이 페이지는 시험 연구소 브레인덤프 [ http://blog.examslabs.com ]에서 내보낸 페이지입니다. 내보내기 날짜:Tue Jan 7 18:15:55 2025 / +0000 GMT ___________________________________________________ 제목 : [Jun-2024] HPE6-A84시험 연구 가이드로 HP 시험 덤프에 합격하는 유효한 방법 [Q25-Q44] --------------------------------------------------- [Jun-2024] HPE6-A84시험 연구 가이드로 HP 시험 덤프에 합격하는 유효한 방법 모든 HPE6-A84덤프와 아루바 공인 네트워크 보안 전문가 필기 시험 교육 과정은 응시자가 번거로움 없이 시험을 공부하고 합격할 수 있도록 도와줍니다! Q25. 견고한 네트워크 보안 포렌식의 토대를 마련하는 데 도움이 되는 요소는 무엇입니까? edqe 스위치 포트에서 BPDU 보호 및 루프 보호 활성화 네트워크 인프라 디바이스 로그에 디버그 수준 정보 활성화 AP에 연결되는 스위치 포트에서 802.1X 인증 구현 모든 네트워크 디바이스가 정확하고 일관된 클럭을 사용하도록 보장하기 설명네트워크 포렌식은 네트워크 트래픽 데이터 분석에 의존하며, 이 데이터는 종종 데이터를 생성하거나 전송하는 장치에 의해 타임스탬프가 찍히기 때문입니다. 모든 네트워크 장치에서 동기화되고 정확한 시계가 있으면 이벤트의 신뢰할 수 있는 타임라인을 설정하고 다양한 증거 소스를 상호 연관시키는 데 도움이 됩니다.12A: 에지 스위치 포트에서 BPDU 보호 및 루프 보호 활성화는 네트워크 보안 포렌식과는 관련이 없으며 오히려 악성 스위치 또는 브리지로 인한 네트워크 루프 및 토폴로지 변경을 방지하는 것과 관련이 있습니다.3B: 네트워크 인프라 장치 로그에 디버그 수준 정보를 활성화하면 네트워크 활동에 대한 자세한 정보를 제공할 수 있지만 더 많은 리소스와 스토리지를 소모하며 포렌식 분석에 관련성이 없거나 유용하지 않을 수 있습니다. 또한 디버그 수준 정보는 장기 보존 또는 법적 목적으로 사용할 수 없을 수도 있습니다.4C: AP에 연결되는 스위치 포트에 802.1X 인증을 구현하는 것은 네트워크에 대한 무단 액세스를 방지하는 좋은 보안 방법이지만 네트워크 보안 포렌식에는 직접적인 도움이 되지 않습니다. 802.1X 인증은 네트워크 포렌식의 주요 증거 소스인 네트워크 트래픽 데이터를 캡처하거나 기록하지 않습니다Q26. 고객이 아루바 AP를 포함한 AOS 10 기반 솔루션을 보유하고 있습니다. 고객이 클라우드 인증을 사용하여 비-802.1X 지원 IoT 디바이스를 인증하려고 하는데, 디바이스 역할 매핑을 설정하기 위한 전제 조건은 무엇인가요? NetConductor 기반 패브릭 구성 Central에서 디바이스 인사이트(클라이언트 프로필) 태그 구성하기 아루바 클리어패스 정책 관리자(CPPM)와 디바이스 인사이트 통합하기 Central에서 글로벌 역할 간 방화벽 정책 만들기 설명아루바 클라우드 인증 및 정책 개요1에 따르면, 클라우드 인증 및 정책을 구성하기 위한 전제 조건 중 하나는 Central에서 Device Insight(클라이언트 프로필) 태그를 구성하는 것입니다. 디바이스 인사이트 태그는 동작 및 특성에 따라 IoT 디바이스를 식별하고 분류하는 데 사용됩니다. 그런 다음 이러한 태그를 클라이언트 역할에 매핑할 수 있으며, 이 역할은 IAP의 WLAN 구성에 정의되어 있습니다2. 클라이언트 역할은 IoT 디바이스에 대한 역할 기반 액세스 정책을 적용하는 데 사용됩니다. 따라서 옵션 B가 정답이며, 옵션 A는 NetConductor가 클라우드 인증 및 정책과 관련이 없으므로 정답이 아닙니다. 넷컨덕터는 아루바 Instant 네트워크의 구축 및 운영을 간소화하는 클라우드 기반 네트워크 관리 솔루션입니다.옵션 C는 장치 역할 매핑을 설정하기 위한 전제 조건이 아니므로 옵션 C는 올바르지 않습니다. CPPM과 Device Insight는 함께 작동하여 IoT 장치에 대한 향상된 가시성 및 제어 기능을 제공할 수 있지만 클라우드 인증 및 정책에는 필요하지 않습니다.옵션 D는 Central에서 글로벌 역할 간 방화벽 정책을 만드는 것이 장치 역할 매핑을 설정하기 위한 전제 조건이 아니므로 올바르지 않습니다. 글로벌 역할 간 방화벽 정책은 전체 네트워크에서 서로 다른 클라이언트 역할 간의 트래픽 규칙을 정의하는 데 사용되지만 클라우드 인증 및 정책.Q27에는 필요하지 않습니다. 시나리오를 참조하십시오.# 고객 소개고객은 아루바 네트워크 인프라 장치를 사용하는 회사의 네트워크에 Aruba ClearPass를 추가하는 것을 돕고 있으며, 현재 이 회사에는 Windows 도메인과 Windows CA가 있습니다. Windows CA는 도메인 컴퓨터, 도메인 사용자 및 도메인 컨트롤러와 같은 서버에 인증서를 발급합니다. Windows CA에서 발급한 인증서의 예가 여기에 나와 있습니다.