[6月-2024]HPE6-A84の検査の調査ガイド[Q25-Q44]のHPの検査のダンプに合格する有効な方法-検査実験室のBraindumps

Q25. 強固なネットワーク・セキュリティ・フォレンジックの基礎を築くのに役立つ要素はどれか。

edqeスイッチ・ポートのBPDUプロテクションとループ・プロテクションを有効にする

ネットワークインフラストラクチャデバイスのログでデバッグレベルの情報を有効にする

APに接続するスイッチポートに802.1X認証を実装する

すべてのネットワーク・デバイスが正確で一貫性のあるクロックを使用していることを確認する。

Q26. ある顧客が、Aruba AP を含む AOS 10 ベースのソリューションを持っています。この顧客は、802.1X非対応のIoTデバイスの認証にCloud Authを使用したいと考えています。
デバイス・ロールのマッピングを設定するための前提条件は何ですか？

NetConductor ベースのファブリックの設定

セントラルでのデバイスインサイト（クライアントプロファイル）タグの設定

Aruba ClearPass Policy Manager（CPPM）とDevice Insightの統合

セントラルでグローバルなロール間ファイアウォールポリシーを作成する

Q27. シナリオを参照してください。
# 顧客紹介
あなたは、Arubaネットワーク・インフラストラクチャ・デバイスを使用している企業のネットワークにAruba ClearPassを追加するお手伝いをしています。
この会社には現在、WindowsドメインとWindows CAがある。Windows CAは、ドメインコンピュータ、ドメインユーザ、ドメインコントローラなどのサーバに証明書を発行する。Windows CAが発行する証明書の例を以下に示す。

同社は、モバイルクライアントを管理するためにMicrosoft Endpoint Manager（Intune）を追加しようとしている。
顧客は今のところオンプレミスのADを維持しており、Azure AD Connectを使ってAzure ADと同期している。
# モバイルクライアントへの証明書発行要件
同社は、ClearPass Onboard を使用して、Intune に登録されたモバイルクライアントに証明書を自動的に配備したいと考えています。このプロセス中、Onboard は Azure AD と通信してクライアントを検証する必要があります。このシナリオでは、高可用性も提供する必要があります。言い換えれば、サブスクライバ 1 がダウンしている場合でも、クライアントはサブスクライバ 2 から証明書を取得できる必要があります。
Intuneの管理者は、デバイスを登録したユーザーのUPN SANを含む証明書プロファイルを作成する予定です。
# クライアントを認証するための要件
この顧客は、すべてのタイプのクライアントが同じ企業のSSIDで接続し、認証することを要求している。
同社は、CPPMがこれらの認証方法を使用することを望んでいる：
Intuneに登録されたモバイルクライアントのユーザーを認証するEAP-TLS
TEAR、EAP-TLSをWindowsドメインコンピュータとその上のユーザーを認証する内部メソッドとする EAP-TLS（スタンドアロンまたはTEAPメソッドとして）クライアントを成功させるには、以下の要件を満たす必要がある：
その証明書は有効であり、OCSPによって検証されたように失効していない。
クライアントのユーザー名がADのアカウントと一致する。
# クライアントをロールに割り当てるための要件
認証後、顧客は CPPM が以下のルールに基づいてクライアントを ClearPass ロールに割り当てることを望んでいます：
Onboardによって発行された証明書を持つクライアントには、「mobile-onboarded」ロールが割り当てられる TEAP Method 1に合格したクライアントには、「domain-computer」ロールが割り当てられる ADグループ「Medical」のクライアントには、「medical-staff」ロールが割り当てられる ADグループ「Reception」のクライアントには、「reception-staff」ロールが割り当てられる顧客は、認証されたクライアントをAOSファイアウォールのロールに割り当てるために、CPPMに以下のように要求する：
モバイルオンボードされたクライアントの医療スタッフを「medical-mobile」ファイアウォールの役割に割り当てるその他のモバイルオンボードされたクライアントを「mobile-other」ファイアウォールの役割に割り当てるドメインコンピュータ上の医療スタッフを「medical-domain」ファイアウォールの役割に割り当てるドメインコンピュータ上のすべての受付スタッフを「reception-domain」ファイアウォールの役割に割り当てる有効なユーザーがログインしていないすべてのドメインコンピュータを「computer-only」ファイアウォールの役割に割り当てる他のクライアントのアクセスを拒否する
# その他の要件
ClearPass サーバとオンプレム AD ドメインコントローラ間の通信は暗号化する必要があります。
# ネットワーク・トポロジー
ネットワーク・インフラとして、この顧客はセントラルが管理するAruba APとArubaゲートウェイを使用しています。AP はトンネル型 WLAN を使用し、ゲートウェイ・クラスタにトラフィックをトンネルします。また、この顧客には AOS-CX スイッチがありますが、この時点では Central によって管理されていません。

