Echte Fortinet NSE6_FAC-6.4 Prüfungsfragen Studienführer [Q24-Q44]

Oktober 25, 2023Oktober 25, 2023 examdumpsEchte Fortinet NSE6_FAC-6.4 Prüfungsfragen Studienführer [Q24-Q44] 0 Kommentar

Schlagwörter: NSE6_FAC-6.4 Prüfung Bootcamp, NSE6_FAC-6.4 neueste braindumps pdf, NSE6_FAC-6.4 neueste Dumps Buch, NSE6_FAC-6.4 gültige Prüfungssammlung

5/5 - (1 Abstimmung)

Echte Fortinet NSE6_FAC-6.4 Prüfungsfragen Studienführer

Aktualisierte und genaue NSE6_FAC-6.4 Fragen zum schnellen Bestehen der Prüfung

NEUE FRAGE 24
Warum sollten Sie eine OCSP-Responder-URL in einem Endteilnehmerzertifikat konfigurieren?

So geben Sie den CRL-Speicherort für das Zertifikat an

So identifizieren Sie den Endpunkt, dem ein Zertifikat zugewiesen wurde

So bestimmen Sie den SCEP-Server, der für CRL-Updates für dieses Zertifikat verwendet werden soll

So bestimmen Sie einen Server für die Zertifikatsstatusprüfung

Eine OCSP-Responder-URL in einem Endteilnehmer-Zertifikat wird verwendet, um einen Server für die Überprüfung des Zertifikatsstatus zu bestimmen. OCSP steht für Online Certificate Status Protocol, eine Methode zur Überprüfung, ob ein Zertifikat gültig oder widerrufen ist, in Echtzeit. Ein OCSP-Responder ist ein Server, der auf OCSP-Anfragen von Clients mit dem Status des fraglichen Zertifikats antwortet. Die OCSP-Responder-URL in einem Endteilnehmerzertifikat verweist auf den Standort des OCSP-Responders, der den Status des betreffenden Zertifikats liefern kann.

NEUE FRAGE 25
Welche zwei Konfigurationen sind mindestens erforderlich, um Gastportal-Dienste auf FortiAuthenticator zu aktivieren? (Wählen Sie zwei)

Konfigurieren einer Portalrichtlinie

Konfigurieren von mindestens einem Post-Login-Dienst

Konfigurieren eines RADIUS-Clients

Konfigurieren eines externen Authentifizierungsportals

Um Gastportal-Dienste auf FortiAuthenticator zu aktivieren, müssen Sie eine Portalrichtlinie konfigurieren, die die Bedingungen für die Anzeige des Gastportals für Benutzer und die zu verwendenden Authentifizierungsmethoden definiert. Außerdem müssen Sie mindestens einen Post-Login-Dienst konfigurieren, der festlegt, welche Aktionen nach der erfolgreichen Anmeldung eines Benutzers durchgeführt werden sollen, z. B. das Senden einer E-Mail-Bestätigung, das Zuweisen eines VLANs oder das Erstellen eines Benutzerkontos. Die Konfiguration eines RADIUS-Clients oder eines externen Authentifizierungsportals sind optionale Schritte, die von Ihrer Netzwerkeinrichtung und Ihren Anforderungen abhängen. Referenz: https://docs.fortinet.com/document/fortiauthenticator/6.4/administration-guide/372404/guest-management

NEUE FRAGE 26
Welche beiden Aussagen über das Self-Service-Portal sind richtig? (Wählen Sie zwei)

Informationen zur Selbstregistrierung können per E-Mail oder SMS an den Benutzer geschickt werden

Realms können verwendet werden, um zu konfigurieren, welche selbsterfassten Benutzer oder Gruppen sich im Netzwerk authentifizieren können

Für die Selbstregistrierung ist die Genehmigung eines Administrators erforderlich.

Authentifizierende Benutzer müssen den Domänennamen zusammen mit dem Benutzernamen angeben

Zwei Aussagen über das Selbstbedienungsportal sind richtig:
Informationen zur Selbstregistrierung können mit Hilfe der Funktion für Benachrichtigungsvorlagen per E-Mail oder SMS an den Benutzer gesendet werden. Mit dieser Funktion können Administratoren die Nachrichten anpassen, die an Benutzer gesendet werden, wenn sie sich registrieren oder andere Aktionen im Self-Service-Portal durchführen.
Mithilfe von Realms kann konfiguriert werden, welche selbstregistrierten Benutzer oder Gruppen sich mithilfe der Realm-basierten Authentifizierungsfunktion im Netzwerk authentifizieren können. Mit dieser Funktion können Administratoren unterschiedliche Authentifizierungsrichtlinien und -einstellungen für verschiedene Benutzergruppen auf der Grundlage ihrer Realm-Mitgliedschaft anwenden.

