Práctica 5: Aplicaciones y Seguridad (Teoría de las Comunicaciones)

De Cuba-Wiki
Saltar a: navegación, buscar
Back.png Volver a la página de la materia
Reload page.png Esta guía necesita que se revisen y sincronicen sus ejercicios.
Desde el momento en que se creó esta página ocurrieron cambios en la materia que pueden haber dejado inconsistente la numeración o contenidos de la misma. Preferentemente se debe dividir la página en una sección de ejercicios "Actuales" y una sección de ejercicios "Extra" en la que se preserven los ejercicios que ya no se encuentran en las guías actuales.

Ejercicio 01[editar]

Lea la página del manual del utilitario nslookup utilizado para comunicarse interactivamente con servidores DNS. Determine que secuencia de name servers son contactados para resolver los nombres www.w3.org y www.dc.uba.ar

Ejercicio 02[editar]

Consultas DNS. Explique brevemente qué se consulta y qué significa la respuesta:

$ nslookup -q=cname www.anta.gov.ar
Server: o200.prime.com.ar
Address: 200.44.0.108
Non-authoritative answer:
www.anta.gov.ar canonical name = heidi.anta.gov.ar
Authoritative answers can be found from:
anta.gov.ar nameserver = deisy.anta.gov.ar
anta.gov.ar nameserver = samantha.anta.gov.ar
deisy.anta.gov.ar internet address = 200.10.166.34
samantha.anta.gov.ar internet address = 200.10.166.31

$ nslookup -q=ptr 200.10.166.30
Server: o200.prime.com.ar
Address: 200.44.0.108
30.166.10.200.in-addr.arpa name = heidi.anta.gov.ar
30.166.10.200.in-addr.arpa name = anta.gov.ar
166.10.200.in-addr.arpa nameserver = deisy.anta.gov.ar
166.10.200.in-addr.arpa nameserver = samantha.anta.gov.ar
deisy.anta.gov.ar internet address = 200.10.166.34
samantha.anta.gov.ar internet address = 200.10.166.31

Respuesta:

En el primer caso se pide el canonical name de www.anta.gov.ar. Es decir, cual es el nombre verdadero de la máquina donde se encuentra situado dicho alias. El servidor o200.prime.com.ar, en 200.44.0.108, que no es autoritativo para esa zona, sino que seguramente sea el cache-only DNS que utiliza el cliente para obtener sus respuestas, responde indicando que el nombre canonico es heidi.anta.gov.ar. Indica también los nombres e IP de los nameservers autoritativos de la zona anta.gov.ar de donde se puede obtener dicho resultado.

El segundo caso es un reverse lookup, donde dada una IP se solicita el nombre. Nuevamente la respuesta la otorga o200.prime.com.ar. Dicha IP se encuentra mapeada a los nombres heidi.anta.gov.ar y anta.gov.ar. Para hacer un reverse lookup de la IP A.B.C.D, se debe buscar el record PTR de la direccion D.C.B.A.in-addr.arpa. El servidor también responde con los nombres de los nameservers autoritativos sobre el rango IP 200.10.166.0.

Ejercicio 03[editar]

Describir la búsqueda de la dirección IP de algún servidor de correo electrónico para el dominio dc.uba.ar.

Rta:

Se manda un query al servidor de nombres de dc.uba.ar con la siguiente forma pidiendo el mail server (MX).

laverne:~ vortex$ dig dc.uba.ar IN MX
; <<>> DiG 9.3.4 <<>> dc.uba.ar IN MX
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12485
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 4 

;; QUESTION SECTION:
;dc.uba.ar.                     IN      MX 

;; ANSWER SECTION:
dc.uba.ar.              566     IN      MX      10 smtp-2.dc.uba.ar.
dc.uba.ar.              566     IN      MX      10 smtp-1.dc.uba.ar.

;; AUTHORITY SECTION:
uba.ar.                 65635   IN      NS      ns2.telespazio.net.ar.
uba.ar.                 65635   IN      NS      ns1.uba.ar.
uba.ar.                 65635   IN      NS      ns1.telespazio.net.ar.
uba.ar.                 65635   IN      NS      ns2.uba.ar.

