1.5 Cual de las siguientes afirmaciones es cierta referida a los routers

Anuncio
EXAMEN DE REDES. FINAL. SEPTIEMBRE 2003
TEORÍA
SOLUCIÓN
1.1
Los puentes que funcionan según el estándar IEEE 802.1D se denominan transparentes porque:
A) Permiten conectar entre sí redes del mismo tipo (por ejemplo 802.3-802.3, 802.5-802.5, etc.)
pero no redes diferentes (802.3-802.5 por ejemplo)
B) No necesitan conocer previamente los equipos que se conectan a ellos, sino que los descubren
de forma automática.
C) Pueden funcionar sin necesidad de modificar la estructura de la trama MAC, ni el
software de las estaciones de la red.
D) No filtran el tráfico broadcast/multicast.
1.2
¿Cual de las siguientes condiciones permitiría transmitir tramas de varias VLANs
simultáneamente por un mismo enlace físico entre dos conmutadores?:
A) Que la velocidad de las interfaces interconectadas sea de 100 Mb/s o superior
B) Que los dos conmutadores marquen las tramas con etiquetas 802.1Q
C) Que los dos conmutadores soporten spanning tree y que esté habilitado en esas interfaces
D) Que las interfaces interconectadas operen en modo full dúplex
1.3
¿Cual de las siguientes afirmaciones es cierta referida a la transmisión full duplex en Ethernet?:
A) Requiere desactivar CSMA/CD, el protocolo MAC característico de Ethernet
B) Permite enviar tramas menores de 64 bytes
C) Solo puede utilizarse en enlaces de fibra óptica
D) Ninguna de las anteriores
1.4
Se tienen varias LANs conmutadas y se quiere dividir una de ellas en VLANs. ¿Cual de los
siguientes criterios sería el más adecuado para decidir cual de ellas debe dividirse?:
A) La que tenga mayor cantidad de tráfico total, medido en Mbits/s
B) La que tenga mayor cantidad de tráfico total, medido en tramas/s
C) La que tenga mayor cantidad de trafico broadcast, medido en Mbits/s
D) La que tenga mayor cantidad de tráfico broadcast, medido en tramas/s
1.5
Cual de las siguientes afirmaciones es cierta referida a los routers:
A) Modifican las direcciones de enlace pero mantienen inalteradas las direcciones de red
del paquete que enrutan.
B) Modifican las direcciones de red pero mantienen inalteradas las de enlace
C) Modifican tanto las direcciones de enlace como las de red
D) No modifican ninguna dirección.
1.6
El tiempo de servicio para paquetes de 800 bytes en un enlace de 64 Kb/s que no tiene carga (0
bits/s de tráfico) es:
A) 0 ms.
B) 10 ms.
C) 100 ms
D) 100 ms + x, donde x es una cantidad que depende del retardo del enlace
1.7
La longitud de la cabecera IPv4 de un datagrama es:
A) Siempre de 20 bytes.
B) Puede ser de 20, 40 o 60 bytes.
C) Puede ser cualquier valor múltiplo de 2 entre 20 y 60 bytes.
D) Puede ser cualquier valor múltiplo de 4 entre 20 y 60 bytes
1.8
¿Cual de las siguientes direcciones de red sólo es válida si se utiliza CIDR?:
A) 192.168.0.0/24
B) 192.168.0.0/16
1
C) 142.16.0.0/24
D) Todas las anteriores son válidas
1.9
La asignación de direcciones IP se realiza siguiendo una estructura jerárquica en la que el nivel
más alto lo desempeñan:
A) Los ISP (Internet Service Provider) y los RIR (Regional Internet Registry)
B) Los ISP únicamente
C) Los RIR únicamente
D) Los RIR y los ISP de ámbito internacional
1.10
¿Qué mensaje ICMP se envía al emisor cuando un datagrama IP no cabe en la MTU de la red de
destino y no puede ser fragmentado?:
A) Source Quench
B) Destination Unreachable
C) Redirect
D) No se envía ningún mensaje ICMP
1.11
La función que realiza el protocolo RARP es:
A) Permite averiguar la dirección de red a partir de la dirección de enlace. No puede
atravesar routers.
B) Permite averiguar la dirección de enlace a partir de la dirección de red. No puede atravesar
routers
C) Permite averiguar la dirección de red a partir de la dirección de enlace. Puede atravesar
routers
D) Permite averiguar la dirección de enlace a partir de la dirección de red. Puede atravesar
routers
1.12
¿Cual de los siguientes protocolos de routing tiene un diseño más sencillo?:
A) IS-IS
B) IGRP
C) PNNI
D) RIP
1.13
Cual(es) de las siguientes condiciones debe darse en una organización cconectada a dos ISPs
diferentes (organización multihomed) para que se pueda balancear el tráfico entre ambas
conexiones y que en caso de fallo de una se reencamine todo el tráfico de forma automática por la
otra conexión:
A) Tener un rango de direcciones IP propio y un sistema autónomo propio.
