269 KB
Anuncio
EXAMEN DE REDES. SEGUNDO PARCIAL. JUNIO 2004. SOLUCIÓN. TEORÍA Las respuestas correctas aparecen en negrita 1.1 Suponga que en un cortafuegos se quiere impedir el establecimiento de conexiones TCP entrantes. En ese caso deberá rechazar los segmentos TCP que lleguen del exterior y que tengan los flags siguientes: A) SYN a 1, ACK, RST y FIN a 0 B) SYN y ACK a 1, RST y FIN a 0 C) ACK a 1, SYN, RST y FIN a 0 D) SYN y RST a 1, ACK y FIN a 0 1.2 Diga cual de las siguientes afirmaciones es cierta referida a la elección del ISN (Initial Sequence Number) en el establecimiento de una conexión de TCP: A) Siempre se utiliza el valor 0 B) Se puede utilizar cualquier valor (entre 0 y 2 32 - 1), pero cuando dos hosts establecen una conexión han de ponerse de acuerdo y utilizar el mismo ISN C) Cada host elige un ISN ‘propio’ que utiliza en todas sus conexiones D) Cada host elige el ISN de forma independiente para cada conexión, normalmente siguiendo un algoritmo pseudoaleatorio. 1.3 Cuando en una conexión TCP el host emisor envía un conjunto de bytes que ya había sido correctamente recibido por el receptor el resultado es que: A) El receptor descarta los datos y no dice nada B) El receptor descarta los datos y envía el ACK al emisor C) El receptor pasa los datos a la aplicación y envía el ACK al emisor D) El receptor descarta los datos y envía al emisor un mensaje indicando que se trata de datos duplicados 1.4 Si en TCP no existiera el mecanismo ‘slow-start’ la consecuencia sería que: A) No habría control de flujo B) No habría control de congestión C) No se reenviarían los segmentos perdidos por errores del medio físico D) El campo ‘tamaño de ventana’ en la cabecera TCP tendría siempre el valor máximo y nunca disminuiría 1.5 ¿Cual de las siguientes características se negocia normalmente al inicio de una conexión TCP? A) El tamaño máximo de los segmentos que se van a intercambiar durante la comunicación B) El tamaño máximo de la ventana de congestión que se va a utilizar C) El timeout que se utilizará para decidir cuando un segmento se ha perdido D) El número de puerto a través del cual se quiere establecer la conexión TCP 1.6 El objetivo del ‘timer de persistencia’ de TCP es: A) Evitar que se produzcan situaciones de bloqueo debido a la pérdida no detectada de mensajes. B) Evitar que se quede una conexión establecida cuando el canal de comunicación se interrumpe, o bien cuando uno de los hosts la termina anormalmente (conexión ‘medio abierta’). C) Asegurar que cualquier conexión TCP genera una cantidad mínima de tráfico cada cierto tiempo D) Comprobar que los procesos (del nivel de aplicación) que comunican a través de TCP siguen operativos 1.7 En una red local Ethernet un host está enviando a otro un flujo de datos en forma de datagramas UDP. Debido a un cableado defectuoso algunas tramas llegan con error, por lo que son descartadas por el receptor al comprobar el CRC. ¿Que ocurre en ese caso?: A) El nivel de enlace del receptor (es decir su tarjeta Ethernet) solicita retransmisión de la trama cuando detecta el CRC erróneo B) El nivel IP del receptor solicita retransmisión cuando detecta el datagrama perdido. 1 C) El nivel UDP del receptor solicita retransmisión cuando detecta el datagrama perdido. D) Solo se realiza la retransmisión de los datos perdidos si está contemplado en el protocolo a nivel de aplicación. En caso contrario el datagrama perdido no se recupera. 1.8 ¿Cual de las siguientes aplicaciones requiere el uso de UDP como protocolo de transporte? A) Transferencia de ficheros B) Transmisiones de vídeo multicast C) Logon remoto D) Páginas Web (HTTP) 1.9 Se quiere conectar a Internet una LAN en la que hay varios servidores Web, pero solo se dispone para ello de una dirección IP pública, por lo que es necesario utilizar NAT (o NAPT) en el router. ¿Cual de las siguientes afirmaciones es cierta en ese caso?: A) No es posible. Si solo hay una dirección pública solo puede haber un servidor Web accesible desde el exterior. B) No hay ningún problema, se puede acceder a todos los servidores por el puerto 80 distinguiendo por el URL C) Se puede hacer, pero solo uno de los servidores puede ser accedido por el puerto 80. El resto de servidores debe estar en puertos no estándar D) Se puede hacer, pero a condición de que ninguno de los servidores utilice el puerto 80 1.10 Cuando se utiliza NAT dinámico en tráfico UDP la asociación de la dirección interna a la externa se termina: A) Cuando se cierra la conexión UDP B) Cuando se supera un tiempo límite (timeout) sin que haya habido tráfico entre las dos direcciones C) Cuando se apaga o reinicia el equipo que realiza el NAT D) El NAT dinámico no permite tráfico UDP 1.11 Diffie Hellman permite: A) Intercambiar una clave asimétrica compartida B) Intercambiar una clave simétrica con autenticación por ambas partes C) Intercambiar una clave asimétrica con autenticación por ambas partes D) Intercambiar una clave simétrica compartida 1.12 La lista de certificados revocados: A) Se utiliza para ver si un certificado es válido B) Está firmada por la autoridad de certificación correspondiente C) Recoge aquellos certificados de los cuales ya se haya distribuido la clave privada D) Todas las anteriores 1.13 AES es un método de cifrado de clave: A) Asimétrica B) Privada o simétrica C) Mixto simétrica/asimétrica D) Todas las anteriores 1.14 LDAP es un protocolo de capa: A) 3 B) 4 C) 5 D) 7 1.15 Los servidores DNS: A) Poseen una IP de la subred en la que se conectan B) Pueden resolver nombres a cualquier host, incluso fuera de su LAN C) Pueden ser secundarios D) Todas las