;; ADDITIONAL SECTION:
smtp-2.dc.uba.ar.       566     IN      A       157.92.27.62
ns1.uba.ar.             5290    IN      A       157.92.1.1
ns1.telespazio.net.ar.  21595   IN      A       200.108.64.65
ns2.telespazio.net.ar.  18388   IN      A       200.108.64.129

;; Query time: 13 msec
;; SERVER: 200.49.156.4#53(200.49.156.4)
;; WHEN: Sat Nov 17 21:33:26 2007
;; MSG SIZE  rcvd: 224

Es interesante notar que el pedido fue hecho al cache de DNS de Fibertel y que parece que no tiene la información adicional completa (falta 1 server de SMTP y uno de NS de uba.ar). Si hacemos el lookup directamente en el servidor de nombres de dc.uba.ar obtenemos:

laverne:~ vortex$ dig @157.92.27.241 dc.uba.ar MX
; <<>> DiG 9.3.4 <<>> @157.92.27.241 dc.uba.ar MX
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24943
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;dc.uba.ar.                     IN      MX

;; ANSWER SECTION: 
dc.uba.ar.              600     IN      MX      10 smtp-2.dc.uba.ar. 
dc.uba.ar.              600     IN      MX      10 smtp-1.dc.uba.ar.

;; AUTHORITY SECTION: 
dc.uba.ar.              600     IN      NS      ns-1.dc.uba.ar. 
dc.uba.ar.              600     IN      NS      ns-2.dc.uba.ar. 
dc.uba.ar.              600     IN      NS      ns1.uba.ar.
dc.uba.ar.              600     IN      NS      ns2.uba.ar.

;; ADDITIONAL SECTION:
smtp-1.dc.uba.ar.       600     IN      A       157.92.27.61
smtp-2.dc.uba.ar.       600     IN      A       157.92.27.62
ns-1.dc.uba.ar.         600     IN      A       157.92.27.241
ns-2.dc.uba.ar.         600     IN      A       157.92.27.253

;; Query time: 18 msec
;; SERVER: 157.92.27.241#53(157.92.27.241)
;; WHEN: Sat Nov 17 21:44:16 2007
;; MSG SIZE  rcvd: 211

Ejercicio 04[editar]

Mencionar ventajas y desventajas de usar HTTP 1.0 (no persistente) versus HTTP 1.1 (persistente).

Respuesta:

HTTP 1.1 reduce la cantidad de conexiones TCP a crear cuando se desean hacer muchos pedidos a un mismo servidor. Una ventaja de tener una sola conexión permanente es que tenemos mejor información de congestión. De esta manera una vez establecida una buena ventana aprovechamos la velocidad en lugar de tener que recomenzar cada vez.

Tiene como inconveniente el hecho de que el servidor debe mantener más conexiones abiertas y saber el tiempo de inactividad de cada una para poder elegir cuál cerrar en caso de quedarse sin recursos; lo cual supone un overhead adicional.

Ejercicio 05[editar]

Describir qué es ETRN en ESMTP.

Respuesta:

El protocolo ESMTP es una extensión del protocolo SMTP. Entre otras cosas, se agregan los siguientes comandos:

• EHLO dominio Hace que el servidor realice una consulta al DNS del reverso del dominio indicado para verificar que el mismo exista.

• ETRN dominio Extended Turn. Este comando permite que el CLIENTE le pida al SERVIDOR que le envíe todos los mensajes que posee destinados al CLIENTE. Si hay mensajes para la máquina cliente, el servidor debe iniciar una NUEVA sesión SMTP para enviarle los mensajes.

Ejercicio 06[editar]

Una empresa decide instalar un servidor Web. Se espera que se conecten hasta 5 clientes simultáneamente.

  • ¿Cuántas direcciones IP diferentes necesita el servidor?
  • ¿Cuántos puertos diferentes debe estar escuchando el servidor WEB?

Respuesta:

Con una única dirección y puerto basta, ya que las conexiones TCP se arman en base a las 4-uplas de direccion-puerto origen-destino.