B) Tener un rango de direcciones IP de cada ISP y un sistema autónomo propio
C) Tener un rango de direcciones IP propio (no asignado por ninguno de los ISPs). No hace falta
disponer de un sistema autónomo propio.
D) Tener dos rangos de direcciones IP, uno de cada ISP. No hace falta disponer de un sistema
autónomo propio.
1.14
¿Cuál de las siguientes no sería una dirección válida en IPv6?:
A) ::17.234.76.0
B) 8000::1B9E
C) 8000::56FA::FE12
D) 8000:0000:0000:AF34:EDBA:76F8:89AB:12EF
1.15
Diga cual de las siguientes afirmaciones es cierta referida al valor del campo DLCI de Frame
Relay:
A) Si dos VCs diferentes pasan por un mismo enlace de la red necesariamente han de tener
asignados DLCIs diferentes.
B) El DLCI de una trama Frame Relay puede ser modificando en cada conmutador por el que
pasa
C) Los DLCIs asignados a un VC se establecen en el momento de crearlo y se mantienen
inalterados durante la vida del VC
D) Todas las anteriores son ciertas
2
1.16
Se tiene un router conectado a una red Frame Relay mediante un acceso físico de 1984 Kb/s. Se
define un único PVC con un CIR de 1024 Kb/s en cada sentido. No se conoce el EIR pero se sabe
que Be = 0. Diga cual de las siguientes afirmaciones es cierta referida al conmutador que conecta
dicho router a la red:
A) Nunca marca el bit DE ni descarta ninguna trama.
B) Nunca marca el bit DE, pero puede descartar tramas
C) Puede marcar el bit DE, pero no descarta ninguna trama.
D) Puede marcar el bit DE y puede descartar tramas.
1.17
¿Cuál sería la consecuencia de suprimir el campo HEC (Header Error Check) en las celdas ATM?:
A) Ocasionalmente se podrían producir errores que afectarían a la parte de carga útil y que
pasarían desapercibidos.
B) Ocasionalmente se podrían producir errores que afectarían a la parte de carga útil, pero serían
detectados por el nivel de transporte (TCP por ejemplo). El rendimiento sería menor pero no
habría riesgo de dar por válida información errónea.
C) Ocasionalmente se podrían producir errores que provocarían el envío de las celdas por
VCs equivocados o su descarte al no poder ser enviadas.
D) B y C son ciertas
1.18
En una red ATM se quieren constituir dos circuitos, uno permanente y uno conmutado, entre dos
hosts A y B. Los dos circuitos siguen la misma ruta. Diga que condición ha de darse para que esto
sea posible:
A) En cada enlace los dos circuitos han de tener un valor diferente de VCI. El valor de VPI es
irrelevante.
B) En cada enlace los dos circuitos han de tener un valor diferente de VCI o VPI
C) En cada enlace los dos circuitos han de tener un valor diferente de VCI y VPI
D) Los valores de VCI y VPI pueden coincidir ambos al ser circuitos de diferente tipo
1.19
Un operador quiere ofrecer un servicio de transporte de datos a través de una red ATM de acuerdo
con las categorías de servicio habituales. Si las tarifas se diseñan de forma proporcional a los
recursos utilizados, ¿a que categoría de servicio se le debería aplicar la tarifa más cara por Mb/s de
capacidad máxima utilizable, no necesariamente garantizada?:
A) CBR
B) VBR
C) ABR
D) UBR
1.20
Cuando en una red ATM con PNNI se configuran niveles jerárquicos los conmutadores se agrupan
en:
A) Áreas
B) Comunidades
C) Sistemas autónomos
D) Grupos pares o ‘Peer groups’
1.21
El protocolo de transporte más adecuado para un servicio orientado a conexión de tiempo real y
caudal constante (por ejemplo para la interconexión de centralitas telefónicas con emulación de
circuitos) es:
A) AAL1
B) AAL2
C) AAL3/4
D) AAL5
1.22
El organismo que desarrolla la mayor parte de la actividad técnica relacionada con Internet,
constituyendo para ello diversos grupos de trabajo, es:
A) La ISOC (Internet Society)
B) El IRTF (Internet Research Task Force)
C) El IETF (Internet Engineering Task Force)
D) El IAB (Internet Architecture Board)
3
1.23
¿Cual de los flags de TCP se utiliza cuando se producen situaciones inesperadas en los valores del
número de secuencia o del ACK de una conexión TCP?:
A) SYN
B) ACK
C) FIN
D) RST
1.24
Un datagrama IP de 100 bytes de longitud total, que contiene un segmento TCP, es enviado por
Internet y llega a su destino . En la memoria de un router intermedio se produjo un error que alteró
la información contenida en el décimo byte del datagrama. Este error será detectado gracias a:
A) El CRC a nivel de enlace.
B) El checksum a nivel IP.
C) El checksum a nivel TCP.
D) Todos los anteriores.