anteriores 2 1.16 Las MIB son: A) Parámetros de medición de instrucciones por segundo en un servidor B) Un conjunto de variables definidas en un dispositivo de red C) La estructura de indexación de todo tipo de variables existentes D) Ninguna de las anteriores 1.17 DNS utiliza: A) Conexiones UDP para resolver nombres B) El puerto 25 como identificación del servicio en el servidor C) Servidores maestros, primarios, secundarios y terciarios D) Cifrado en las conexiones para autenticación 1.18 El no repudio supone: A) La identificación por ambas partes B) La integirdad del docuemnto intercambiado C) La participación de una autoridad intermediaria para ambas partes D) Todas las anteriores 1.19 La criptografía asimétrica es, respecto de la simétrica: A) Más simple B) Más robusta C) Más rápida D) Más moderna y la desplazará definitivamente 1.20 El servicio SSH establece una conexión al puerto: A) 23 B) 22 C) 21 D) 20 1.21 La herramienta TRIPWIRE en un servidor en Internet permite realizar un análisis de la estructura de ficheros basado en: A) Variación del tamaño total de las particiones del servidor B) Usuarios conectados al servidor C) Fichero de logs del sistema D) Compendios 1.22 La herramienta TCPWRAPPERS se clasifica como: A) Proxy de aplicación B) Cortafuegos C) Superservidor, de la misma categoría que Inetd D) Servidor de conexiones TCP 1.23 ¿En que se basa la técnica de robo de conexión o hijacking? A) En utilizar la contraseña de otro usuario B) En anticiparse en la respuesta dentro de una conexión TCP establecida C) En utilizar el “login” de otro usuario e intentar adivinar la contraseña D) En dejar fuera de servicio un puerto 1.24 ¿Cómo se llama el proceso de configuración desde el DNS primario al DNS secundario? A) Proceso de iteración B) Proceso de configuración inversa C) Intercambiador de correo para DNS D) Ninguna de las anteriores 1.25 ¿Qué comando se utiliza en las antiguas distribuciones de Linux para realizar una consulta al DNS? A) Tracert B) Querynet C) Nsearch 3 D) Nslookup 1.26 ¿Qué tipo de registro DNS especifica información para resolución inversa? A) WKS B) NS C) PTR D) MX 1.27 ¿Qué método es utilizado para conseguir el no repudio? A) Realizar compendios B) Utilizar certificados en el navegador C) Entregar algo como acuse de recibo firmado digitalmente D) Quedarse copia de lo enviado 4 Pregunta 2.1: Pregunta 2.2: 1.- Explique qué son los registros marcados con MX y para qué sirven. Especifican aquellas máquinas que reciben el correo en dicho dominio, estando ordenadas por prioridad. En el caso que la primera dirección no esté disponible para recibir el SMTP, se pasaría al intercambiador. En el momento que se establezca el servicio SMTP, el intercambiador le hará la entrega de los correos recogidos en su ausencia. 2.- En el supuesto que la información obtenida fuera de un DNS secundario, explique cómo lo podríamos saber remotamente y cómo dicho servidor ha obtenido la información. Lo podemos ver simplemente en la primera línea de contestación. Siempre nos indica el servidor que contesta la petición. Comparando quien contesta con la respuesta recibida, podemos observar si es el secundario, en el caso que quien constestó no era el primario configurado en el DNS. El secundario recibe la información por transferencia de zona. 3.- Sea un servidor de correo SMTP externo a la Universitat que pretende hacer la entrega de correo al usuario [email protected]. A.- ¿A qué IP y puerto tratará el servidor SMTP externo de conectarse en primer intento?. B.-Suponiendo que no consigue establecer la conexión, ¿a qué otra IP y puerto lo intentará? C.-Y en el caso de no poder establecer la conexión, ¿qué pasa? a) 147.156.1.112 en el puerto 25 b) 147.156.1.90 en el puerto 25 c) volvería a iniciar a) hasta conectar, durante un cierto número de veces. Vencido el número de veces, notifica al emisor que no ha podido ser entregado el correo. ¿Cómo se llama la máquina que hace de servidor DNS primario del dominio “uv.es”? En el caso de detectar alguna incoherencia en la información del DNS, ¿a quién se dirigiría? De la línea: “uv.es. SOA gong.ci.uv.es root.gong.ci.uv.es” se obtiene que el, DNS primario lo gestiona “gong.ci.uv.es” y para avisar de la incoherencia, se mandaría un email a [email protected] En el caso, que el servidor externo tratara de entregar al puesto 25 un correo, enviando el comando“EHLO” y contestara “500 sintaxis error”, ¿a qué puede ser debido dicha contestación? Que el servidor SMTP ejecuta la versión SMTP y no la ESMTP, es decir SMTP extendido. 5 EXAMEN DE REDES. SEGUNDO PARCIAL. JUNIO 2004. SOLUCIÓN. LABORATORIO Las respuestas correctas aparecen en negrita L.1 Cual de los siguientes códigos es correcto funcionalmente (sintácticamente lo son todos) para la implementación de un cliente de daytime bajo protocolo de transporte UDP. A) if ((n=recv(sock,buf,lbuf,0))<0) strncpy(buf,”Error en recv...\n”,lbuf); else if (n==0) strncpy(buf,”Timeout...\n”,lbuf); else if ((n=select(sock+1,&conjunto,NULL,NULL,&timeout))<0) strncpy(buf,”Error en select...\n”,lbuf); else buf[n]=’\0’; B) if ((n=select(sock+1,&conjunto,NULL,NULL,&timeout))<0) strncpy(buf,”Error en select...\n”,lbuf); else if ((n=recv(sock,buf,lbuf,0))<0) strncpy(buf,”Error en recv...\n”,lbuf); else if (n==0) strncpy(buf,”Timeout...\n”,lbuf); else buf[n]=’\0’; C) if ((n=select(sock+1,&conjunto,NULL,NULL,&timeout))>=0) strncpy(buf,”Error en select...\n”,lbuf); else if ((n=recv(sock,buf,lbuf,0))<=0) strncpy(buf,”Timeout...\n”,lbuf); else buf[n]=’\0’; D) if ((n=select(sock+1,&conjunto,NULL,NULL,&timeout))<0) strncpy(buf,”Error en select...