このページはExams Labs Braindumps [ http://blog.examslabs.com ] からエクスポートされました。 エクスポート日時:Tue Jan 7 19:01:21 2025 / +0000 GMT ___________________________________________________ タイトル: [Jun-2024]HPE6-A84試験勉強ガイド[Q25-Q44]でHP試験のダンプスに合格する有効な方法 --------------------------------------------------- [6月-2024日]HPE6-A84試験勉強ガイドでHP試験に合格する有効な方法 すべてのHPE6-A84試験問題集とAruba Certified Network Security Expert Written試験のトレーニングコースは受験者に勉強を楽にさせ、試験に合格するのを助ける! Q25.強固なネットワーク・セキュリティ・フォレンジックの基礎を築くのに役立つ要素はどれですか? edqe スイッチ・ポートで BPDU 保護とループ保護を有効にする。 ネットワーク・インフラストラクチャ・デバイス・ログのデバッグ・レベルの情報を有効にする AP に接続するスイッチ・ポートに 802.1X 認証を実装する すべてのネットワーク・デバイスが正しく一貫性のあるクロックを使用するようにする 説明これは、ネットワーク・フォレンジックがネットワーク・トラフィック・データの解析に依存しており、多くの場合、そのトラフィック・データは、それを生成または送信するデバイスによってタイムスタンプされているためです。すべてのネットワーク・デバイスで同期された正確なクロックを持つことは、イベントの信頼できるタイムラインを確立し、異なる証拠ソースを関連付けるのに役立ちます12A: エッジ・スイッチ・ポートで BPDU 保護とループ保護を有効にすることは、ネットワーク・セキュリティ・フォレンジックとは関係なく、むしろ不正なスイッチやブリッジによって引き起こされるネットワーク・ループやトポロジーの変更を防止することに役立ちます3B: ネットワーク・インフラストラクチャ・デバイス・ログでデバッグ・レベルの情報を有効にすることは、ネットワーク・アクティビティについてより多くの詳細を提供するかもしれませんが、より多くのリソースとストレージを消費し、フォレンジック分析に関連または役に立たないかもしれません。さらに、デバッグ・レベルの情報は、長期保存や法的な目的では利用できないかもしれません4C: AP に接続するスイッチ・ポートに 802.1X 認証を実装することは、ネットワークへの不正アクセスを防止するための良いセキュリティ対策ですが、ネットワーク・セキュリティ・フォレンジックには直接役立ちません。802.1X 認証は、ネットワーク・フォレンジックの主な証拠であるネットワーク・トラフィック・データをキャプチャまたは記録しませんQ26.ある顧客が、Aruba AP を含む AOS 10 ベースのソリューションを持っています。この顧客は、Cloud Auth を使用して、802.1X 対応でない IoT デバイスを認証したいと考えています。デバイス・ロール・マッピングを設定するための前提条件は何ですか? NetConductor ベースのファブリックの設定 セントラルでのデバイスインサイト(クライアントプロファイル)タグの設定 Aruba ClearPass Policy Manager(CPPM)とDevice Insightの統合 セントラルでグローバルなロール間ファイアウォール ポリシーを作成する 説明『Aruba Cloud Authentication and Policy Overview』1 によると、Cloud Authentication and Policy を構成するための前提条件の 1 つは、セントラルで Device Insight(クライアント・プロファイル)タグを構成することです。Device Insightタグは、IoTデバイスを動作と特性に基づいて識別および分類するために使用されます。これらのタグは、IAP の WLAN コンフィギュレーションで定義されるクライアント・ロールにマッピングできます2。クライアントロールは、IoT デバイスにロールベースのアクセスポリシーを適用するために使用されます。したがって、オプション B が正解です。NetConductor はクラウド認証およびポリシーとは関係ないため、オプション A は不正解です。Aruba ClearPass Policy Manager(CPPM)とDevice Insightを統合することは、デバイスのロールマッピングを設定するための前提条件ではないため、オプションCは不正解です。CPPMとDevice Insightは、IoTデバイスの可視性と制御を強化するために連携できますが、クラウド認証とポリシーには必要ありません。