NEUE FRAGE 27
Sie haben eine Zwei-Faktor-Authentifizierung eingeführt, um die Sicherheit sensibler Unternehmenssysteme zu erhöhen.
Wie können Sie die Notwendigkeit einer Zwei-Faktor-Authentifizierung für Benutzer, die auf bestimmte gesicherte Netzwerke zugreifen, umgehen?

Erstellen Sie einen Admin-Bereich in der Authentifizierungsrichtlinie

Geben Sie die entsprechenden RADIUS-Clients in der Authentifizierungsrichtlinie an

Aktivieren Sie die adaptive Authentifizierung in der Portalrichtlinie

Aktivieren Sie in der Authentifizierungsrichtlinie die Option Geolocation des Benutzers aus seiner IP-Adresse auflösen.

Die adaptive Authentifizierung ist eine Funktion, mit der Administratoren die Notwendigkeit einer Zwei-Faktor-Authentifizierung für Benutzer umgehen können, die aus bestimmten gesicherten Netzwerken zugreifen. Adaptive Authentifizierung verwendet Geolokalisierungsinformationen von IP-Adressen, um festzustellen, ob ein Benutzer von einem vertrauenswürdigen Netzwerk aus zugreift oder nicht. Wenn der Benutzer von einem vertrauenswürdigen Netzwerk aus zugreift, kann FortiAuthenticator den zweiten Faktor der Authentifizierung überspringen und den Zugriff nur auf Basis des ersten Faktors gewähren.

NEUE FRAGE 28
Welche Netzwerkkonfiguration ist für die Bereitstellung von FortiAuthenticator für Portaldienste erforderlich?

Für FortiAuthenticator muss der REST-API-Zugang auf Port 1 aktiviert sein.

Einer der DNS-Server muss ein FortiGuard DNS-Server sein.

Fortigate muss als Standard-Gateway für FortiAuthenticator eingerichtet sein

In den Richtlinien müssen bestimmte Ports zwischen FortiAuthenticator und den Authentifizierungsclients geöffnet sein

Beim Einsatz von FortiAuthenticator für Portaldienste, wie z. B. Gastportal, Sponsorenportal, Benutzerportal oder FortiToken-Aktivierungsportal, muss die Netzwerkkonfiguration die Öffnung bestimmter Ports zwischen FortiAuthenticator und den Authentifizierungsclients zulassen. Diese Ports sind:
TCP 80 für HTTP-Zugang
TCP 443 für HTTPS-Zugang
TCP 389 für LDAP-Zugriff
TCP 636 für LDAPS-Zugang
UDP 1812 für RADIUS-Authentifizierung
UDP 1813 für RADIUS-Abrechnung

NEUE FRAGE 29
Sie sind ein FortiAuthenticator-Administrator für eine große Organisation. Benutzer, die für die Verwendung von FortiToken 200 für die Zwei-Faktor-Authentifizierung konfiguriert sind, können sich nicht mehr authentifizieren. Sie haben überprüft, dass das Problem nur bei Benutzern mit Zwei-Faktor-Authentifizierung auftritt.
Was kann dieses Problem verursachen?

Die FortiToken 200-Lizenz ist abgelaufen

Eines der FortiAuthenticator-Geräte im Aktiv-Aktiv-Cluster ist ausgefallen

Zeitverschiebung zwischen FortiAuthenticator und Hardware-Tokens

FortiAuthenticator hat den Kontakt zu den FortiToken Cloud-Servern verloren

Eine mögliche Ursache für das Problem ist die Zeitverschiebung zwischen FortiAuthenticator und Hardware-Tokens. Die Zeitdrift tritt auf, wenn die internen Uhren von FortiAuthenticator und Hardware-Token nicht synchronisiert sind. Dies kann dazu führen, dass die von den Hardware-Tokens generierten und von FortiAuthenticator erwarteten Einmal-Passwörter (OTPs) nicht übereinstimmen. Um dieses Problem zu vermeiden, bietet FortiAuthenticator eine Zeitdrift-Toleranzoption, die eine bestimmte Anzahl von Sekunden Differenz zwischen den Uhren zulässt.