\n”,lbuf); else if (n==0) strncpy(buf,”Timeout...\n”,lbuf); else if ((n=recv(sock,buf,lbuf,0))<0) strncpy(Error en recv...\n”,lbuf); else buf[n]=’\0’; L.2 ¿Por qué fue necesario introducir un timeout en el cliente de servicio daytime bajo el protocolo de transporte UDP, y no en el cliente bajo el protocolo de transporte TCP?: A) Porque el datagrama UDP se envía vacío B) Porque el servicio TCP funciona siempre, mientras que el UDP falla a veces C) Porque ambos protocolos son distintos en su forma de funcionamiento y fiabilidad D) Porque se decidió realizar de distinta forma el diseño de ambos programas L.3 En las rutinas sockets las direcciones IP se representan: A) Como una cadena de caracteres de longitud variable. B) Como una cadena de caracteres de caracteres de 15 bytes de longitud (rellenando con ceros en caso necesario). C) Como un entero ‘long’ (32 bits). D) Como una estructura formada por dos enteros ‘short’ (16 bits). 1 L.4 En el programa servidor IRC utilizamos la función bind para dejar el proceso servidor escuchando en un puerto determinado las conexiones de posibles clientes. En esta llamada a la función bind debemos especificar en la variable sin_addr.s_addr de la estructura sockaddr_in la dirección IP del cliente que se va a conectar al servidor, pero esa dirección es desconocida en ese momento pues aún no ha habido peticiones. ¿Que dirección ponemos en ese caso? A) 0.0.0.0 B) La de la red desde la que se esperan conexiones (ej. 147.156.0.0/24) C) El valor INADDR_ANY D) 255.255.255.255 L.5 Cual sería la herramienta adecuada para averiguar que puertos tiene abiertos el host remoto X?. A) Ping X B) Nslookup X C) Nmap X D) Ethereal X L.6 El comando traceroute se basa en:. A) La opción ‘record route’ de la cabecera IP B) El servidor traceroute en los routers C) Los mensajes ICMP ‘Time Exceeded’. D) La información suministrada por el protocolo de routing L.7 Con una tarjeta de red en modo promiscuo y la herramienta Ethereal podemos monitorizar: A) Todo el tráfico que sale, y todo el que llega a nuestra tarjeta de red B) Todo el tráfico que sale, y todo el que llega con direcciones de destino unicast. C) Todo el tráfico que sale, y todo el que llega con dirección de destino broadcast, o unicast de la propia tarjeta D) Todo el tráfico que sale, y todo el que llega con dirección de destino broadcast, multicast o unicast de la propia tarjeta. L.8 Algunos protocolos de alta fiabilidad se basan en la utilización de un servidor de reserva o de backup que en caso de fallo del servidor principal le sustituye a todos los efectos en décimas de segundo, con lo que el servicio no se interrumpe. Cuando falla el servidor principal estos protocolos modifican las direcciones MAC e IP del servidor de reserva, poniéndole a éste las direcciones IP y MAC del servidor averiado. ¿Por que no se cambia sólo la dirección IP y se cambia también la MAC?: A) Porque no se puede cambiar la IP sin cambiar la MAC. B) Porque es más fácil cambiar las dos a la vez que cambiar solo la IP. C) Porque si solo se cambiara la IP el servicio se interrumpiría durante un tiempo apreciable (minutos). D) Porque si se cambia la IP sin cambiar la MAC el protocolo ARP deja de funcionar. L.9 ¿Con que comando se pueden averiguar las conexiones TCP establecidas en el host local? A) Ethereal B) Netstat C) host D) ping L.10 El concepto de proceso ‘superservidor’ (como inetd o xinetd) se estableció con el fin de: A) Permitir centralizar el control de todos los accesos a los servicios de red en un único proceso B) Evitar la creación de un nuevo proceso por cada servicio que se quiere tener activo en el host C) Evitar tener que reservar un puerto ‘bien conocido’ para cada servicio que se quiere activar en el host D) Reducir el tiempo de arranque de los servicios. L.11 La mejor forma de restringir en un sistema linux el acceso al servicio telnet para que solo esté disponible de 6:00 a 14:00 horas sería: A) Definir un cron que arranque el servidor telnet a las 6:00 y lo pare a las 14:00 2 B) Incluír a las 6:00 el servicio telnet en el fichero hosts.allow y a las 14:00 en el hosts.deny C) Especificar los tiempos de acceso en el fichero de configuración telnet de xinet D) Crear un proceso monitor que periódicamente revise las conexiones TCP establecidas y se encargue de abortar las realizadas al puerto 23 fuera del horario permitido. L.12 Las envolventes de acceso o ‘TCP wrappers’ establecen una serie de reglas de acceso a los servicios de un host. Dichas reglas se introducen: A) Mediante comandos que se ejecutan en los scripts de arranque del sistema. B) Tecleando por consola los comandos pertienentes en el momento en que se quiere establecer la regla C) En un fichero de configuración diferente para cada servicio D) En dos ficheros globales de permiso y denegación para todos los servicios, llamados hosts.allow y hosts.deny, respectivamente. 