オプションDは、セントラルでグローバルなロールツーロールファイアウォールポリシーを作成することは、デバイスのロールマッピングを設定するための前提条件ではないため、間違っています。グローバル・ロール・ツー・ロール・ファイアウォール・ポリシーは、ネットワーク全体の異なるクライアント・ロール間のトラフィック・ルールを定義するために使用されますが、クラウド認証とポリシーには必要ありません。シナリオを参照してください。# お客様紹介Arubaネットワーク・インフラストラクチャ・デバイスを使用する企業のネットワークにAruba ClearPassを追加する支援をしています。Windows CAは、ドメイン・コンピュータ、ドメイン・ユーザ、およびドメイン・コントローラなどのサーバに証明書を発行します。# モバイルクライアントに証明書を発行するための要件同社は ClearPass Onboard を使用して、Intune に登録されたモバイルクライアントに証明書を自動的にデプロイしたいと考えています。このプロセスでは、Onboard が Azure AD と通信してクライアントを検証する必要があります。つまり、サブスクライバ 1 が停止している場合、クライアントはサブスクライバ 2 から証明書を取得できる必要があります。Intune 管理者は、デバイスを登録したユーザの UPN を含む UPN SAN を含む証明書プロファイルを作成する予定です1。TP5T クライアントを認証するための要件顧客は、すべてのタイプのクライアントが同じ企業の SSID で接続し、認証することを求めています。EAP-TLS(スタンドアロンまたは TEAP メソッドとして)クライアントは、以下の要件を満たす必要があります:クライアントの証明書が有効であり、OCSP によって検証されたように失効していないクライアントのユーザ名が AD# のアカウントと一致するクライアントをロールに割り当てるための要件認証後、顧客は CPPM が以下のルールに基づいてクライアントを ClearPass ロールに割り当てることを望んでいる:Onboard が発行した証明書を持つクライアントには「mobile-onboarded」ロールが割り当てられる TEAP Method 1 をパスしたクライアントには「domain-computer」ロールが割り当てられる AD グループ「Medical」のクライアントには「medical-staff」ロールが割り当てられる AD グループ「Reception」のクライアントには「reception-staff」ロールが割り当てられる 顧客は CPPM に対して、認証されたクライアントを AOS ファイアウォールのロールに割り当てるよう、次のように要求している:モバイルオンボードクライアントの医療スタッフを「medical-mobile」ファイアウォールの役割に割り当てる その他のモバイルオンボードクライアントを「mobile-other」ファイアウォールの役割に割り当てる ドメインコンピュータ上の医療スタッフを「medical-domain」ファイアウォールの役割に割り当てる ドメインコンピュータ上のすべての受付スタッフを「reception-domain」ファイアウォールの役割に割り当てる 有効なユーザがログインしていないすべてのドメインコンピュータを「computer-only」ファイアウォールの役割に割り当てる その他のクライアントのアクセスを拒否する# その他の要件ClearPass サーバとオンプレム AD ドメインコントローラ間の通信は暗号化する必要があります。# ネットワーク・トポロジーネットワーク・インフラストラクチャには、Aruba AP と Aruba ゲートウェイがあり、Central が管理しています。AP はトンネル型 WLAN を使用し、ゲートウェイクラスターにトラフィックをトンネルします。また、この顧客には AOS-CX スイッチがありますが、この時点では Central によって管理されていません1。TP5T ClearPass クラスタの IP アドレスとホスト名顧客の ClearPass クラスタには次の IP アドレスがあります。acnsxtest.com = 10.47.47.5cps1.acnsxtest.com = 10.47.47.6cps2.acnsxtest.com = 10.47.47.7radius.acnsxtest.com=10.47.47.8onboard.acnsxtest.com=10.47.47.8顧客は現在、特定のモバイルオンボードデバイスを「ナースコール」AOSユーザーロールに割り当てるためにCPPMが必要であると判断しました。これらは、ポート4343を使用してIPアドレス10.1.18.12と通信しているモバイルオンボードデバイスです。