EXAMEN DE REDES. FINAL. SEPTIEMBRE 2003 TEORÍA SOLUCIÓN 1.1 Los puentes que funcionan según el estándar IEEE 802.1D se denominan transparentes porque: A) Permiten conectar entre sí redes del mismo tipo (por ejemplo 802.3-802.3, 802.5-802.5, etc.) pero no redes diferentes (802.3-802.5 por ejemplo) B) No necesitan conocer previamente los equipos que se conectan a ellos, sino que los descubren de forma automática. C) Pueden funcionar sin necesidad de modificar la estructura de la trama MAC, ni el software de las estaciones de la red. D) No filtran el tráfico broadcast/multicast. 1.2 ¿Cual de las siguientes condiciones permitiría transmitir tramas de varias VLANs simultáneamente por un mismo enlace físico entre dos conmutadores?: A) Que la velocidad de las interfaces interconectadas sea de 100 Mb/s o superior B) Que los dos conmutadores marquen las tramas con etiquetas 802.1Q C) Que los dos conmutadores soporten spanning tree y que esté habilitado en esas interfaces D) Que las interfaces interconectadas operen en modo full dúplex 1.3 ¿Cual de las siguientes afirmaciones es cierta referida a la transmisión full duplex en Ethernet?: A) Requiere desactivar CSMA/CD, el protocolo MAC característico de Ethernet B) Permite enviar tramas menores de 64 bytes C) Solo puede utilizarse en enlaces de fibra óptica D) Ninguna de las anteriores 1.4 Se tienen varias LANs conmutadas y se quiere dividir una de ellas en VLANs. ¿Cual de los siguientes criterios sería el más adecuado para decidir cual de ellas debe dividirse?: A) La que tenga mayor cantidad de tráfico total, medido en Mbits/s B) La que tenga mayor cantidad de tráfico total, medido en tramas/s C) La que tenga mayor cantidad de trafico broadcast, medido en Mbits/s D) La que tenga mayor cantidad de tráfico broadcast, medido en tramas/s 1.5 Cual de las siguientes afirmaciones es cierta referida a los routers: A) Modifican las direcciones de enlace pero mantienen inalteradas las direcciones de red del paquete que enrutan. B) Modifican las direcciones de red pero mantienen inalteradas las de enlace C) Modifican tanto las direcciones de enlace como las de red D) No modifican ninguna dirección. 1.6 El tiempo de servicio para paquetes de 800 bytes en un enlace de 64 Kb/s que no tiene carga (0 bits/s de tráfico) es: A) 0 ms. B) 10 ms. C) 100 ms D) 100 ms + x, donde x es una cantidad que depende del retardo del enlace 1.7 La longitud de la cabecera IPv4 de un datagrama es: A) Siempre de 20 bytes. B) Puede ser de 20, 40 o 60 bytes. C) Puede ser cualquier valor múltiplo de 2 entre 20 y 60 bytes. D) Puede ser cualquier valor múltiplo de 4 entre 20 y 60 bytes 1.8 ¿Cual de las siguientes direcciones de red sólo es válida si se utiliza CIDR?: A) 192.168.0.0/24 B) 192.168.0.0/16 1 C) 142.16.0.0/24 D) Todas las anteriores son válidas 1.9 La asignación de direcciones IP se realiza siguiendo una estructura jerárquica en la que el nivel más alto lo desempeñan: A) Los ISP (Internet Service Provider) y los RIR (Regional Internet Registry) B) Los ISP únicamente C) Los RIR únicamente D) Los RIR y los ISP de ámbito internacional 1.10 ¿Qué mensaje ICMP se envía al emisor cuando un datagrama IP no cabe en la MTU de la red de destino y no puede ser fragmentado?: A) Source Quench B) Destination Unreachable C) Redirect D) No se envía ningún mensaje ICMP 1.11 La función que realiza el protocolo RARP es: A) Permite averiguar la dirección de red a partir de la dirección de enlace. No puede atravesar routers. B) Permite averiguar la dirección de enlace a partir de la dirección de red. No puede atravesar routers C) Permite averiguar la dirección de red a partir de la dirección de enlace. Puede atravesar routers D) Permite averiguar la dirección de enlace a partir de la dirección de red. Puede atravesar routers 1.12 ¿Cual de los siguientes protocolos de routing tiene un diseño más sencillo?: A) IS-IS B) IGRP C) PNNI D) RIP 1.13 Cual(es) de las siguientes condiciones debe darse en una organización cconectada a dos ISPs diferentes (organización multihomed) para que se pueda balancear el tráfico entre ambas conexiones y que en caso de fallo de una se reencamine todo el tráfico de forma automática por la otra conexión: A) Tener un rango de direcciones IP propio y un sistema autónomo propio. B) Tener un rango de direcciones IP de cada ISP y un sistema autónomo propio C) Tener un rango de direcciones IP propio (no asignado por ninguno de los ISPs). No hace falta disponer de un sistema autónomo propio. D) Tener dos rangos de direcciones IP, uno de cada ISP. No hace falta disponer de un sistema autónomo propio. 