EXAMEN DE REDES. SEGUNDO PARCIAL. JUNIO 2004. SOLUCIN.

TEORA
Las respuestas correctas aparecen en negrita 1.1 Suponga que en un cortafuegos se quiere impedir el establecimiento de conexiones TCP entrantes. En ese caso deber rechazar los segmentos TCP que lleguen del exterior y que tengan los flags siguientes: A) SYN a 1, ACK, RST y FIN a 0 B) SYN y ACK a 1, RST y FIN a 0 C) ACK a 1, SYN, RST y FIN a 0 D) SYN y RST a 1, ACK y FIN a 0 Diga cual de las siguientes afirmaciones es cierta referida a la eleccin del ISN (Initial Sequence Number) en el establecimiento de una conexin de TCP: A) Siempre se utiliza el valor 0 B) Se puede utilizar cualquier valor (entre 0 y 232 - 1), pero cuando dos hosts establecen una conexin han de ponerse de acuerdo y utilizar el mismo ISN C) Cada host elige un ISN propio que utiliza en todas sus conexiones D) Cada host elige el ISN de forma independiente para cada conexin, normalmente siguiendo un algoritmo pseudoaleatorio. Cuando en una conexin TCP el host emisor enva un conjunto de bytes que ya haba sido correctamente recibido por el receptor el resultado es que: A) El receptor descarta los datos y no dice nada B) El receptor descarta los datos y enva el ACK al emisor C) El receptor pasa los datos a la aplicacin y enva el ACK al emisor D) El receptor descarta los datos y enva al emisor un mensaje indicando que se trata de datos duplicados Si en TCP no existiera el mecanismo slow-start la consecuencia sera que: A) No habra control de flujo B) No habra control de congestin C) No se reenviaran los segmentos perdidos por errores del medio fsico D) El campo tamao de ventana en la cabecera TCP tendra siempre el valor mximo y nunca disminuira Cual de las siguientes caractersticas se negocia normalmente al inicio de una conexin TCP? A) El tamao mximo de los segmentos que se van a intercambiar durante la comunicacin B) El tamao mximo de la ventana de congestin que se va a utilizar C) El timeout que se utilizar para decidir cuando un segmento se ha perdido D) El nmero de puerto a travs del cual se quiere establecer la conexin TCP El objetivo del timer de persistencia de TCP es: A) Evitar que se produzcan situaciones de bloqueo debido a la prdida no detectada de mensajes. B) Evitar que se quede una conexin establecida cuando el canal de comunicacin se interrumpe, o bien cuando uno de los hosts la termina anormalmente (conexin medio abierta). C) Asegurar que cualquier conexin TCP genera una cantidad mnima de trfico cada cierto tiempo D) Comprobar que los procesos (del nivel de aplicacin) que comunican a travs de TCP siguen operativos En una red local Ethernet un host est enviando a otro un flujo de datos en forma de datagramas UDP. Debido a un cableado defectuoso algunas tramas llegan con error, por lo que son descartadas por el receptor al comprobar el CRC. Que ocurre en ese caso?: A) El nivel de enlace del receptor (es decir su tarjeta Ethernet) solicita retransmisin de la trama cuando detecta el CRC errneo

1.2

1.3

1.4

1.5

1.6

1.7

B) El nivel IP del receptor solicita retransmisin cuando detecta el datagrama perdido. C) El nivel UDP del receptor solicita retransmisin cuando detecta el datagrama perdido. D) Solo se realiza la retransmisin de los datos perdidos si est contemplado en el protocolo a nivel de aplicacin. En caso contrario el datagrama perdido no se recupera. 1.8 Cual de las siguientes aplicaciones requiere el uso de UDP como protocolo de transporte? A) Transferencia de ficheros B) Transmisiones de vdeo multicast C) Logon remoto D) Pginas Web (HTTP) Se quiere conectar a Internet una LAN en la que hay varios servidores Web, pero solo se dispone para ello de una direccin IP pblica, por lo que es necesario utilizar NAT (o NAPT) en el router. Cual de las siguientes afirmaciones es cierta en ese caso?: A) No es posible. Si solo hay una direccin pblica solo puede haber un servidor Web accesible desde el exterior. B) No hay ningn problema, se puede acceder a todos los servidores por el puerto 80 distinguiendo por el URL C) Se puede hacer, pero solo uno de los servidores puede ser accedido por el puerto 80. El resto de servidores debe estar en puertos no estndar D) Se puede hacer, pero a condicin de que ninguno de los servidores utilice el puerto 80 Cuando se utiliza NAT dinmico en trfico UDP la asociacin de la direccin interna a la externa se termina: A) Cuando se cierra la conexin UDP B) Cuando se supera un tiempo lmite (timeout) sin que haya habido trfico entre las dos direcciones C) Cuando se apaga o reinicia el equipo que realiza el NAT D) El NAT dinmico no permite trfico UDP Diffie Hellman permite: A) Intercambiar una clave asimtrica compartida B) Intercambiar una clave simtrica con autenticacin por ambas partes C) Intercambiar una clave asimtrica con autenticacin por ambas partes D) Intercambiar una clave simtrica compartida La lista de certificados revocados: A) Se utiliza para ver si un certificado es vlido B) Est firmada por la autoridad de certificacin correspondiente C) Recoge aquellos certificados de los cuales ya se haya distribuido la clave privada D) Todas las anteriores AES es un mtodo de cifrado de clave: A) Asimtrica B) Privada o simtrica C) Mixto simtrica/asimtrica D) Todas las anteriores LDAP es un protocolo de capa: A) 3 B) 4 C) 5 D) 7 Los servidores DNS: A) Poseen una IP de la subred en la que se conectan B) Pueden resolver nombres a cualquier host, incluso fuera de su LAN C) Pueden ser secundarios D) Todas las anteriores