この要件を満たすための前提条件は何ですか? セントラルのグローバル設定内でトラフィッククラスとロールマッピングルールを設定すること トラフィックの宛先に基づいてクライアントにロールを適用するサーバーベースのロール割り当てルールをAP上に作成すること トラフィックの宛先に基づいてクライアントにロールを適用する、ゲートウェイ上のサーバーベースのロール割り当てルールの作成 適切な宛先接続を選択するタグをCentralに作成し、CPPMをDevice Insightと統合する Q28.ある顧客がAruba ClearPassクラスタを持っています。顧客には、ClearPass Policy Manager(CPPM)に802.1X認証を実装するAOS-CXスイッチがあります。スイッチは、ローカルポートアクセスポリシーを使用しています。顧客は、ユーザー認証のみを通過する有線クライアントをArubaゲートウェイクラスタにトンネリングすることを開始したいと考えています。ゲートウェイクラスタは、これらのクライアントを「eth-internet」ロールに割り当てる必要があります。ゲートウェイは、クライアントをVLAN 20である自分のVLANに割り当てる処理も行う必要があります。実施ポリシーとプロファイルの計画は次のとおりです。20.1o VLAN 4094 (WAN) = 198.51.100.14*ゲートウェイ 2o VLAN 4085 (システム IP) = 10.20.4.22o VLAN 20 (ユーザー) = 10.20.20.2o VLAN 4094 (WAN) = 198.51.100.12*VLAN20のVRRP = 10.20.20.254顧客は、スイッチとゲートウェイクラスター間のトンネルに高い可用性を求めています。一方のゲートウェイが落ちた場合、もう一方のゲートウェイがそのトンネルを引き継ぐ必要がある。また、スイッチは、ゲートウェイの1つがクラスタ内にあるかどうかに関係なく、ゲートウェイクラスタを検出できなければなりません。正しいUBTゾーンとポートアクセスロール設定を構成したと仮定します。しかし、ソリューションは動作していません。他に何を確認すべきですか? トンネリングされたクライアントが接続する可能性のあるすべてのエッジポートで、アクセスVLANとしてVLAN 20を割り当てます。 AOS-CXスイッチに新しいVLANを作成し、そのVLANをUBTクライアントVLANとして設定します。 接続する有線クライアントの数に基づいて、ゲートウェイに十分なVIAライセンスを割り当てます。 トンネリングされたクライアントが接続する可能性のあるエッジポートのポートアクセス認証モードモードをクライアントモードに変更します。 Q29.シナリオを参照してください。Arubaモビリティコントローラ(MC)の「medical-mobile」AOSファイアウォールの役割のクライアントに、次の権限が必要です。DHCPでIPアドレスの受信を許可10.8.9.7からのDNSサービスへのアクセスを許可、その他のサーバーは許可しない10.1.12.0/22へのアクセスを拒否された場合を除き、10.1.0.0/16範囲のすべてのサブネットへのアクセスを許可その他の10.0.0.0/8サブネット インターネットへのアクセスを許可する SSHトラフィックを送信した場合、一定期間WLANへのアクセスを拒否する Telnetトラフィックを送信した場合、一定期間WLANへのアクセスを拒否する すべてのハイリスクウェブサイトへのアクセスを拒否する 外部デバイスは、「メディカルモバイル」クライアントとのセッションを開始することを許可されるべきではなく、リターントラフィックを送信することのみが許可されるべきである。以下の図は、役割のための設定を示しています。設定には複数の問題があります。シナリオの要件を満たすためにポリシーに加えなければならない変更の1つは何ですか?(オプションでは、ポリシー内のルールは上から下に参照されます。例えば、「medical-mobile」のルール1は「ipv4 any any svc-dhcp permit」であり、ルール8は「ipv4 any any permit」である)。 medical-mobile」ポリシーで、ルール1のソースを「user」に変更する。 medical-mobile」ポリシーで、ルール3のサブネットマスクを255.255.248.0に変更する。 medical-mobile」ポリシーで、ルール6と7をリストの先頭に移動する。 apprf-medical-mobile-sacl」ポリシーのルールを「medical-mobile」ポリシーのルール7と8の間に移動します。 Q30.シナリオを参照してください。# お客様紹介ある企業が、Arubaネットワーク・インフラストラクチャ・デバイスを使用するネットワークにAruba ClearPassを追加するのを支援しています。