Ejercicio 07[editar]

La red de un banco esta compuesta de un backbone que conecta a 15 sucursales distribuidas en distintas ciudades del interior, donde la salida a Internet es solo a través del backbone ubicado en Buenos Aires. Se quiere instalar servidores DNS para ser tolerantes a fallos y poder distribuir la carga. ¿Cómo se puede lograr esto?

Perdon pero.. no preguntan esto en el Ejercicio 29, digo yo??

Ejercicio 08[editar]

Si un navegador de Internet usa HTTP/1.1 (persistente) para establecer conexiones y el usuario decide conectarse con un servidor HTTP que solo usa HTTP/1.0 (no-persistente), ¿Qué sucede?

Respuesta:

El cliente detectará que el servidor es 1.0 y no se realizará una conexión explícita entre ambos. HTTP 1.1 mantiene compatibilidad hacia atrás con 1.0.

Ejercicio 09[editar]

Al visualizar el contenido de una página web se bajan archivos de los siguientes servidores:

  • Server1: 3 archivos JPG y un HTML
  • Server2: 2 archivos GIF
  • Server3: 1 archivo WAV

¿Cuántas conexiones TCP se realizan si se utiliza HTTP 1.0 y HTTP 1.1?

Respuesta:

En el caso de 1.0, se deben realizar 7 conexiones TCP, una por cada GET realizado a cada servidor. Con 1.1 pueden usarse solamente tres conexiones, una por servidor, manteniendolas abiertas hasta realizar todos los pedidos.

Ejercicio 10[editar]

Se dice que DNS puede ser tolerante a fallos. ¿Cómo se implementa esto para una zona en particular?

Respuesta:

Se mantiene siempre un servidor slave por lo menos, por cada zona de autoridad. Los servidores que apuntan a dicha zona tienen un registro NS y uno A por cada uno de estos servidores.

Por ejemplo, se tiene la zona dc.uba.ar que depende de uba.ar. Se tienen dos servidores, jose.dc.uba.ar y pepe.dc.uba.ar, el primero master y el segundo slave, con las tablas de los hosts y zonas que dependen del dc. Los records de uba.ar contienen entonces los registros:

<dc.uba.ar, jose.dc.uba.ar, NS, IN>
<jose.dc.uba.ar, 157.92.27.41, A, IN>
<dc.uba.ar, pepe.dc.uba.ar, NS, IN>
<pepe.dc.uba.ar, 157.92.27.42, A, IN>

Ejercicio 11[editar]

Una compañía desea publicar en Internet un sistema de comercio electrónico. El sistema consta de un servidor Web que publica un portal, un servidor de transacciones seguras (HTTPS), un servidor de mail (SMTP) y un servidor de base de datos en la cual se validarán y registrarán las transacciones. Se desea proteger el sistema mediante un firewall del tipo “Stateful Inspection” (Cisco Pix, CheckPoint FireWall-1, NTI NetScreen, etc.). Se pide diseñar una propuesta de organización de red utilizando el concepto de DeMilitarized Zone (DMZ), indicando la ubicación de cada servidor y las políticas básicas de configuración del firewall.

Ejercicio 12[editar]

El siguiente es un extracto de un archivo de log generado por un servidor DNS que recibe consultas. Explique brevemente qué significa cada línea.