1.9

1.10

1.11

1.12

1.13

1.14

1.15

1.16

Las MIB son: A) Parmetros de medicin de instrucciones por segundo en un servidor B) Un conjunto de variables definidas en un dispositivo de red C) La estructura de indexacin de todo tipo de variables existentes D) Ninguna de las anteriores DNS utiliza: A) Conexiones UDP para resolver nombres B) El puerto 25 como identificacin del servicio en el servidor C) Servidores maestros, primarios, secundarios y terciarios D) Cifrado en las conexiones para autenticacin El no repudio supone: A) La identificacin por ambas partes B) La integirdad del docuemnto intercambiado C) La participacin de una autoridad intermediaria para ambas partes D) Todas las anteriores La criptografa asimtrica es, respecto de la simtrica: A) Ms simple B) Ms robusta C) Ms rpida D) Ms moderna y la desplazar definitivamente El servicio SSH establece una conexin al puerto: A) 23 B) 22 C) 21 D) 20 La herramienta TRIPWIRE en un servidor en Internet permite realizar un anlisis de la estructura de ficheros basado en: A) Variacin del tamao total de las particiones del servidor B) Usuarios conectados al servidor C) Fichero de logs del sistema D) Compendios La herramienta TCPWRAPPERS se clasifica como: A) Proxy de aplicacin B) Cortafuegos C) Superservidor, de la misma categora que Inetd D) Servidor de conexiones TCP En que se basa la tcnica de robo de conexin o hijacking? A) En utilizar la contrasea de otro usuario B) En anticiparse en la respuesta dentro de una conexin TCP establecida C) En utilizar el login de otro usuario e intentar adivinar la contrasea D) En dejar fuera de servicio un puerto Cmo se llama el proceso de configuracin desde el DNS primario al DNS secundario? A) Proceso de iteracin B) Proceso de configuracin inversa C) Intercambiador de correo para DNS D) Ninguna de las anteriores Qu comando se utiliza en las antiguas distribuciones de Linux para realizar una consulta al DNS? A) Tracert B) Querynet C) Nsearch

1.17

1.18

1.19

1.20

1.21

1.22

1.23

1.24

1.25

D) Nslookup 1.26 Qu tipo de registro DNS especifica informacin para resolucin inversa? A) WKS B) NS C) PTR D) MX Qu mtodo es utilizado para conseguir el no repudio? A) Realizar compendios B) Utilizar certificados en el navegador C) Entregar algo como acuse de recibo firmado digitalmente D) Quedarse copia de lo enviado

1.27

Pregunta 2.1: Pregunta 2.2:

1.- Explique qu son los registros marcados con MX y para qu sirven. Especifican aquellas mquinas que reciben el correo en dicho dominio, estando ordenadas por prioridad. En el caso que la primera direccin no est disponible para recibir el SMTP, se pasara al intercambiador. En el momento que se establezca el servicio SMTP, el intercambiador le har la entrega de los correos recogidos en su ausencia. 2.- En el supuesto que la informacin obtenida fuera de un DNS secundario, explique cmo lo podramos saber remotamente y cmo dicho servidor ha obtenido la informacin. Lo podemos ver simplemente en la primera lnea de contestacin. Siempre nos indica el servidor que contesta la peticin. Comparando quien contesta con la respuesta recibida, podemos observar si es el secundario, en el caso que quien constest no era el primario configurado en el DNS. El secundario recibe la informacin por transferencia de zona. 3.- Sea un servidor de correo SMTP externo a la Universitat que pretende hacer la entrega de correo al usuario santiago.felici@uv.es. A.- A qu IP y puerto tratar el servidor SMTP externo de conectarse en primer intento?. B.-Suponiendo que no consigue establecer la conexin, a qu otra IP y puerto lo intentar? C.-Y en el caso de no poder establecer la conexin, qu pasa? a) 147.156.1.112 en el puerto 25 b) 147.156.1.90 en el puerto 25 c) volvera a iniciar a) hasta conectar, durante un cierto nmero de veces. Vencido el nmero de veces, notifica al emisor que no ha podido ser entregado el correo. Cmo se llama la mquina que hace de servidor DNS primario del dominio uv.es? En el caso de detectar alguna incoherencia en la informacin del DNS, a quin se dirigira? De la lnea: uv.es. SOA gong.ci.uv.es root.gong.ci.uv.es se obtiene que el, DNS primario lo gestiona gong.ci.uv.es y para avisar de la incoherencia, se mandara un email a root@gong.ci.uv.es En el caso, que el servidor externo tratara de entregar al puesto 25 un correo, enviando el comandoEHLO y contestara 500 sintaxis error, a qu puede ser debido dicha contestacin? Que el servidor SMTP ejecuta la versin SMTP y no la ESMTP, es decir SMTP extendido.

EXAMEN DE REDES. SEGUNDO PARCIAL. JUNIO 2004. SOLUCIN. LABORATORIO

Las respuestas correctas aparecen en negrita L.1 Cual de los siguientes cdigos es correcto funcionalmente (sintcticamente lo son todos) para la implementacin de un cliente de daytime bajo protocolo de transporte UDP. A)
if ((n=recv(sock,buf,lbuf,0))<0) strncpy(buf,Error en recv...\n,lbuf); else if (n==0) strncpy(buf,Timeout...\n,lbuf); else if ((n=select(sock+1,&conjunto,NULL,NULL,&timeout))<0) strncpy(buf,Error en select...\n,lbuf); else buf[n]=\0;

B)
if ((n=select(sock+1,&conjunto,NULL,NULL,&timeout))<0) strncpy(buf,Error en select...\n,lbuf); else if ((n=recv(sock,buf,lbuf,0))<0) strncpy(buf,Error en recv...\n,lbuf); else if (n==0) strncpy(buf,Timeout...\n,lbuf); else buf[n]=\0;

C)
if ((n=select(sock+1,&conjunto,NULL,NULL,&timeout))>=0) strncpy(buf,Error en select...\n,lbuf); else if ((n=recv(sock,buf,lbuf,0))<=0) strncpy(buf,Timeout...\n,lbuf); else buf[n]=\0;

