist in VLAN 4 nicht aktiviert. Dies ist kein Problem, da ARP-Proxy eine optionale Funktion ist, die es dem Switch ermöglicht, auf ARP-Anfragen im Namen von Hosts in verschiedenen Subnetzen zu antworten.5 Es steht nicht in Zusammenhang mit ARP-Poisoning oder ARP-Inspektion.B: LAG 1 ist für die ARP-Inspektion als vertrauenswürdig konfiguriert, sollte aber nicht vertrauenswürdig sein. Dies ist kein Problem, da LAG 1 mit dem Core-Switch verbunden ist, der ein vertrauenswürdiges Gerät ist und keine gefälschten ARP-Pakete sendet.C: DHCP-Snooping ist auf VLAN 4 nicht aktiviert. Dies ist kein Problem, da DHCP-Snooping eine separate Funktion ist, die verhindert, dass unseriöse DHCP-Server IP-Adressen für Clients anbieten.6 Es steht nicht in direktem Zusammenhang mit ARP-Poisoning oder ARP-Inspektion, obwohl es Informationen für die Validierung der ARP-Inspektion liefern kann, wenn es aktiviert istQ41. Sie konfigurieren die Gateway-IDS/IPS-Einstellungen in Aruba Central.Aus welchem Grund würden Sie die Fail Strategy auf Bypass setzen? Um den Datenverkehr zuzulassen, wenn die IPS-Engine ihn nicht inspiziert Um das Gateway in die Lage zu versetzen, die in IDS/IPS-Richtlinien konfigurierten Einstellungen der Zulassen-Liste zu berücksichtigen Um Gateways anzuweisen, die Durchsetzung von IDS/IPS-Richtlinien zu beenden, wenn sie die Verbindung zum Internet verlieren Um zu vermeiden, dass IPS-Engine-Ressourcen für das Filtern von Datenverkehr für nicht authentifizierte Clients verschwendet werden Q42. Ein Kunde benötigt diese Rechte für Clients in der AOS-Firewall-Rolle "medical-mobile" auf Aruba Mobility Controllern (MCs):Erlaubnis zum Empfang von IP-Adressen mit DHCP* Erlaubnis zum Zugriff auf DNS-Dienste von 10.8.9.7 und keinem anderen Server* Erlaubnis zum Zugriff auf alle Subnetze im Bereich 10.1.0.0/16 mit Ausnahme des verweigerten Zugriffs auf 10.1.12.0/22* Verweigerter Zugriff auf andere 10.0.0.0/8-Subnetze* Erlaubter Zugriff auf das Internet* Verweigerter Zugriff auf das WLAN für eine bestimmte Zeit, wenn sie SSH-Verkehr senden* Verweigerter Zugriff auf das WLAN für eine bestimmte Zeit, wenn sie Telnet-Verkehr senden* Verweigerter Zugriff auf alle Websites mit hohem RisikoExterne Geräte sollten keine Sitzungen mit "medical-mobile"-Clients initiieren dürfen, sondern nur Rückverkehr senden.Die folgenden Abbildungen zeigen die Konfiguration für die Rolle.Es gibt mehrere Probleme mit der Konfiguration.Was ist eine der Änderungen, die Sie an den Richtlinien vornehmen müssen, um die Anforderungen des Szenarios zu erfüllen? (In den Optionen werden die Regeln in einer Richtlinie von oben nach unten referenziert. Beispiel: "medical-mobile" Regel 1 ist "ipv4 any any svc-dhcp permit" und Regel 8 ist "ipv4 any any any permit".) Ändern Sie in der Richtlinie "medical-mobile" die Quelle in Regel 1 in "user". Ändern Sie in der Richtlinie "medical-mobile" die Subnetzmaske in Regel 3 auf 255.255.248.0. Verschieben Sie in der Richtlinie "medical-mobile" die Regeln 6 und 7 an den Anfang der Liste. Verschieben Sie die Regel in der Richtlinie "apprf-medical-mobile-sacl" zwischen die Regeln 7 und 8 in der Richtlinie "medical-mobile". ErläuterungDie Regeln 6 und 7 in der Richtlinie "medical-mobile" dienen dazu, den Zugriff auf das WLAN für eine bestimmte Zeit zu verweigern, wenn die Clients SSH- oder Telnet-Datenverkehr senden, wie es das Szenario erfordert. Diese Regeln sind jedoch derzeit unterhalb von Regel 5 platziert, die den Zugriff auf das Internet für jeglichen Datenverkehr erlaubt. Das bedeutet, dass Regel 5 die Regeln 6 und 7 außer Kraft setzt und den Clients der Zugriff auf das WLAN nicht verweigert wird, selbst wenn sie SSH- oder Telnet-Datenverkehr senden.Um dieses Problem zu beheben, sollten die Regeln 6 und 7 an den Anfang der Liste vor Regel 5 gesetzt werden. Auf diese Weise haben die Regeln 6 und 7 Vorrang vor Regel 5, und den Clients wird der Zugang zum WLAN verweigert, wenn sie SSH- oder Telnet-Datenverkehr senden, wie erwartet.Q43. Beziehen Sie sich auf das Szenario.