1.25
En una conexión TCP entre dos hosts, A y B, A envía a B un segmento con SEQ=100, ACK=200
que contiene 100 bytes de datos (sin contar la cabecera TCP). El segmento no tiene puesto el bit
SYN. A continuación B le responde a A con otro segmento. ¿Que valor tendrá en dicho segmento
el campo SEQ?:
A) 101
B) 200
C) 201
D) 301
1.26
El proceso por el cual el TCP emisor intenta enviar segmentos grandes reteniendo los datos
recibidos de la aplicación hasta que le llega del receptor el ACK correspondiente al segmento
enviado anteriormente se conoce como:
A) Slow start.
B) Algoritmo de Nagle.
C) Síndrome de la ventana tonta.
D) Timer de keepalive.
1.27
¿Qué campos de la cabecera se modifican normalmente cuando un paquete IP sale de una Intranet
hacia el exterior atravesando un NAPT estático?:
A) Dirección IP y puerto de origen
B) Dirección IP y puerto de destino
C) Direcciones IP y puertos de origen y destino
D) Direcciones IP de origen y destino
1.28
Si en un cortafuegos, queremos permitir sólo el acceso al servidor de FTP, ¿qué puerto
habilitaremos?
A) 25
B) 80
C) 137
D) 20 y 21
1.29
¿Cómo se llama el método de consulta en los DNS, cuando se exige una respuesta al cliente?
A) Recursiva
B) Iterativa
C) Inversa
D) Ninguna de las anteriores
1.30
¿Qué comando se utiliza en las recientes distribuciones de Linux para realizar una consulta al
DNS?
A) Tracert
B) Querynet
C) Host y dig
D) Ninguno de las anteriores
4
1.31
En el caso de suplantación de IP en un robo de conexión TCP, para evitar que responda la máquina
suplantada, ¿que acción debería realizar el atacante?
A) Duplicar su IP
B) Instalar un analizador de protocolos
C) Modificar la tabla ARP del atacado
D) Realizar un ataque DoS
1.32
¿Qué tipo de registro especifica intercambiadores de correo en un DNS?
A) WKS
B) MX
C) PTR
D) NS
1.33
¿Qué nombre recibe el ataque de robo de sesión?
A) Denegación de servicio
B) Ingeniería social
C) Hijacking
D) Spoofing
1.34
¿Qué método es utilizado para realizar compendios?
A) RSA
B) MD5
C) SSH
D) SET
1.35
¿Qué método es utilizado para evitar el no repudio?
A) Utilizar una firma digital
B) Realizar compendios
C) Realizar copias de seguridad
D) Quedarse copia de lo enviado
1.36
MIME o extensiones multipropósito de correo son:
A) Un nuevo formato de mensaje, que sustituye a RFC822
B) No es un estándar
C) Es un formato para correo seguro
D) Ninguna de las anteriores
5
Pregunta 2.1:
El tráfico unicast es de 900 Kb/s.. La mitad de este tráfico (450 Kb/s) corresponde al servidor y la otra
mitad a los clientes. Por tanto cada cliente genera 90 Kb/s y el servidor envía 90 Kb/s de tráfico unicast a
cada cliente.
En cuanto al tráfico broadcast se genera únicamente en los clientes; como sabemos que hay 100 Kb/s en
total cada uno genera 20 Kb/s.
Por tanto por el puerto servidor (1) le entran al conmutador 450 Kb/s de tráfico, mientras que por cada
uno de los puertos clientes (2-6) entran 110 Kb/s, 90 de tráfico unicast y 20 de broadcast).
El tráfico saliente por el puerto servidor es de 550 Kb/s, que corresponde a los 450 Kb/s de tráfico unicast
generados por los clientes (todo el tráfico unicast que generan va dirigido al servidor) mas los 100 Kb/s
de tráfico broadcast que generan.
El tráfico saliente por cada uno de los puertos clientes (2-6) es de 170 Kb/s, 90 de tráfico unicast enviado
pro el servidor y 80 de tráfico broadcast de los otros cuatro servidores (ya que el conmutador no le envía a
cada cliente el tráfico broadcast que ha recibido de él).
La tabla queda pues como sigue:
Interfaz
1 (servidor)
2
3
4
5
6
Tráfico entrante
450 Kb/s
110 Kb/s
110 Kb/s
110 Kb/s
110 Kb/s
110 Kb/s
Tráfico saliente
550 Kb/s
170 Kb/s
170 Kb/s
170 Kb/s
170 Kb/s
170 Kb/s
Como puede verse el tráfico total (entrante+saliente) en el puerto del servidor es de 1 Mb/s, es decir tiene
la misma carga que la red original basada en el hub. Solo en el caso de configurar este enlace como full
dúplex se conseguiría una mejora de prestaciones respecto a la red anterior.
Al margen de las consideraciones de rendimiento cabe comentar que el uso de un conmutador mejoraría
la seguridad, ya que el tráfico de cada cliente se mantendría localizado sin propagarse por toda la red,
como sucede en el caso de un hub.