Windows CAは、ドメイン・コンピュータ、ドメイン・ユーザ、およびドメイン・コントローラなどのサーバに証明書を発行します。# モバイルクライアントに証明書を発行するための要件同社は ClearPass Onboard を使用して、Intune に登録されたモバイルクライアントに証明書を自動的にデプロイしたいと考えています。このプロセスでは、Onboard が Azure AD と通信してクライアントを検証する必要があります。つまり、サブスクライバ 1 が停止している場合、クライアントはサブスクライバ 2 から証明書を取得できる必要があります。Intune 管理者は、デバイスを登録したユーザの UPN を含む UPN SAN を含む証明書プロファイルを作成する予定です1。TP5T クライアントを認証するための要件顧客は、すべてのタイプのクライアントが同じ企業の SSID で接続し、認証することを求めています。EAP-TLS(EAP-TLSを内部メソッドとして、Windowsドメインコンピュータとそのユーザーを認証する) EAP-TLS(スタンドアロンまたはTEAPメソッドとして)クライアントは、以下の要件を満たす必要があります:クライアントの証明書が有効であり、OCSP によって検証されたように失効していないクライアントのユーザ名が AD# のアカウントと一致するクライアントをロールに割り当てるための要件認証後、顧客は CPPM が以下のルールに基づいてクライアントを ClearPass ロールに割り当てることを望んでいる:* オンボードで発行された証明書を持つクライアントには、「mobile-onboarded」ロールが割り当てられる* TEAP Method 1 に合格したクライアントには、「domain-computer」ロールが割り当てられる AD グループ「Medical」のクライアントには、「medical-staff」ロールが割り当てられる AD グループ「Reception」のクライアントには、「reception-staff」ロールが割り当てられる顧客は、CPPM に対して、認証されたクライアントを AOS ファイアウォールのロールに割り当てるよう、次のように要求している:モバイルオンボードクライアントの医療スタッフを「medical-mobile」ファイアウォールの役割に割り当てる * その他のモバイルオンボードクライアントを「mobile-other」ファイアウォールの役割に割り当てる * ドメインコンピュータ上の医療スタッフを「medical-domain」ファイアウォールの役割に割り当てる * ドメインコンピュータ上のすべての受付スタッフを「reception-domain」ファイアウォールの役割に割り当てる * すべてのドメインコンピュータ上の受付スタッフを「reception-domain」ファイアウォールの役割に割り当てる他のクライアントのアクセスを拒否する# その他の要件ClearPass サーバとオンプレム AD ドメインコントローラ間の通信は暗号化する必要があります。# ネットワーク・トポロジーネットワーク・インフラストラクチャには、Aruba AP と Aruba ゲートウェイがあり、Central が管理しています。AP はトンネル型 WLAN を使用し、ゲートウェイクラスターにトラフィックをトンネルします。また、この顧客には AOS-CX スイッチがありますが、この時点では Central によって管理されていません1。TP5T ClearPass クラスタの IP アドレスとホスト名顧客の ClearPass クラスタには次の IP アドレスがあります。* Publisher = 10.47.47.5* Subscriber 1 = 10.47.47.6* Subscriber 2 = 10.47.47.7* Subscriber 1 および Subscriber 2 の仮想 IP = 10.47.47.8顧客の DNS サーバーには次のエントリがあります。47.6* cps2.acnsxtest.com = 10.47.47.7* radius.acnsxtest.com = 10.47.47.8* onboard.acnsxtest.com = 10.47.47.8以下の図に示すように、モバイル・クライアントに証明書を発行するための顧客の要件を満たすために、CAの作成を開始しました。 EST認証方法を外部バリデータを使用するように変更する。 ESTダイジェスト・アルゴリズムをSHA-512に変更する。 Azure ADの下で登録機関としてCAを再作成します。 OCSPレスポンダを指定し、ホスト名をlocalhostに設定します。 Q31.ある顧客が、唯一のドメインソリューションとして、オンプレミス AD から Azure AD に移行しようとしている。この顧客はまた、Microsoft Endpoint Manager(Intune)を使用して、有線デバイスと無線デバイスの両方を管理しています。