이 회사는 모바일 클라이언트를 관리하기 위해 Microsoft 엔드포인트 관리자(Intune)를 추가하는 중입니다.고객은 현재 온-프레미스 AD를 유지하고 있으며 Azure AD Connect를 사용하여 Azure AD와 동기화합니다.# 모바일 클라이언트에 인증서 발급에 대한 요구사항 회사는 ClearPass Onboard를 사용하여 Intune에 등록된 모바일 클라이언트에 인증서를 자동으로 배포하고자 합니다. 이 프로세스 중에 Onboard는 Azure AD와 통신하여 클라이언트의 유효성을 검사해야 합니다. 즉, 구독자 1이 다운된 경우 클라이언트가 구독자 2로부터 인증서를 받을 수 있어야 하며, Intune 관리자는 장치를 등록한 사용자의 UPN을 사용하여 UPN SAN을 포함하는 인증서 프로필을 만들려고 합니다.1클라이언트 인증에 대한 TP5T 요구 사항고객은 모든 유형의 클라이언트가 동일한 회사 SSID에서 연결하고 인증해야 합니다.회사는 CPPM이 다음 인증 방법을 사용하기를 원합니다. IntuneTEAR에 등록된 모바일 클라이언트에서 사용자를 인증하기 위한 EAP-TLS, Windows 도메인 컴퓨터 및 해당 컴퓨터의 사용자를 인증하는 내부 방법으로 EAP-TLS 성공하려면 EAP-TLS(독립형 또는 TEAP 방법) 클라이언트가 이러한 요구 사항을 충족해야 합니다:클라이언트의 인증서가 유효하며 OCSP에서 유효성을 검사한 대로 해지되지 않음 클라이언트의 사용자 이름이 AD#의 계정과 일치함 클라이언트를 역할에 할당하기 위한 요구 사항인증 후, 고객은 다음 규칙에 따라 CPPM이 클라이언트를 ClearPass 역할에 할당하기를 원합니다:온보드에서 발급한 인증서가 있는 클라이언트에는 "모바일 온보드" 역할이 할당됨 TEAP 방법 1을 통과한 클라이언트에는 "도메인-컴퓨터" 역할이 할당됨 "의료" 그룹의 클라이언트에는 "의료-직원" 역할이 할당됨 "접수" 그룹의 클라이언트에는 "접수-직원" 역할이 할당됨 고객은 다음과 같이 인증된 클라이언트를 AOS 방화벽 역할에 할당하기 위해 CPPM에게 요구합니다:모바일 온보드 클라이언트의 의료진을 "의료-모바일" 방화벽 역할에 할당 다른 모바일 온보드 클라이언트를 "모바일-기타" 방화벽 역할에 할당 도메인 컴퓨터의 의료진을 "의료-도메인" 방화벽 역할에 할당 도메인 컴퓨터의 모든 접수 직원을 "접수-도메인" 방화벽 역할에 할당 유효한 사용자가 없는 모든 도메인 컴퓨터는 "컴퓨터-전용" 방화벽 역할에 로그인한 다른 클라이언트 액세스 거부# 기타 요구사항 ClearPass 서버와 온프레미스 AD 도메인 컨트롤러 간의 통신은 암호화해야 합니다.# 네트워크 토폴로지네트워크 인프라의 경우, 이 고객은 아루바 AP와 아루바 게이트웨이를 보유하고 있으며, Central에서 관리합니다. AP는 트래픽을 게이트웨이 클러스터로 터널링하는 터널링 WLAN을 사용합니다. 이 고객은 또한 현재 Central에서 관리하지 않는 AOS-CX 스위치를 보유하고 있습니다.# 클리어패스 클러스터 IP 주소 및 호스트 이름고객의 클리어패스 클러스터에는 다음과 같은 IP 주소가 있습니다:게시자 = 10.47.47.5가입자 1 = 10.47.47.6가입자 2 = 10.47.47.7가입자 1 및 가입자 2의 가상 IP = 10.47.47.8고객의 DNS 서버에는 다음과 같은 항목이 있습니다cp.10.47.47.5cps1.acnsxtest.com = 10.47.47.6cps2.acnsxtest.com = 10.47.47.7radius.acnsxtest.com = 10.47.47.8onboard.acnsxtest.com = 10.47.47.8고객은 이제 특정 모바일 온보드 장치를 "간호사 호출" AOS 사용자 역할에 할당하기 위해 CPPM이 필요하다고 결정했습니다. 포트 4343을 사용하여 IP 주소 10.1.18.12와 통신하는 모바일 온보드 장치입니다.이 요구 사항을 충족하기 위한 전제 조건은 무엇인가요? Central의 글로벌 설정 내에서 트래픽 클래스 및 역할 매핑 규칙 설정하기 트래픽 대상에 따라 클라이언트에 역할을 적용하는 AP에 서버 기반 역할 할당 규칙 만들기 트래픽 대상에 따라 클라이언트에 역할을 적용하는 게이트웨이에 서버 기반 역할 할당 규칙 만들기 적절한 대상 연결을 선택하기 위해 Central에 태그를 생성하고 CPPM을 Device Insight와 통합하기 Q28. 시나리오를 참조하세요.고객에게 Aruba ClearPass 클러스터가 있습니다. 고객에게 CPPM(ClearPass Policy Manager)에 대한 802.1X 인증을 구현하는 AOS-CX 스위치가 있고, 스위치는 로컬 포트 액세스 정책을 사용하고 있으며, 고객은 사용자 인증을 아루바 게이트웨이 클러스터로만 전달하는 유선 클라이언트의 터널링을 시작하려고 합니다. 