D)
if ((n=select(sock+1,&conjunto,NULL,NULL,&timeout))<0) strncpy(buf,Error en select...\n,lbuf); else if (n==0) strncpy(buf,Timeout...\n,lbuf); else if ((n=recv(sock,buf,lbuf,0))<0) strncpy(Error en recv...\n,lbuf); else buf[n]=\0;

L.2

Por qu fue necesario introducir un timeout en el cliente de servicio daytime bajo el protocolo de transporte UDP, y no en el cliente bajo el protocolo de transporte TCP?: A) Porque el datagrama UDP se enva vaco B) Porque el servicio TCP funciona siempre, mientras que el UDP falla a veces C) Porque ambos protocolos son distintos en su forma de funcionamiento y fiabilidad D) Porque se decidi realizar de distinta forma el diseo de ambos programas En las rutinas sockets las direcciones IP se representan: A) Como una cadena de caracteres de longitud variable. B) Como una cadena de caracteres de caracteres de 15 bytes de longitud (rellenando con ceros en caso necesario). C) Como un entero long (32 bits). D) Como una estructura formada por dos enteros short (16 bits).

L.3

L.4

En el programa servidor IRC utilizamos la funcin bind para dejar el proceso servidor escuchando en un puerto determinado las conexiones de posibles clientes. En esta llamada a la funcin bind debemos especificar en la variable sin_addr.s_addr de la estructura sockaddr_in la direccin IP del cliente que se va a conectar al servidor, pero esa direccin es desconocida en ese momento pues an no ha habido peticiones. Que direccin ponemos en ese caso? A) 0.0.0.0 B) La de la red desde la que se esperan conexiones (ej. 147.156.0.0/24) C) El valor INADDR_ANY D) 255.255.255.255 Cual sera la herramienta adecuada para averiguar que puertos tiene abiertos el host remoto X?. A) Ping X B) Nslookup X C) Nmap X D) Ethereal X El comando traceroute se basa en:. A) La opcin record route de la cabecera IP B) El servidor traceroute en los routers C) Los mensajes ICMP Time Exceeded. D) La informacin suministrada por el protocolo de routing Con una tarjeta de red en modo promiscuo y la herramienta Ethereal podemos monitorizar: A) Todo el trfico que sale, y todo el que llega a nuestra tarjeta de red B) Todo el trfico que sale, y todo el que llega con direcciones de destino unicast. C) Todo el trfico que sale, y todo el que llega con direccin de destino broadcast, o unicast de la propia tarjeta D) Todo el trfico que sale, y todo el que llega con direccin de destino broadcast, multicast o unicast de la propia tarjeta. Algunos protocolos de alta fiabilidad se basan en la utilizacin de un servidor de reserva o de backup que en caso de fallo del servidor principal le sustituye a todos los efectos en dcimas de segundo, con lo que el servicio no se interrumpe. Cuando falla el servidor principal estos protocolos modifican las direcciones MAC e IP del servidor de reserva, ponindole a ste las direcciones IP y MAC del servidor averiado. Por que no se cambia slo la direccin IP y se cambia tambin la MAC?: A) Porque no se puede cambiar la IP sin cambiar la MAC. B) Porque es ms fcil cambiar las dos a la vez que cambiar solo la IP. C) Porque si solo se cambiara la IP el servicio se interrumpira durante un tiempo apreciable (minutos). D) Porque si se cambia la IP sin cambiar la MAC el protocolo ARP deja de funcionar. Con que comando se pueden averiguar las conexiones TCP establecidas en el host local? A) Ethereal B) Netstat C) host D) ping

L.5

L.6

L.7

L.8

L.9

L.10 El concepto de proceso superservidor (como inetd o xinetd) se estableci con el fin de: A) Permitir centralizar el control de todos los accesos a los servicios de red en un nico proceso B) Evitar la creacin de un nuevo proceso por cada servicio que se quiere tener activo en el host C) Evitar tener que reservar un puerto bien conocido para cada servicio que se quiere activar en el host D) Reducir el tiempo de arranque de los servicios. L.11 La mejor forma de restringir en un sistema linux el acceso al servicio telnet para que solo est disponible de 6:00 a 14:00 horas sera: A) Definir un cron que arranque el servidor telnet a las 6:00 y lo pare a las 14:00 B) Inclur a las 6:00 el servicio telnet en el fichero hosts.allow y a las 14:00 en el hosts.deny

C) Especificar los tiempos de acceso en el fichero de configuracin telnet de xinet D) Crear un proceso monitor que peridicamente revise las conexiones TCP establecidas y se encargue de abortar las realizadas al puerto 23 fuera del horario permitido. L.12 Las envolventes de acceso o TCP wrappers establecen una serie de reglas de acceso a los servicios de un host. Dichas reglas se introducen: A) Mediante comandos que se ejecutan en los scripts de arranque del sistema. B) Tecleando por consola los comandos pertienentes en el momento en que se quiere establecer la regla C) En un fichero de configuracin diferente para cada servicio D) En dos ficheros globales de permiso y denegacin para todos los servicios, llamados hosts.allow y hosts.deny, respectivamente.