6
Pregunta 2.2:
En el conmutador X se han de configurar los tres PVCs. Los PVCs deben ser bidireccionales, por lo que
cada uno tendrá dos entradas en la tabla.
Puerto de entrada
1
2
1
3
2
3
VPI
1
1
1
1
1
1
VCI
12
21
13
31
23
32
Puerto de salida
2
1
3
1
3
2
VPI
1
1
1
1
1
1
VCI
21
12
31
13
32
23
Las primeras dos entradas corresponden al PVC R1-R2; las dos siguientes al R1-R3 y las dos últimas al
R2-R3
En Y se han de configurar dos PVCs, los de R1 con R3 y los de R2 con R3. En este caso no se modifican
los números de VCI pues los cambios correspondientes ya se realizaron en X:
Puerto de entrada
1
2
1
2
VPI
1
1
1
1
VCI
31
31
32
32
Puerto de salida
2
1
2
1
VPI
1
1
1
1
VCI
31
31
32
32
7
Pregunta 2.3:
1.- ¿Qué nombres absolutos son válidos según la información obtenida para identificar a 147.156.16.46?
sweb.informat.uv.es.
informatica.uv.es.
sweb.uv.es.
2.- ¿Cómo se llama la máquina que hace de servidor DNS primario del dominio “uv.es”? En el caso de
detectar alguna incoherencia en la información del DNS, ¿a quién se dirigiría?
De la línea: “uv.es. SOA gong.ci.uv.es root.gong.ci.uv.es” se obtiene que el, DNS
primario lo gestiona “gong.ci.uv.es” y para avisar de la incoherencia, se mandaría un email
a root@gong.ci.uv.es
3.- En el caso, que el servidor externo tratara de entregar al puesto 25 un correo, enviando el
comando“EHLO” y contestara “500 sintaxis error”, ¿a qué puede ser debido dicha contestación?
Que el servidor SMTP ejecuta la versión SMTP y no la ESMTP, es decir SMTP extendido.
4.- En el supuesto que 147.156.16.46 aceptara intercambiadores de correo y estuviera apagada en el
momento de la conexión del servidor externo, ¿qué IP recibiría el correo?
147.156.1.90, tras analizar las siguientes líneas del DNS
sweb.informat
postin
MX
A
20
postin.uv.es.
147.156.1.90
5.- En el supuesto anterior del punto 3, ¿el usuario debería tener buzón en dicho servidor? Explique por
qué.
No, porque los intercambiadores de correo, son características de los servidores para
aceptar correo dirigido a otro servidor y no afecta a la gestión de cuentas de usuarios. Si el
servidor caído, no tiene cuenta de dicho usuario, será él, el encargado de rechazar dicho
correo cuando reciba finalmente los correos.
8
EXAMEN DE REDES. FINAL. SEPTIEMBRE 2003
LABORATORIO
SOLUCIÓN
L.1
Tenemos un conjunto de ordenadores conectados a un hub y sustituimos el hub por un conmutador
configurado en una única VLAN. Diga cual de las siguientes afirmaciones es correcta en ese caso:
A) Se ha reducido el tamaño de los dominios de colisiones, pero todos los ordenadores están
en el mismo dominio de broadcast.
B) Tanto los dominios de colisiones como los de broadcast son ahora más pequeños.
C) Los dominios de broadcast son ahora más pequeños, pero no se ha modificado el dominio de
colisiones.
D) No se ha modificado ni el dominio de broadcast ni el de colisiones.
L.2
En la práctica de conmutadores LAN la primera vez que se accedía al conmutador se tenía que
utilizar el puerto de consola y no podía usarse el Telnet. Esto se debe a que:
A) Inicialmente no conozco la password de telnet.
B) El conmutador no tenía configurada ninguna dirección IP.
C) El conmutador tiene una dirección IP, pero falta asignarle una máscara adecuada
D) El conmutador no tiene activada inicialmente la gestión SNMP.
L.3
En la práctica de conmutadores LAN (primera sesión, sin VLANs) se conectan inicialmente cuatro
ordenadores a un conmutador que tiene la configuración de fábrica. Para que sea posible la
comunicación entre los ordenadores es preciso:
A) Asignarles direcciones IP y máscaras adecuadas a los ordenadores.
B) Asignarles direcciones IP y máscaras adecuadas a los ordenadores y al conmutador
C) Asignarles direcciones IP y máscaras adecuadas a los ordenadores, conectar y configurar un
router que los comunique.
D) Asignarles direcciones IP y máscaras adecuadas a los ordenadores y al conmutador, y
conectar y configurar un router que los comunique.
L.4
El protocolo spanning tree, que sirve para evitar el bloqueo de la red por la creación de bucles:
A) Genera tráfico de forma regular por todas sus interfaces activas, aun cuando no haya
bucles ni tráfico de los hosts.
B) Solo genera tráfico si los hosts generan tráfico, aunque no haya bucles.
C) Solo genera tráfico si hay bucles en la topología, aun cuando los hosts no generen tráfico.