게이트웨이 클러스터는 이러한 클라이언트를 "eth-internet" 역할에 할당해야 합니다. 또한 게이트웨이는 클라이언트를 VLAN 20인 VLAN에 할당하는 작업도 처리해야 합니다.* 게이트웨이 1o VLAN 4085(시스템 IP) = 10.20.4.21o VLAN 20(사용자) = 10.20:게이트웨이 클러스터에는 다음과 같은 IP 주소를 가진 두 개의 게이트웨이가 있음* 게이트웨이 1o VLAN 4085(시스템 IP) = 10.20.20.1o VLAN 4094(WAN) = 198.51.100.14* 게이트웨이 2o VLAN 4085(시스템 IP) = 10.20.4.22o VLAN 20(사용자) = 10.20.20.2o VLAN 4094(WAN) = 198.51.100.12* VLAN 20의 VRRP = 10.20.20.254 고객은 스위치와 게이트웨이 클러스터 간의 터널에 고가용성을 요구합니다. 한 게이트웨이가 다운되면 다른 게이트웨이가 해당 터널을 이어받아야 합니다. 또한 게이트웨이 중 하나가 클러스터에 있는지 여부에 관계없이 스위치가 게이트웨이 클러스터를 검색할 수 있어야 하며, 올바른 UBT 영역 및 포트 액세스 역할 설정을 구성했다고 가정합니다. 그러나 솔루션이 작동하지 않습니다. 어떻게 해야 하나요? 터널링된 클라이언트가 연결할 수 있는 모든 에지 포트에 VLAN 20을 액세스 VLAN으로 할당합니다. AOS-CX 스위치에 새 VLAN을 생성하고 해당 VLAN을 UBT 클라이언트 VLAN으로 구성합니다. 연결할 유선 클라이언트 수에 따라 게이트웨이에 충분한 VIA 라이선스를 할당합니다. 터널링된 클라이언트가 연결할 수 있는 모든 에지 포트에서 포트 액세스 인증 모드 모드를 클라이언트 모드로 변경합니다. Q29. 시나리오를 참조하세요.고객이 아루바 모빌리티 컨트롤러(MC)에서 "의료-모바일" AOS 방화벽 역할을 하는 클라이언트에 대해 다음과 같은 권한이 필요합니다.DHCP로 IP 주소 수신 허용10.8.9.7 및 다른 서버에서 DNS 서비스 액세스 허용10.1.0.0/16 범위의 모든 서브넷에 대한 액세스 허용 10.1.12.0/22 액세스 거부 다른 10.0.0에 대한 액세스 거부.0/8 서브넷 인터넷에 대한 액세스 허용 SSH 트래픽을 전송하는 경우 일정 기간 동안 무선랜에 대한 액세스 거부 텔넷 트래픽을 전송하는 경우 일정 기간 동안 무선랜에 대한 액세스 거부 모든 고위험 웹사이트에 대한 액세스 거부 외부 장치는 "의료 모바일" 클라이언트와의 세션 시작을 허용해서는 안 되며 반환 트래픽만 전송해야 합니다.아래 그림은 역할의 구성을 보여줍니다.구성에 여러 문제가 있습니다.시나리오 요건을 충족하려면 정책을 변경해야 하는 것 중 어떤 것을 선택해야 합니까? (옵션에서 정책의 규칙은 위에서 아래로 참조됩니다. 예를 들어, "의료-모바일" 규칙 1은 "ipv4 any any svc-dhcp 허용"이고 규칙 8은 "ipv4 any any any 허용"입니다.) "의료-모바일" 정책에서 규칙 1의 소스를 "사용자"로 변경합니다. "의료-모바일" 정책에서 규칙 3의 서브넷 마스크를 255.255.248.0으로 변경합니다. "의료용 모바일" 정책에서 규칙 6 및 7을 목록의 맨 위로 이동합니다. "apprf-medical-mobile-sacl" 정책의 규칙을 "medical-mobile" 정책의 규칙 7과 8 사이로 이동합니다. Q30. 시나리오를 참조하십시오.# 고객 소개고객은 아루바 네트워크 인프라 장치를 사용하는 회사의 네트워크에 Aruba ClearPass를 추가하는 것을 돕고 있으며, 현재 회사에는 Windows 도메인과 Windows CA가 있습니다. Windows CA는 도메인 컴퓨터, 도메인 사용자 및 도메인 컨트롤러와 같은 서버에 인증서를 발급합니다. Windows CA에서 발급한 인증서의 예가 여기에 나와 있습니다.이 회사는 모바일 클라이언트를 관리하기 위해 Microsoft 엔드포인트 관리자(Intune)를 추가하는 중입니다.고객은 현재 온-프레미스 AD를 유지하고 있으며 Azure AD Connect를 사용하여 Azure AD와 동기화합니다.# 모바일 클라이언트에 인증서 발급에 대한 요구사항 회사는 ClearPass Onboard를 사용하여 Intune에 등록된 모바일 클라이언트에 인증서를 자동으로 배포하고자 합니다. 이 프로세스 중에 Onboard는 Azure AD와 통신하여 클라이언트의 유효성을 검사해야 합니다. 즉, 구독자 1이 다운된 경우 클라이언트가 구독자 2로부터 인증서를 받을 수 있어야 하며, Intune 관리자는 장치를 등록한 사용자의 UPN을 사용하여 UPN SAN을 포함하는 인증서 프로필을 만들려고 합니다.1클라이언트 인증에 대한 TP5T 요구 사항고객은 모든 유형의 클라이언트가 동일한 회사 SSID에서 연결하고 인증해야 합니다.