# ClearPassクラスタのIPアドレスとホスト名
顧客の ClearPass クラスタにはこれらの IP アドレスがあります：
発行者 = 10.47.47.5
加入者1 = 10.47.47.6
加入者2 = 10.47.47.7
加入者1と加入者2の仮想IP = 10.47.47.8
顧客のDNSサーバーには以下のエントリーがある。
cp.acnsxtest.com = 10.47.47.5
cps1.acnsxtest.com = 10.47.47.6
cps2.acnsxtest.com = 10.47.47.7
radius.acnsxtest.com = 10.47.47.8
onboard.acnsxtest.com = 10.47.47.8
顧客は現在、CPPMを使用して、特定のモバイルオンボードデバイスを
"ナースコール "AOSユーザーの役割。これらは、IPアドレス
10.1.18.12、ポート4343を使用。
この要件を満たすための前提条件は何ですか？

セントラルのグローバル設定内でトラフィッククラスとロールマッピングルールを設定する

トラフィックの宛先に基づいてクライアントにロールを適用する、AP上のサーバーベースのロール割り当てルールの作成

トラフィックの宛先に基づいてクライアントにロールを適用する、ゲートウェイ上のサーバーベースのロール割り当てルールの作成

適切な接続先を選択するためにセントラルにタグを作成し、CPPMをDevice Insightと統合する

Q28. シナリオを参照してください。
Aruba ClearPass クラスタがあります。顧客には、ClearPass Policy Manager (CPPM) に 802.1X 認証を実装する AOS-CX スイッチがあります。
スイッチはローカルポートアクセスポリシーを使用している。
ユーザ認証のみを通過する有線クライアントをArubaゲートウェイ・クラスタにトンネリングする必要があります。ゲートウェイ・クラスタは、これらのクライアントを「eth-internet」ロールに割り当てる必要があります。ゲートウェイは、クライアントをVLAN 20であるVLANに割り当てる処理も行う必要があります。
施行方針とプロファイルの計画を以下に示す：

ゲートウェイ・クラスターには、これらのIPアドレスを持つ2つのゲートウェイがある：
* ゲートウェイ1
o VLAN 4085（システムIP） = 10.20.4.21
o VLAN 20（ユーザー） = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* ゲートウェイ2
o VLAN 4085（システムIP） = 10.20.4.22
o VLAN 20（ユーザー） = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP on VLAN 20 = 10.20.20.254
顧客はスイッチとゲートウェイクラスター間のトンネルの高可用性を求めている。一方のゲートウェイが落ちた場合、もう一方のゲートウェイがそのトンネルを引き継ぐ必要がある。また、スイッチは、ゲートウェイの1つがクラスタ内にあるかどうかに関係なく、ゲートウェイクラスタを検出できなければならない。
正しいUBTゾーンとポートアクセスロールを設定したと仮定します。しかし、ソリューションは動作していません。
他に必ずやっておくべきことは？

トンネルされたクライアントが接続する可能性のあるエッジポートのアクセスVLANとしてVLAN 20を割り当てます。

AOS-CX スイッチに新しい VLAN を作成し、その VLAN を UBT クライアント VLAN として設定します。

接続する有線クライアントの数に応じて、ゲートウェイに十分なVIAライセンスを割り当てます。

トンネリングされたクライアントが接続する可能性のあるエッジポートのポートアクセスauth-modeモードをclient-modeに変更する。

Q29. シナリオを参照してください。
あるお客様は、Arubaモビリティ・コントローラ(MC)上の「medical-mobile」AOSファイアウォールの役割のクライアントにこれらの権限を要求しています：
DHCPによるIPアドレスの受信許可
10.8.9.7からのDNSサービスへのアクセスを許可。
10.1.12.0/22へのアクセスを拒否された場合を除き、10.1.0.0/16範囲のすべてのサブネットへのアクセスを許可その他の10.0.0.0/8サブネットへのアクセスを拒否インターネットへのアクセスを許可 SSHトラフィックを送信した場合、一定期間WLANへのアクセスを拒否 Telnetトラフィックを送信した場合、一定期間WLANへのアクセスを拒否すべてのハイリスクウェブサイトへのアクセスを拒否外部デバイスは、「メディカルモバイル」クライアントとのセッションを開始することを許可されるべきではなく、リターントラフィックの送信のみが許可されるべきである。
以下の図は、その役割のコンフィギュレーションを示している。