Aug 03 10:21:47.999 client 200.11.114.35#51521: query: dymail.com.ar IN MX
Aug 03 10:21:48.070 client 200.11.114.35#51522: query: 241.148.226.168.in-addr.arpa IN PTR
Aug 03 10:21:48.181 client 200.11.114.19#1034: query: 101.20.241.85.IN-ADDR.ARPA IN PTR
Aug 03 10:21:48.397 client 200.11.114.35#51526: query: segemar.inpa.com.ar IN A
Aug 03 10:21:48.440 client 200.11.114.35#51527: query: shell.com IN MX
Aug 03 10:21:48.443 client 200.11.114.35#51528: query: dymail.com.ar IN MX
Aug 03 10:21:48.456 client 200.11.114.22#1028: query: 48.112.18.172.IN-ADDR.ARPA IN PTR
Aug 03 10:21:48.657 client 200.11.114.35#51530: query: gina.inpa.com.ar IN A
Aug 03 10:21:48.662 client 200.11.114.35#51531: query: earthlink.com IN MX
Aug 03 10:21:48.699 client 200.11.114.22#1028: query: clarin.com IN MX
Aug 03 10:21:48.732 client 200.11.114.22#1028: query: smtp.agea.com.ar IN A
Aug 03 10:21:49.904 client 200.11.114.14#32943: query: pop3.inpa.com.ar IN A
Aug 03 10:21:50.058 client 200.11.114.19#1034: query: 128.113.81.206.IN-ADDR.ARPA IN PTR
Aug 03 10:21:50.958 client 200.11.114.205#1806: query: www.clarin.com IN A
Aug 03 10:21:51.175 client 200.11.114.35#51532: query: 14.161.10.200.in-addr.arpa IN PTR

Respuesta:

Cada linea comienza con fecha, hora, IP y puerto del cliente que realizó la consulta.

  • Las queries del estilo dymail.com.ar IN MX son para averiguar la IP del servidor de mail de dymail.com.ar.
  • Las 241.148.226.168.in-addr.arpa IN PTR buscan obtener los nombres asociados a la IP 168.226.148.241 (recordar que se debe escribir la dir IP al reves, ya que la jerarquía en DNS se lee de derecha a izquierda).
  • Las segemar.inpa.com.ar IN A buscan obtener la dirección IP del host con ese nombre.

Ejercicio 13[editar]

Interprete detalladamente la siguiente secuencia de comandos realizadas desde un servidor cualquiera en Internet.

$ telnet pop3.inta.gov 110
Trying 200.11.141.35...
Connected to pop3.inta.gov
Escape character is '^]'.
+OK POP3 pop3.inta.gov v2001.78 server ready
user prueba
+OK User name accepted, password please
pass xxxxxxx
+OK Mailbox open, 7 messages
list
+OK Mailbox scan listing follows
1 14391
2 3884
3 1079
4 1257
5 1085
6 1086
7 6634
.
quit
+OK Sayonara
Connection closed by foreign host.

Respuesta:

Se utiliza POP3 sobre telnet para leer los mails del host pop3.inta.gov.ar. Recordar que telnet, además de ser un protocolo para usar un servidor desde terminales bobas, funciona como canal de comunicaciones para otros, como ser POP3.

El usuario ingresa user y pass (que viajan planos, es muy inseguro, se puede leer con un sniffer), y luego ejecuta elcomando list para ver los mails de su casilla.

Ejercicio 14[editar]

Acerca de certificados digitales,

  • ¿Qué técnicas de encriptación se utilizan para firmar un certificado digital?
  • ¿Qué protocolos existen para las técnicas mencionadas en el ítem anterior?
  • ¿En qué se basa la seguridad del uso certificados digitales?

Respuesta:

  • Se usan algoritmos de encriptación de clave asimétrica, como RSA. El firmante encripta un mensaje con su clave privada, y cualquiera puede desencriptarlo usando su clave pública. La idea es que solamente quien conoce la clave privada puede encriptarlo de forma tal que la pública funcione.
  • TSL/SSL utilizan certificados digitales en el handshake inicial para que el cliente verifique la autenticidad del servidor y obtenga su clave pública asociada.
  • En que solamente quien posee la clave privada es capaz de generar el certificado, y dicho certificado se encuentra emitido por una autoridad competente. Asimismo, al firmar conjuntamente el nombre y la clave publica del servidor se asegura que no pueda haber un intruso que se haga pasar por él copiando el certificado, ya que cualquier mensaje enviado por el cliente no podra ser desencriptado por el intruso.