3 EXAMEN DE REDES. SEGUNDO PARCIAL. JUNIO 2004. SOLUCIÓN. PROBLEMAS Problema 1: Al ser el MSS (Maximum Segment Size) de 1024 bytes (1 Kbyte) se enviarán exactamente 100 segmentos para transferir el fichero. Suponiendo que el tiempo de generar y transmitir los segmntos es despreciable y para un RTT (Round Trip Time) de 80 ms la transferencia del fichero discurre según la siguiente cronología: Tiempo (ms) Segmento enviado 0 80 80 160 160 240 240 320 320 400 400 480 480 560 1 ACK recibido 1 2,3 2,3 4,5,6,7 4,5,6,7 8-15 8-15 16-31 16-31 32-63 32-63 64-100 64-100 Dado que no se pierde ningún segmento el slow-star va duplicando la ventana de congestión en cada iteración, llegando al valor máximo de 64 KBytes en la última. Por otro lado la aplicación en el host B es capaz de leer los datos tal cual van legando, por lo que la ventana de control de flujo (que se anuncia en cada ACK enviado por B hacia A) es siempre de 64 Kbytes, con lo que no supone una limitación en el envío de segmentos por parte de A. Podemos considerar terminada la transferencia cuando el host B recibe el último segmento. Para calcular este tiempo deberemos tomar el instante en que se envía el último segmento (480 ms) y sumarle el tiempo que tarda en enviarse un segmento al host B. Suponiendo que el canal de comunicación entre A y B es simétrico este tiempo debe corresponder a la mitad del RTT, es decir 40 ms. Por tanto el fichero termina de enviarse a los 520 ms. También cabría considerar que el fichero termina de transferirse cuando A recibe el ACK del último segmento, que es cuando A tiene constancia de que el ficheor se ha transferido correctamente. En ese caso el tiempo de transferencia del fichero es de 560 ms 1 Problema 2: 1.- detalle la implementación de cada uno de los métodos para la AAA, especificando el protocolo realizado en cada caso Autentificación: Por ejemplo, cada usuario envía “soy usuario U” cifrado con su clave privada ”Du(U),U” y el banco solicita a CA el certificado del usuario U, que la CA se lo entrega como Dca(U, Eu()), obteniendo la clave pública del usuario U de forma veraz, dado que la información es dado de forma unívoca por la CA, de la cual el banco tiene su certificado raíz instalado. Autorización Cuando un usuario U, tras identificarse solicita una operación, el Banco realiza una consulta a través de un cliente LDAP al servidor LDAP. Si la contestación es afirmativa, se autoriza y en caso contrario, se deniega. Auditoría: El banco dispone un sistema de logs que van registrando todas las acciones realizadas en él. 2.- explique el método utilizado para implementar el no repudio. Consiste en solicitar un acuse de recibo, que identifique el momento de la entrega, con la integridad de lo entregado con una función hash, y firmado por quien lo recibe. Por ejemplo, si entregamos datos al banco, el banco nos debería proporcionar un acuse de recibo de la siguiente manera: Db( Hash (datos,U), hora) 3.- ¿qué función desempeña el servidor LDAP en la Intranet? Guardar los permisos de todos los usuarios que puede realizar operaciones por Internet en el bando. 4.- ¿Cómo gestionaría, como responsable de la CA, para que los usuarios dispusieran de la clave pública de la CA? Considere estas gestiones, desde un punto de vista real de implementación, con muchos usuarios y razone la respuesta. Emitiría un certificado raíz, firmado por la propia autoridad de certificación, y en un proceso de autenticación accediendo a la CA, descargarían los usuarios el certificado desde la web de la CA. 5.- En el caso que el usuario U tuviera que mandar el mensaje P al banco B con las propiedades de integridad, autenticación y confidencialidad, ¿qué mensaje mandaría? “Eb(Du(MD(P)))),P” sería el mensaje a mandar de U a B 2 EXAMEN DE REDES. FINAL. JUNIO 2004. SOLUCIÓN. TEORÍA Las respuestas correctas aparecen en negrita 1.1 Cuando un conmutador recibe de un host una trama broadcast, entonces: A) Anota la MAC de destino en su tabla de direcciones. B) Envía la trama recibida por todas sus interfaces activas. C) La envía por todas sus interfaces activas, excepto por la que le ha llegado. D) Sólo la envía por las interfaces en las que hay conectados otros conmutadores. 1.2 El protocolo Spanning Tree se basa para su funcionamiento en el envio de: A) Tramas broadcast B) Tramas unicast C) Tramas multicast D) Tramas broadcast y tramas unicast 1.3 Diga cual de las siguientes afirmaciones es verdadera referida al funcionamiento del protocolo BOOTP cuando el servidor no está en la misma LAN que el cliente y el router actúa como BOOTP relay: A) El cliente ha de conocer la dirección del servidor BOOTP B) El cliente ha de conocer la dirección del router. C) El cliente ha de concocer la dirección del router y del servidor BOOTP D) El router ha de conocer la dirección del servidor BOOTP. 1.4 ¿Cual de las siguientes direcciones IP sería válida para la interfaz de un host?: A) 10.10.10.0/28 B) 147.156.1.163/30 C) 225.225.222.12/24 D) 200.200.202.0/22 1.5 Un paquete IP tiene activada la opción ‘record route’ y ha registrado nueve direcciones. La longitud de la cabecera IP en este caso es de: A) 20 bytes. B) 56 bytes. C) 60 bytes. D) Hay varios valores posibles 1.6 La técnica conocida como ‘descubrimiento de la MTU del trayecto’ hace uso de mensajes: A) ARP B) ICMP C) RARP D) UDP 1.7 Un router que no tiene definida ruta por defecto recibe un datagrama con una dirección de destino que no está comprendida en su tabla de rutas. ¿Qué ocurre en ese caso?: A) Descarta el datagrama y no dice nada B) Lo descarta y envía un mensaje ICMP ‘Destination unreachable’ al emisor C) Lo descarta y envía un mensaje ICMP ‘Time exceeded’ al emisor D) Lo envía a todos los routers que tiene directamente conectados, por si ellos saben como llegar a ese destino. 