コンフィギュレーションには複数の問題がある。
シナリオの要件を満たすためにポリシーに加えなければならない変更は何ですか？(オプションでは、ポリシーのルールは上から下に参照されます。たとえば、「medical-mobile」のルール1は「ipv4 any any svc-dhcp permit」、ルール8は「ipv4 any any permit」です)。

medical-mobile」ポリシーで、ルール1のソースを「user」に変更する。

medical-mobile」ポリシーで、ルール3のサブネットマスクを255.255.248.0に変更する。

メディカル・モバイル」ポリシーでは、ルール6と7をリストの一番上に移動させる。

apprf-medical-mobile-sacl」ポリシーのルールを、「medical-mobile」ポリシーのルール7と8の間に移動する。

Q30. シナリオを参照してください。
# 顧客紹介
あなたは、Arubaネットワーク・インフラストラクチャ・デバイスを使用している企業のネットワークにAruba ClearPassを追加するお手伝いをしています。
この会社には現在、WindowsドメインとWindows CAがある。Windows CAは、ドメインコンピュータ、ドメインユーザ、ドメインコントローラなどのサーバに証明書を発行する。Windows CAが発行する証明書の例を以下に示す。

同社は、モバイルクライアントを管理するためにMicrosoft Endpoint Manager（Intune）を追加しようとしている。
顧客は今のところオンプレミスのADを維持しており、Azure AD Connectを使ってAzure ADと同期している。
# モバイルクライアントへの証明書発行要件
同社は、ClearPass Onboard を使用して、Intune に登録されたモバイルクライアントに証明書を自動的に配備したいと考えています。このプロセス中、Onboard は Azure AD と通信してクライアントを検証する必要があります。このシナリオでは、高可用性も提供する必要があります。言い換えれば、サブスクライバ 1 がダウンしている場合でも、クライアントはサブスクライバ 2 から証明書を取得できる必要があります。
Intuneの管理者は、デバイスを登録したユーザーのUPN SANを含む証明書プロファイルを作成する予定です。
# クライアントを認証するための要件
この顧客は、すべてのタイプのクライアントが同じ企業のSSIDで接続し、認証することを要求している。
同社は、CPPMがこれらの認証方法を使用することを望んでいる：
* Intune に登録されたモバイル・クライアントのユーザーを認証する EAP-TLS
* EAP-TLS（スタンドアロンまたはTEAPメソッドとして）クライアントを成功させるには、以下の要件を満たす必要がある：
その証明書は有効であり、OCSPによって検証されたように失効していない。
クライアントのユーザー名がADのアカウントと一致する。
# クライアントをロールに割り当てるための要件
認証後、顧客は CPPM が以下のルールに基づいてクライアントを ClearPass ロールに割り当てることを望んでいます：
* Onboardが発行した証明書を持つクライアントには、"mobile-onboarded "ロールが割り当てられる。
* TEAP Method 1に合格したクライアントには「domain-computer」ロールが割り当てられる ADグループ「Medical」に属するクライアントには「medical-staff」ロールが割り当てられる ADグループ「Reception」に属するクライアントには「reception-staff」ロールが割り当てられる顧客は、認証されたクライアントをAOSファイアウォールのロールに割り当てるために、CPPMに以下のように要求する：
* モバイルオンボードされたクライアントの医療スタッフを "医療モバイル "ファイアウォールの役割に割り当てる。
* 他のモバイルオンボードクライアントを "mobile-other "ファイアウォールの役割に割り当てる。
* ドメインコンピューター上の医療スタッフを "medical-domain "ファイアウォールの役割に割り当てる。
* ドメインコンピュータ上のすべての受付スタッフを "reception-domain "ファイアウォールの役割にする。
* コンピュータ専用」ファイアウォールの役割に有効なユーザーがログインしていないすべてのドメインコンピュータ
* 他のクライアントのアクセスを拒否する
# その他の要件
ClearPass サーバとオンプレム AD ドメインコントローラ間の通信は暗号化する必要があります。
# ネットワーク・トポロジー
ネットワーク・インフラとして、この顧客はセントラルが管理するAruba APとArubaゲートウェイを使用しています。AP はトンネル型 WLAN を使用し、ゲートウェイ・クラスタにトラフィックをトンネルします。また、この顧客には AOS-CX スイッチがありますが、この時点では Central によって管理されていません。