1.14 ¿Cuál de las siguientes no sería una dirección válida en IPv6?: A) ::17.234.76.0 B) 8000::1B9E C) 8000::56FA::FE12 D) 8000:0000:0000:AF34:EDBA:76F8:89AB:12EF 1.15 Diga cual de las siguientes afirmaciones es cierta referida al valor del campo DLCI de Frame Relay: A) Si dos VCs diferentes pasan por un mismo enlace de la red necesariamente han de tener asignados DLCIs diferentes. B) El DLCI de una trama Frame Relay puede ser modificando en cada conmutador por el que pasa C) Los DLCIs asignados a un VC se establecen en el momento de crearlo y se mantienen inalterados durante la vida del VC D) Todas las anteriores son ciertas 2 1.16 Se tiene un router conectado a una red Frame Relay mediante un acceso físico de 1984 Kb/s. Se define un único PVC con un CIR de 1024 Kb/s en cada sentido. No se conoce el EIR pero se sabe que Be = 0. Diga cual de las siguientes afirmaciones es cierta referida al conmutador que conecta dicho router a la red: A) Nunca marca el bit DE ni descarta ninguna trama. B) Nunca marca el bit DE, pero puede descartar tramas C) Puede marcar el bit DE, pero no descarta ninguna trama. D) Puede marcar el bit DE y puede descartar tramas. 1.17 ¿Cuál sería la consecuencia de suprimir el campo HEC (Header Error Check) en las celdas ATM?: A) Ocasionalmente se podrían producir errores que afectarían a la parte de carga útil y que pasarían desapercibidos. B) Ocasionalmente se podrían producir errores que afectarían a la parte de carga útil, pero serían detectados por el nivel de transporte (TCP por ejemplo). El rendimiento sería menor pero no habría riesgo de dar por válida información errónea. C) Ocasionalmente se podrían producir errores que provocarían el envío de las celdas por VCs equivocados o su descarte al no poder ser enviadas. D) B y C son ciertas 1.18 En una red ATM se quieren constituir dos circuitos, uno permanente y uno conmutado, entre dos hosts A y B. Los dos circuitos siguen la misma ruta. Diga que condición ha de darse para que esto sea posible: A) En cada enlace los dos circuitos han de tener un valor diferente de VCI. El valor de VPI es irrelevante. B) En cada enlace los dos circuitos han de tener un valor diferente de VCI o VPI C) En cada enlace los dos circuitos han de tener un valor diferente de VCI y VPI D) Los valores de VCI y VPI pueden coincidir ambos al ser circuitos de diferente tipo 1.19 Un operador quiere ofrecer un servicio de transporte de datos a través de una red ATM de acuerdo con las categorías de servicio habituales. Si las tarifas se diseñan de forma proporcional a los recursos utilizados, ¿a que categoría de servicio se le debería aplicar la tarifa más cara por Mb/s de capacidad máxima utilizable, no necesariamente garantizada?: A) CBR B) VBR C) ABR D) UBR 1.20 Cuando en una red ATM con PNNI se configuran niveles jerárquicos los conmutadores se agrupan en: A) Áreas B) Comunidades C) Sistemas autónomos D) Grupos pares o ‘Peer groups’ 1.21 El protocolo de transporte más adecuado para un servicio orientado a conexión de tiempo real y caudal constante (por ejemplo para la interconexión de centralitas telefónicas con emulación de circuitos) es: A) AAL1 B) AAL2 C) AAL3/4 D) AAL5 1.22 El organismo que desarrolla la mayor parte de la actividad técnica relacionada con Internet, constituyendo para ello diversos grupos de trabajo, es: A) La ISOC (Internet Society) B) El IRTF (Internet Research Task Force) C) El IETF (Internet Engineering Task Force) D) El IAB (Internet Architecture Board) 3 1.23 ¿Cual de los flags de TCP se utiliza cuando se producen situaciones inesperadas en los valores del número de secuencia o del ACK de una conexión TCP?: A) SYN B) ACK C) FIN D) RST 1.24 Un datagrama IP de 100 bytes de longitud total, que contiene un segmento TCP, es enviado por Internet y llega a su destino . En la memoria de un router intermedio se produjo un error que alteró la información contenida en el décimo byte del datagrama. Este error será detectado gracias a: A) El CRC a nivel de enlace. B) El checksum a nivel IP. C) El checksum a nivel TCP. D) Todos los anteriores. 