EXAMEN DE REDES. SEGUNDO PARCIAL. JUNIO 2004. SOLUCIN. PROBLEMAS Problema 1:

Al ser el MSS (Maximum Segment Size) de 1024 bytes (1 Kbyte) se enviarn exactamente 100 segmentos para transferir el fichero. Suponiendo que el tiempo de generar y transmitir los segmntos es despreciable y para un RTT (Round Trip Time) de 80 ms la transferencia del fichero discurre segn la siguiente cronologa: Tiempo (ms) 0 80 80 160 160 240 240 320 320 400 400 480 480 560 Segmento enviado 1 1 2,3 2,3 4,5,6,7 4,5,6,7 8-15 8-15 16-31 16-31 32-63 32-63 64-100 64-100 ACK recibido

Dado que no se pierde ningn segmento el slow-star va duplicando la ventana de congestin en cada iteracin, llegando al valor mximo de 64 KBytes en la ltima. Por otro lado la aplicacin en el host B es capaz de leer los datos tal cual van legando, por lo que la ventana de control de flujo (que se anuncia en cada ACK enviado por B hacia A) es siempre de 64 Kbytes, con lo que no supone una limitacin en el envo de segmentos por parte de A. Podemos considerar terminada la transferencia cuando el host B recibe el ltimo segmento. Para calcular este tiempo deberemos tomar el instante en que se enva el ltimo segmento (480 ms) y sumarle el tiempo que tarda en enviarse un segmento al host B. Suponiendo que el canal de comunicacin entre A y B es simtrico este tiempo debe corresponder a la mitad del RTT, es decir 40 ms. Por tanto el fichero termina de enviarse a los 520 ms. Tambin cabra considerar que el fichero termina de transferirse cuando A recibe el ACK del ltimo segmento, que es cuando A tiene constancia de que el ficheor se ha transferido correctamente. En ese caso el tiempo de transferencia del fichero es de 560 ms

Problema 2:
1.- detalle la implementacin de cada uno de los mtodos para la AAA, especificando el protocolo realizado en cada caso Autentificacin: Por ejemplo, cada usuario enva soy usuario U cifrado con su clave privada Du(U),U y el banco solicita a CA el certificado del usuario U, que la CA se lo entrega como Dca(U, Eu()), obteniendo la clave pblica del usuario U de forma veraz, dado que la informacin es dado de forma unvoca por la CA, de la cual el banco tiene su certificado raz instalado.

Autorizacin
Cuando un usuario U, tras identificarse solicita una operacin, el Banco realiza una consulta a travs de un cliente LDAP al servidor LDAP. Si la contestacin es afirmativa, se autoriza y en caso contrario, se deniega. Auditora: El banco dispone un sistema de logs que van registrando todas las acciones realizadas en l. 2.- explique el mtodo utilizado para implementar el no repudio. Consiste en solicitar un acuse de recibo, que identifique el momento de la entrega, con la integridad de lo entregado con una funcin hash, y firmado por quien lo recibe. Por ejemplo, si entregamos datos al banco, el banco nos debera proporcionar un acuse de recibo de la siguiente manera: Db( Hash (datos,U), hora) 3.- qu funcin desempea el servidor LDAP en la Intranet? Guardar los permisos de todos los usuarios que puede realizar operaciones por Internet en el bando. 4.- Cmo gestionara, como responsable de la CA, para que los usuarios dispusieran de la clave pblica de la CA? Considere estas gestiones, desde un punto de vista real de implementacin, con muchos usuarios y razone la respuesta. Emitira un certificado raz, firmado por la propia autoridad de certificacin, y en un proceso de autenticacin accediendo a la CA, descargaran los usuarios el certificado desde la web de la CA. 5.- En el caso que el usuario U tuviera que mandar el mensaje P al banco B con las propiedades de integridad, autenticacin y confidencialidad, qu mensaje mandara? Eb(Du(MD(P)))),P sera el mensaje a mandar de U a B

EXAMEN DE REDES. FINAL. JUNIO 2004. SOLUCIN. TEORA

Las respuestas correctas aparecen en negrita 1.1 Cuando un conmutador recibe de un host una trama broadcast, entonces: A) Anota la MAC de destino en su tabla de direcciones. B) Enva la trama recibida por todas sus interfaces activas. C) La enva por todas sus interfaces activas, excepto por la que le ha llegado. D) Slo la enva por las interfaces en las que hay conectados otros conmutadores. El protocolo Spanning Tree se basa para su funcionamiento en el envio de: A) Tramas broadcast B) Tramas unicast C) Tramas multicast D) Tramas broadcast y tramas unicast Diga cual de las siguientes afirmaciones es verdadera referida al funcionamiento del protocolo BOOTP cuando el servidor no est en la misma LAN que el cliente y el router acta como BOOTP relay: A) El cliente ha de conocer la direccin del servidor BOOTP B) El cliente ha de conocer la direccin del router. C) El cliente ha de concocer la direccin del router y del servidor BOOTP D) El router ha de conocer la direccin del servidor BOOTP. Cual de las siguientes direcciones IP sera vlida para la interfaz de un host?: A) 10.10.10.0/28 B) 147.156.1.163/30 C) 225.225.222.12/24 D) 200.200.202.0/22 Un paquete IP tiene activada la opcin record route y ha registrado nueve direcciones. La longitud de la cabecera IP en este caso es de: A) 20 bytes. B) 56 bytes. C) 60 bytes. D) Hay varios valores posibles La tcnica conocida como descubrimiento de la MTU del trayecto hace uso de mensajes: A) ARP B) ICMP C) RARP D) UDP Un router que no tiene definida ruta por defecto recibe un datagrama con una direccin de destino que no est comprendida en su tabla de rutas. Qu ocurre en ese caso?: A) Descarta el datagrama y no dice nada B) Lo descarta y enva un mensaje ICMP Destination unreachable al emisor C) Lo descarta y enva un mensaje ICMP Time exceeded al emisor D) Lo enva a todos los routers que tiene directamente conectados, por si ellos saben como llegar a ese destino. En que casos est justificado que una empresa disponga de un sistema autnomo propio?: A) En ninguno, los sistemas autnomos solo deben ser utilizados por ISPs B) Siempre que se conecte a dos ISPs y quiera que el trfico se reencamine de manera automtica en caso de fallo de uno de ellos C) Cuando tenga un nmero elevado de hosts, por ejemplo ms de 65536 D) B y C son ciertas