1.8 ¿En que casos está justificado que una empresa disponga de un sistema autónomo propio?: A) En ninguno, los sistemas autónomos solo deben ser utilizados por ISPs B) Siempre que se conecte a dos ISPs y quiera que el tráfico se reencamine de manera automática en caso de fallo de uno de ellos C) Cuando tenga un número elevado de hosts, por ejemplo más de 65536 D) B y C son ciertas 1 1.9 Los acuerdos de peering son contratos que se suelen realizar entre: A) Un ISP y una gran empresa. B) Un ISP y un punto neutro de interconexión C) Un ISP grande y uno pequeño D) Dos ISPs de tamaño parecido 1.10 En la trama Frame Relay ¿Cual de los siguientes campos sería superfluo si el EIR fuera siempre cero?: A) FECN B) BECN C) DE D) DLCI 1.11 Se establece entre dos hosts un circuito ATM que atraviesa dos conmutadores ATM. ¿Cuantas veces se comprueba el valor del campo HEC (Header Error Check) para cada celda enviada? A) 2 B) 3 C) 4 D) Ninguna 1.12 Cual sería la categoría de servicio de ATM más adecuada para la conexión de centralitas telefónicas mediante emulación de circuitos de 2 Mb/s (líneas E1)?: A) CBR B) VBR-rt C) VBR-nrt D) ABR 1.13 ¿Que tamaño tiene como máximo la parte de red de una dirección ATM cuando se utiliza direccionamiento NSAP?: A) 8 bytes B) 13 bytes C) 19 bytes D) 20 bytes 1.14 ¿Qué algoritmo utiliza el protocolo de routing PNNI? A) Estado del enlace B) Vector distancia C) Basado en el flujo D) Depende de la implementación 1.15 Si un host A quiere establecer un SVC con otro host B a través de una red ATM debe conocer: A) Los números de VPI/VCI que el host B tiene ocupados en ese momento B) La dirección ATM del host B C) La dirección ATM del conmutador al que está conectado el host B y los números de VPI/VCI que el host B tiene ocupados en ese momento D) La dirección ATM del conmutador al que está conectado el host B y el número de puerto al que está conectado dicho host en ese conmutador 1.16 ¿Cuantos bytes de relleno serían necesarios si hubiera que enviar 52 bytes de datos en un mensaje AAL5?: A) Ninguno B) Uno C) 36 D) 44 1.17 Normalmente se considera que el origen de Internet fue la red experimental ARPANET, que empezó a funcionar en el año: A) 1959 B) 1969 C) 1975 2 D) 1978 1.18 Suponga que en un cortafuegos se quiere impedir el establecimiento de conexiones TCP entrantes. En ese caso deberá rechazar los segmentos TCP que lleguen del exterior y que tengan los flags siguientes: A) SYN a 1, ACK, RST y FIN a 0 B) SYN y ACK a 1, RST y FIN a 0 C) ACK a 1, SYN, RST y FIN a 0 D) SYN y RST a 1, ACK y FIN a 0 1.19 Diga cual de las siguientes afirmaciones es cierta referida a la elección del ISN (Initial Sequence Number) en una conexión TCP: A) Siempre se utiliza el valor 0 B) Se puede utilizar cualquier valor (entre 0 y 2 32 - 1), pero cuando dos hosts establecen una conexión han de ponerse de acuerdo y utilizar el mismo ISN C) Cada host elige un ISN ‘propio’ que utiliza en todas sus conexiones D) Cada host elige el ISN de forma independiente, normalmente siguiendo un algoritmo pseudoaleatorio. 1.20 Si en TCP no existiera el mecanismo ‘slow-start’ la consecuencia sería que: A) No habría control de flujo B) No habría control de congestión C) No se reenviarían los segmentos perdidos por errores del medio físico D) El campo ‘tamaño de ventana’ en la cabecera TCP nunca disminuiría 1.21 El objetivo del ‘timer de persistencia’ de TCP es: A) Evitar que se produzcan situaciones de bloqueo debido a la pérdida no detectada de mensajes. B) Evitar que se quede una conexión establecida cuando el canal de comunicación se interrumpe, o bien cuando uno de los hosts la termina anormalmente (conexión ‘medio abierta’). C) Asegurar que cualquier conexión TCP genera una cantidad mínima de tráfico cada cierto tiempo D) Comprobar que los procesos (del nivel de aplicación) que comunican a través de TCP siguen operativos 1.22 En una red local Ethernet un host está enviando a otro un flujo de datos en forma de datagramas UDP. El cableado es defectuoso, por lo que algunas tramas tiene un CRC erróneo y son descartadas por el receptor. ¿Que ocurre en ese caso?: A) El nivel de enlace del receptor (es decir su tarjeta Ethernet) solicita retransmisión de la trama cuando detecta el CRC erróneo B) El nivel IP del receptor solicita retransmisión cuando detecta el datagrama perdido. C) El nivel UDP del receptor solicita retransmisión cuando detecta el datagrama perdido. D) Solo se realizará la retransmisión de los datos perdidos si está contemplado en el protocolo a nivel de aplicación. En caso contrario la pérdida no podrá recuperarse. 1.23 Se quiere conectar una LAN con varios servidores Web a Internet pero solo se dispone para ello de una dirección pública, por lo que es necesario utilizar NAT (o NAPT) en el router. ¿Cual de las siguientes afirmaciones es cierta en ese caso?: A) No puede hacerse. Si solo hay una dirección pública sólo puede haber un servidor Web accesible desde el exterior B) No hay ningún problema, se puede acceder a todos los servidores por el puerto 80 distinguiendo por el URL C) Se puede hacer, pero solo uno de los servidores puede ser accedido por el puerto 80. El resto de servidores debe estar en puertos no estándar D) Se puede hacer, pero a condición de que ninguno de los servidores utilice el puerto 80 1.24 Diffie Hellman permite: A) Intercambiar una clave asimétrica compartida B) Intercambiar una clave simétrica con autenticación por ambas partes C) Intercambiar una clave asimétrica con autenticación por ambas partes 3 D) Intercambiar una clave simétrica compartida 1.25 La lista de certificados revocados: A) Se utiliza para ver si un certificado es válido B) Está firmada por la autoridad de certificación correspondiente C) Recoge aquellos certificados de los cuales ya se haya distribuido la clave privada D) Todas las anteriores 1.26 AES es un método de cifrado de clave: A) Asimétrica B) Privada o simétrica C) Mixto simétrica/asimétrica D) Todas las anteriores 1.27 LDAP es un protocolo de capa: A) 3 B) 4 C) 5 D) 7 1.28 Los servidores DNS: A) Poseen una IP de la subred en la que se conectan B) Pueden resolver nombres a cualquier host, incluso