Ejercicio 14 (del 2010)[editar]

El establecimiento de una cx TCP se realiza mediante un intercambio de 3 segmentos denominado 3-way handshake. Un ataque de seguridad muy conocido del tipo Denial of Service (denegación de servicio) consiste en abrir múltiples conexiones TCP a un servidor pero sin terminar de establecerlas. Es decir, el atacante envía un mensaje de establecer la cx (flag S), luego la víctima responde con un mensaje con flags S y A haciendo ACK del primer mensaje, pero el atacante nunca le envía el tercer mensaje. Indique una forma en la cual el host víctima se pueda defender solo, sin ayuda de ningún otro dispositivo en la red. Explique el mecanismo de defensa.

Este ataque se llama SYN attack o SYN flood y se soluciona con SYN Cookies, que se implementa solo del lado del servidor y funciona sobre TCP.

El ataque solo funciona si el server reserva recursos para las conexiones a medio abrir, así que la solución es no reservar los recursos hasta que la conexión se abrió completamente (SYN SYN+ACK ACK)

SYN Attack: Llenar la cola de SYNS del server con conexiones medio-abiertas. Cuando llega un SYN nuevo, lo tiene que tirar.

SYN Cookies es "un modo particular de elegir el valor inicial de SEQ por el servidor TCP".

SYN Cookies: Cuando la cola de SYNS se llenó y llega un SYN nuevo, lo que va a hacer el server es mandar un SYN+ACK con un SEQ particular que va a tener información: El SEQ se construye con una función que usa el timestamp del momento y datos del paquete SYN que llegó. Entonces, mando el SYN+ACK con este SEQ y tiro el SYN -así no ocupo cola. Cuando llega un ACK, chequeo si se corresponde con un posible SYN tirado recientemente(fijandome si es un posible input de la función para un timestamp cercano). Si es así, inicializo la conexión.

También existe una extensión de TCP (TCPCT) que lo corrige, pero es un protocolo y por lo tanto requiere que ambos interlocutores (las dos maquinas) lo conozcan, pero a esto no apunta el ejercicio.

Ejercicio 15[editar]

Un firewall que no mantiene el estado de las conexiones TCP necesita dejar pasar tráfico FTP. ¿En qué modo de FTP podría funcionar la comunicación a través del firewall?

Rta:

FTP podria funcionar en modo pasivo, ya que en ese caso todas las conexiones se establecen en el sentido cliente -> servidor y no son bloqueadas.

Ejercicio 16[editar]

Se tiene un servidor DNS que es primario para la zona dc.uba.ar y secundario para las zonas uba.ar y .ar ¿Se puede en ese servidor configurar todo lo necesario para las tres zonas, incluyendo la delegación? ¿Puede este servidor responder por información de otras zonas?

Respuesta:

Chequear: Si, es posible. El servidor tendria registros NS apuntando hacia si mismo para el dominio dc.uba.ar, pero no deberia devolverlo nunca ya que siempre deberia tener la info de todos los hosts. Respecto de devolver info de otras zonas, deberia ser posible, aunque generalmente los authoritative servers tienen la cache deshabilitada y no se usan para estos fines.

Ejercicio 17[editar]

HTTP es un protocolo orientado a texto, con lo cual archivos binarios, gráficos y sonidos, primero deben convertirse a texto (ASCII o algo parecido) antes de pasarlo por la red (uuencode, base64, etc.). Usando un capturador de paquetes de red, viendo paquetes que llevan HTTPS, los datos no se ven como caracteres de texto sino más bien binario. ¿Esto significa que HTTPS no hace “conversión” a texto?

Respuesta:

No. Significa que luego de hacer la conversión descripta, los datos pasarán encriptados por una conexión TLS.

Ejercicio 18[editar]

Se tienen dos servidores DNS para una zona en particular ubicados en distintos continentes. Uno es primario y el otro es secundario. El primario tuvo problemas con su disco duro y salió de servicio definitivamente. El secundario luego de transcurrido cierto tiempo dejó de responder requerimientos de DNS pero el servidor funciona bien (SO, hard, config de DNS). ¿A qué se puede deber esto?

Respuesta:

A que el servidor secundario, luego de no recibir actualizaciones del primario por un determinado tiempo, droppea las entradas correspondientes por considerarlas obsoletas.