顧客はネットワーク・エッジのセキュリティを改善したいと考えています。Arubaネットワークデバイスは、Aruba ClearPass Policy Manager(CPPM)クラスタ(バージョン6.10を使用)に対して無線および有線クライアントを認証します。クライアントは、Azure ADへのクエリによってAzure ADにアカウントがあることが示された場合にのみ、EAP-TLS認証を通過する必要があります。クライアントの権限をさらに絞り込むために、ClearPassはIntuneによって収集された情報を使用してアクセス制御を決定する必要があります。Azure ADのデプロイが適切な前提条件を確立していると仮定します。 Kerberosタイプとして Active Directoryタイプとして HTTP タイプとして、Intune 拡張機能を参照する HTTP タイプとして、Azure AD の FODN を参照する。 Q32.スタンドアロンのAruba Mobility Controller(MC)に証明書をインストールする必要があります。MCは、Web UIおよびAruba ClearPass Policy Managerを使用したRadSecの実装に証明書を使用する必要があります。次の設定の証明書が提供されています:CN=mc41.site94.example.comSANなし発行者:CN=ca41.example.comEKUs:サーバ認証、クライアント認証この証明書は、証明書が意図する目的に対してどのような問題がありますか。 EKUが矛盾している。 プライベート認証局が発行した証明書である。 DCフィールドの代わりにCNフィールドでドメイン情報を指定している。 DNS SANがない。 Q33.あなたは、ClearPass Policy Manager(CPPM)エンドポイントリポジトリのエンドポイントエントリを確認しています。誰かがネットワークへの不正アクセスを試みている良い兆候は何ですか? エントリは、フィンガープリントの下に複数の DHCP オプションを示しています。 エントリが不明ステータスを示している。 このエントリは、プロファイル化されたプリンタの新しいプロファイルがComputerであるというプロファイルの競合を示しています。 エントリにホスト名がないか、ランダムと思われる長い文字のホスト名が含まれています。 説明プロファイルの競合は、ClearPass Policy Manager(CPPM)が、以前にプロファイル化されたエンドポイントのデバイスカテゴリまたは OS ファミリの変更を検出した場合に発生します。これは、何者かが正規デバイスの MAC アドレスを偽装し、ネットワークへの不正アクセスを試みていることを示す可能性があります。たとえば、以前はプリンターとしてプロファイルされていたエンドポイントが、突然コンピューターという新しいプロファイルを表示した場合、これは攻撃の兆候である可能性があります。プロファイルの競合とその解決方法の詳細については、『ClearPass Policy Manager ユーザーガイド』1 を参照してください。その他のオプションは、他の説明が可能なため、必ずしも不正アクセスの兆候とは限りません。たとえば、フィンガープリントの下にある複数の DHCP オプションは、デバイスが異なるネットワークまたはサブネットに接続していることを示す可能性があります。不明ステータスは、デバイスがまだ認証されていないことを示す可能性があります。シナリオを参照してください。ある組織は、RADIUS サーバー(cp.acnsxtest.local)が 1 時間あたり異常な数のクライアント認証要求を拒否した場合に、AOS-CX スイッチがアラートをトリガーすることを望んでいます。他のAruba管理者と議論した後、どのくらいの数の拒否が通常か異常かはまだわかりません。開発者は、次のようなロジックでルールを定義する予定だと説明します。 アクセススイッチの RADIUS 統計の一つをチェックし、拒否のためにリストされた数に 10 を加える。 ベースラインを定義し、その値を参照する。 値の良い出発点として10(1時間あたり)を使用する。 パラメータを定義し、その値(self ^ramsfname])を参照する。 Q35.Aruba ClearPass Policy Manager(CPPM)は、展示に示されている設定を使用しています。あなたは、Aruba AP、Arubaゲートウェイ、AOS-CXスイッチなど、いくつかのタイプのNASに関連する実施ポリシーで、展示に示されているタグを参照しています。クライアントが再分類され、タグに基づいて正しい処理を受けるようにするには、何をすべきですか? RADIUS アクションを [Aruba Wireless -Terminate Session] に変更します。