D) Solo genera tráfico si hay bucle sen la topología y además los hosts generan tráfico.
L.5
Se tienen dos conmutadores, cada uno con 12 puertos 10BASE-T (1-12) y uno 100BASE-T
(puerto 13). Ambos tienen configuradas dos VLANs y asignados los puertos 1-6 a una y los 7-12 a
la otra. El puerto 13 (100BASE-T) está configurado como ‘trunk’. El spanning tree está activado
en todos los puertos de ambos conmutadores. Inicialmente los conmutadores se conectan por el
puerto 1, pero mas tarde se conectan también por el puerto 13. ¿En que estado quedan los puertos
cuando se realiza esta segunda conexión?:
A) El puerto 13 se pone en estado ‘blocked’ en ambos conmutadores. El tráfico sigue yendo por
el enlace del puerto 1
B) El puerto 13 se pone en estado ‘blocked’ en uno de los conmutadores solamente. El tráfico
sigue yendo igualmente por el enlace del puerto 1
C) El puerto 13 se pone en estado ‘forwarding’ en ambos conmutadores y el 1 se pone en estado
‘blocked’ en ambos. El tráfico discurre por el enlace del puerto 13
D) El puerto 13 se pone en estado ‘forwarding’ en ambos y el 1 se pone en estado ‘blocked’
en uno de los conmutadores solamente. El tráfico discurre por el enlace del puerto 13
L.6
Diga cual de las siguientes afirmaciones es cierta referida al routing estático:
A) Sólo es posible cuando la red física no tiene bucles, es decir cuando no existe mas que un
camino posible entre dos puntos cualesquiera de la red
B) Es más sencillo de configurar que el routing dinámico, pues solo es necesario indicar las redes
directamente conectadas
1
C) Tiene menor overhead que el routing dinámico pues no require el intercambio regular
de información ni el cálculo de las rutas óptimas
D) Ninguna de las anteriores
L.7
El comando ‘show ip route’ sirve para:
A) Averiguar las rutas estáticas definidas.
B) Averiguar las rutas aprendidas por los diferentes protocolos de routing
C) Averiguar las redes directamente conectadas
D) Todas las anteriores.
L.8
La forma de configurar routing dinámico en una red es:
A) Declarar todas las redes existentes únicamente en el router raíz (el de identificador más bajo).
De ahí se propaga la información al resto de la red.
B) Declarar todas las redes existentes en todos los routers.
C) Declarar en cada router las redes que tiene directamente conectadas para que las
anuncie al resto de los routers.
D) No es necesario declarar ninguna red; cada router anuncia automáticamente al resto las redes
que tiene directamente conectadas.
L.9
Desde el punto de vista de la programación de sockets la principal diferencia entre el uso de UDP
y de TCP en la práctica de programación de un cliente en sockets para acceder al servicio daytime
era que:
A) El número de puerto era diferente para cada caso.
B) La estructura de datos donde se recibía la información era diferente.
C) En TCP había que arrancar el servicio antes de enviar la petición, mientras que en UDP el
servicio estaba en marcha permanentemente.
D) En UDP había que contemplar el caso un timeout para el caso de que el datagrama no
llegara a su destino. En cambio en TCP la recepción estaba garantizada por el nivel de
transporte.
L.10 En una conexión TCP con sockets el servidor debe seguir los siguientes pasos, en el orden que se
indica:
A) Crear el socket, establecer el número de conexiones en cola. Aceptar recibir conexiones y
bloquearse a la espera de conexiones, recibir del cliente el puerto y dirección donde quiere
conectarse, intercambiar datos, cerrar la conexión y atender otras conexiones.
B) Crear el socket, asociarlo a una dirección y puerto, intercambiar datos, cerrar la conexión y
atender otras conexiones.
C) Crear el socket, asociarlo a una dirección y puerto, establecer el número de conexiones
en cola, aceptar recibir conexiones y bloquearse a la espera de conexiones, intercambiar
datos, cerrar la conexión y atender otras conexiones.
D) Crear el socket, asociarlo a una dirección y puerto, y empezar a intercambiar datos, cerrar la
conexión y atender otras conexiones. El resto de acciones solamente son necesarias en
conexiones UDP.
L.11 ¿Con que comando se podrían averiguar las conexiones establecidas y los puertos que están a la
escucha?
A) ifconfig/all
B) nslookup
C) arp
D) netstat
L.12 Se encuentra en una LAN no conectada al exterior y observa que su máquina está siendo atacada
por otra. Mediante un analizador de protocolos tipo Ethereal analiza las tramas recibidas del
atacante ¿Que información utilizaría para identificar de forma fiable al atacante?
A) La dirección IP de origen
B) La dirección MAC de origen
C) El Ethertype
D) No es posible identificar al atacante de forma fiable utilizando únicamente la trama
recibida
2
L.13 En la ARP cache de un ordenador normalmente se encuentran las direcciones IP de:
A) Todos los ordenadores de la LAN, haya o no intercambiado tráfico con ellos.