회사는 CPPM이 다음 인증 방법을 사용하기를 원합니다.* Intune에 등록된 모바일 클라이언트에서 사용자를 인증하는 EAP-TLS* Windows 도메인 컴퓨터 및 해당 컴퓨터의 사용자를 인증하는 내부 방법으로 EAP-TLS를 사용하는 TEAR 성공하려면 EAP-TLS(독립형 또는 TEAP 방법) 클라이언트가 이러한 요구 사항을 충족해야 합니다:클라이언트의 인증서가 유효하며 OCSP에서 유효성을 검사한 대로 해지되지 않음 클라이언트의 사용자 이름이 AD#의 계정과 일치함 클라이언트를 역할에 할당하기 위한 요구 사항인증 후 고객은 CPPM이 다음 규칙에 따라 클라이언트를 ClearPass 역할에 할당하기를 원합니다:* 온보드에서 발급한 인증서가 있는 클라이언트에는 "모바일 온보드" 역할이 할당됨 * TEAP 방법 1을 통과한 클라이언트에는 "도메인-컴퓨터" 역할이 할당됨 AD 그룹 "의료"의 클라이언트에는 "의료-직원" 역할이 할당됨 AD 그룹 "접수"의 클라이언트에는 "접수-직원" 역할이 할당됨 고객은 다음과 같이 CPPM이 인증된 클라이언트를 AOS 방화벽 역할에 할당하도록 요구합니다:* 모바일 온보드 클라이언트의 의료진을 "의료-모바일" 방화벽 역할에 할당* 다른 모바일 온보드 클라이언트를 "모바일-기타" 방화벽 역할에 할당* 도메인 컴퓨터의 의료진을 "의료-도메인" 방화벽 역할에 할당* 도메인 컴퓨터의 모든 접수 직원을 "접수-.도메인" 방화벽 역할* "컴퓨터 전용" 방화벽 역할에 로그인한 유효한 사용자가 없는 모든 도메인 컴퓨터* 다른 클라이언트 액세스 거부# 기타 요구 사항 ClearPass 서버와 온프레미스 AD 도메인 컨트롤러 간의 통신은 암호화되어야 합니다.# 네트워크 토폴로지네트워크 인프라의 경우, 이 고객은 아루바 AP와 아루바 게이트웨이를 보유하고 있으며, Central에서 관리합니다. AP는 트래픽을 게이트웨이 클러스터로 터널링하는 터널링 WLAN을 사용합니다. 이 고객은 또한 현재 Central에서 관리하지 않는 AOS-CX 스위치를 보유하고 있습니다.# 클리어패스 클러스터 IP 주소 및 호스트 이름고객의 클리어패스 클러스터에는 다음과 같은 IP 주소가 있습니다* 게시자 = 10.47.47.5* 구독자 1 = 10.47.47.6* 구독자 2 = 10.47.47.7* 구독자 1 및 구독자 2의 가상 IP = 10.47.47.8고객의 DNS 서버에는 다음과 같은 항목 * cp.acnsxtest.com = 10.47.47.5* cps1.acnsxtest.com = 10.47.47.6* cps2.acnsxtest.com = 10.47.47.7* radius.acnsxtest.com = 10.47.47.8* onboard.acnsxtest.com = 10.47.47.8 아래 표와 같이 모바일 클라이언트에 인증서를 발급하기 위한 고객의 요구 사항을 충족하기 위해 CA를 만들기 시작했는데 이러한 요구 사항 및 클라이언트 인증 요구 사항을 충족하는 데 도움이 되는 변경은 어떤 것이 있을까요? 외부 유효성 검사기를 사용하도록 EST 인증 방법을 변경합니다. EST 다이제스트 알고리즘을 SHA-512로 변경합니다. Azure AD에서 CA를 등록 기관으로 다시 만듭니다. OCSP 응답자를 지정하고 호스트 이름을 localhost로 설정합니다. Q31. 시나리오를 참조하세요. 고객이 온-프레미스 AD에서 유일한 도메인 솔루션으로 Azure AD로 마이그레이션하고 있습니다. 또한 고객은 Microsoft Endpoint Manager(Intune)로 유선 및 무선 디바이스를 모두 관리하며, 네트워크 에지에 대한 보안을 개선하고자 합니다. 귀사는 고객이 이러한 목적을 위해 ClearPass 배포를 설계하도록 돕고 있습니다. 아루바 네트워크 장치는 무선 및 유선 클라이언트를 아루바 CPPM(ClearPass Policy Manager) 클러스터(버전 6.10 사용)에 인증하며, 고객은 인증에 대한 몇 가지 요구사항이 있습니다. 클라이언트는 Azure AD에 대한 쿼리에서 Azure AD에 계정이 있는 것으로 표시되는 경우에만 EAP-TLS 인증을 통과해야 합니다. 클라이언트의 권한을 더욱 세분화하기 위해 ClearPass는 Intune에서 수집한 정보를 사용하여 액세스 제어 결정을 내려야 합니다.Azure AD 배포에 적절한 전제 조건이 설정되었다고 가정합니다.802.1X 서비스에서 인증 소스로 참조할 CPPM 인증 소스를 계획하고 있습니다.이 인증 소스를 어떻게 설정해야 하나요? Kerberos 유형으로 Active Directory 유형으로 HTTP 유형으로, Intune 확장 참조 AS HTTP 유형, Azure AD의 FODN 참조 Q32. 독립형 아루바 모빌리티 컨트롤러(MC)에 인증서를 설치해야 합니다. MC는 웹 UI 및 아루바 클리어패스 정책 관리자로 RadSec을 구현하기 위해 이 인증서를 사용해야 합니다. 