これは、問題の NAS すべてでサポートされています。 RADIUS アクションを、問題の NAS すべてでサポートされている [Aruba Wireless - Bounce Switch Port] に変更します。 これらの実施プロファイルのいずれかを使用して、各サービスでプロファイリングを有効にします。プロファイリング・アクションを、そのサービスを使用する NAS の正しいアクションに設定します。 タグ更新アクション]を[アクションなし]に設定します。次に、代わりに、図に示されているタグを持つクライアントに一致するルールの実施プロファイルを使用して、RADIUS CoAsを有効にします。 説明クリアパス ポリシー マネージャ ユーザー ガイド 1 によると、図に示すタグは Device Insight タグで、動作と特性に基づいてデバイスを分類および識別するために使用されます。Device Insight タグは、タグに基づいてデバイスに異なるアクションや役割を適用する実施ポリシーの条件として使用できます。ただし、タグに基づいてデバイスが再分類され、正しい処理を受けるようにするには、これらの実施プロファイルの 1 つを使用する各サービスでプロファイリングを有効にする必要があります。プロファイリングは、クリアパスがネットワーク上のデバイスを動的に検出してプロファイリングし、それに応じて属性とタグを更新する機能です。プロファイリングにより、クリアパスはデバイスのアクセスを制御するネットワーク・アクセス・サーバ(NAS)に RADIUS 認証変更(CoA)メッセージを送信し、タグを変更したデバイスのセッションを再認証または終了するよう指示することもできます。NASによってサポートするCoAメッセージのタイプが異なる可能性があるため、プロファイリング・アクションは、そのサービスを使用するNASに対して正しいものに設定する必要があります。したがって、選択肢 C が正解です。AOS-CXスイッチポートにBPDUプロテクションを実装する場合と、BPDUフィルタリングを実装する場合では、どのような違いがありますか? スイッチがMSTPを実装している場合は、エッジポートでBPDUプロテクションを使用して不正なデバイスから保護します。スイッチがPVSTP+を実装している場合は、BPDUフィルタリングを使用して不正なデバイスから保護します。 エッジポートで BPDU プロテクションを使用して不正デバイスの接続を防止し、特殊なユースケースではスイッチ間ポートで BPDU フィルタリングを使用します。 エッジポートの BPDU フィルタリングを使用して、不正なデバイスの接続を防止します。 エッジポートの BPDU プロテクションを使用して、不正なデバイスを恒久的にロックアウトします。エッジポートの BPDU フィルタリングを使用して、不正なデバイスを一時的にロックアウトします。 説明BPDU(ブリッジ・プロトコル・データ・ユニット)は、スパニングツリー・トポロジを維持し、ループを防止するためにスイッチ間で交換されるメッセージです。BPDU保護とBPDUフィルタリングは、セキュリティとパフォーマンスを強化するためにAOS-CXスイッチポートに設定できる2つの機能です。BPDU保護は、ポートに不正なスイッチまたはデバイスが接続されたことを示すBPDUを受信した場合に、ポートを無効にする機能です。BPDU プロテクションは通常、エッジ・ポートで使用されます。エッジ・ポートとは、PC やプリンタなどのエンド・デバイスに接続するポートで、BPDU を受信することは想定されていません。BPDUプロテクションは、不正なデバイスがネットワークに接続し、スパニングツリートポロジーに影響を与えるのを防ぎます。BPDUフィルタリングは、ポートがBPDUを送信または受信するのを防ぐ機能で、効果的にポートをスパニングツリートポロジーから隔離します。BPDU フィルタリングは通常、他のスイッチに接続するポートであるインタースイッチポートで使用され、別のスパニングツリードメインを作成したり、BPDU のオーバーヘッドを削減したりするような特殊なユースケースに使用されます。AOS-CXスイッチポートでのBPDU保護とBPDUフィルタリングの設定方法については、[Configuring Spanning Tree Protocol - Aruba]ページと[AOS-CX Switching Configuration Guide]ページを参照してください。他のオプションは、間違ったタイプのポートまたは間違った目的でBPDU保護またはBPDUフィルタリングを使用するため、正しくありません。例えば、スイッチ間ポートにBPDUプロテクションを使用すると、通常動作で期待されるBPDUを受信した場合、ポートを無効にしてしまいます。