# ClearPassクラスタのIPアドレスとホスト名
顧客の ClearPass クラスタにはこれらの IP アドレスがあります：
* 発行者 = 10.47.47.5
* 加入者1 = 10.47.47.6
* 加入者2 = 10.47.47.7
* 加入者1と加入者2のバーチャルIP = 10.47.47.8
顧客のDNSサーバーには以下のエントリーがある。
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
以下の図に示すように、モバイル・クライアントに証明書を発行する顧客の要件を満たすために、CA の作成を開始した。

これらの要件と、クライアントを認証するための要件を満たすために、どのような変更が役立つだろうか？

EST認証方式を外部バリデータを使用するように変更する。

ESTダイジェスト・アルゴリズムをSHA-512に変更する。

Azure AD の下で登録機関として CA を再作成する。

OCSPレスポンダを指定し、ホスト名をlocalhostに設定する。

Q31. シナリオを参照してください。
ある顧客が、唯一のドメインソリューションとして、オンプレミスADからAzure ADに移行しようとしている。また、Microsoft Endpoint Manager (Intune) を使用して、有線デバイスと無線デバイスの両方を管理しています。
顧客はネットワーク・エッジのセキュリティを改善したいと考えています。この目的のために、顧客が ClearPass 導入を設計するのを支援します。Arubaネットワークデバイスは、Aruba ClearPass Policy Manager（CPPM）クラスタ（バージョン6.10を使用）に対して無線および有線クライアントを認証します。
この顧客には、認証に関するいくつかの要件がある。クライアントは、Azure AD へのクエリによって Azure AD にアカウントがあることが示された場合にのみ、EAP-TLS 認証をパスする必要があります。クライアントの権限をさらに絞り込むために、ClearPass は Intune が収集した情報を使用してアクセス制御を決定する必要があります。
Azure AD のデプロイメントが適切な前提条件を確立していると仮定する。
で認証ソースとして参照する CPPM 認証ソースを計画しています。
802.1X サービス。
この認証ソースはどのように設定するべきか？

Kerberosタイプとして

Active Directoryタイプとして

HTTP タイプとして、Intune 拡張機能を参照します。

AS HTTPタイプで、Azure ADのFODNを参照する。

Q32. スタンドアロンのAruba Mobility Controller（MC）に証明書をインストールする必要があります。MCは、Web UIおよびAruba ClearPass Policy Managerを使用したRadSecの実装に証明書を使用する必要があります。以下の設定の証明書が提供されています：
件名CN=mc41.site94.example.com
SANなし
発行者：CN=ca41.example.com
EKUs：サーバー認証、クライアント認証
証明書が意図する目的に対して、本証明書はどのような問題を有するか。

相反するEKUがある。

プライベートCAによって発行される。

DCフィールドの代わりにCNフィールドでドメイン情報を指定する。

DNS SANを欠いている。

Q33. ClearPass Policy Manager（CPPM）エンドポイントリポジトリのエンドポイントエントリを確認しています。
誰かがネットワークへの不正アクセスを試みていることを示す良い兆候とは？

このエントリでは、フィンガープリントの下に複数のDHCPオプションが表示されている。

エントリーには「不明」のステータスが表示されている。

このエントリは、プロファイル化されたプリンタの新しいプロファイルがComputerであるというプロファイルの競合を示しています。

エントリーにホスト名がないか、ランダムと思われる長い文字のホスト名が含まれている。

Q34. シナリオを参照してください。
ある組織では、RADIUSサーバー(cp.acnsxtest.local)が1時間あたり異常な数のクライアント認証要求を拒否した場合に、AOS-CXスイッチがアラートをトリガーすることを望んでいます。他のAruba管理者と議論した後、どのくらいの数の拒否が通常か異常かはまだわかりません。この値はスイッチごとに異なる可能性があります。
あなたは、開発者がこのユースケースのNAEスクリプトを開発する方法を理解する手助けをしているのです。
開発者は、次のようなロジックでルールを定義する予定だと説明する：
モニター > バリュー
しかし、開発者はどのような値を含めるかを尋ねてくる。
何をお勧めしますか？

アクセス・スイッチのRADIUS統計をチェックし、リジェクト数に10を加える。

ベースラインを定義し、その値を参照する。

10（1時間当たり）を出発点として、その値を算出する。

パラメータを定義し、その値(self ^ramsfname])を参照する。

Q35. 展示を参照。

Aruba ClearPass Policy Manager（CPPM）は、図に示す設定を使用しています。Aruba AP、Arubaゲートウェイ、AOS-CXスイッチなど、複数のタイプのNASに関連する実施ポリシーで、展示に示されているタグを参照します。
タグに基づいて顧客が再分類され、正しい治療を受けられるようにするためには、どうすればいいのでしょうか？