다음과 같은 설정의 인증서를 받았습니다: CN=mc41.site94.example.comSAN 없음발급자: CN=ca41.example.comEKU: 서버 인증, 클라이언트 인증이 인증서의 용도에 대해 어떤 문제가 있나요? 충돌하는 EKU가 있습니다. 사설 CA에서 발급했습니다. DC 필드 대신 CN 필드에 도메인 정보를 지정합니다. DNS SAN이 없습니다. Q33. 누군가 네트워크에 무단으로 액세스하려고 시도하고 있다는 좋은 신호는 무엇인가요? CPPM(ClearPass Policy Manager) 엔드포인트 리포지토리에서 엔드포인트 항목을 검토하고 있습니다. 항목의 지문 아래에 여러 DHCP 옵션이 표시됩니다. 항목에 알 수 없음 상태가 표시됩니다. 항목에 프로파일링된 프린터에 대한 새 컴퓨터 프로파일이 있는 프로파일 충돌이 표시됩니다. 항목에 호스트 이름이 없거나 무작위로 보이는 긴 문자가 포함된 호스트 이름이 포함되어 있습니다. 설명 프로필 충돌은 이전에 프로파일링된 엔드포인트의 장치 범주 또는 OS 제품군이 변경된 것을 CPPM(ClearPass Policy Manager)이 감지할 때 발생합니다. 이는 누군가 합법적인 디바이스의 MAC 주소를 스푸핑하여 네트워크에 무단으로 액세스하려고 시도하고 있음을 나타낼 수 있습니다. 예를 들어 이전에 프린터로 프로파일링된 엔드포인트가 갑자기 컴퓨터라는 새 프로파일을 표시하는 경우 공격의 신호일 수 있습니다. 프로필 충돌 및 해결 방법에 대한 자세한 내용은 ClearPass 정책 관리자 사용자 가이드1에서 확인할 수 있습니다. 다른 옵션은 다른 이유가 있을 수 있으므로 반드시 무단 액세스의 징후는 아닙니다. 예를 들어, 지문 아래의 여러 DHCP 옵션은 장치가 다른 네트워크 또는 서브넷에 연결되었음을, 알 수 없음 상태는 장치가 아직 인증되지 않았음을, 호스트 이름이 없거나 임의의 호스트 이름은 장치가 제대로 구성되지 않았거나 공장 설정으로 리셋되었음을 나타낼 수 있습니다.Q34. 시나리오를 참조하세요.한 조직에서 RADIUS 서버(cp.acnsxtest.local)가 시간당 비정상적인 수의 클라이언트 인증 요청을 거부하는 경우 AOS-CX 스위치에서 경고를 트리거하도록 하려고 합니다. 다른 아루바 관리자와 몇 차례 논의한 후에도 얼마나 많은 거부 횟수가 일반적인지 또는 비정상적인지 아직 확신할 수 없습니다. 스위치마다 값이 다를 수 있다고 예상합니다.이 사용 사례에 대한 NAE 스크립트를 개발하는 방법을 개발자가 이해하도록 돕고 있습니다.개발자는 다음과 같은 로직으로 규칙을 정의할 계획이라고 설명합니다.모니터 > 값하지만 개발자는 어떤 값을 포함할지 묻습니다.무엇을 권장해야 할까요? 액세스 스위치의 RADIUS 통계 중 하나를 확인하고 거부에 대해 나열된 숫자에 10을 추가합니다. 기준선을 정의하고 이를 참조하여 값을 설정합니다. 10(시간당)을 값의 좋은 시작점으로 사용합니다. 매개 변수를 정의하고 값에 대해 참조(자체 ^ramsfname]) Q35. 전시회를 참조하십시오.Aruba ClearPass Policy Manager(CPPM)가 전시회에 표시된 설정을 사용하고 있습니다. 아루바 AP, 아루바 게이트웨이, AOS-CX 스위치 등 여러 유형의 NAS와 관련된 시행 정책에서 전시회에 표시된 태그를 참조하는데, 클라이언트가 태그를 기반으로 재분류되고 올바른 처리를 받도록 하려면 어떻게 해야 합니까? 문제의 모든 NAS에서 지원되는 [Aruba Wireless -Terminate Session]으로 RADIUS 작업을 변경합니다. 해당 NAS가 모두 지원하는 [Aruba 무선 - 바운스 스위치 포트]로 RADIUS 동작을 변경합니다. 이러한 적용 프로파일 중 하나를 사용하여 각 서비스에서 프로파일링을 활성화합니다. 프로파일링 작업을 해당 서비스를 사용하는 NAS에 대한 올바른 작업으로 설정합니다. 태그 업데이트 작업을 작업 없음으로 설정합니다. 그런 다음 대신 표에 표시된 태그와 클라이언트를 일치시키는 규칙의 적용 프로파일을 사용하여 RADIUS CoA를 사용하도록 설정합니다. 설명클리어패스 정책 관리자 사용자 가이드1에 따르면, 그림에 표시된 태그는 디바이스의 동작 및 특성에 따라 디바이스를 분류하고 식별하는 데 사용되는 디바이스 인사이트 태그입니다. 디바이스 인사이트 태그를 시행 정책의 조건으로 사용하여 태그에 따라 디바이스에 다른 동작이나 역할을 적용할 수 있습니다. 그러나 디바이스가 태그를 기반으로 재분류되고 올바른 처리를 받으려면 이러한 시행 프로필 중 하나를 사용하는 각 서비스에서 프로파일링을 사용하도록 설정해야 합니다. 프로파일링은 ClearPass가 네트워크에서 디바이스를 동적으로 검색 및 프로파일링하고 그에 따라 속성 및 태그를 업데이트할 수 있는 기능입니다. 