Ejercicio 19[editar]

HTTP tiene dos comandos denominados GET y HEAD, donde el GET trae el objeto, datos del objeto y el resultado de la operación y HEAD solamente trae el resultado la operación y datos del objeto. ¿Para qué cree que puede ser útil usar HEAD?

Respuesta:

HEAD puede utilizarse para chequear la validez de un link (que no esté roto y se encuentre disponible) o para obtener la metadata del objeto, como ser el timestamp de última modificación.

Ejercicio 20[editar]

Pendiente chequear

  • ¿Puede un servidor DNS ser primario y secundario para una misma zona?
  • ¿Y para distintas zonas?

Respuesta:

  • Para la misma zona no tiene sentido, los secundarios se usan como cache o backup. En este caso si se cayera... como se levantaría a si mismo? Y para que va a cachear si ya tiene toda la información? Non-sense.

Ademas.. la diferencia entre primario y secundario es que uno recibe las zonas del admin y el otro del servidor primario. Si el admin les puso las zonas, por definicion es primario.

  • Si.

Ejercicio 21[editar]

En una red, todos los hosts envían sus paquetes IP con TTL=255 por razones de seguridad. Suponga que uno de los hosts de esa red recibe un paquete con dirección origen en esa misma red, pero con TTL<255. ¿Qué puede deducirse del punto de vista de la seguridad?

Respuesta:

Que alguien externo quiere meter paquetes en la red haciéndose pasar por alguien de la red.

Ejercicio 22[editar]

Explicar al menos 2 diferencias entre POP e IMAP para acceder al correo electrónico.

Respuesta:

Ambos responden al modelo cliente servidor para acceder a los mails remotamente, pero IMAP es mas potente que POP. Tiene las siguientes ventajas:

  • Las transacciones IMAP pueden durar mucho más tiempo.
  • El servidor guarda información del estado de los mail (si fueron leído o no, si fueron guardados en una carpeta, etc)
  • Se pueden definir distintas carpetas para acceder a distintos mailboxes.
  • Se puede conectar más de un cliente al mismo mailbox.
  • Posee buscadores que se ejecutan en el servidor

En contrapartida, es más complicado de implementar y consume más recursos.

Ejercicio 23[editar]

Explicar brevemente el significado de cada entrada de la siguiente porción de un archivo de configuración de la base de datos del DNS para el dominio cs.vu.nl.

(Ver la imagen con los registros..)

Ejercicio 24[editar]

Explique las diferencias entre estas dos secuencias de comandos realizadas desde un servidor cualquiera en Internet:

telnet www.inta.gov.ar 80 
GET / HTTP/1.1
Host: www.inta.gov.ar

telnet www.inta.gov.ar 80
GET / HTTP/1.1
Host: www.mercosurt.org.ar

Respuesta:

El servidor que se encuentra en www.inta.gov.ar escuchando en el puerto 80 parece soportar y servir virtual-hosts. En la primera el cliente está pidiendo al servidor el directorio "/" del URL http://www.inta.gov.ar. En cambio en la segunda, si bien se la pide al mismo host, en realidad quiere acceder al URL http://www.mercosurt.org.ar

Ejercicio 25[editar]

Interprete detalladamente la siguiente secuencia de comandos realizadas desde un servidor cualquiera en Internet.

$ telnet www.inta.gov.ar 80
HEAD / HTTP/1.1
Host: www.inta.gov.ar
Trying 200.10.166.33...
Connected to www.inta.gov.ar.

Escape character is '^]'.
HTTP/1.1 200 OK
Date: Fri, 02 Sep 2005 19:36:42 GMT
Server: Apache
X-Powered-By: PHP/5.0.4
Content-Type: text/html

Respuesta:

El cliente se conecta al puerto 80 (HTTP well-known port) de www.inta.gov.ar. Antes de que se establezca la conexión escribe un comando HTTP HEAD para obtener los headers del recurso /, avisando que el host es www.inta.gov.ar (obligatorio en HTTP 1.1). Lo que escribe el usuario es buffereado por el programa telnet.