NEUE FRAGE 30
Welche beiden Arten von digitalen Zertifikaten können Sie in Fortiauthenticator erstellen? (Wählen Sie zwei)

Benutzerzertifikat

Zertifikat zur Validierung der Organisation

Stammzertifikat eines Drittanbieters

Lokale Dienstleistungsbescheinigung

FortiAuthenticator kann zwei Arten von digitalen Zertifikaten erstellen: Benutzerzertifikate und lokale Dienstzertifikate. Benutzerzertifikate werden für Benutzer oder Geräte zu Authentifizierungszwecken ausgestellt, z. B. für VPN, Wireless oder Webzugriff. Lokale Dienstzertifikate werden für FortiAuthenticator selbst ausgestellt, um seine eigenen Dienste zu sichern, z. B. HTTPS, RADIUS oder LDAP.

NEUE FRAGE 31
Welche zwei Informationen werden bei der Erstellung eines TOTP für die Zwei-Faktor-Authentifizierung vom Algorithmus verwendet, um den TOTP zu erzeugen?

UUID und Uhrzeit

Zeit und Saatgut

Zeit und mobiler Standort

Uhrzeit und FortiAuthenticator-Seriennummer

TOTP steht für Time-based One-Time Password (zeitbasiertes Einmalpasswort) und ist eine Art von OTP, das auf der Grundlage von zwei Informationen generiert wird: Zeit und Seed. Die Zeit ist der aktuelle Zeitstempel, der zwischen dem Client und dem Server synchronisiert wird. Der Seed ist ein geheimer Schlüssel, der zwischen dem Client und dem Server ausgetauscht wird. Der TOTP-Algorithmus kombiniert die Zeit und den Seed, um ein einzigartiges und kurzlebiges OTP zu erzeugen, das für die Zwei-Faktor-Authentifizierung verwendet werden kann.

NEUE FRAGE 32
Welche Aussage über Captive-Portal-Richtlinien ist richtig, wenn eine einzige Richtlinie definiert wurde?

Portalrichtlinien gelten nur für Authentifizierungsanfragen, die von unbekannten RADIUS-Clients kommen

Alle Bedingungen in der Richtlinie müssen erfüllt sein, bevor einem Benutzer das unverschlüsselte Portal angezeigt wird.

Die Bedingungen in der Richtlinie gelten nur für drahtlose Benutzer.

Portalrichtlinien können nur für BYODs verwendet werden.

Captive-Portal-Richtlinien werden verwendet, um die Bedingungen und Einstellungen für die Darstellung eines Captive-Portals für Benutzer zu definieren, die sich vor dem Zugriff auf das Netzwerk authentifizieren müssen. Eine Captive-Portal-Richtlinie besteht aus einer Reihe von Bedingungen und einer Reihe von Aktionen. Die Bedingungen können auf verschiedenen Attributen basieren, z. B. Quell-IP-Adresse, MAC-Adresse, Benutzergruppe, Gerätetyp oder RADIUS-Client. Die Aktionen können die Umleitung des Benutzers zu einem bestimmten Portal, die Anwendung einer bestimmten Authentifizierungsmethode oder die Zuweisung eines bestimmten VLAN oder einer Firewall-Richtlinie umfassen. Eine einzelne Richtlinie kann mehrere Bedingungen haben, und alle Bedingungen in der Richtlinie müssen übereinstimmen, bevor einem Benutzer das Captive Portal angezeigt wird.

NEUE FRAGE 33
Ein digitales Zertifikat, auch bekannt als X.509-Zertifikat, enthält welche beiden Informationen? (Wählen Sie zwei.)

Emittent

Gemeinsames Geheimnis

Öffentlicher Schlüssel

Privater Schlüssel

Ein digitales Zertifikat, auch bekannt als X.509-Zertifikat, enthält zwei Informationen:
Aussteller, d. h. die Identität der Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat Öffentlicher Schlüssel, d. h. der öffentliche Teil des asymmetrischen Schlüsselpaars, das mit dem Zertifikatsinhaber verbunden ist

NEUE FRAGE 34
Welcher der folgenden Standards ist ein OATH-basierter Standard, um ereignisbasierte Einmal-Passwort-Tokens zu erzeugen?