또한 프로파일링을 통해 ClearPass는 장치의 액세스를 제어하는 네트워크 액세스 서버(NAS)에 RADIUS CoA(권한 변경) 메시지를 전송하고 태그를 변경한 장치의 세션을 재인증하거나 종료하도록 지시할 수 있습니다. NAS마다 다른 유형의 CoA 메시지를 지원할 수 있으므로 프로파일링 작업은 해당 서비스를 사용하는 NAS에 적합한 작업으로 설정해야 합니다. 따라서 옵션 C가 정답입니다.Q36. AOS-CX 스위치 포트에서 BPDU 보호와 BPDU 필터링을 언제 구현합니까? 스위치에서 MSTP를 구현하는 경우 에지 포트에서 BPDU 보호를 사용하여 불량 디바이스로부터 보호하고, 스위치에서 PVSTP+를 구현하는 경우 BPDU 필터링을 사용하여 불량 디바이스로부터 보호합니다. 에지 포트에서 BPDU 보호를 사용하여 불량 디바이스의 연결을 방지하고, 특수한 사용 사례를 위해 스위치 간 포트에서 BPDU 필터링을 사용합니다. 스위치 간 포트에서 BPDU 보호를 사용하여 루트로 선택되도록 하고, 에지 포트에서 BPDU 필터링을 사용하여 불량 디바이스가 연결되지 않도록 합니다. 에지 포트에서 BPDU 보호를 사용하여 불량 디바이스를 영구적으로 차단하고, 에지 포트에서 BPDU 필터링을 사용하여 불량 디바이스를 일시적으로 차단합니다. 설명BPDU(브리지 프로토콜 데이터 단위)는 스패닝 트리 토폴로지를 유지하고 루프를 방지하기 위해 스위치 간에 교환되는 메시지입니다. 보안 및 성능 향상을 위해 AOS-CX 스위치 포트에서 구성할 수 있는 두 가지 기능인 BPDU 보호와 BPDU 필터링은 포트에 권한이 없는 스위치나 장치가 연결되었음을 나타내는 BPDU를 수신하면 포트를 비활성화하는 기능입니다. BPDU 보호는 일반적으로 PC나 프린터와 같은 최종 장치에 연결되는 포트인 에지 포트에서 사용되며, BPDU를 수신할 것으로 예상되지 않습니다. BPDU 보호는 불량 디바이스가 네트워크에 연결하여 스패닝 트리 토폴로지에 영향을 미치는 것을 방지하며, BPDU 필터링은 포트가 BPDU를 송수신하지 못하도록 하여 포트를 스패닝 트리 토폴로지에서 효과적으로 격리하는 기능입니다. BPDU 필터링은 일반적으로 다른 스위치에 연결되는 포트인 스위치 간 포트에서 별도의 스패닝 트리 도메인을 생성하거나 BPDU의 오버헤드를 줄이는 등의 특수한 사용 사례를 위해 사용됩니다. BPDU 필터링은 네트워크에 루프 또는 불일치를 생성할 수 있으므로 주의해서 사용해야 하며, [스패닝 트리 프로토콜 구성 - 아루바] 페이지 및 [AOS-CX 스위칭 구성 가이드] 페이지에서 AOS-CX 스위치 포트에서 BPDU 보호 및 BPDU 필터링을 구성하는 방법에 대한 자세한 정보를 확인할 수 있습니다. 다른 옵션은 잘못된 유형의 포트에서 또는 잘못된 목적으로 BPDU 보호 또는 BPDU 필터링을 사용하기 때문에 올바르지 않습니다. 예를 들어 스위치 간 포트에 BPDU 보호를 사용하면 정상 작동에서 예상되는 BPDU를 수신하는 경우 포트가 비활성화되고, 에지 포트에 BPDU 필터링을 사용하면 불량 장치가 네트워크에 연결하여 루프를 생성하거나 스패닝 트리 토폴로지에 영향을 줄 수 있습니다.Q37. 시나리오를 참조하세요.고객이 아루바 모빌리티 컨트롤러(MC)에서 "의료-모바일" AOS 방화벽 역할을 하는 클라이언트에 대해 다음과 같은 권한이 필요합니다.* DHCP로 IP 주소 수신 허용* 10.8.9.7 및 다른 서버에서 DNS 서비스에 대한 액세스 허용* 10.1.0.0/16 범위의 모든 서브넷에 대한 액세스 허용* 다른 10.0.0에 대한 액세스 거부* 10.1.12.0/22.0/8 서브넷* 인터넷에 대한 액세스 허용* SSH 트래픽을 보내는 경우 일정 기간 동안 무선랜 액세스 거부* 텔넷 트래픽을 보내는 경우 일정 기간 동안 무선랜 액세스 거부* 모든 고위험 웹사이트에 대한 액세스 거부외부 장치는 "의료 모바일" 클라이언트와의 세션 시작을 허용해서는 안 되며 반환 트래픽만 보내야 함.아래 그림은 이 역할의 구성을 보여줍니다.이 구성에는 여러 가지 문제가 있습니다. 시나리오 요구 사항을 충족하기 위해 반드시 변경해야 하는 한 가지 사항은 무엇인가요? (옵션에서 정책의 규칙은 위에서 아래로 참조됩니다. 예를 들어, "의료-모바일" 규칙 1은 "ipv4 any any svc-dhcp 허용"이고 규칙 8은 "ipv4 any any any 허용"입니다.) "의료-모바일" 정책에서 규칙 2와 3을 규칙 7과 8 사이로 이동합니다. "의료-모바일" 정책에서 규칙 3의 서브넷 마스크를 255.255.248.0으로 변경합니다. "medical-mobile" 정책의 규칙 7과 8 사이에서 "apprf-medical-mobile-sacl" 정책의 규칙을 이동합니다. "medical-mobile" 정책에서 규칙 8의 소스를 "user"로 변경합니다. 