Luego se establece la conexión y los datos son enviados. La respuesta del servidor contiene la ultima fecha de modificación del recurso, el nombre del servidor, la version de PHP que corre y el tipo de contenido que transferiría en caso de hacer un GET.

Ejercicio 26[editar]

Indicar si las siguientes afirmaciones son verdaderas o falsas:

  1. Mediante una consulta DNS se puede averiguar cuál es la dirección IPv4 del host zorzal.dc.uba.ar
  2. Mediante una consulta DNS se puede averiguar cuál es el nombre del host con dirección IPv4 200.10.166.35
  3. Mediante una consulta DNS se puede averiguar que versión del protocolo IP está corriendo en el host zorzal.dc.uba.ar
  4. Mediante una consulta DNS se puede averiguar cuál es la dirección IPv4 del host cuya dirección MAC es la 00:07:E9:85:06:98
  5. Mediante una consulta DNS se puede averiguar cuál es el servidor de correo POP3 para el dominio inta.gov.ar

Respuestas:

  1. Verdadero, para eso existe DNS.
  2. Verdadero, se usa reverse lookup, con el nombre 35.166.10.200.in-addr.arpa
  3. Verdadero, se puede hacer indirectamente con registros AAAA, aunque no es garantia de nada.
  4. Falso, DNS no tiene idea de N2
  5. Falso, POP3 es para correo interno.. pero puede darte pistas?

Ejercicio 27[editar]

Un servidor Web cuya dirección IP es 168.83.72.5 levanta el servicio en el port TCP/80. En una PC cuya dirección es 157.92.27.33 alguien abre dos ventanas de un navegador y en cada una de ellas abre simultáneamente una página distinta del mismo servidor. ¿Es esto posible? ¿Cómo se distinguen los paquetes que son para una ventana de los que son para la otra?

Respuesta:

El cliente sale a distintas página por dos puertos distintos, generando así dos conexiones TCP diferentes. En cada una pide la página correspondiente, la demultiplexación de TCP resuelve el problema de los paquetes.

Chequear: HTTP 1.1 no parece ayudar mucho con esto, al menos no veo que en un response diga la pagina que está dando en el header de respuesta. Supongo que tambien podria ocurrir que al abrir la primera ventana (porque alguna va a abrirse antes que la otra) abrimos una conexión HTTP/1.1 persistente y mandamos el query. Cuando se abre la otra se usa la misma conexión y se manda el otro query. Como tenemos el orden en el que madamos los pedidos sabemos al llegar una respuesta a que "ventana" debe ir.

Ejercicio 28[editar]

Ayer a la noche, Pablo se conectó a Internet y envió email al server SMTP de su proveedor. El siguiente es el registro de los paquetes de aquella conexión:

Frame Source Address Dest. Address Summary

1  [209.13.34.94]  [200.61.33.5]  DNS: C  ID=93 OP=Query Name=mail.sinectis.com.ar 
2  [200.61.33.5]  [209.13.34.94] DNS:  R    ID=93  OP=Query  STAT=OK NAME=mail.sinectis.com.ar 
3  [209.13.34.94]  odin.sinectis.comTCP: D=25     S=1204 SYN  SEQ=3405653374 WIN=16384 
4  odin.sinectis.com  [209.13.34.94] TCP:  D=1204  S=25          SYN    ACK=3405653375 SEQ=2978859689 
5  [209.13.34.94]  odin.sinectis.comTCP: D=25     S=1204      ACK=2978859690 WIN=16560 
6  odin.sinectis.com  [209.13.34.94]  SMTP: R PORT=1204 220 mail.sinectis.com.ar ESMTP 
7  [209.13.34.94]  odin.sinectis.comTCP: D=25     S=1204      ACK=2978859755 WIN=28495 
8  [209.13.34.94]  odin.sinectis.comSMTP: C PORT=1204     Text Data 
9  odin.sinectis.com  [209.13.34.94]  TCP: D=1204 S=25          ACK=3405653376 WIN=31740 
10  [209.13.34.94]  odin.sinectis.comSMTP: C PORT=1204     Text Data 
11  odin.sinectis.com  [209.13.34.94]  TCP: D=1204 S=25          ACK=3405653410 WIN=31740 
12  [209.13.34.94]  odin.sinectis.comSMTP: C PORT=1204     Text Data 
13  odin.sinectis.com  [209.13.34.94]  TCP: D=1204 S=25          ACK=3405653426 WIN=31740 
14  [209.13.34.94]  odin.sinectis.comSMTP: C PORT=1204     Text Data 
15  odin.sinectis.com  [209.13.34.94]  SMTP: R PORT=1204  mail.sinectis.com.ar closing connection
16  odin.sinectis.com  [209.13.34.94] TCP:  D=1204  S=25          FIN    ACK=3405654203 SEQ=2978859944 
17  [209.13.34.94]  odin.sinectis.com TCP:  D=25      S=1204      FIN    ACK=2978859780  SEQ=3405654203 
18  odin.sinectis.com  [209.13.34.94]  TCP: D=1204 S=25          ACK=3405654204 