# Einführung in den KundenSie unterstützen ein Unternehmen dabei, Aruba ClearPass zu seinem Netzwerk hinzuzufügen, das Aruba-Netzwerkinfrastrukturgeräte verwendet.Das Unternehmen verfügt derzeit über eine Windows-Domäne und eine Windows-CA. Die Windows-Zertifizierungsstelle stellt Zertifikate für Domänencomputer, Domänenbenutzer und Server wie z. B. Domänencontroller aus. Das Unternehmen ist dabei, Microsoft Endpoint Manager (Intune) hinzuzufügen, um seine mobilen Clients zu verwalten.# Anforderungen für die Ausstellung von Zertifikaten für mobile ClientsDas Unternehmen möchte ClearPass Onboard verwenden, um Zertifikate automatisch an mobile Clients zu verteilen, die in Intune registriert sind. Während dieses Prozesses sollte Onboard mit Azure AD kommunizieren, um die Clients zu validieren. Für dieses Szenario sollte auch eine hohe Verfügbarkeit gewährleistet sein, d. h. die Clients sollten in der Lage sein, Zertifikate von Teilnehmer 2 zu erhalten, wenn Teilnehmer 1 ausgefallen ist.1 Die Intune-Administratoren beabsichtigen, Zertifikatsprofile zu erstellen, die ein UPN-SAN mit dem UPN des Benutzers enthalten, der das Gerät registriert hat.# Anforderungen für die Authentifizierung von ClientsDer Kunde möchte, dass sich alle Arten von Clients mit derselben Unternehmens-SSID verbinden und authentifizieren.Das Unternehmen möchte, dass CPPM diese Authentifizierungsmethoden verwendet:* EAP-TLS zur Authentifizierung von Benutzern auf mobilen Clients, die in Intune registriert sind* TEAR, mit EAP-TLS als innerer Methode zur Authentifizierung von Windows-Domänencomputern und den darauf befindlichen Benutzern Um erfolgreich zu sein, müssen EAP-TLS-Clients (eigenständig oder als TEAP-Methode) diese Anforderungen erfüllen:Ihr Zertifikat ist gültig und nicht widerrufen, wie durch OCSPT validiertDer Benutzername des Clients stimmt mit einem Konto in AD# übereinAnforderungen für die Zuweisung von Clients zu RollenNach der Authentifizierung möchte der Kunde, dass das CPPM Clients auf der Grundlage der folgenden Regeln ClearPass-Rollen zuweist:* Clients mit von Onboard ausgestellten Zertifikaten wird die Rolle "mobile-onboarded" zugewiesen* Clients, die TEAP-Methode 1 bestanden haben, wird die Rolle "domain-computer" zugewiesen Clients in der AD-Gruppe "Medical" werden der Rolle "medical-staff" zugewiesen Clients in der AD-Gruppe "Reception" werden der Rolle "reception-staff" zugewiesen Der Kunde möchte, dass CPPM authentifizierte Clients wie folgt den AOS-Firewall-Rollen zuweist:* Medizinisches Personal auf mobilen Clients der Firewall-Rolle "medical-mobile" zuweisen* Andere mobile Clients der Firewall-Rolle "mobile-other" zuweisen* Medizinisches Personal auf Domänencomputern der Firewall-Rolle "medical-domain" zuweisen* Alle Mitarbeiter am Empfang auf Domänencomputern der Firewall-Rolle "reception-Domänen"-Firewall-Rolle zuordnen* Alle Domänencomputer, auf denen kein gültiger Benutzer angemeldet ist, der "Nur-Computer"-Firewall-Rolle zuordnen* Anderen Clients den Zugriff verweigern# So