설명 "medical-mobile" 정책의 규칙 3의 서브넷 마스크는 현재 255.255.252.0이며, 이는 이 규칙이 10.1.12.0/22 서브넷과 인접한 10.1.16.0/22 서브넷 1에 대한 액세스를 거부한다는 의미입니다. 이는 10.1.12.0/22 서브넷만 액세스를 거부하고 나머지 10.1.0.0/16 범위는 액세스를 허용해야 한다는 시나리오 요구 사항과 일치하지 않습니다. 이 문제를 해결하려면 규칙 3의 서브넷 마스크를 255.255.248.0으로 변경해야 하는데, 이는 규칙이 10.1.12.0/22 서브넷 1을 포함하는 10.1.8.0/21 서브넷에 대한 액세스만 거부한다는 것을 의미합니다. 이렇게 하면 규칙이 시나리오 요구 사항과 더 정확하게 일치합니다.Q38. 고객이 사용자가 새로운 유선 클라이언트를 Intune에 등록할 수 있는 방법이 필요합니다. 클라이언트는 인증서를 등록하고 받을 수 있는 제한된 액세스 권한만 가져야 합니다. "프로비저닝"이라는 이름의 AOS-CX 역할에서 이러한 권한을 설정할 계획입니다. 고객의 보안 팀에서 이러한 클라이언트의 인터넷 액세스를 필요한 사이트로만 제한해야 한다고 지시합니다. 스위치 소프트웨어가 "프로비저닝" 역할에 적용되는 규칙에 대해 IPv4 및 IPv6 주소를 지원하는데 어떤 것을 권장해야 하나요? "프로비저닝" 역할에 대한 규칙을 더 안정적인 IPv6 주소로 구성하는 것이 좋습니다. "프로비저닝" 역할에서 MC에 대한 터널링을 사용하도록 설정한 다음 MC에 대한 권한을 설정합니다. CPPM에서 "프로비저닝" 역할을 다운로드 가능한 사용자 역할(DUR)로 구성하기 "프로비저닝" 역할을 VLAN에 할당하고 레이어 2 액세스 제어 목록(ACL) 내에서 규칙 설정하기 Q39. 아루바 센트럴에서 게이트웨이 IDS/IPS 설정을 구성하고 있는데, 어떤 이유로 실패 전략을 우회로 설정하겠습니까? IPS 엔진이 검사에 실패할 경우 트래픽을 허용하기 위해 게이트웨이가 IDS/IPS 정책에 구성된 허용 목록 설정을 준수하도록 하기 위해 게이트웨이가 인터넷 연결이 끊어지면 IDS/IPS 정책 적용을 중지하도록 지시하기 위해 인증되지 않은 클라이언트에 대한 트래픽 필터링에 IPS 엔진 리소스 낭비 방지 설명 실패 전략은 아루바 게이트웨이의 IPS 검사 모드에 대한 구성 옵션입니다. IPS 엔진이 충돌하여 트래픽을 검사할 수 없는 경우 취해야 할 조치를 정의합니다. 실패 전략에는 두 가지 옵션이 있습니다: 바이패스 및 차단1 실패 전략을 바이패스로 설정하면 IPS 엔진이 실패할 때 게이트웨이에 트래픽이 검사 없이 흐르도록 허용하도록 지시하는 것입니다. 이 옵션을 사용하면 네트워크 연결이 중단되지 않지만 IPS 엔진이 탐지하거나 방지하지 못하는 잠재적 위협에 네트워크가 노출될 수 있습니다.1 실패 전략을 차단으로 설정하면 IPS 엔진이 검사를 다시 시작할 때까지 트래픽 흐름을 중지하도록 게이트웨이에 지시하는 것입니다. 이 옵션을 사용하면 네트워크 보안이 손상되지 않지만 IPS 엔진 장애가 발생하는 동안 네트워크 연결이 끊어질 수 있습니다1Q40. 전시를 참조하세요.고객이 VLAN 4에서 ARP 중독에 대한 보호가 필요합니다. 아래에는 AOS-CX 액세스 레이어 스위치의 VLAN 4 및 VLAN 4 관련 물리적 인터페이스에 대한 모든 설정이 나열되어 있습니다.이 구성의 한 가지 문제는 무엇입니까? VLAN 4에서 ARP 프록시가 활성화되지 않았습니다. LAG 1은 ARP 검사에 대해 신뢰할 수 있는 것으로 구성되었지만 신뢰할 수 없는 것으로 구성해야 합니다. VLAN 4에서 DHCP 스누핑이 사용하도록 설정되어 있지 않습니다. 에지 포트가 ARP 검사를 위해 신뢰할 수 없음으로 구성되지 않았습니다. 설명 ARP 검사는 네트워크에서 ARP 패킷의 유효성을 검사하고 ARP 포이즈닝 공격을 방지하는 보안 기능이기 때문입니다12 ARP 검사는 잘못된 IP-MAC 주소 바인딩이 있는 ARP 패킷을 가로채서 기록하고 폐기하는 방식으로 작동합니다1 ARP 검사를 사용하려면 스위치에서 어떤 포트가 신뢰할 수 있고 어떤 포트가 신뢰할 수 없는지 파악해야 합니다. 신뢰할 수 있는 포트는 ARP 스푸핑에 취약하지 않은 인증된 DHCP 서버 또는 기타 네트워크 장치에 연결되는 포트입니다. 신뢰할 수 없는 포트는 위조된 ARP 패킷을 전송할 수 있는 엔드 호스트 또는 장치에 연결되는 포트입니다.13 그림에서 LAG 1은 코어 스위치에 연결되므로 ARP 검사를 위해 신뢰할 수 있는 포트로 구성되어 있습니다. 그러나 에지 포트(1/1/1-1/1/24)는 공격자에 의해 손상될 수 있는 최종 호스트에 연결되므로 ARP 검사를 위해 신뢰할 수 없는 포트로 구성되지 않았습니다. 기본적으로 모든 포트는 ARP 검사에 대해 신뢰할 수 없는 포트이지만 인터페이스 구성 모드에서 ip arp inspection trust 명령을 사용하여 변경할 수 있습니다.3 따라서 ARP 포이즈닝으로부터 VLAN 4를 보호하려면 인터페이스 구성 모드에서 no ip arp inspection trust 명령을 사용하여 에지 포트를 ARP 검사에 대해 신뢰할 수 없는 포트로 구성해야 합니다. 