HOTP

SOTP

TOTP

OLTP

Referenz:
HOTP steht für HMAC-based One-time Password, einen OATH-basierten Standard zur Erzeugung ereignisbasierter OTP-Tokens. HOTP verwendet eine kryptografische Hash-Funktion namens HMAC (Hash-based Message Authentication Code), um OTPs auf der Grundlage von zwei Informationen zu erzeugen: einem geheimen Schlüssel und einem Zähler. Der Zähler wird nach jeder OTP-Generierung um eins erhöht, wodurch eine ereignisbasierte Folge von OTPs entsteht.

NEUE FRAGE 35
Welche zwei Aussagen über die EAP-TTLS-Authentifizierungsmethode sind richtig? (Wählen Sie zwei)

Verwendet gegenseitige Authentifizierung

Verwendet digitale Zertifikate nur auf der Serverseite

Erfordert ein EAP-Server-Zertifikat

Unterstützung einer Lösung für die Port-Zugangskontrolle (nur kabelgebunden)

EAP-TTLS ist eine Authentifizierungsmethode, die digitale Zertifikate nur auf der Serverseite verwendet, um einen sicheren Tunnel zwischen dem Server und dem Client aufzubauen. Der Client benötigt kein Zertifikat, sondern kann jede vom Server unterstützte interne Authentifizierungsmethode verwenden, wie z. B. PAP, CHAP, MS-CHAP oder EAP-MD5. EAP-TTLS erfordert ein EAP-Server-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt und auf dem FortiAuthenticator-Gerät installiert ist, das als EAP-Server fungiert. EAP-TTLS unterstützt sowohl drahtlose als auch kabelgebundene Lösungen für die Port-Zugangskontrolle. Referenz: https://docs.fortinet.com/document/fortiauthenticator/6.4/administration-guide/372412/eap-ttls

NEUE FRAGE 36
Ein Administrator integriert FortiAuthenticator in einen vorhandenen RADIUS-Server mit der Absicht, den RADIUS-Server später durch FortiAuthenticator zu ersetzen.
Wie kann FortiAuthenticator dazu beitragen, diesen Prozess zu erleichtern?

Durch die Konfiguration des RADIUS-Accounting-Proxys

Durch die Aktivierung automatischer REST-API-Aufrufe vom RADIUS-Server

Durch die Aktivierung des Lernmodus in der RADIUS-Serverkonfiguration

Durch das Importieren der RADIUS-Benutzerdaten

FortiAuthenticator kann den Prozess des Ersetzens eines vorhandenen RADIUS-Servers erleichtern, indem der Lernmodus in der RADIUS-Server-Konfiguration aktiviert wird. Dadurch kann FortiAuthenticator die Benutzeranmeldeinformationen vom vorhandenen RADIUS-Server lernen und sie für zukünftige Authentifizierungsanfragen lokal speichern2. Auf diese Weise kann FortiAuthenticator schrittweise die Rolle des RADIUS-Servers übernehmen, ohne die Benutzererfahrung zu stören.

NEUE FRAGE 37
Ein Systemadministrator möchte FortiAuthenticator in ein bestehendes Identitätsmanagementsystem integrieren, um Benutzer in FSSO zu authentifizieren und zu deauthentifizieren.
Welche Funktion bietet FortiAuthenticator für diese Art der Integration?

Die Möglichkeit, Benutzer aus CSV-Dateien zu importieren und zu exportieren

RADIUS-Lernmodus für die Migration von Benutzern

REST-API

SNMP-Überwachung und Traps

REST API ist eine Funktion, die es FortiAuthenticator ermöglicht, sich in ein bestehendes Identitätsmanagementsystem zu integrieren, um Benutzer in FSSO zu authentifizieren und zu deauthentifizieren. REST API steht für Representational State Transfer Application Programming Interface und ist eine Methode zum Austausch von Daten zwischen verschiedenen Systemen unter Verwendung von HTTP-Anfragen und -Antworten. FortiAuthenticator bietet eine REST-API, die von externen Systemen verwendet werden kann, um verschiedene Aktionen auszuführen, z. B. das Erstellen, Aktualisieren, Löschen oder Abfragen von Benutzern und Gruppen oder das Senden von FSSO-Anmelde- oder Abmeldeereignissen.

NEUE FRAGE 38
Welche Verhaltensweisen gibt es für Zertifikatswiderrufslisten (CRLs) auf FortiAuthenticator? (Wählen Sie zwei)

CRLs enthalten die Seriennummer des Zertifikats, das widerrufen wurde

Gesperrte Zertifikate werden automatisch in die CRL aufgenommen.