RADIUS アクションを、問題のすべての NAS でサポートされている [Aruba Wireless -Terminate Session] に変更します。

RADIUSアクションを、問題のすべてのNASでサポートされている[Aruba Wireless - Bounce Switch Port]に変更します。

これらの実施プロファイルのいずれかを使用して、各サービスでプロファイリングを有効にする。プロファイリング・アクションを、そのサービスを使用する NAS に対して正しいものに設定します。

タグの更新アクション]を[アクションなし]に設定します。次に、代わりに、図に示すタグを持つクライアントに一致するルールで、実施プロファイルを使用してRADIUS CoAsを有効にします。

Q36. AOS-CXスイッチポートにBPDUプロテクションを実装する場合と、BPDUフィルタリングを実装する場合では、どのような違いがありますか？

スイッチが MSTP を実装している場合は、エッジポートで BPDU プロテクションを使用して不正なデバイスから保護します。スイッチが PVSTP+ を実装している場合は、BPDU フィルタリングを使用して不正なデバイスから保護します。

不正なデバイスの接続を防ぐためにエッジポートでBPDUプロテクションを使用し、特殊なユースケースにはスイッチ間ポートでBPDUフィルタリングを使用する。

エッジポートではBPDUフィルタリングを使用して、不正なデバイスの接続を防ぎます。

エッジポートの BPDU プロテクションを使用して、不正なデバイスを恒久的にロックアウトします。エッジポートの BPDU フィルタリングを使用して、不正なデバイスを一時的にロックアウトします。

説明
BPDU（Bridge Protocol Data Unit）は、スパニングツリーのトポロジーを維持し、ループを防止するためにスイッチ間で交換されるメッセージです。BPDU保護とBPDUフィルタリングは、セキュリティとパフォーマンスを強化するためにAOS-CXスイッチポートで設定できる2つの機能です。
BPDU保護は、ポートに不正なスイッチやデバイスが接続されたことを示すBPDUを受信した場合に、ポートを無効にする機能です。BPDU プロテクションは通常、エッジ・ポート（PC やプリンタなどのエンド・デバイスに接続するポート）で使用され、BPDU を受信することは想定されていません。BPDUプロテクションは、不正なデバイスがネットワークに接続し、スパニングツリー・トポロジーに影響を与えることを防ぎます。
BPDU フィルタリングは、ポートが BPDU を送受信しないようにする機能で、スパニングツリートポロジーからポートを効果的に隔離します。BPDU フィルタリングは通常、他のスイッチに接続するポートであるインタースイッチポートで使用されます。BPDU フィルタリングは、ネットワークにループや不整合を引き起こす可能性があるため、注意して使用する必要があります。
AOS-CX スイッチポートでの BPDU プロテクションおよび BPDU フィルタリングの設定方法については、[Configuring Spanning Tree Protocol - Aruba] ページおよび [AOS-CX Switching Configuration Guide] ページを参照してください。他のオプションは、間違ったタイプのポートまたは間違った目的でBPDU保護またはBPDUフィルタリングを使用するため、正しくありません。たとえば、スイッチ間ポートで BPDU プロテクションを使用すると、通常動作で予期される BPDU を受信した場合にポートが無効になります。
エッジポートでBPDUフィルタリングを使うと、不正なデバイスがネットワークに接続し、ループを作ったり、スパニングツリーのトポロジーに影響を与えたりする可能性がある。

Q37. シナリオを参照してください。
あるお客様は、Arubaモビリティ・コントローラ(MC)上の「medical-mobile」AOSファイアウォールの役割のクライアントにこれらの権限を要求しています：
DHCPによるIPアドレスの受信許可
* 10.8.9.7からのDNSサービスへのアクセスを許可。
* 10.1.12.0/22へのアクセス拒否を除く、10.1.0.0/16範囲のすべてのサブネットへのアクセスを許可する。
* 他の10.0.0.0/8サブネットへのアクセス拒否
* インターネットへのアクセス許可
* SSHトラフィックを送信した場合、一定期間WLANへのアクセスを拒否する。
* Telnet トラフィックを送信した場合、一定期間 WLAN へのアクセスを拒否します。
* リスクの高いウェブサイトへのアクセス拒否
外部デバイスは、"メディカルモバイル "クライアントとのセッションを開始することを許可されるべきではなく、リターントラフィックを送信することのみが許可されるべきである。
以下の図は、その役割のコンフィギュレーションを示している。