1.25 En una conexión TCP entre dos hosts, A y B, A envía a B un segmento con SEQ=100, ACK=200 que contiene 100 bytes de datos (sin contar la cabecera TCP). El segmento no tiene puesto el bit SYN. A continuación B le responde a A con otro segmento. ¿Que valor tendrá en dicho segmento el campo SEQ?: A) 101 B) 200 C) 201 D) 301 1.26 El proceso por el cual el TCP emisor intenta enviar segmentos grandes reteniendo los datos recibidos de la aplicación hasta que le llega del receptor el ACK correspondiente al segmento enviado anteriormente se conoce como: A) Slow start. B) Algoritmo de Nagle. C) Síndrome de la ventana tonta. D) Timer de keepalive. 1.27 ¿Qué campos de la cabecera se modifican normalmente cuando un paquete IP sale de una Intranet hacia el exterior atravesando un NAPT estático?: A) Dirección IP y puerto de origen B) Dirección IP y puerto de destino C) Direcciones IP y puertos de origen y destino D) Direcciones IP de origen y destino 1.28 Si en un cortafuegos, queremos permitir sólo el acceso al servidor de FTP, ¿qué puerto habilitaremos? A) 25 B) 80 C) 137 D) 20 y 21 1.29 ¿Cómo se llama el método de consulta en los DNS, cuando se exige una respuesta al cliente? A) Recursiva B) Iterativa C) Inversa D) Ninguna de las anteriores 1.30 ¿Qué comando se utiliza en las recientes distribuciones de Linux para realizar una consulta al DNS? A) Tracert B) Querynet C) Host y dig D) Ninguno de las anteriores 4 1.31 En el caso de suplantación de IP en un robo de conexión TCP, para evitar que responda la máquina suplantada, ¿que acción debería realizar el atacante? A) Duplicar su IP B) Instalar un analizador de protocolos C) Modificar la tabla ARP del atacado D) Realizar un ataque DoS 1.32 ¿Qué tipo de registro especifica intercambiadores de correo en un DNS? A) WKS B) MX C) PTR D) NS 1.33 ¿Qué nombre recibe el ataque de robo de sesión? A) Denegación de servicio B) Ingeniería social C) Hijacking D) Spoofing 1.34 ¿Qué método es utilizado para realizar compendios? A) RSA B) MD5 C) SSH D) SET 1.35 ¿Qué método es utilizado para evitar el no repudio? A) Utilizar una firma digital B) Realizar compendios C) Realizar copias de seguridad D) Quedarse copia de lo enviado 1.36 MIME o extensiones multipropósito de correo son: A) Un nuevo formato de mensaje, que sustituye a RFC822 B) No es un estándar C) Es un formato para correo seguro D) Ninguna de las anteriores 5 Pregunta 2.1: El tráfico unicast es de 900 Kb/s.. La mitad de este tráfico (450 Kb/s) corresponde al servidor y la otra mitad a los clientes. Por tanto cada cliente genera 90 Kb/s y el servidor envía 90 Kb/s de tráfico unicast a cada cliente. En cuanto al tráfico broadcast se genera únicamente en los clientes; como sabemos que hay 100 Kb/s en total cada uno genera 20 Kb/s. Por tanto por el puerto servidor (1) le entran al conmutador 450 Kb/s de tráfico, mientras que por cada uno de los puertos clientes (2-6) entran 110 Kb/s, 90 de tráfico unicast y 20 de broadcast). El tráfico saliente por el puerto servidor es de 550 Kb/s, que corresponde a los 450 Kb/s de tráfico unicast generados por los clientes (todo el tráfico unicast que generan va dirigido al servidor) mas los 100 Kb/s de tráfico broadcast que generan. El tráfico saliente por cada uno de los puertos clientes (2-6) es de 170 Kb/s, 90 de tráfico unicast enviado pro el servidor y 80 de tráfico broadcast de los otros cuatro servidores (ya que el conmutador no le envía a cada cliente el tráfico broadcast que ha recibido de él). La tabla queda pues como sigue: Interfaz 1 (servidor) 2 3 4 5 6 Tráfico entrante 450 Kb/s 110 Kb/s 110 Kb/s 110 Kb/s 110 Kb/s 110 Kb/s Tráfico saliente 550 Kb/s 170 Kb/s 170 Kb/s 170 Kb/s 170 Kb/s 170 Kb/s Como puede verse el tráfico total (entrante+saliente) en el puerto del servidor es de 1 Mb/s, es decir tiene la misma carga que la red original basada en el hub. Solo en el caso de configurar este enlace como full dúplex se conseguiría una mejora de prestaciones respecto a la red anterior. Al margen de las consideraciones de rendimiento cabe comentar que el uso de un conmutador mejoraría la seguridad, ya que el tráfico de cada cliente se mantendría localizado sin propagarse por toda la red, como sucede en el caso de un hub. 6 Pregunta 2.2: En el conmutador X se han de configurar los tres PVCs. Los PVCs deben ser bidireccionales, por lo que cada uno tendrá dos entradas en la tabla. Puerto de entrada 1 2 1 3 2 3 VPI 1 1 1 1 1 1 VCI 12 21 13 31 23 32 Puerto de salida 2 1 3 1 3 2 VPI 1 1 1 1 1 1 VCI 21 12 31 13 32 23 Las primeras dos entradas corresponden al PVC R1-R2; las dos siguientes al R1-R3 y las dos últimas al R2-R3 En Y se han de configurar dos PVCs, los de R1 con R3 y los de R2 con R3. En este caso no se modifican los números de VCI pues los cambios correspondientes ya se realizaron en X: Puerto de entrada 1 2 1 2 VPI 1 1 1 1 VCI 31 31 32 32 Puerto de salida 2 1 2 1 VPI 1 1 1 1 VCI 31 31 32 32 7 Pregunta 2.3: 1.