fuera de su LAN C) Pueden ser secundarios D) Todas las anteriores 1.29 Las MIB son: A) Parámetros de medición de instrucciones por segundo en un servidor B) Un conjunto de variables definidas en un dispositivo de red C) La estructura de indexación de todo tipo de variables existentes D) Ninguna de las anteriores 1.30 DNS utiliza: A) Conexiones UDP para resolver nombres B) El puerto 25 como identificación del servicio en el servidor C) Servidores maestros, primarios, secundarios y terciarios D) Cifrado en las conexiones para autenticación 1.31 El no repudio supone: A) La identificación por ambas partes B) La integirdad del docuemnto intercambiado C) La participación de una autoridad intermediaria para ambas partes D) Todas las anteriores 1.32 La criptografía asimétrica es, respecto de la simétrica: A) Más simple B) Más robusta C) Más rápida D) Más moderna y la desplazará definitivamente 4 Pregunta 2.1: Para asignar las subredes tomaremos en consideración el número de ordenadores de cada sede más una dirección, que asignaremos a la interfaz Ethernet del router. Además de las subredes correspondientes a las redes locales debemos asignar cuatro subredes para las cuatro líneas serie. Para ello utilizaremos subredes /30, que nos permiten disponer de dos direcciones aprovechables. A la vista de esto asignaremos las siguientes subredes: Sede Barcelona Madrid Alicante Bilbao Sevilla Línea p. a p. Barcelona-Madrid Línea p. a p. Barcelona-Alicante Línea p. a p. Barcelona-Bilbao Línea p. a p. Barcelona-Sevilla Subred 194.100.100.0 194.100.100.128 194.100.100.192 194.100.100.208 194.100.100.224 194.100.100.240 194.100.100.244 194.100.100.248 194.100.100.252 Máscara 255.255.255.128 255.255.255.192 255.255.255.240 255.255.255.240 255.255.255.240 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 Rango (de 194.100.100) 1 – 126 129 – 190 193 – 206 209 – 222 225 - 238 241 - 242 245 - 246 249 – 250 253 - 254 Al aplicar subnet-zero hemos asignado subredes en todo el rango de la red. De no aplicar subnet-zero no habríamos tenido suficientes direcciones para resolver el problema. Pregunta 2.2: 5 Pregunta 2.3: 1.- Explique qué son los registros marcados con MX y para qué sirven. Especifican aquellas máquinas que reciben el correo en dicho dominio, estando ordenadas por prioridad. En el caso que la primera dirección no esté disponible para recibir el SMTP, se pasaría al intercambiador. En el momento que se establezca el servicio SMTP, el intercambiador le hará la entrega de los correos recogidos en su ausencia. 2.- En el supuesto que la información obtenida fuera de un DNS secundario, explique cómo lo podríamos saber remotamente y cómo dicho servidor ha obtenido la información. Lo podemos ver simplemente en la primera línea de contestación. Siempre nos indica el servidor que contesta la petición. Comparando quien contesta con la respuesta recibida, podemos observar si es el secundario, en el caso que quien constestó no era el primario configurado en el DNS. El secundario recibe la información por transferencia de zona. 3.- Sea un servidor de correo SMTP externo a la Universitat que pretende hacer la entrega de correo al usuario [email protected]. A.- ¿A qué IP y puerto tratará el servidor SMTP externo de conectarse en primer intento?. B.-Suponiendo que no consigue establecer la conexión, ¿a qué otra IP y puerto lo intentará? C.-Y en el caso de no poder establecer la conexión, ¿qué pasa? a) 147.156.1.112 en el puerto 25 b) 147.156.1.90 en el puerto 25 c) volvería a iniciar a) hasta conectar, durante un cierto número de veces. Vencido el número de veces, notifica al emisor que no ha podido ser entregado el correo. ¿Cómo se llama la máquina que hace de servidor DNS primario del dominio “uv.es”? En el caso de detectar alguna incoherencia en la información del DNS, ¿a quién se dirigiría? De la línea: “uv.es. SOA gong.ci.uv.es root.gong.ci.uv.es” se obtiene que el, DNS primario lo gestiona “gong.ci.uv.es” y para avisar de la incoherencia, se mandaría un email a [email protected] En el caso, que el servidor externo tratara de entregar al puesto 25 un correo, enviando el comando“EHLO” y contestara “500 sintaxis error”, ¿a qué puede ser debido dicha contestación? Que el servidor SMTP ejecuta la versión SMTP y no la ESMTP, es decir SMTP extendido. 6 EXAMEN DE REDES. FINAL. JUNIO 2004. SOLUCIÓN. LABORATORIO Las respuestas correctas aparecen en negrita L.1 ¿Cual de las siguientes afirmaciones es verdadera referida a una conexión Ethernet Full Dúplex en un conmutador?: A) Puede tener conectados varios hosts mediante un hub B) Solo es posible a velocidades de 100 Mb/s y superiores C) Requiere una conexión por fibra óptica D) Ninguna de los anteriores L.2 En un conmutador se ha modificado la configuración reduciendo el tiempo de vida de las entradas en las tablas de direcciones MAC. La consecuencia de esto es que: A) El conmutador envía más tramas broadcast. B) El conmutador envía más tramas multicast C) El conmutador envía más tramas unicast D) El número de tramas enviadas por el conmutador no se modifica L.3 Dos conmutadores, A y B, que implementan spanning tree, se conectan entre sí mediante dos cables uniéndolos por los puertos 1 y 2 (A1 con B1 y A2 con B2). Al conectarlos no se bloquea ningún puerto. De aquí podemos deducir que: A) Los puertos A1 y B1 están en una VLAN y los puertos A2 y B2 en otra. B) Los puertos A1 y A2 están en una VLAN y los B1 y B2 en otra C) Tres de los cuatro puertos están en una VLAN y el otro está en otra D) Todas las opciones anteriores son posibles Nota: En esta pregunta hay un error puesto que son correctas