B) Solo las de los ordenadores de la LAN con los que ha intercambiado tráfico recientemente
C) Todos los ordenadores de la LAN y la WAN con los que ha intercambiado tráfico
recientemente
D) Las de los ordenadores de la LAN con los que ha intercambiado tráfico recientemente;
si ha intercambiado tráfico con algún ordenador de la WAN también contendrá la del
router.
L.14 El proceso xinetd se encarga de:
A) Mantener la información sobre las conexiones TCP activas (números de secuencia, etc.)
B) Actuar como intermediario, transmitiendo la información enviada por el usuario al proceso
servidor correspondiente, cuando se utiliza la programación basada en sockets
C) Activar el proceso correspondiente a un servicio determinado cuando se necesita, es
decir cuando llega una petición dirigida a ese número de puerto
D) Activar los procesos correspondientes a los servicios activos en el arranque del sistema.
L.15 Suponga que tiene el siguiente fichero hosts.allow:
in telnetd: .uv.es : spawn (/bin/echo “conectado” %h “ a las $(/bin/date)”>> /tmp/fich.txt)
all: all : deny
Esto significa que:
A) El servicio telnet está habilitado para cualquier ordenador.
B) El servicio telnet está totalmente inhabilitado ya que hemos indicado en la segunda fila un
deny para todos los servicios.
C) El servicio telnet está habilitado solo para los ordenadores de la Universidad de Valencia
y además se registrará en un fichero la dirección IP y la hora a la que se ha conectado
cualquier ordenador de mi red local.
D) El servicio telnet está deshabilitado para todos los ordenadores y además se registrará en un
fichero la dirección IP y la hora en que alguien de la Universidad de Valencia intente
conectarse a mi ordenador.
3
EXAMEN DE REDES. FINAL. SEPTIEMBRE 2003
PROBLEMAS
SOLUCIÓN
Problema 1:
Vamos a utilizar para toda la discusión H1, H2, H3 y H4 como representantes de los cuatro grupos de
hosts implicados.
Los requisitos que se plantean son esquemáticamente:
H1 – H3: Inalámbrico
H2 – H4: punto a punto
H1 – H4, H2 – H3: punto a punto
H3 – Internet: punto a punto
H4 – Internet: punto a punto
H1 – H2, H3 – H4: localmente
Dado que la comunicación H1 - H3 se quiere realizar a través del enlace inalámbrico (que actúa como un
puente transparente) vamos a definir una subred común para todos los ordenadores inseguros,
independientemente de la oficina en la que se encuentren. De esta forma la comunicación entre ellos se
hará siempre de manera directa, a través del puente inalámbrico. Sin embargo, aunque será una subred
común mantendremos una distribución de direcciones como si se tratara de dos subredes diferentes, de
forma que podamos dividirla fácilmente cuando nos interese. Haremos además dos subredes con los
ordenadores seguros de cada oficina. La distribución de direcciones quedará pues de la siguiente manera:
Oficina
A
B
A
B
Subred
Insegura
Insegura
Segura
Segura
Subred
200.1.1.0/25
200.1.1.0/25
200.1.1.128/27
200.1.1.160/27
Rango
1-62
65-126
129-158
161-190
Para que la comunicación entre H1-H2 (H3-H4) sea posible y se realice de manera local debemos definir
en la interfaz ethernet del router X dos direcciones IP, una de la subred segura y otra de la subred insegura
(por ejemplo 200.1.1.129/27 y 200.1.1.1/25). El problema que plantea esta configuración es que la
comunicación H2-H3 se realizará a través del enlace inalámbrico, lo cual va en contra de lo planteado.
Para evitarlo haremos un pequeño truco, que consiste en asignar a X una máscara de 26 bits, de forma que
solo pueda ver a los hosts de la subred insegura que están en su oficina. De este modo cuando X quiera
comunicar con H3 lo hará a través de la ruta existente, que encamina el tráfico por el enlace punto a
punto.
La siguiente configuración cumple todos los requisitos planteados:
1
Host inseguro
IP: 200.1.1.2-62/25
Router: 200.1.1.1
Oficina A
H2
H1
Host inseguro
IP: 200.1.1.66-126/25
Router: 200.1.1.65
200.1.1.1/26
200.1.1.129/27
200.1.1.253/30
A 200.1.1.0/24 por 200.1.1.254
A 0.0.0.0/0 por 130.206.1.29
Oficina B
200.1.1.65/26
200.1.1.161/27
200.1.1.254/30
X
Host seguro
IP: 200.1.1.130-158/27
Router: 200.1.1.129
H3
Enlace LAN inalámbrico
H4
Y
130.206.1.30/30
130.206.1.29/30
Host seguro
IP: 200.1.1.162-190/27
Router: 200.1.1.161
Internet
A 0.0.0.0/0 por 200.1.1.253
H1-H3: Inalámbrico
H2-H4, H2-H3, H1-H4: punto a punto
En principio el router X debería tener dos rutas, una para el tráfico dirigido a la subred de H3 (“A
200.1.1.64/26 por 200.1.1.254”) y otra para el tráfico hacia la subred de H4 (“A 200.1.1.160/27 por
200.1.1.254”). Pero dado que ambas rutas son agregables (es decir se pueden expresar mediante una
máscara común, 200.1.1.0/24) y que se encaminan por la misma interfaz, solo es necesario definir una
ruta. Obsérvese que dicha ruta engloba también a las subredes de H1 y H2, pero la posible ambigüedad se
resuelve aplicando la regla de “la máscara más larga primero”
En lo que respecta al router Y solo es necesario definir la ruta por defecto ya que todo el tráfico, excepto
el que corresponde a las dos subredes directamente conectadas, debe encaminarse por el enlace punto a
punto.