エッジポートにBPDUフィルタリングを使用すると、不正なデバイスがネットワークに接続し、ループを作成したり、スパニングツリートポロジに影響を与える可能性があります。シナリオを参照してください。ある顧客は、Arubaモビリティコントローラ(MC)の「medical-mobile」AOSファイアウォールの役割のクライアントに、次の権限を要求しています。DHCPでIPアドレスを受信することを許可する* 10.8.9.7からのDNSサービスへのアクセスを許可し、他のサーバーは許可しない* 10.1.12.0/22へのアクセスを拒否された場合を除き、10.1.0.0/16範囲のすべてのサブネットへのアクセスを許可する* 他の10.0.0.0/8サブネットへのアクセスを許可* インターネットへのアクセスを許可* SSHトラフィックを送信した場合、一定期間WLANへのアクセスを拒否* Telnetトラフィックを送信した場合、一定期間WLANへのアクセスを拒否* すべてのハイリスクウェブサイトへのアクセスを拒否外部デバイスは、「メディカルモバイル」クライアントとのセッションを開始することを許可されるべきではなく、リターントラフィックを送信することのみが許可されるべきである。この構成には複数の問題があります。シナリオの要件を満たすために必要な変更は何ですか?(オプションでは、ポリシー内のルールは上から下に参照されます。例えば、「medical-mobile」のルール1は「ipv4 any any svc-dhcp permit」で、ルール8は「ipv4 any any permit」です)。 medical-mobile」ポリシーで、ルール2と3をルール7と8の間に移動する。 medical-mobile」ポリシーで、ルール3のサブネットマスクを255.255.248.0に変更する。 apprf-medical-mobile-sacl」ポリシーのルールを「medical-mobile」ポリシーのルール7と8の間に移動します。 medical-mobile」ポリシーで、ルール8のソースを「user」に変更します。 説明「medical-mobile」ポリシーのルール3のサブネットマスクは現在255.255.252.0であり、このルールは隣接する10.1.16.0/22サブネット1だけでなく、10.1.12.0/22サブネットへのアクセスも拒否する。この問題を解決するには、ルール3のサブネットマスクを255.255.248.0に変更する。これは、ルールが10.1.12.0/22サブネット1を含む10.1.8.0/21サブネットへのアクセスのみを拒否することを意味する。こうすることで、ルールはシナリオ要件により正確に一致します。ユーザーが新しい有線クライアントをIntuneに登録する方法が必要です。クライアントには、証明書の登録と受信のみを許可する限定的なアクセス権が必要です。AOS-CXの "provision "というロールにこれらの権限を設定する予定です。顧客のセキュリティチームは、これらのクライアントのインターネット・アクセスを必要なサイトのみに制限するよう指示しています。お使いのスイッチソフトウェアは、「provision」ロールで適用されるルールのIPv4およびIPv6アドレスをサポートしています。 より安定している傾向があるIPv6アドレスで「プロビジョニング」役割のルールを構成すること provision」ロールのMCへのトンネリングを有効にして、MCの権限を設定する。 CPPMで「provision」ロールをダウンロード可能なユーザーロール(DUR)として設定する provision」ロールをVLANに割り当て、レイヤー2アクセス制御リスト(ACL)内のルールを設定する。 Q39.Aruba CentralでゲートウェイIDS/IPS設定を構成しています。フェイル戦略をバイパスに設定する理由はどれですか? IPSエンジンが検査に失敗した場合にトラフィックを許可するには ゲートウェイがIDS/IPSポリシーで構成された許可リスト設定を保持できるようにするため ゲートウェイがインターネットへの接続を失った場合、IDS/IPSポリシーの実施を停止するようにゲートウェイに指示するため。 認証されていないクライアントのトラフィックをフィルタリングするために IPS エンジンのリソースを浪費しないようにする。 説明フェイル戦略は、ArubaゲートウェイのIPS検査モードの設定オプションです。IPSエンジンがクラッシュしてトラフィックを検査できない場合に実行するアクションを定義します。フェイル戦略には2つのオプションがあります:Bypass および Block1 Fail Strategy を Bypass に設定すると、IPS エンジンが故障したときに検査せずにトラフィックを流すようにゲートウェイに指示します。このオプションは、ネットワーク接続の中断がないことを保証しますが、IPS エンジンによって検出または防止されない潜在的な脅威にネットワークをさらすことにもなります1。 