- ¿Qué nombres absolutos son válidos según la información obtenida para identificar a 147.156.16.46? sweb.informat.uv.es. informatica.uv.es. sweb.uv.es. 2.- ¿Cómo se llama la máquina que hace de servidor DNS primario del dominio “uv.es”? En el caso de detectar alguna incoherencia en la información del DNS, ¿a quién se dirigiría? De la línea: “uv.es. SOA gong.ci.uv.es root.gong.ci.uv.es” se obtiene que el, DNS primario lo gestiona “gong.ci.uv.es” y para avisar de la incoherencia, se mandaría un email a root@gong.ci.uv.es 3.- En el caso, que el servidor externo tratara de entregar al puesto 25 un correo, enviando el comando“EHLO” y contestara “500 sintaxis error”, ¿a qué puede ser debido dicha contestación? Que el servidor SMTP ejecuta la versión SMTP y no la ESMTP, es decir SMTP extendido. 4.- En el supuesto que 147.156.16.46 aceptara intercambiadores de correo y estuviera apagada en el momento de la conexión del servidor externo, ¿qué IP recibiría el correo? 147.156.1.90, tras analizar las siguientes líneas del DNS sweb.informat postin MX A 20 postin.uv.es. 147.156.1.90 5.- En el supuesto anterior del punto 3, ¿el usuario debería tener buzón en dicho servidor? Explique por qué. No, porque los intercambiadores de correo, son características de los servidores para aceptar correo dirigido a otro servidor y no afecta a la gestión de cuentas de usuarios. Si el servidor caído, no tiene cuenta de dicho usuario, será él, el encargado de rechazar dicho correo cuando reciba finalmente los correos. 8 EXAMEN DE REDES. FINAL. SEPTIEMBRE 2003 LABORATORIO SOLUCIÓN L.1 Tenemos un conjunto de ordenadores conectados a un hub y sustituimos el hub por un conmutador configurado en una única VLAN. Diga cual de las siguientes afirmaciones es correcta en ese caso: A) Se ha reducido el tamaño de los dominios de colisiones, pero todos los ordenadores están en el mismo dominio de broadcast. B) Tanto los dominios de colisiones como los de broadcast son ahora más pequeños. C) Los dominios de broadcast son ahora más pequeños, pero no se ha modificado el dominio de colisiones. D) No se ha modificado ni el dominio de broadcast ni el de colisiones. L.2 En la práctica de conmutadores LAN la primera vez que se accedía al conmutador se tenía que utilizar el puerto de consola y no podía usarse el Telnet. Esto se debe a que: A) Inicialmente no conozco la password de telnet. B) El conmutador no tenía configurada ninguna dirección IP. C) El conmutador tiene una dirección IP, pero falta asignarle una máscara adecuada D) El conmutador no tiene activada inicialmente la gestión SNMP. L.3 En la práctica de conmutadores LAN (primera sesión, sin VLANs) se conectan inicialmente cuatro ordenadores a un conmutador que tiene la configuración de fábrica. Para que sea posible la comunicación entre los ordenadores es preciso: A) Asignarles direcciones IP y máscaras adecuadas a los ordenadores. B) Asignarles direcciones IP y máscaras adecuadas a los ordenadores y al conmutador C) Asignarles direcciones IP y máscaras adecuadas a los ordenadores, conectar y configurar un router que los comunique. D) Asignarles direcciones IP y máscaras adecuadas a los ordenadores y al conmutador, y conectar y configurar un router que los comunique. L.4 El protocolo spanning tree, que sirve para evitar el bloqueo de la red por la creación de bucles: A) Genera tráfico de forma regular por todas sus interfaces activas, aun cuando no haya bucles ni tráfico de los hosts. B) Solo genera tráfico si los hosts generan tráfico, aunque no haya bucles. C) Solo genera tráfico si hay bucles en la topología, aun cuando los hosts no generen tráfico. D) Solo genera tráfico si hay bucle sen la topología y además los hosts generan tráfico. L.5 Se tienen dos conmutadores, cada uno con 12 puertos 10BASE-T (1-12) y uno 100BASE-T (puerto 13). Ambos tienen configuradas dos VLANs y asignados los puertos 1-6 a una y los 7-12 a la otra. El puerto 13 (100BASE-T) está configurado como ‘trunk’. El spanning tree está activado en todos los puertos de ambos conmutadores. Inicialmente los conmutadores se conectan por el puerto 1, pero mas tarde se conectan también por el puerto 13. ¿En que estado