La comunicación local entre equipos de las dos subredes de una misma oficina se realiza gracias a las dos
direcciones IP asignadas a la interfaz Ethernet del router. Dicha comunicación se realizará de forma
directa, excepto el primer paquete que se enviará al router, que responderá con un ICMP redirect al host
para indicarle que incluya una ruta directa hacia ese destino. Se podría conseguir una comunicación aún
más directa (desde el primer paquete) poniendo la ruta explícita en la configuración de cada host, por
ejemplo en H1 poner “A 200.1.1.128/27 por 200.1.1.1” y en H2 poner “A 200.1.1.0/26 por 200.1.1.129”.
Una vez resuelto el problema del enunciado vamos a plantearnos como ejercicio adicional la solución del
mismo problema, pero cumpliendo ahora con los siguientes requisitos:

El enlace punto a punto solo se debe utilizar para la comunicación segura (H2-H4)

Cualquier otra comunicación entre las oficinas (H2-H3, H1-H4, H1-H3, H3-Internet, H4Internet) debe efectuarse a través del enlace inalámbrico
De nuevo, para que la comunicación H1-H3 se realice por el enlace inalámbrico debemos crear una
subred común entre H1 y H3 (200.1.1.0/25) a fin de que dicha comunicación no pase por el router. A
continuación definiremos en X e Y una ruta para asegurar que el tráfico H2-H4 discurra por el enlace
punto a punto. Para que la comunicación H2->H3 (H4->H1) se haga a través del enlace inalámbrico
definimos una ruta (en este caso la ruta por defecto) que vaya por dicho enlace. El problema que nos
queda por resolver es como evitar que el tráfico H3->H2 (H1->H4) se envíe por el enlace punto a punto,
ya que si este tráfico llega al router este utilizará la ruta definida, independientemente del origen de los
paquetes. Para resolver este problema es necesario introducir rutas host en H1 y H3.
El siguiente esquema muestra una posible configuración que cumple con los requisitos planteados:
2
Host inseguro
IP: 200.1.1.2-62/25
A 200.1.1.160/27 por 200.1.1.65
Router: 200.1.1.1
Oficina A
H2
H1
Host inseguro
IP: 200.1.1.66-126/25
A 200.1.1.128/27 por 200.1.1.1
Router: 200.1.1.65
H3
Enlace LAN inalámbrico
200.1.1.1/25
200.1.1.129/27
200.1.1.253/30
Host seguro
IP: 200.1.1.130-158/27
Router: 200.1.1.129
A 200.1.1.160/27 por 200.1.1.254
A 0.0.0.0/0 por 130.206.1.29
200.1.1.65/25
200.1.1.161/27
200.1.1.254/30
X
Oficina B
H4
Y
130.206.1.30/30
130.206.1.29/30
Host seguro
IP: 200.1.1.162-190/27
Router: 200.1.1.161
Internet
A 200.1.1.128/27 por 200.1.1.253
A 0.0.0.0/0 por 200.1.1.1
H2-H4: punto a punto
H1-H3, H2-H3, H1-H4: enlace inalámbrico
Obsérvese que en este caso la visión que tienen los routers X e Y de la subred de H1-H3 es la misma que
la que tienen los hosts, es decir máscara de 25 bits.
3
Problema 2:
Al tratarse de una sesión TCP se aplica la limitación impuesta por el tamaño de ventana de TCP. Como se
nos dice que no se soporta factor de escala el tamaño de ventana puede valer como máximo 65535 bytes,
que equivalen a 524280 bits.
De la fórmula:
Ancho_de_Banda * Round_Trip_Time = Tamaño_de_ventana
Despejamos el ancho de banda y obtenemos:
Ancho_de_Banda = Tamaño_de_ventana / Round_Trip_Time
Que aplicándola a los valores del enunciado nos da:
Ancho de banda = 524.280 / 0,48 = 1.092,25 Kb/s
Así pues el rendimiento máximo que podremos obtener es de 1,09 Mb/s.
En el caso de mantener varias sesiones FTP en paralelo el rendimiento máximo sería de 1,09 Mb/s por
sesión, ya que cada sesión corresponde a una conexión TCP diferente que lleva de forma independiente
los contadores de datos transmitidos.