この構成には複数の問題があります。シナリオの要件を満たすために必要な変更は何ですか?(オプションでは、ポリシー内のルールは上から下に参照されます。例えば
"medical-mobile "のルール1は "ipv4 any any svc-dhcp permit "で、ルール8は "ipv4 any any permit "である)。

メディカル・モバイル」ポリシーでは、ルール2と3をルール7と8の間に移動させる。

medical-mobile」ポリシーで、ルール3のサブネットマスクを255.255.248.0に変更する。

apprf-medical-mobile-sacl」ポリシーのルールを、「medical-mobile」ポリシーのルール7と8の間に移動する。

medical-mobile」ポリシーで、ルール8のsourceを "user "に変更する。

Q38. ユーザーが新しい有線クライアントを Intune に登録する方法が必要である。クライアントには、証明書の登録と受信のみを許可する限定的なアクセス権が必要です。AOS-CXの "provision "というロールにこれらの権限を設定する予定です。顧客のセキュリティチームは、これらのクライアントのインターネット・アクセスを必要なサイトのみに制限するよう指示しています。スイッチソフトウェアは、「provision」ロールで適用されるルールのIPv4およびIPv6アドレスをサポートしています。
何をお勧めしますか？

より安定する傾向にあるIPv6アドレスで "provision "ロールのルールを設定する。

プロビジョニング」ロールでMCへのトンネリングを有効にし、MCの権限を設定する。

CPPMで「provision」ロールをダウンロード可能なユーザーロール（DUR）として設定する

プロビジョニング」ロールをVLANに割り当て、レイヤー2アクセス・コントロール・リスト（ACL）内でルールを設定する。

Q39. Aruba CentralでゲートウェイIDS/IPS設定を構成しています。
フェイル・ストラテジーをバイパスに設定する理由は？

IPS エンジンがトラフィックを検査する場合、トラフィックを許可する。

ゲートウェイがIDS/IPSポリシーで設定されたallowlist設定を有効にするには

ゲートウェイがインターネットへの接続を失った場合、IDS/IPSポリシーの実施を停止するようゲートウェイに指示する。

認証されていないクライアントのトラフィックをフィルタリングするためにIPSエンジンのリソースを浪費しないようにする。

Q40. 展示を参照。

ある顧客は、VLAN 4 の ARP ポイズニングからの保護を必要としています。以下に、AOS-CX アクセスレイヤスイッチの VLAN 4 および VLAN 4 に関連する物理インタフェースのすべての設定を示します：

この構成の問題点は？

ARP プロキシが VLAN 4 で有効になっていない。

LAG 1はARPインスペクションでトラステッドに設定されているが、本来はアンタステッドであるべきだ。

DHCP snoopingがVLAN 4で有効になっていない。

エッジポートは、ARPインスペクションで信頼できないポートとして設定されない。

説明
ARPインスペクションは、ネットワーク内のARPパケットを検証し、ARPポイズニング攻撃を防ぐセキュリティ機能だからです12 ARPインスペクションは、無効なIP-to-MACアドレス・バインディングを持つARPパケットをインターセプト、ログ、破棄することで機能します1 ARPインスペクションを有効にするには、スイッチはどのポートが信頼され、どのポートが信頼されないかを知る必要があります。信頼できるポートとは、認証されたDHCPサーバやARPスプーフィングに脆弱でない他のネットワーク・デバイスに接続するポートです。非信頼ポートとは、偽造ARPパケットを送信する可能性のあるエンドホストまたはデバイスに接続するポートです。しかし、エッジポート（1/1/1-1/24）はARP検査用の信頼されないポートとして構成されていません。これは、攻撃者によって侵害される可能性のあるエンドホストに接続しているため、正しくありません。デフォルトでは、すべてのポートが ARP 検査で信頼されないポートに設定されていますが、インターフェース・コンフィグレーション・モードで ip arp inspection trust コマンドを使用することで変更できます。このようにすると、スイッチはこれらのポートで受信した ARP パケットを DHCP snooping データベースまたは ARP アクセスリストと照合して検証し、無効なパケットはすべてドロップします34。
A: VLAN 4 で ARP プロキシが有効になっていません。ARP プロキシは、スイッチが異なるサブネット内のホストに代わって ARP 要求に応答することを可能にするオプション機能であるため、これは問題ではありません5 ARP ポイズニングや ARP 検査とは関係ありません。
B: LAG 1 が ARP 検査で信頼済みとして設定されているが、信頼されていないはずである。LAG 1はコアスイッチに接続しており、コアスイッチは偽造ARPパケットを送信しない信頼されたデバイスであるため、これは問題ではありません。
C: DHCPスヌーピングがVLAN 4で有効になっていない。DHCPスヌーピングは、不正なDHCPサーバーがクライアントにIPアドレスを提供するのを防ぐ別の機能なので、これは問題ではありません6 ARPポイズニングやARP検査とは直接関係ありませんが、有効になっていればARP検査の検証に情報を提供できます。