quedan los puertos cuando se realiza esta segunda conexión?: A) El puerto 13 se pone en estado ‘blocked’ en ambos conmutadores. El tráfico sigue yendo por el enlace del puerto 1 B) El puerto 13 se pone en estado ‘blocked’ en uno de los conmutadores solamente. El tráfico sigue yendo igualmente por el enlace del puerto 1 C) El puerto 13 se pone en estado ‘forwarding’ en ambos conmutadores y el 1 se pone en estado ‘blocked’ en ambos. El tráfico discurre por el enlace del puerto 13 D) El puerto 13 se pone en estado ‘forwarding’ en ambos y el 1 se pone en estado ‘blocked’ en uno de los conmutadores solamente. El tráfico discurre por el enlace del puerto 13 L.6 Diga cual de las siguientes afirmaciones es cierta referida al routing estático: A) Sólo es posible cuando la red física no tiene bucles, es decir cuando no existe mas que un camino posible entre dos puntos cualesquiera de la red B) Es más sencillo de configurar que el routing dinámico, pues solo es necesario indicar las redes directamente conectadas 1 C) Tiene menor overhead que el routing dinámico pues no require el intercambio regular de información ni el cálculo de las rutas óptimas D) Ninguna de las anteriores L.7 El comando ‘show ip route’ sirve para: A) Averiguar las rutas estáticas definidas. B) Averiguar las rutas aprendidas por los diferentes protocolos de routing C) Averiguar las redes directamente conectadas D) Todas las anteriores. L.8 La forma de configurar routing dinámico en una red es: A) Declarar todas las redes existentes únicamente en el router raíz (el de identificador más bajo). De ahí se propaga la información al resto de la red. B) Declarar todas las redes existentes en todos los routers. C) Declarar en cada router las redes que tiene directamente conectadas para que las anuncie al resto de los routers. D) No es necesario declarar ninguna red; cada router anuncia automáticamente al resto las redes que tiene directamente conectadas. L.9 Desde el punto de vista de la programación de sockets la principal diferencia entre el uso de UDP y de TCP en la práctica de programación de un cliente en sockets para acceder al servicio daytime era que: A) El número de puerto era diferente para cada caso. B) La estructura de datos donde se recibía la información era diferente. C) En TCP había que arrancar el servicio antes de enviar la petición, mientras que en UDP el servicio estaba en marcha permanentemente. D) En UDP había que contemplar el caso un timeout para el caso de que el datagrama no llegara a su destino. En cambio en TCP la recepción estaba garantizada por el nivel de transporte. L.10 En una conexión TCP con sockets el servidor debe seguir los siguientes pasos, en el orden que se indica: A) Crear el socket, establecer el número de conexiones en cola. Aceptar recibir conexiones y bloquearse a la espera de conexiones, recibir del cliente el puerto y dirección donde quiere conectarse, intercambiar datos, cerrar la conexión y atender otras conexiones. B) Crear el socket, asociarlo a una dirección y puerto, intercambiar datos, cerrar la conexión y atender otras conexiones. C) Crear el socket, asociarlo a una dirección y puerto, establecer el número de conexiones en cola, aceptar recibir conexiones y bloquearse a la espera de conexiones, intercambiar datos, cerrar la conexión y atender otras conexiones. D) Crear el socket, asociarlo a una dirección y puerto, y empezar a intercambiar datos, cerrar la conexión y atender otras conexiones. El resto de acciones solamente son necesarias en conexiones UDP. L.11 ¿Con que comando se podrían averiguar las conexiones establecidas y los puertos que están a la escucha? A) ifconfig/all B) nslookup C) arp D) netstat L.12 Se encuentra en una LAN no conectada al exterior y observa que su máquina está siendo atacada por otra. Mediante un analizador de protocolos tipo Ethereal analiza las tramas recibidas del atacante ¿Que información utilizaría para identificar de forma fiable al atacante? A) La dirección IP de origen B) La dirección MAC de origen C) El Ethertype D) No es posible identificar al atacante de forma fiable utilizando únicamente la trama recibida 2 L.13 En la ARP cache de un ordenador normalmente se encuentran las direcciones IP de: A) Todos los ordenadores de la LAN, haya o no intercambiado tráfico con ellos. B) Solo las de los ordenadores de la LAN con los que ha intercambiado tráfico recientemente C) Todos los ordenadores de la LAN y la WAN con los que