1.2

1.3

1.4

1.5

1.6

1.7

1.8

1.9

Los acuerdos de peering son contratos que se suelen realizar entre: A) Un ISP y una gran empresa. B) Un ISP y un punto neutro de interconexin C) Un ISP grande y uno pequeo D) Dos ISPs de tamao parecido En la trama Frame Relay Cual de los siguientes campos sera superfluo si el EIR fuera siempre cero?: A) FECN B) BECN C) DE D) DLCI Se establece entre dos hosts un circuito ATM que atraviesa dos conmutadores ATM. Cuantas veces se comprueba el valor del campo HEC (Header Error Check) para cada celda enviada? A) 2 B) 3 C) 4 D) Ninguna Cual sera la categora de servicio de ATM ms adecuada para la conexin de centralitas telefnicas mediante emulacin de circuitos de 2 Mb/s (lneas E1)?: A) CBR B) VBR-rt C) VBR-nrt D) ABR Que tamao tiene como mximo la parte de red de una direccin ATM cuando se utiliza direccionamiento NSAP?: A) 8 bytes B) 13 bytes C) 19 bytes D) 20 bytes Qu algoritmo utiliza el protocolo de routing PNNI? A) Estado del enlace B) Vector distancia C) Basado en el flujo D) Depende de la implementacin Si un host A quiere establecer un SVC con otro host B a travs de una red ATM debe conocer: A) Los nmeros de VPI/VCI que el host B tiene ocupados en ese momento B) La direccin ATM del host B C) La direccin ATM del conmutador al que est conectado el host B y los nmeros de VPI/VCI que el host B tiene ocupados en ese momento D) La direccin ATM del conmutador al que est conectado el host B y el nmero de puerto al que est conectado dicho host en ese conmutador Cuantos bytes de relleno seran necesarios si hubiera que enviar 52 bytes de datos en un mensaje AAL5?: A) Ninguno B) Uno C) 36 D) 44 Normalmente se considera que el origen de Internet fue la red experimental ARPANET, que empez a funcionar en el ao: A) 1959 B) 1969

1.10

1.11

1.12

1.13

1.14

1.15

1.16

1.17

C) 1975 D) 1978 1.18 Suponga que en un cortafuegos se quiere impedir el establecimiento de conexiones TCP entrantes. En ese caso deber rechazar los segmentos TCP que lleguen del exterior y que tengan los flags siguientes: A) SYN a 1, ACK, RST y FIN a 0 B) SYN y ACK a 1, RST y FIN a 0 C) ACK a 1, SYN, RST y FIN a 0 D) SYN y RST a 1, ACK y FIN a 0 Diga cual de las siguientes afirmaciones es cierta referida a la eleccin del ISN (Initial Sequence Number) en una conexin TCP: A) Siempre se utiliza el valor 0 B) Se puede utilizar cualquier valor (entre 0 y 232 - 1), pero cuando dos hosts establecen una conexin han de ponerse de acuerdo y utilizar el mismo ISN C) Cada host elige un ISN propio que utiliza en todas sus conexiones D) Cada host elige el ISN de forma independiente, normalmente siguiendo un algoritmo pseudoaleatorio. Si en TCP no existiera el mecanismo slow-start la consecuencia sera que: A) No habra control de flujo B) No habra control de congestin C) No se reenviaran los segmentos perdidos por errores del medio fsico D) El campo tamao de ventana en la cabecera TCP nunca disminuira El objetivo del timer de persistencia de TCP es: A) Evitar que se produzcan situaciones de bloqueo debido a la prdida no detectada de mensajes. B) Evitar que se quede una conexin establecida cuando el canal de comunicacin se interrumpe, o bien cuando uno de los hosts la termina anormalmente (conexin medio abierta). C) Asegurar que cualquier conexin TCP genera una cantidad mnima de trfico cada cierto tiempo D) Comprobar que los procesos (del nivel de aplicacin) que comunican a travs de TCP siguen operativos En una red local Ethernet un host est enviando a otro un flujo de datos en forma de datagramas UDP. El cableado es defectuoso, por lo que algunas tramas tiene un CRC errneo y son descartadas por el receptor. Que ocurre en ese caso?: A) El nivel de enlace del receptor (es decir su tarjeta Ethernet) solicita retransmisin de la trama cuando detecta el CRC errneo B) El nivel IP del receptor solicita retransmisin cuando detecta el datagrama perdido. C) El nivel UDP del receptor solicita retransmisin cuando detecta el datagrama perdido. D) Solo se realizar la retransmisin de los datos perdidos si est contemplado en el protocolo a nivel de aplicacin. En caso contrario la prdida no podr recuperarse. Se quiere conectar una LAN con varios servidores Web a Internet pero solo se dispone para ello de una direccin pblica, por lo que es necesario utilizar NAT (o NAPT) en el router. Cual de las siguientes afirmaciones es cierta en ese caso?: A) No puede hacerse. Si solo hay una direccin pblica slo puede haber un servidor Web accesible desde el exterior B) No hay ningn problema, se puede acceder a todos los servidores por el puerto 80 distinguiendo por el URL C) Se puede hacer, pero solo uno de los servidores puede ser accedido por el puerto 80. El resto de servidores debe estar en puertos no estndar D) Se puede hacer, pero a condicin de que ninguno de los servidores utilice el puerto 80 Diffie Hellman permite: A) Intercambiar una clave asimtrica compartida B) Intercambiar una clave simtrica con autenticacin por ambas partes