Q41. Aruba CentralでゲートウェイIDS/IPS設定を構成しています。
フェイル・ストラテジーをバイパスに設定する理由は？

IPS エンジンがトラフィックを検査する場合、トラフィックを許可する。

ゲートウェイがIDS/IPSポリシーで設定されたallowlist設定を有効にするには

ゲートウェイがインターネットへの接続を失った場合、IDS/IPSポリシーの実施を停止するようゲートウェイに指示する。

認証されていないクライアントのトラフィックをフィルタリングするためにIPSエンジンのリソースを浪費しないようにする。

Q42. シナリオを参照してください。
あるお客様は、Arubaモビリティ・コントローラ(MC)上の「medical-mobile」AOSファイアウォールの役割のクライアントにこれらの権限を要求しています：
DHCPによるIPアドレスの受信許可
* 10.8.9.7からのDNSサービスへのアクセスを許可。
* 10.1.12.0/22へのアクセス拒否を除く、10.1.0.0/16範囲のすべてのサブネットへのアクセスを許可する。
* 他の10.0.0.0/8サブネットへのアクセス拒否
* インターネットへのアクセス許可
* SSHトラフィックを送信した場合、一定期間WLANへのアクセスを拒否する。
* Telnet トラフィックを送信した場合、一定期間 WLAN へのアクセスを拒否します。
* リスクの高いウェブサイトへのアクセス拒否
外部デバイスは、"メディカルモバイル "クライアントとのセッションを開始することを許可されるべきではなく、リターントラフィックを送信することのみが許可されるべきである。
以下の図は、その役割のコンフィギュレーションを示している。

コンフィギュレーションには複数の問題がある。
シナリオの要件を満たすためにポリシーに加えなければならない変更は何ですか？(オプションでは、ポリシーのルールは上から下に参照されます。たとえば、「medical-mobile」のルール1は「ipv4 any any svc-dhcp permit」、ルール8は「ipv4 any any permit」です)。

medical-mobile」ポリシーで、ルール1のソースを「user」に変更する。

medical-mobile」ポリシーで、ルール3のサブネットマスクを255.255.248.0に変更する。

メディカル・モバイル」ポリシーでは、ルール6と7をリストの一番上に移動させる。

apprf-medical-mobile-sacl」ポリシーのルールを、「medical-mobile」ポリシーのルール7と8の間に移動する。

Q43. シナリオを参照してください。
# 顧客紹介
あなたは、Arubaネットワーク・インフラストラクチャ・デバイスを使用している企業のネットワークにAruba ClearPassを追加するお手伝いをしています。
この会社には現在、WindowsドメインとWindows CAがある。Windows CAは、ドメインコンピュータ、ドメインユーザ、ドメインコントローラなどのサーバに証明書を発行する。Windows CAが発行する証明書の例を以下に示す。