tanto la opción A como la C. Por tanto se considera correcto responder cualquiera de las dos, o ambas. L.4 Diga cual de las siguientes afirmaciones es correcta referida a las interfaces serie de los routers utilizados en las prácticas: A) Eran interfaces propietarias de cisco. B) Los conectores de los routers eran propietarios, pero las interfaces eran estándar. C) Eran estándar tanto las interfaces como los conectores. D) En unos eran estándar y en otros propietarias. L.5 ¿Qué debe hacerse para restablecer el servicio en una red mallada que utiliza EIGRP?: A) Nada, los routers encuentran la nueva ruta en segundos B) Reconfigurar los routers para definir la ruta alternativa C) Rearrancar los routers que tenían conectada la línea afectada D) B y C L.6 ¿Qué pasa cuando en una red hay rutas asimétricas?: A) Nada de especial. Simplemente que los paquetes van por un camino y vuelven por otro B) Que no se puede utilizar routing dinámico C) Que el comando route –R no funciona D) Que el comando traceroute no funciona L.7 ¿Por qué fue necesario introducir un timeout en el cliente de servicio daytime bajo el protocolo de transporte UDP, y no en el cliente bajo el protocolo de transporte TCP?: A) Porque el datagrama UDP se envía vacío B) Porque el servicio TCP funciona siempre, mientras que el UDP falla a veces C) Porque ambos protocolos son distintos en su forma de funcionamiento y fiabilidad D) Porque se decidió realizar de distinta forma el diseño de ambos programas L.8 En las rutinas sockets las direcciones IP se representan: A) Como una cadena de caracteres de longitud variable. 1 B) Como una cadena de caracteres de 15 bytes de longitud (rellenando con ceros en caso necesario). C) Como un entero ‘long’ (32 bits). D) Como una estructura formada por dos enteros ‘short’ (16 bits). L.9 En el programa servidor IRC utilizamos la función bind para dejar el proceso servidor escuchando en un puerto determinado las conexiones de posibles clientes. En esta llamada a la función bind debemos especificar en la variable sin_addr.s_addr de la estructura sockaddr_in la dirección IP del cliente que se va a conectar al servidor, pero esa dirección es desconocida en ese momento pues aún no ha habido peticiones. ¿Que dirección ponemos en ese caso? A) 0.0.0.0 B) La de la red desde la que se esperan conexiones (ej. 147.156.0.0/24) C) El valor INADDR_ANY D) 255.255.255.255 L.10 Cual sería la herramienta adecuada para averiguar que puertos tiene abiertos el host remoto X?. A) Ping X B) Nslookup X C) Nmap X D) Ethereal X L.11 El comando traceroute se basa en:. A) La opción ‘record route’ de la cabecera IP B) El servidor traceroute en los routers C) Los mensajes ICMP ‘Time Exceeded’. D) La información suministrada por el protocolo de routing L.12 Con una tarjeta de red en modo promiscuo y la herramienta Ethereal podemos monitorizar: A) Todo el tráfico que sale, y todo el que llega a nuestra tarjeta de red B) Todo el tráfico que sale, y todo el que llega con direcciones de destino unicast. C) Todo el tráfico que sale, y todo el que llega con dirección de destino broadcast, o unicast de la propia tarjeta D) Todo el tráfico que sale, y todo el que llega con dirección de destino broadcast, multicast o unicast de la propia tarjeta. L.13 Algunos protocolos de alta fiabilidad se basan en la utilización de un servidor de reserva o de backup que en caso de fallo del servidor principal le sustituye a todos los efectos en décimas de segundo, con lo que el servicio no se interrumpe. Cuando falla el servidor principal estos protocolos modifican las direcciones MAC e IP del servidor de reserva, poniéndole a éste las direcciones IP y MAC del servidor averiado. ¿Por que no se cambia sólo la dirección IP y se cambia también la MAC?: A) Porque no se puede cambiar la IP sin cambiar la MAC. B) Porque es más fácil cambiar las dos a la vez que cambiar solo la IP. C) Porque si solo se cambiara la IP el servicio se interrumpiría durante un tiempo apreciable (minutos). D) Porque si se cambia la IP sin cambiar la MAC el protocolo ARP deja de funcionar. L.14 ¿Con que comando se pueden averiguar las conexiones TCP establecidas en el host local? A) Ethereal B) Netstat C) host D) ping L.15 El concepto de proceso ‘superservidor’ (como inetd o xinetd) se estableció con el fin de: A) Permitir centralizar el control de todos los accesos a los servicios de red en un único proceso B) Evitar la creación de un nuevo proceso por cada servicio que se quiere tener activo en el host C) Evitar tener que reservar un puerto ‘bien conocido’ para cada servicio que se quiere activar en el host D) Reducir el tiempo de arranque de los servicios. 2 L.16 La mejor forma de restringir en un sistema linux el acceso al servicio telnet para que solo esté disponible de 6:00 a 14:00 horas sería: A) Definir un cron que arranque el servidor telnet a las 6:00 y lo pare a las 14:00 B) Incluír a las 6:00 el servicio telnet en el fichero hosts.allow y a las 14:00 en el hosts.deny C) Especificar los tiempos de acceso en el fichero de configuración telnet de xinet D) Crear un proceso monitor que periódicamente revise las conexiones TCP existentesstablecidas y se encargue de abortar las realizadas al puerto 23 fuera del horario permitido. L.17 Las envolventes de acceso o ‘TCP wrappers’ establecen una serie de reglas de acceso a los servicios de un host. Dichas reglas se introducen: A) Mediante comandos que se ejecutan en los scripts de arranque del sistema. B) Tecleando por consola los comandos pertienentes en el momento en que se quiere establecer la regla C) En un fichero de configuración diferente para cada servicio D) En dos ficheros globales de permiso y denegación para todos los servicios, llamados hosts.allow y hosts.deny, respectivamente. 