4
Problema 3:
1.
Suponga que tanto el banco como el usuario conocen TODAS las claves públicas. Indique las
operaciones a realizar para que el usuario U envíe “oper.x” de forma cifrada al banco B y además,
permita asegurar a B que lo manda U
Gráfico:
Paso 1: EB(Du(oper.x))
Usuario U
Banco B
Explicación:
Paso 1: utilizando la clave pública de B, mando la información cifrada, de forma que
sólo puede leerla B con su clave privada, pero además firmada con la clave privada de
U, con lo cual B puede descifrar utilizando la clave pública de U.
2.
Especifique con el mínimo número de mensajes intercambiados, la forma de enviar desde el usuario
U al banco B el texto “P”, de forma que permita en B verificar dicho documento, tanto su integridad
como quien lo manda, es decir una firma digital. La información intercambiada ha de ir de forma
cerrada y suponga que tanto el banco como el usuario conocen TODAS las claves públicas.
Gráfico:
Paso 1: Eb(U, P, Du(MD5(P)))
Usuario U
Banco B
Explicación:
De forma cerrada cifrando con la clave pública de B, el usuario U envía su identidad, el
texto y firmado con su clave privada, el compendio de P, de forma que el banco pueda
comprobar que realmente esto lo firma U.
3.
De la siguiente figura, captura de pantalla visualizando la configuración de un certificado enviado a
“www2.bancopopular.es” y emitido por Verisign, utilizado en un navegador en conexión segura, y
suponiendo valores por defecto, especifique:
a.- formato de certificado utilizado:
X509.v3
b.- librerías utilizadas para gestionar el envío de certificados:
SSL o TSL, no disponemos de mayor información
c.- puerto utilizado en la conexión al servicio:
por defecto el 443 para las conexiones https
d.- ¿en el campo huella digital, qué información se incluye?
Un compendio del mensaje cifrado con la clave privada de la autoridad de certificación
5
4.
Especifique con el mínimo número de mensajes intercambiados, la forma de enviar “oper.x” desde el
banco B al usuario U, de forma que B pueda identificarse y la información viaje protegida por la red
entre ambos y además permita comprobar la integridad de lo enviado. Suponga que tanto el banco
como el usuario conocen TODAS las claves públicas.
Gráfico:
Paso 1: Eu(B, oper.x , Db(MD5(oper.x)))
Usuario U
Banco B
Explicación:
Utilizando la clave pública del usuario U, el banco B manda la información cifrando
con su clave privada, de forma que al usuario U le queda claro que esto sólo lo podría
haber mandado B si firma el compendio con su clave privada.
5.
En el caso que ni el banco ni el usuario se conocieran entre ellos sus respectivas claves públicas,
se optaría por implantar una PKI para poder firmar las claves con las identidades. Especifique la
infraestructura necesaria, para poder emitir y gestionar los certificados, indicando cada uno de
los elementos que forman dicha infraestructura (incluyendo los propios certificados y detalle de
su contenido) y la funcionalidad que tienen.
La PKI requiere de una autoridad de certificación, que es una institución fiable que
se encarga de firmar digitalmente los certificados que ella emite. El proceso de
certificación, se lleva a cabo a través de las autoridades de registro, que comprueban
fehacientemente la identidad de quien dice ser, pero de forma física. Todo esto, queda
reflejado en el certificado una vez emitido con el siguiente formato:
Certificado= {Id, Eid(),Dca (MD5(Id, Eid()))}
Es decir, el certificado incluye la identidad y la clave pública de dicha identidad, y
además lo certifica la Autoridad CA firmando con su clave privada, el compendio de
ambas informaciones.
Además, las PKI con sus CA, gestionan los CRL (lista de certificados revocados) que
indica la validez de cada certificado, si es vigente o no.
Por otro lado, la propia CA certifica sus propias claves públicas, lo que se llaman
certificados raíz, que descargarán los navegadores para poder gestionar los métodos
de seguridad.
6.
Suponga que el usuario U necesita acudir a la autoridad de certificación CA para solicitar el
certificado del banco B (“certificado B”). ¿Qué operaciones realizaría el usuario U con la
autoridad CA para obtener dicho certificado? Suponga que CA ha certificado a todos los
usuarios U y el banco B. Además se pide, que toda la información intercambiada vaya abierta y
permita autenticar quien la envía. Suponga que tanto el banco como el usuario conocen la clave
pública de CA, ECA(). Utilice el mínimo número de mensajes posibles.
Gráfico:
Paso 1: Du(¿certificado de B?)
Usuario U
Certificación
Autoridad
Paso 2: Dca(“certificado B”)
Explicación:
6
Paso 1: se manda de forma cifrada utilizando la clave privada de quien envía, el
usuario U, pidiendo la solicitud del certificado de B.
Paso 2: la autoridad de certificación responde con el “certificado de B”, utilizando
para ello su clave privada de CA.
7
Documentos relacionados
Descargar