ha intercambiado tráfico recientemente D) Las de los ordenadores de la LAN con los que ha intercambiado tráfico recientemente; si ha intercambiado tráfico con algún ordenador de la WAN también contendrá la del router. L.14 El proceso xinetd se encarga de: A) Mantener la información sobre las conexiones TCP activas (números de secuencia, etc.) B) Actuar como intermediario, transmitiendo la información enviada por el usuario al proceso servidor correspondiente, cuando se utiliza la programación basada en sockets C) Activar el proceso correspondiente a un servicio determinado cuando se necesita, es decir cuando llega una petición dirigida a ese número de puerto D) Activar los procesos correspondientes a los servicios activos en el arranque del sistema. L.15 Suponga que tiene el siguiente fichero hosts.allow: in telnetd: .uv.es : spawn (/bin/echo “conectado” %h “ a las $(/bin/date)”>> /tmp/fich.txt) all: all : deny Esto significa que: A) El servicio telnet está habilitado para cualquier ordenador. B) El servicio telnet está totalmente inhabilitado ya que hemos indicado en la segunda fila un deny para todos los servicios. C) El servicio telnet está habilitado solo para los ordenadores de la Universidad de Valencia y además se registrará en un fichero la dirección IP y la hora a la que se ha conectado cualquier ordenador de mi red local. D) El servicio telnet está deshabilitado para todos los ordenadores y además se registrará en un fichero la dirección IP y la hora en que alguien de la Universidad de Valencia intente conectarse a mi ordenador. 3 EXAMEN DE REDES. FINAL. SEPTIEMBRE 2003 PROBLEMAS SOLUCIÓN Problema 1: Vamos a utilizar para toda la discusión H1, H2, H3 y H4 como representantes de los cuatro grupos de hosts implicados. Los requisitos que se plantean son esquemáticamente: H1 – H3: Inalámbrico H2 – H4: punto a punto H1 – H4, H2 – H3: punto a punto H3 – Internet: punto a punto H4 – Internet: punto a punto H1 – H2, H3 – H4: localmente Dado que la comunicación H1 - H3 se quiere realizar a través del enlace inalámbrico (que actúa como un puente transparente) vamos a definir una subred común para todos los ordenadores inseguros, independientemente de la oficina en la que se encuentren. De esta forma la comunicación entre ellos se hará siempre de manera directa, a través del puente inalámbrico. Sin embargo, aunque será una subred común mantendremos una distribución de direcciones como si se tratara de dos subredes diferentes, de forma que podamos dividirla fácilmente cuando nos interese. Haremos además dos subredes con los ordenadores seguros de cada oficina. La distribución de direcciones quedará pues de la siguiente manera: Oficina A B A B Subred Insegura Insegura Segura Segura Subred 200.1.1.0/25 200.1.1.0/25 200.1.1.128/27 200.1.1.160/27 Rango 1-62 65-126 129-158 161-190 Para que la comunicación entre H1-H2 (H3-H4) sea posible y se realice de manera local debemos definir en la interfaz ethernet del router X dos direcciones IP, una de la subred segura y otra de la subred insegura (por ejemplo 200.1.1.129/27 y 200.1.1.1/25). El problema que plantea esta configuración es que la comunicación H2-H3 se realizará a través del enlace inalámbrico, lo cual va en contra de lo planteado. Para evitarlo haremos un pequeño truco, que consiste en asignar a X una máscara de 26 bits, de forma que solo pueda ver a los hosts de la subred insegura que están en su oficina. De este modo cuando X quiera comunicar con H3 lo hará a través de la ruta existente, que encamina el tráfico por el enlace punto a punto. La siguiente configuración cumple todos los requisitos planteados: 1 Host inseguro IP: 200.1.1.2-62/25 Router: 200.1.1.1 Oficina A H2 H1 Host inseguro IP: 200.1.1.66-126/25 Router: 200.1.1.65 200.1.1.1/26 200.1.1.129/27 200.1.1.253/30 A 200.1.1.0/24 por 200.1.1.254 A 0.0.0.0/0 por 130.206.1.29 Oficina B 200.1.1.65/26 200.1.1.161/27 200.1.1.254/30 X Host seguro IP: 200.1.1.130-158/27 Router: 200.1.1.129 H3 Enlace LAN inalámbrico H4 Y 130.206.1.30/30 130.206.1.29/30 Host seguro IP: 200.1.1.162-190/27 Router: 200.1.1.161 Internet A 0.0.0.0/0 por 200.1.1.253 H1-H3: Inalámbrico H2-H4, H2-H3, H1-H4: punto a punto En principio el router X debería tener dos rutas, una para el tráfico dirigido a la subred de H3 (“A 200.1.1.64/26 por 200.1.1.254”) y otra para el tráfico hacia la subred de H4 (“A 200.1.1.160/27 por 200.1.1.254”). Pero dado que ambas rutas son agregables (es decir se