1.19

1.20

1.21

1.22

1.23

1.24

C) Intercambiar una clave asimtrica con autenticacin por ambas partes D) Intercambiar una clave simtrica compartida 1.25 La lista de certificados revocados: A) Se utiliza para ver si un certificado es vlido B) Est firmada por la autoridad de certificacin correspondiente C) Recoge aquellos certificados de los cuales ya se haya distribuido la clave privada D) Todas las anteriores AES es un mtodo de cifrado de clave: A) Asimtrica B) Privada o simtrica C) Mixto simtrica/asimtrica D) Todas las anteriores LDAP es un protocolo de capa: A) 3 B) 4 C) 5 D) 7 Los servidores DNS: A) Poseen una IP de la subred en la que se conectan B) Pueden resolver nombres a cualquier host, incluso fuera de su LAN C) Pueden ser secundarios D) Todas las anteriores Las MIB son: A) Parmetros de medicin de instrucciones por segundo en un servidor B) Un conjunto de variables definidas en un dispositivo de red C) La estructura de indexacin de todo tipo de variables existentes D) Ninguna de las anteriores DNS utiliza: A) Conexiones UDP para resolver nombres B) El puerto 25 como identificacin del servicio en el servidor C) Servidores maestros, primarios, secundarios y terciarios D) Cifrado en las conexiones para autenticacin El no repudio supone: A) La identificacin por ambas partes B) La integirdad del docuemnto intercambiado C) La participacin de una autoridad intermediaria para ambas partes D) Todas las anteriores La criptografa asimtrica es, respecto de la simtrica: A) Ms simple B) Ms robusta C) Ms rpida D) Ms moderna y la desplazar definitivamente

1.26

1.27

1.28

1.29

1.30

1.31

1.32

Pregunta 2.1:
Para asignar las subredes tomaremos en consideracin el nmero de ordenadores de cada sede ms una direccin, que asignaremos a la interfaz Ethernet del router. Adems de las subredes correspondientes a las redes locales debemos asignar cuatro subredes para las cuatro lneas serie. Para ello utilizaremos subredes /30, que nos permiten disponer de dos direcciones aprovechables. A la vista de esto asignaremos las siguientes subredes: Sede Barcelona Madrid Alicante Bilbao Sevilla Lnea p. a p. Barcelona-Madrid Lnea p. a p. Barcelona-Alicante Lnea p. a p. Barcelona-Bilbao Lnea p. a p. Barcelona-Sevilla Subred 194.100.100.0 194.100.100.128 194.100.100.192 194.100.100.208 194.100.100.224 194.100.100.240 194.100.100.244 194.100.100.248 194.100.100.252 Mscara 255.255.255.128 255.255.255.192 255.255.255.240 255.255.255.240 255.255.255.240 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 Rango (de 194.100.100) 1 126 129 190 193 206 209 222 225 - 238 241 - 242 245 - 246 249 250 253 - 254

Al aplicar subnet-zero hemos asignado subredes en todo el rango de la red. De no aplicar subnet-zero no habramos tenido suficientes direcciones para resolver el problema.

Pregunta 2.2:

Pregunta 2.3:
1.- Explique qu son los registros marcados con MX y para qu sirven. Especifican aquellas mquinas que reciben el correo en dicho dominio, estando ordenadas por prioridad. En el caso que la primera direccin no est disponible para recibir el SMTP, se pasara al intercambiador. En el momento que se establezca el servicio SMTP, el intercambiador le har la entrega de los correos recogidos en su ausencia. 2.- En el supuesto que la informacin obtenida fuera de un DNS secundario, explique cmo lo podramos saber remotamente y cmo dicho servidor ha obtenido la informacin. Lo podemos ver simplemente en la primera lnea de contestacin. Siempre nos indica el servidor que contesta la peticin. Comparando quien contesta con la respuesta recibida, podemos observar si es el secundario, en el caso que quien constest no era el primario configurado en el DNS. El secundario recibe la informacin por transferencia de zona. 3.- Sea un servidor de correo SMTP externo a la Universitat que pretende hacer la entrega de correo al usuario santiago.felici@uv.es. A.- A qu IP y puerto tratar el servidor SMTP externo de conectarse en primer intento?. B.-Suponiendo que no consigue establecer la conexin, a qu otra IP y puerto lo intentar? C.-Y en el caso de no poder establecer la conexin, qu pasa? a) 147.156.1.112 en el puerto 25 b) 147.156.1.90 en el puerto 25 c) volvera a iniciar a) hasta conectar, durante un cierto nmero de veces. Vencido el nmero de veces, notifica al emisor que no ha podido ser entregado el correo. Cmo se llama la mquina que hace de servidor DNS primario del dominio uv.es? En el caso de detectar alguna incoherencia en la informacin del DNS, a quin se dirigira? De la lnea: uv.es. SOA gong.ci.uv.es root.gong.ci.uv.es se obtiene que el, DNS primario lo gestiona gong.ci.uv.es y para avisar de la incoherencia, se mandara un email a root@gong.ci.uv.es En el caso, que el servidor externo tratara de entregar al puesto 25 un correo, enviando el comandoEHLO y contestara 500 sintaxis error, a qu puede ser debido dicha contestacin? Que el servidor SMTP ejecuta la versin SMTP y no la ESMTP, es decir SMTP extendido.

EXAMEN DE REDES. FINAL. JUNIO 2004. SOLUCIN. LABORATORIO

Las respuestas correctas aparecen en negrita L.1 Cual de las siguientes afirmaciones es verdadera referida a una conexin Ethernet Full Dplex en un conmutador?: A) Puede tener conectados varios hosts mediante un hub B) Solo es posible a velocidades de 100 Mb/s y superiores C) Requiere una conexin por fibra ptica D) Ninguna de los anteriores En un conmutador se ha modificado la configuracin reduciendo el tiempo de vida de las entradas en las tablas de direcciones MAC. La consecuencia de esto es que: A) El conmutador enva ms tramas broadcast. B) El conmutador enva ms tramas multicast C) El conmutador enva ms tramas unicast D) El nmero de tramas enviadas por el conmutador no se modifica Dos conmutadores, A y B, que implementan spanning tree, se conectan entre s mediante dos cables unindolos por los puertos 1 y 2 (A1 con B1 y A2 con B2). Al conectarlos no se bloquea ningn puerto. De aqu podemos deducir que: A) Los puertos A1 y B1 estn en una VLAN y los puertos A2 y B2 en otra. B) Los puertos A1 y A2 estn en una VLAN y los B1 y B2 en otra C) Tres de los cuatro puertos estn en una VLAN y el otro est en otra D) Todas las opciones anteriores son posibles