3 EXAMEN DE REDES. FINAL. JUNIO 2004. SLOUCIÓN. PROBLEMAS Problema 1: A nivel de enlace, aunque el conmutador tiene configuradas dos VLANs el puente entre los puertos 4 y 5 comunica ambas. A nivel de red el host H3 está en una red diferente del resto por lo que para comunicar con el desde H1 se utilizará el router. La comunicación con H2 y H4 se realiza de forma directa, sin participación del router. Las tramas capturadas en el ping de H1 a H2 serán: Trama 1 2 3 4 MAC Origen 0000.0000.0A02 0000.0000.0A03 0000.0000.0A02 0000.0000.0A03 MAC Destino FFFF.FFFF.FFFF 0000.0000.0A02 0000.0000.0A03 0000.0000.0A02 Protocolo ARP ARP IP IP IP Origen IP Destino 10.0.0.2 10.0.0.3 10.0.0.3 10.0.0.2 Protocolo ARP ARP IP ARP IP IP Origen IP Destino 10.0.0.1 192.168.0.1 192.168.0.1 10.0.0.1 En el ping hacia H3 las tramas capturadas serán: Trama 5 6 7 8 9 MAC Origen 0000.0000.0A02 0000.0000.0A01 0000.0000.0A02 0000.0000.0B01 0000.0000.0A01 MAC Destino FFFF.FFFF.FFFF 0000.0000.0A02 0000.0000.0A01 FFFF.FFFF.FFFF 0000.0000.0A02 En este caso el ARP request se lanza para buscar al router, no al host H3 pues se encuentra en una red diferente. A su vez el router envía un ARP request en busca del host H3. Este mensaje es recibido por H1, ya que se manda en modo broadcast. En cambio el ARP response correspondiente no lo recibe H1 ya que se envía a la dirección unicast del router (0000.0000.0B01) que ya está anotada en las tablas del conmutador gracias al ARP request enviado anteriomente. El ping hacia H4 genera las siguientes tramas: Trama 1 2 3 4 MAC Origen 0000.0000.0A02 0000.0000.0A04 0000.0000.0A02 0000.0000.0A03 MAC Destino FFFF.FFFF.FFFF 0000.0000.0A02 0000.0000.0A04 0000.0000.0A02 Protocolo ARP ARP IP IP IP Origen IP Destino 10.0.0.2 10.0.0.4 10.0.0.4 10.0.0.2 1 Problema 2: Al ser el MSS (Maximum Segment Size) de 1024 bytes (1 Kbyte) se enviarán exactamente 100 segmentos para transferir el fichero. Suponiendo que el tiempo de generar y transmitir los segmntos es despreciable y para un RTT (Round Trip Time) de 80 ms la transferencia del fichero discurre según la siguiente cronología: Tiempo (ms) Segmento enviado 0 80 80 160 160 240 240 320 320 400 400 480 480 560 1 ACK recibido 1 2,3 2,3 4,5,6,7 4,5,6,7 8-15 8-15 16-31 16-31 32-63 32-63 64-100 64-100 Dado que no se pierde ningún segmento el slow-star va duplicando la ventana de congestión en cada iteración, llegando al valor máximo de 64 KBytes en la última. Por otro lado la aplicación en el host B es capaz de leer los datos tal cual van legando, por lo que la ventana de control de flujo (que se anuncia en cada ACK enviado por B hacia A) es siempre de 64 Kbytes, con lo que no supone una limitación en el envío de segmentos por parte de A. Podemos considerar terminada la transferencia cuando el host B recibe el último segmento. Para calcular este tiempo deberemos tomar el instante en que se envía el último segmento (480 ms) y sumarle el tiempo que tarda en enviarse un segmento al host B. Suponiendo que el canal de comunicación entre A y B es simétrico este tiempo debe corresponder a la mitad del RTT, es decir 40 ms. Por tanto el fichero termina de enviarse a los 520 ms. También cabría considerar que el fichero termina de transferirse cuando A recibe el ACK del último segmento, que es cuando A tiene constancia de que el fichero se ha transferido correctamente. En ese caso el tiempo de transferencia del fichero es de 560 ms. Problema 3: 1.- detalle la implementación de cada uno de los métodos para la AAA, especificando el protocolo realizado en cada caso Autentificación: Por ejemplo, cada usuario envía “soy usuario U” cifrado con su clave privada ”Du(U),U” y el banco solicita a CA el certificado del usuario U, que la CA se lo entrega como Dca(U, Eu()), obteniendo la clave pública del usuario U de forma veraz, dado que la información es dado de forma unívoca por la CA, de la cual el banco tiene su certificado raíz instalado. Autorización Cuando un usuario U, tras identificarse solicita una operación, el Banco realiza una consulta a través de un cliente LDAP al servidor LDAP. Si la contestación es afirmativa, se autoriza y en caso contrario, se deniega. 2 Auditoría: El banco dispone un sistema de logs que van registrando todas las acciones realizadas en él. 2.- explique el método utilizado para implementar el no repudio. Consiste en solicitar un acuse de recibo, que identifique el momento de la entrega, con la integridad de lo entregado con una función hash, y firmado por quien lo recibe. Por ejemplo, si entregamos datos al banco, el banco nos debería proporcionar un acuse de recibo de la siguiente manera: Db( Hash (datos,U), hora) 3.- ¿qué función desempeña el servidor LDAP en la Intranet? Guardar los permisos de todos los usuarios que puede realizar operaciones por Internet en el bando. 4.- ¿Cómo gestionaría, como responsable de la CA, para que los usuarios dispusieran de la clave pública de la CA? Considere estas gestiones, desde un punto de vista real de implementación, con muchos usuarios y razone la respuesta. Emitiría un certificado raíz, firmado por la propia autoridad de certificación, y en un proceso de autenticación accediendo a la CA, descargarían los usuarios el certificado desde la web de la CA. 5.- En el caso que el usuario U tuviera que mandar el mensaje P al banco B con las propiedades de integridad, autenticación y confidencialidad, ¿qué mensaje mandaría? “Eb(Du(MD(P)))),P” sería el mensaje a mandar de U a B 3