pueden expresar mediante una máscara común, 200.1.1.0/24) y que se encaminan por la misma interfaz, solo es necesario definir una ruta. Obsérvese que dicha ruta engloba también a las subredes de H1 y H2, pero la posible ambigüedad se resuelve aplicando la regla de “la máscara más larga primero” En lo que respecta al router Y solo es necesario definir la ruta por defecto ya que todo el tráfico, excepto el que corresponde a las dos subredes directamente conectadas, debe encaminarse por el enlace punto a punto. La comunicación local entre equipos de las dos subredes de una misma oficina se realiza gracias a las dos direcciones IP asignadas a la interfaz Ethernet del router. Dicha comunicación se realizará de forma directa, excepto el primer paquete que se enviará al router, que responderá con un ICMP redirect al host para indicarle que incluya una ruta directa hacia ese destino. Se podría conseguir una comunicación aún más directa (desde el primer paquete) poniendo la ruta explícita en la configuración de cada host, por ejemplo en H1 poner “A 200.1.1.128/27 por 200.1.1.1” y en H2 poner “A 200.1.1.0/26 por 200.1.1.129”. Una vez resuelto el problema del enunciado vamos a plantearnos como ejercicio adicional la solución del mismo problema, pero cumpliendo ahora con los siguientes requisitos: El enlace punto a punto solo se debe utilizar para la comunicación segura (H2-H4) Cualquier otra comunicación entre las oficinas (H2-H3, H1-H4, H1-H3, H3-Internet, H4Internet) debe efectuarse a través del enlace inalámbrico De nuevo, para que la comunicación H1-H3 se realice por el enlace inalámbrico debemos crear una subred común entre H1 y H3 (200.1.1.0/25) a fin de que dicha comunicación no pase por el router. A continuación definiremos en X e Y una ruta para asegurar que el tráfico H2-H4 discurra por el enlace punto a punto. Para que la comunicación H2->H3 (H4->H1) se haga a través del enlace inalámbrico definimos una ruta (en este caso la ruta por defecto) que vaya por dicho enlace. El problema que nos queda por resolver es como evitar que el tráfico H3->H2 (H1->H4) se envíe por el enlace punto a punto, ya que si este tráfico llega al router este utilizará la ruta definida, independientemente del origen de los paquetes. Para resolver este problema es necesario introducir rutas host en H1 y H3. El siguiente esquema muestra una posible configuración que cumple con los requisitos planteados: 2 Host inseguro IP: 200.1.1.2-62/25 A 200.1.1.160/27 por 200.1.1.65 Router: 200.1.1.1 Oficina A H2 H1 Host inseguro IP: 200.1.1.66-126/25 A 200.1.1.128/27 por 200.1.1.1 Router: 200.1.1.65 H3 Enlace LAN inalámbrico 200.1.1.1/25 200.1.1.129/27 200.1.1.253/30 Host seguro IP: 200.1.1.130-158/27 Router: 200.1.1.129 A 200.1.1.160/27 por 200.1.1.254 A 0.0.0.0/0 por 130.206.1.29 200.1.1.65/25 200.1.1.161/27 200.1.1.254/30 X Oficina B H4 Y 130.206.1.30/30 130.206.1.29/30 Host seguro IP: 200.1.1.162-190/27 Router: 200.1.1.161 Internet A 200.1.1.128/27 por 200.1.1.253 A 0.0.0.0/0 por 200.1.1.1 H2-H4: punto a punto H1-H3, H2-H3, H1-H4: enlace inalámbrico Obsérvese que en este caso la visión que tienen los routers X e Y de la subred de H1-H3 es la misma que la que tienen los hosts, es decir máscara de 25 bits. 3 Problema 2: Al tratarse de una sesión TCP se aplica la limitación impuesta por el tamaño de ventana de TCP. Como se nos dice que no se soporta factor de escala el tamaño de ventana puede valer como máximo 65535 bytes, que equivalen a 524280 bits. De la fórmula: Ancho_de_Banda * Round_Trip_Time = Tamaño_de_ventana Despejamos el ancho de banda y obtenemos: Ancho_de_Banda = Tamaño_de_ventana / Round_Trip_Time Que aplicándola a los valores del enunciado nos da: Ancho de banda = 524.280 / 0,48 = 1.092,25 Kb/s Así pues el rendimiento máximo que podremos obtener es de 1,09 Mb/s. En el caso de mantener varias sesiones FTP en paralelo el rendimiento máximo sería de 1,09 Mb/s por sesión, ya que cada sesión corresponde a una conexión TCP diferente que lleva de forma independiente los contadores de datos transmitidos. 