L.2

L.3

Nota: En esta pregunta hay un error puesto que son correctas tanto la opcin A como la C. Por tanto se considera correcto responder cualquiera de las dos, o ambas. L.4 Diga cual de las siguientes afirmaciones es correcta referida a las interfaces serie de los routers utilizados en las prcticas: A) Eran interfaces propietarias de cisco. B) Los conectores de los routers eran propietarios, pero las interfaces eran estndar. C) Eran estndar tanto las interfaces como los conectores. D) En unos eran estndar y en otros propietarias. Qu debe hacerse para restablecer el servicio en una red mallada que utiliza EIGRP?: A) Nada, los routers encuentran la nueva ruta en segundos B) Reconfigurar los routers para definir la ruta alternativa C) Rearrancar los routers que tenan conectada la lnea afectada D) B y C Qu pasa cuando en una red hay rutas asimtricas?: A) Nada de especial. Simplemente que los paquetes van por un camino y vuelven por otro B) Que no se puede utilizar routing dinmico C) Que el comando route R no funciona D) Que el comando traceroute no funciona Por qu fue necesario introducir un timeout en el cliente de servicio daytime bajo el protocolo de transporte UDP, y no en el cliente bajo el protocolo de transporte TCP?: A) Porque el datagrama UDP se enva vaco B) Porque el servicio TCP funciona siempre, mientras que el UDP falla a veces C) Porque ambos protocolos son distintos en su forma de funcionamiento y fiabilidad D) Porque se decidi realizar de distinta forma el diseo de ambos programas En las rutinas sockets las direcciones IP se representan: A) Como una cadena de caracteres de longitud variable.

L.5

L.6

L.7

L.8

B) Como una cadena de caracteres de 15 bytes de longitud (rellenando con ceros en caso necesario). C) Como un entero long (32 bits). D) Como una estructura formada por dos enteros short (16 bits). L.9 En el programa servidor IRC utilizamos la funcin bind para dejar el proceso servidor escuchando en un puerto determinado las conexiones de posibles clientes. En esta llamada a la funcin bind debemos especificar en la variable sin_addr.s_addr de la estructura sockaddr_in la direccin IP del cliente que se va a conectar al servidor, pero esa direccin es desconocida en ese momento pues an no ha habido peticiones. Que direccin ponemos en ese caso? A) 0.0.0.0 B) La de la red desde la que se esperan conexiones (ej. 147.156.0.0/24) C) El valor INADDR_ANY D) 255.255.255.255

L.10 Cual sera la herramienta adecuada para averiguar que puertos tiene abiertos el host remoto X?. A) Ping X B) Nslookup X C) Nmap X D) Ethereal X L.11 El comando traceroute se basa en:. A) La opcin record route de la cabecera IP B) El servidor traceroute en los routers C) Los mensajes ICMP Time Exceeded. D) La informacin suministrada por el protocolo de routing L.12 Con una tarjeta de red en modo promiscuo y la herramienta Ethereal podemos monitorizar: A) Todo el trfico que sale, y todo el que llega a nuestra tarjeta de red B) Todo el trfico que sale, y todo el que llega con direcciones de destino unicast. C) Todo el trfico que sale, y todo el que llega con direccin de destino broadcast, o unicast de la propia tarjeta D) Todo el trfico que sale, y todo el que llega con direccin de destino broadcast, multicast o unicast de la propia tarjeta. L.13 Algunos protocolos de alta fiabilidad se basan en la utilizacin de un servidor de reserva o de backup que en caso de fallo del servidor principal le sustituye a todos los efectos en dcimas de segundo, con lo que el servicio no se interrumpe. Cuando falla el servidor principal estos protocolos modifican las direcciones MAC e IP del servidor de reserva, ponindole a ste las direcciones IP y MAC del servidor averiado. Por que no se cambia slo la direccin IP y se cambia tambin la MAC?: A) Porque no se puede cambiar la IP sin cambiar la MAC. B) Porque es ms fcil cambiar las dos a la vez que cambiar solo la IP. C) Porque si solo se cambiara la IP el servicio se interrumpira durante un tiempo apreciable (minutos). D) Porque si se cambia la IP sin cambiar la MAC el protocolo ARP deja de funcionar. L.14 Con que comando se pueden averiguar las conexiones TCP establecidas en el host local? A) Ethereal B) Netstat C) host D) ping L.15 El concepto de proceso superservidor (como inetd o xinetd) se estableci con el fin de: A) Permitir centralizar el control de todos los accesos a los servicios de red en un nico proceso B) Evitar la creacin de un nuevo proceso por cada servicio que se quiere tener activo en el host C) Evitar tener que reservar un puerto bien conocido para cada servicio que se quiere activar en el host D) Reducir el tiempo de arranque de los servicios.

L.16 La mejor forma de restringir en un sistema linux el acceso al servicio telnet para que solo est disponible de 6:00 a 14:00 horas sera: A) Definir un cron que arranque el servidor telnet a las 6:00 y lo pare a las 14:00 B) Inclur a las 6:00 el servicio telnet en el fichero hosts.allow y a las 14:00 en el hosts.deny C) Especificar los tiempos de acceso en el fichero de configuracin telnet de xinet D) Crear un proceso monitor que peridicamente revise las conexiones TCP existentesstablecidas y se encargue de abortar las realizadas al puerto 23 fuera del horario permitido. L.17 Las envolventes de acceso o TCP wrappers establecen una serie de reglas de acceso a los servicios de un host. Dichas reglas se introducen: A) Mediante comandos que se ejecutan en los scripts de arranque del sistema. B) Tecleando por consola los comandos pertienentes en el momento en que se quiere establecer la regla C) En un fichero de configuracin diferente para cada servicio D) En dos ficheros globales de permiso y denegacin para todos los servicios, llamados hosts.allow y hosts.deny, respectivamente.

