Problema I: Respuesta 1 Reiniciando la TCP subyacente Explicar ataque TCP RST- o ICMP Reset. Condiciones, direcciones. puertos y número de secuencia dentro de la ventana Se valorará identificar medidas que mitiguen el ataque: aceptar solo 1 número de secuencia. uso de timestamp. y comentar las condiciones a cumplir en dicho caso. Respuesta 2 Encaminamiento: filtrado de tráfico en las fronteras del AS (por ejemplo. direcciones propias provenientes de otro AS. direcciones no correspondientes al AS si es stub....) Protección: IPSec. TCP-AO. GTSM Respuesta 3 TLS no protege la sesión TCP. Problema II: Respuesta: En TLS nombre del servidor se transmite en claro: por el servidor en el certificado, por el cliente si se usa SNI. En el DNS se observa tanto en la consulta como en la respuesta, salvo que se use DNS/TLS o DNS/HTTPS. Cuestión I: Respuesta: Recibe todos menos el raíz, que debería estar en su posesión de antemano. La validez se comprueba mediante la firma que efectúa la autoridad certificadora. La validez del certificado de la autoridad certificadora se comprueba del mismo modo hasta llegar a la raíz. Por otro lado, se comprueba la que no esté caducado ni revocado mediante las CRL y/o la consulta/firma adjunta mediante OCSP. Cuestión II: Respuesta: -mecanismos de seguridad (algoritmos de cifrado e integridad) comparables -IPsec más complejo de configurar -IPsec puede tener problemas al atravesar ciertos fw (necesita que no se filtren los protocolos 50/51 y los puertos UDP 500/4500) TLS, en cambio. podría utilizar el puerto 443 universalmente abierto para tráfico https -IPsec no exige cambios en las aplicaciones (TLS exige el uso de una API diferente). Cuestión III: Respuesta I : EAP-MD5 no es utilizable en WPA-enterprise porque no transporta material criptográfico entre servidor radíus y autenticador suplicante . Sólo autentifica al usuario.