同社は、モバイルクライアントを管理するためにMicrosoft Endpoint Manager（Intune）を追加しようとしている。
顧客は今のところオンプレミスのADを維持しており、Azure AD Connectを使ってAzure ADと同期している。
# モバイルクライアントへの証明書発行要件
同社は、ClearPass Onboard を使用して、Intune に登録されたモバイルクライアントに証明書を自動的に配備したいと考えています。このプロセス中、Onboard は Azure AD と通信してクライアントを検証する必要があります。このシナリオでは、高可用性も提供する必要があります。言い換えれば、サブスクライバ 1 がダウンしている場合でも、クライアントはサブスクライバ 2 から証明書を取得できる必要があります。
Intuneの管理者は、デバイスを登録したユーザーのUPN SANを含む証明書プロファイルを作成する予定です。
# クライアントを認証するための要件
この顧客は、すべてのタイプのクライアントが同じ企業のSSIDで接続し、認証することを要求している。
同社は、CPPMがこれらの認証方法を使用することを望んでいる：
* Intune に登録されたモバイル・クライアントのユーザーを認証する EAP-TLS
* EAP-TLS（スタンドアロンまたはTEAPメソッドとして）クライアントを成功させるには、以下の要件を満たす必要がある：
その証明書は有効であり、OCSPによって検証されたように失効していない。
クライアントのユーザー名がADのアカウントと一致する。
# クライアントをロールに割り当てるための要件
認証後、顧客は CPPM が以下のルールに基づいてクライアントを ClearPass ロールに割り当てることを望んでいます：
* Onboardが発行した証明書を持つクライアントには、"mobile-onboarded "ロールが割り当てられる。
* TEAP Method 1に合格したクライアントには「domain-computer」ロールが割り当てられる ADグループ「Medical」に属するクライアントには「medical-staff」ロールが割り当てられる ADグループ「Reception」に属するクライアントには「reception-staff」ロールが割り当てられる顧客は、認証されたクライアントをAOSファイアウォールのロールに割り当てるために、CPPMに以下のように要求する：
* モバイルオンボードされたクライアントの医療スタッフを "医療モバイル "ファイアウォールの役割に割り当てる。
* 他のモバイルオンボードクライアントを "mobile-other "ファイアウォールの役割に割り当てる。
* ドメインコンピューター上の医療スタッフを "medical-domain "ファイアウォールの役割に割り当てる。
* ドメインコンピュータ上のすべての受付スタッフを "reception-domain "ファイアウォールの役割にする。
* コンピュータ専用」ファイアウォールの役割に有効なユーザーがログインしていないすべてのドメインコンピュータ
* 他のクライアントのアクセスを拒否する
# その他の要件
ClearPass サーバとオンプレム AD ドメインコントローラ間の通信は暗号化する必要があります。
# ネットワーク・トポロジー
ネットワーク・インフラとして、この顧客はセントラルが管理するAruba APとArubaゲートウェイを使用しています。AP はトンネル型 WLAN を使用し、ゲートウェイ・クラスタにトラフィックをトンネルします。また、この顧客には AOS-CX スイッチがありますが、この時点では Central によって管理されていません。

# ClearPassクラスタのIPアドレスとホスト名
顧客の ClearPass クラスタにはこれらの IP アドレスがあります：
* 発行者 = 10.47.47.5
* 加入者1 = 10.47.47.6
* 加入者2 = 10.47.47.7
* 加入者1と加入者2のバーチャルIP = 10.47.47.8
顧客のDNSサーバーには以下のエントリーがある。
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
ワイヤレスクライアントのフロー属性を見ることはできません。
何をチェックすべきか？

ディープ・パケット・インスペクションは、Aruba APがワイヤレス・クライアントを割り当てる役割で有効になります。

ファイアウォール・アプリケーションの可視性が Aruba ゲートウェイで有効になり、ゲートウェイが再起動されました。

ゲートウェイIDS/IPSはArubaゲートウェイで有効になっており、ゲートウェイは再起動されています。

Aruba Aps で Deep Packet Inspection が有効になり、AP が再起動されました。

Q44. シナリオを参照してください。
ある組織では、RADIUSサーバー(cp.acnsxtest.local)が1時間あたり異常な数のクライアント認証要求を拒否した場合に、AOS-CXスイッチがアラートをトリガーすることを望んでいます。他のAruba管理者と議論した後、どのくらいの数の拒否が通常か異常かはまだわかりません。この値はスイッチごとに異なる可能性があります。
あなたは、開発者がこのユースケースのNAEスクリプトを開発する方法を理解する手助けをしているのです。
あなたは、顧客がAOS-CXスイッチ用のNAEスクリプトを定義するのを手伝っています。スクリプトは、スイッチに定義されたRADIUSサーバーからの統計を監視します。管理者がスクリプトからエージェントを作成するときに、監視するRADIUSサーバーに別のホスト名またはIPアドレスを選択できるようにすることで、スクリプトの将来性を確保したいと考えています。
何をお勧めしますか？

NAEエージェントスクリプトでモニターURIを定義する場合は、この変数%{radius-ipVを使用する。

RADIUSサーバーのパラメーターを定義する。モニターURIを定義するときに、サーバー名/ipの代わりにそのパラメーターを参照する。

コールバックアクションを使用して、エージェント作成時にスイッチで定義された RADIUS サーバの名前を収集します。

スクリプトを編集可能にし、管理者がスクリプトを作成する際に必要に応じて編集できるようにする。