EXAMEN DE REDES. FINAL. JUNIO 2004. SLOUCIN. PROBLEMAS Problema 1:

A nivel de enlace, aunque el conmutador tiene configuradas dos VLANs el puente entre los puertos 4 y 5 comunica ambas. A nivel de red el host H3 est en una red diferente del resto por lo que para comunicar con el desde H1 se utilizar el router. La comunicacin con H2 y H4 se realiza de forma directa, sin participacin del router. Las tramas capturadas en el ping de H1 a H2 sern: Trama 1 2 3 4 MAC Origen 0000.0000.0A02 0000.0000.0A03 0000.0000.0A02 0000.0000.0A03 MAC Destino FFFF.FFFF.FFFF 0000.0000.0A02 0000.0000.0A03 0000.0000.0A02 Protocolo ARP ARP IP IP IP Origen IP Destino

10.0.0.2 10.0.0.3

10.0.0.3 10.0.0.2

En el ping hacia H3 las tramas capturadas sern: Trama 5 6 7 8 9 MAC Origen 0000.0000.0A02 0000.0000.0A01 0000.0000.0A02 0000.0000.0B01 0000.0000.0A01 MAC Destino FFFF.FFFF.FFFF 0000.0000.0A02 0000.0000.0A01 FFFF.FFFF.FFFF 0000.0000.0A02 Protocolo ARP ARP IP ARP IP IP Origen IP Destino

10.0.0.1 192.168.0.1

192.168.0.1 10.0.0.1

En este caso el ARP request se lanza para buscar al router, no al host H3 pues se encuentra en una red diferente. A su vez el router enva un ARP request en busca del host H3. Este mensaje es recibido por H1, ya que se manda en modo broadcast. En cambio el ARP response correspondiente no lo recibe H1 ya que se enva a la direccin unicast del router (0000.0000.0B01) que ya est anotada en las tablas del conmutador gracias al ARP request enviado anteriomente. El ping hacia H4 genera las siguientes tramas: Trama 1 2 3 4 MAC Origen 0000.0000.0A02 0000.0000.0A04 0000.0000.0A02 0000.0000.0A03 MAC Destino FFFF.FFFF.FFFF 0000.0000.0A02 0000.0000.0A04 0000.0000.0A02 Protocolo ARP ARP IP IP IP Origen IP Destino

10.0.0.2 10.0.0.4

10.0.0.4 10.0.0.2

Problema 2:
Al ser el MSS (Maximum Segment Size) de 1024 bytes (1 Kbyte) se enviarn exactamente 100 segmentos para transferir el fichero. Suponiendo que el tiempo de generar y transmitir los segmntos es despreciable y para un RTT (Round Trip Time) de 80 ms la transferencia del fichero discurre segn la siguiente cronologa: Tiempo (ms) 0 80 80 160 160 240 240 320 320 400 400 480 480 560 Segmento enviado 1 1 2,3 2,3 4,5,6,7 4,5,6,7 8-15 8-15 16-31 16-31 32-63 32-63 64-100 64-100 ACK recibido

Dado que no se pierde ningn segmento el slow-star va duplicando la ventana de congestin en cada iteracin, llegando al valor mximo de 64 KBytes en la ltima. Por otro lado la aplicacin en el host B es capaz de leer los datos tal cual van legando, por lo que la ventana de control de flujo (que se anuncia en cada ACK enviado por B hacia A) es siempre de 64 Kbytes, con lo que no supone una limitacin en el envo de segmentos por parte de A. Podemos considerar terminada la transferencia cuando el host B recibe el ltimo segmento. Para calcular este tiempo deberemos tomar el instante en que se enva el ltimo segmento (480 ms) y sumarle el tiempo que tarda en enviarse un segmento al host B. Suponiendo que el canal de comunicacin entre A y B es simtrico este tiempo debe corresponder a la mitad del RTT, es decir 40 ms. Por tanto el fichero termina de enviarse a los 520 ms. Tambin cabra considerar que el fichero termina de transferirse cuando A recibe el ACK del ltimo segmento, que es cuando A tiene constancia de que el fichero se ha transferido correctamente. En ese caso el tiempo de transferencia del fichero es de 560 ms.

Problema 3:
1.- detalle la implementacin de cada uno de los mtodos para la AAA, especificando el protocolo realizado en cada caso Autentificacin: Por ejemplo, cada usuario enva soy usuario U cifrado con su clave privada Du(U),U y el banco solicita a CA el certificado del usuario U, que la CA se lo entrega como Dca(U, Eu()), obteniendo la clave pblica del usuario U de forma veraz, dado que la informacin es dado de forma unvoca por la CA, de la cual el banco tiene su certificado raz instalado.

Autorizacin
Cuando un usuario U, tras identificarse solicita una operacin, el Banco realiza una consulta a travs de un cliente LDAP al servidor LDAP. Si la contestacin es afirmativa, se autoriza y en caso contrario, se deniega.

Auditora: El banco dispone un sistema de logs que van registrando todas las acciones realizadas en l. 2.- explique el mtodo utilizado para implementar el no repudio. Consiste en solicitar un acuse de recibo, que identifique el momento de la entrega, con la integridad de lo entregado con una funcin hash, y firmado por quien lo recibe. Por ejemplo, si entregamos datos al banco, el banco nos debera proporcionar un acuse de recibo de la siguiente manera: Db( Hash (datos,U), hora) 3.- qu funcin desempea el servidor LDAP en la Intranet? Guardar los permisos de todos los usuarios que puede realizar operaciones por Internet en el bando. 4.- Cmo gestionara, como responsable de la CA, para que los usuarios dispusieran de la clave pblica de la CA? Considere estas gestiones, desde un punto de vista real de implementacin, con muchos usuarios y razone la respuesta. Emitira un certificado raz, firmado por la propia autoridad de certificacin, y en un proceso de autenticacin accediendo a la CA, descargaran los usuarios el certificado desde la web de la CA. 5.- En el caso que el usuario U tuviera que mandar el mensaje P al banco B con las propiedades de integridad, autenticacin y confidencialidad, qu mensaje mandara? Eb(Du(MD(P)))),P sera el mensaje a mandar de U a B