4 Problema 3: 1. Suponga que tanto el banco como el usuario conocen TODAS las claves públicas. Indique las operaciones a realizar para que el usuario U envíe “oper.x” de forma cifrada al banco B y además, permita asegurar a B que lo manda U Gráfico: Paso 1: EB(Du(oper.x)) Usuario U Banco B Explicación: Paso 1: utilizando la clave pública de B, mando la información cifrada, de forma que sólo puede leerla B con su clave privada, pero además firmada con la clave privada de U, con lo cual B puede descifrar utilizando la clave pública de U. 2. Especifique con el mínimo número de mensajes intercambiados, la forma de enviar desde el usuario U al banco B el texto “P”, de forma que permita en B verificar dicho documento, tanto su integridad como quien lo manda, es decir una firma digital. La información intercambiada ha de ir de forma cerrada y suponga que tanto el banco como el usuario conocen TODAS las claves públicas. Gráfico: Paso 1: Eb(U, P, Du(MD5(P))) Usuario U Banco B Explicación: De forma cerrada cifrando con la clave pública de B, el usuario U envía su identidad, el texto y firmado con su clave privada, el compendio de P, de forma que el banco pueda comprobar que realmente esto lo firma U. 3. De la siguiente figura, captura de pantalla visualizando la configuración de un certificado enviado a “www2.bancopopular.es” y emitido por Verisign, utilizado en un navegador en conexión segura, y suponiendo valores por defecto, especifique: a.- formato de certificado utilizado: X509.v3 b.- librerías utilizadas para gestionar el envío de certificados: SSL o TSL, no disponemos de mayor información c.- puerto utilizado en la conexión al servicio: por defecto el 443 para las conexiones https d.- ¿en el campo huella digital, qué información se incluye? Un compendio del mensaje cifrado con la clave privada de la autoridad de certificación 5 4. Especifique con el mínimo número de mensajes intercambiados, la forma de enviar “oper.x” desde el banco B al usuario U, de forma que B pueda identificarse y la información viaje protegida por la red entre ambos y además permita comprobar la integridad de lo enviado. Suponga que tanto el banco como el usuario conocen TODAS las claves públicas. Gráfico: Paso 1: Eu(B, oper.x , Db(MD5(oper.x))) Usuario U Banco B Explicación: Utilizando la clave pública del usuario U, el banco B manda la información cifrando con su clave privada, de forma que al usuario U le queda claro que esto sólo lo podría haber mandado B si firma el compendio con su clave privada. 5. En el caso que ni el banco ni el usuario se conocieran entre ellos sus respectivas claves públicas, se optaría por implantar una PKI para poder firmar las claves con las identidades. Especifique la infraestructura necesaria, para poder emitir y gestionar los certificados, indicando cada uno de los elementos que forman dicha infraestructura (incluyendo los propios certificados y detalle de su contenido) y la funcionalidad que tienen. La PKI requiere de una autoridad de certificación, que es una institución fiable que se encarga de firmar digitalmente los certificados que ella emite. El proceso de certificación, se lleva a cabo a través de las autoridades de registro, que comprueban fehacientemente la identidad de quien dice ser, pero de forma física. Todo esto, queda reflejado en el certificado una vez emitido con el siguiente formato: Certificado= {Id, Eid(),Dca (MD5(Id, Eid()))} Es decir, el certificado incluye la identidad y la clave pública de dicha identidad, y además lo certifica la Autoridad CA firmando con su clave privada, el compendio de ambas informaciones. Además, las PKI con sus CA, gestionan los CRL (lista de certificados revocados) que indica la validez de cada certificado, si es vigente o no. Por otro lado, la propia CA certifica sus propias claves públicas, lo que se llaman certificados raíz, que descargarán los navegadores para poder gestionar los métodos de seguridad. 6. Suponga que el usuario U necesita acudir a la autoridad de certificación CA para solicitar el certificado del banco B (“certificado B”). ¿Qué operaciones realizaría el usuario U con la autoridad CA para obtener dicho certificado? Suponga que CA ha certificado a todos los usuarios U y el banco B. Además se pide, que toda la información intercambiada vaya abierta y permita autenticar quien la envía. Suponga que tanto el banco como el usuario conocen la clave pública de CA, ECA(). Utilice el mínimo número de mensajes posibles. Gráfico: Paso 1: Du(¿certificado de B?) Usuario U Certificación Autoridad Paso 2: Dca(“certificado B”) Explicación: 6 Paso 1: se manda de forma cifrada utilizando la clave privada de quien envía, el usuario U, pidiendo la solicitud del certificado de B. Paso 2: la autoridad de certificación responde con el “certificado de B”, utilizando para ello su clave privada de CA. 7