フェイル戦略をブロックに設定すると、IPS エンジンが検査を再開するまでトラフィックフローを停止するようにゲートウェイに指示します。このオプションは、ネットワークのセキュリティが損なわれないことを保証しますが、IPSエンジンが故障している間、ネットワークの接続性が失われます1Q40。ある顧客が、VLAN 4のARPポイズニングに対する保護を必要としています。以下に、VLAN 4のすべての設定と、AOS-CXアクセスレイヤスイッチのVLAN 4関連物理インタフェースを示します。 VLAN 4でARPプロキシが有効になっていません。 LAG1がARPインスペクションのためにトラステッドとして設定されているが、本来はアントラスティッドであるべきである。 VLAN 4でDHCPスヌーピングが有効になっていない。 エッジポートがARPインスペクションでuntrustedとして設定されていません。 説明これは、ARP 検査がネットワーク内の ARP パケットを検証し、ARP ポイズニング攻撃を防ぐセキュリティ機能であるためです12。 ARP 検査は、無効な IP-to-MAC アドレスバインディングを持つ ARP パケットを傍受、記録、破棄することで機能します1。ARP 検査を有効にするには、スイッチはどのポートが信頼され、どのポートが信頼されないかを知る必要があります。信頼できるポートとは、認証されたDHCPサーバやARPスプーフィングに脆弱でない他のネットワーク・デバイスに接続するポートです。非信頼ポートとは、偽造ARPパケットを送信する可能性のあるエンドホストまたはデバイスに接続するポートです。しかし、エッジポート(1/1/1-1/24)はARP検査用の信頼されないポートとして構成されていません。これは、攻撃者によって侵害される可能性のあるエンドホストに接続しているため、正しくありません。デフォルトでは、すべてのポートが ARP 検査で信頼されないポートに設定されていますが、インターフ ェース・コンフィグレーション・モードで ip arp inspection trust コマンドを使用することで変更できま す。このようにすると、スイッチはこれらのポートで受信したARPパケットをDHCP snoopingデータベースまたはARPアクセスリストと照合して検証し、無効なパケットはすべてドロップします34A: VLAN 4でARPプロキシが有効になっていません。ARP プロキシは、スイッチが異なるサブネット内のホストに代わって ARP 要求に応答することを可能にするオプション機能であるため、これは問題ではありません5 ARP ポイズニングや ARP 検査とは関係ありません。LAG 1 はコアスイッチに接続しており、コアスイッチは偽造 ARP パケットを送信しない信頼されたデバイスであるため、これは問題ではありません。C: VLAN 4 で DHCP スヌーピングが有効になっていません。DHCP スヌーピングは、不正な DHCP サーバーがクライアントに IP アドレスを提供するのを防ぐ別の機能であるため、これは問題ではありません6 ARP ポイズニングや ARP 検査とは直接関係ありませんが、有効になっていれば ARP 検査の検証のための情報を提供できますQ41.Aruba CentralでゲートウェイIDS/IPS設定を構成しています。フェイル戦略をバイパスに設定する理由は何ですか? IPSエンジンが検査に失敗した場合にトラフィックを許可するには ゲートウェイがIDS/IPSポリシーで構成された許可リスト設定を保持できるようにするため ゲートウェイがインターネットへの接続を失った場合、IDS/IPSポリシーの実施を停止するようにゲートウェイに指示するため。 認証されていないクライアントのトラフィックをフィルタリングするために IPS エンジンのリソースを浪費しないようにする。 Q42.シナリオを参照してください。Aruba モビリティ・コントローラ(MC)の「medical-mobile」AOS ファイアウォールの役割のクライアントに対して、顧客は以下の権限を要求しています:DHCP による IP アドレスの受信許可* 10.8.9.7 からの DNS サービスへのアクセス許可、およびその他のサーバーへのアクセス許可* 10.1.12.0/22 へのアクセス拒否を除く、10.1.0.0/16 範囲のすべてのサブネットへのアクセス許可* その他の 10.0.0.0/8サブネット* インターネットへのアクセスを許可* SSHトラフィックを送信した場合、一定期間WLANへのアクセスを拒否* Telnetトラフィックを送信した場合、一定期間WLANへのアクセスを拒否* すべてのハイリスクウェブサイトへのアクセスを拒否外部デバイスは、「メディカルモバイル」クライアントとのセッションを開始することを許可されるべきではなく、リターントラフィックを送信するだけである。(オプション