CRLs können nur über den SCEP-Server exportiert werden

Alle lokalen CAs nutzen dieselben CRLs

CRLs sind Listen von Zertifikaten, die von der ausstellenden Zertifizierungsstelle widerrufen wurden und denen kein Unternehmen mehr vertrauen sollte. CRLs enthalten die Seriennummer des gesperrten Zertifikats, das Datum und die Uhrzeit der Sperrung sowie den Grund für die Sperrung. Gesperrte Zertifikate werden von der Zertifizierungsstelle automatisch in die CRL aufgenommen und die CRL wird in regelmäßigen Abständen aktualisiert. CRLs können über verschiedene Methoden exportiert werden, z. B. über HTTP, LDAP oder SCEP. Jede lokale CA verfügt über eine eigene CRL, die für die von ihr ausgestellten Zertifikate spezifisch ist. Referenz: https://docs.fortinet.com/document/fortiauthenticator/6.4/administration-guide/372408/certificate-management/372413/certificate-revocation-lists

NEUE FRAGE 39
Welche zwei Informationen werden bei der Erstellung eines TOTP für die Zwei-Faktor-Authentifizierung vom Algorithmus verwendet, um den TOTP zu erzeugen?

UUID und Uhrzeit

Uhrzeit und FortiAuthenticator-Seriennummer

Zeit und Saatgut

Zeit und mobiler Standort

NEUE FRAGE 40
Welche beiden Funktionen von FortiAuthenticator werden für die EAP-Bereitstellung verwendet? (Wählen Sie zwei)

Zertifizierungsstelle

LDAP-Server

Umgehung der MAC-Authentifizierung

RADIUS-Server

Zwei Funktionen von FortiAuthenticator, die für die EAP-Bereitstellung verwendet werden, sind Zertifizierungsstelle und RADIUS-Server. Mit der Zertifizierungsstelle kann FortiAuthenticator digitale Zertifikate für EAP-Methoden ausstellen und verwalten, die eine zertifikatsbasierte Authentifizierung erfordern, wie EAP-TLS oder PEAP-EAP-TLS. RADIUS-Server ermöglicht es FortiAuthenticator, als Authentifizierungsserver für EAP-Methoden zu fungieren, die RADIUS als Transportprotokoll verwenden, z. B. EAP-GTC oder PEAP-MSCHAPV2.

NEUE FRAGE 41
Wie kann eine SAML-Metadatei verwendet werden?

So definieren Sie eine Liste mit vertrauenswürdigen Benutzernamen

So importieren Sie die erforderliche IDP-Konfiguration

So korrelieren Sie die IDP-Adresse mit ihrem Hostnamen

So lösen Sie den IDP-Realm für die Authentifizierung auf

Eine SAML-Metadaten-Datei kann verwendet werden, um die erforderliche IDP-Konfiguration für den SAML-Dienstanbietermodus zu importieren. Eine SAML-Metadaten-Datei ist eine XML-Datei, die Informationen über den Identitätsanbieter (IDP) und den Dienstanbieter (SP) enthält, wie z. B. ihre Entitäts-IDs, Endpunkte, Zertifikate und Attribute. Durch den Import einer SAML-Metadaten-Datei vom IDP kann FortiAuthenticator automatisch die erforderlichen Einstellungen für den SAML-Service-Provider-Modus konfigurieren.

NEUE FRAGE 42
Wenn Sie zwei FortiAuthenticator-Geräte in aktiv-passivem HA einrichten, welche HA-Rolle müssen Sie auf dem Master FortiAuthenticator auswählen?

Aktiv-Passiv-Master

Eigenständiger Master

Cluster-Mitglied

Lastausgleichs-Master

Wenn Sie zwei FortiAuthenticator-Geräte in aktiv-passiver HA einrichten, müssen Sie die aktiv-passive Master-Rolle auf dem Master-FortiAuthenticator-Gerät auswählen. Diese Rolle bedeutet, dass das Gerät alle Anfragen bearbeitet und Daten mit dem Slave-Gerät synchronisiert, bis ein Failover eintritt. Das Slave-Gerät muss als eine aktiv-passive Slave-Rolle konfiguriert sein. Die anderen Rollen werden für verschiedene HA-Modi verwendet, z. B. Standalone (kein HA), Cluster (aktiv-aktiv) oder Lastausgleich (aktiv-aktiv mit Lastausgleich). Referenz: https://docs.fortinet.com/document/fortiauthenticator/6.4/administration-guide/372411/high-availability

Laden …