이렇게 하면 스위치는 이러한 포트에서 수신된 ARP 패킷을 DHCP 스누핑 데이터베이스 또는 ARP 액세스 목록과 비교하여 유효성을 검사하고 잘못된 패킷을 삭제합니다34A: VLAN 4에서 ARP 프록시가 사용하도록 설정되지 않았습니다. ARP 프록시는 스위치가 다른 서브넷의 호스트를 대신하여 ARP 요청에 응답할 수 있는 선택적 기능이므로 문제가 되지 않음5 ARP 포이즈닝 또는 ARP 검사와 관련이 없음.B: LAG 1이 ARP 검사를 위해 신뢰됨으로 구성되어 있지만 신뢰하지 않아야 합니다. LAG 1은 위조된 ARP 패킷을 보내지 않는 신뢰할 수 있는 장치인 코어 스위치에 연결되므로 문제가 되지 않습니다.C: VLAN 4에서 DHCP 스누핑이 사용하도록 설정되어 있지 않습니다. DHCP 스누핑은 악성 DHCP 서버가 클라이언트에 IP 주소를 제공하는 것을 방지하는 별도의 기능이므로 문제가 되지 않습니다.6 활성화된 경우 ARP 검사 유효성 검사를 위한 정보를 제공할 수 있지만 ARP 포이즈닝 또는 ARP 검사와 직접 관련이 없습니다.41. 아루바 센트럴에서 게이트웨이 IDS/IPS 설정을 구성하고 있는데, 어떤 이유로 실패 전략을 바이패스로 설정하겠습니까? IPS 엔진이 검사에 실패할 경우 트래픽을 허용하기 위해 게이트웨이가 IDS/IPS 정책에 구성된 허용 목록 설정을 준수하도록 하기 위해 게이트웨이가 인터넷 연결이 끊어지면 IDS/IPS 정책 적용을 중지하도록 지시하기 위해 인증되지 않은 클라이언트에 대한 트래픽 필터링에 IPS 엔진 리소스를 낭비하지 않도록 하기 위해 Q42. 시나리오를 참조하세요.고객이 아루바 모빌리티 컨트롤러(MC)에서 "의료-모바일" AOS 방화벽 역할을 하는 클라이언트에 대해 다음과 같은 권한을 요구합니다.* DHCP로 IP 주소 수신 허용* 10.8.9.7에서 DNS 서비스에 대한 액세스 허용 및 기타 서버에 대한 액세스 거부* 10.1.0.0/16 범위의 모든 서브넷에 대한 액세스 허용* 기타 10.0.0에 대한 액세스 거부.0/8 서브넷* 인터넷에 대한 액세스 허용* SSH 트래픽을 전송하는 경우 일정 기간 동안 무선랜 액세스 거부* 텔넷 트래픽을 전송하는 경우 일정 기간 동안 무선랜 액세스 거부* 모든 고위험 웹사이트에 대한 액세스 거부외부 장치는 "의료-모바일" 클라이언트와 세션을 시작하도록 허용되어서는 안 되며 리턴 트래픽만 전송해야 함.아래 그림은 역할에 대한 구성을 보여줍니다.구성에 여러 문제가 있습니다.시나리오 요건을 충족하려면 정책에서 변경해야 하는 것 중 어떤 것을 변경해야 합니까? (옵션에서 정책의 규칙은 위에서 아래로 참조됩니다. 예를 들어, "의료-모바일" 규칙 1은 "ipv4 any any svc-dhcp 허용"이고 규칙 8은 "ipv4 any any any 허용"입니다.) "의료-모바일" 정책에서 규칙 1의 소스를 "사용자"로 변경합니다. "의료-모바일" 정책에서 규칙 3의 서브넷 마스크를 255.255.248.0으로 변경합니다. "의료용 모바일" 정책에서 규칙 6 및 7을 목록의 맨 위로 이동합니다. "apprf-medical-mobile-sacl" 정책의 규칙을 "medical-mobile" 정책의 규칙 7과 8 사이로 이동합니다. 설명 "의료-모바일" 정책의 규칙 6과 7은 시나리오에서 요구하는 대로 클라이언트가 SSH 또는 텔넷 트래픽을 보내는 경우 일정 시간 동안 WLAN에 대한 액세스를 거부하는 데 사용됩니다. 그러나 이러한 규칙은 현재 모든 트래픽에 대해 인터넷 액세스를 허용하는 규칙 5 아래에 배치됩니다. 즉, 규칙 5가 규칙 6 및 7보다 우선하며 클라이언트가 SSH 또는 Telnet 트래픽을 보내더라도 WLAN에 대한 액세스가 거부되지 않습니다. 이 문제를 해결하려면 규칙 6 및 7을 규칙 5보다 목록의 맨 위로 이동해야 합니다. 이렇게 하면 규칙 6과 규칙 7이 규칙 5보다 우선하게 되고 클라이언트가 예상대로 SSH 또는 텔넷 트래픽을 보내면 WLAN에 대한 액세스가 거부됩니다.Q43. 시나리오를 참조하십시오.# 고객 소개고객은 아루바 네트워크 인프라 장치를 사용하는 회사의 네트워크에 Aruba ClearPass를 추가하는 것을 돕고 있습니다.이 회사에는 현재 Windows 도메인과 Windows CA가 있습니다. Windows CA는 도메인 컴퓨터, 도메인 사용자 및 도메인 컨트롤러와 같은 서버에 인증서를 발급합니다. Windows CA에서 발급한 인증서의 예가 여기에 나와 있습니다.이 회사는 모바일 클라이언트를 관리하기 위해 Microsoft 엔드포인트 관리자(Intune)를 추가하는 중입니다.고객은 현재 온-프레미스 AD를 유지하고 있으며 Azure AD Connect를 사용