  • Supongamos que entre la PC de Pablo y "odin.sinectis.com" existe un firewall. ¿ Es necesario

configurar algo en el firewall para que se puedan conectar ?

  • Con esta suposición, ¿ Cambiarían en algo los datos que aparecen en el registro de paquetes ?
  • ¿ Qué secuencia de comandos SMTP o ESMTP pudieran ser los ejecutados en los frames 8, 10,

12 y 14 ?

Ejercicio 29[editar]

Se tiene para la zona dc.uba.ar tres servidores de DNS, uno primario y dos secundarios. Mencionar al menos una característica que debieran tener estos servidores para que den un servicio de DNS tolerante a fallos. Suponiendo que el servidor primario esta muy sobrecargado de tareas (brinda otros servicios además de DNS), indicar dos mecanismos para aliviar la carga de este servidor.

Rta:

  • Para tolerancia a fallos: se podria tenerlos en lugares distintos.
  • Para aliviar la carga:
    • El receptor podria elegir un resultado al azar de la lista que devuelve el server DNS cuando responde a un pedido, de esa manera no se llama siempre al mismo.
    • Otro podria ser no exportar al server primario en los registros de delegacion. Que los clientes pregunten solo a los secundarios y que el primario solo haga transfers de zona.

Ejercicio 30[editar]

Se tiene: C=clave publica, D=clave privada. Explicar mediante fórmulas matemáticas como se realiza el proceso de autenticación usando las claves mencionadas.

Ejercicio 31[editar]

Una empresa decide instalar un servidor de Web. Se espera que se conecten hasta 5 clientes simultáneamente.

  • ¿Cuántas direcciones IP diferentes necesita el servidor?
  • ¿Cuántos puertos diferentes debe estar escuchando el servidor WEB?
  • Si además se decide agregar el servicio de telnet server para los administradores, ¿se modifican las respuestas anteriores? ¿Por qué?

Respuesta:

  • Con una dirección IP basta
  • Solamente el well-known port para acceso web
  • Debe agregarse el puerto correspondiente a telnet server, con el mismo IP alcanza.

Ejercicio 32[editar]

¿ Qué errores encuentra en el siguiente log de una conexión SMTP al puerto 25 ?

Frame Destination Source Bytes Proto Summary

1  [192.168.10.5]      [192.168.10.53]    62  TCP  D=25  S=3259  SYN  SEQ=3892012277 LEN=0 WIN=16384 
2  [192.168.10.53]     [192.168.10.5]      62  TCP  D=3259  S=25  ACK=3892012278 SEQ=3659884369 LEN=0 WIN=64240 
3  [192.168.10.5]      [192.168.10.53]    60  TCP WIN=17520 
4  [192.168.10.53]     [192.168.10.5] 180  SMTP  R  PORT=3259   220  mail.example.com Microsoft ESMTP MAIL Service 
5  [192.168.10.5]      [192.168.10.53]    60  TCP  D=25  S=3259          RST  ACK=3659884496 WIN=17394 
6  [192.168.10.5] [192.168.10.53]    60  SMTP   C PORT=3259   Text Data 
7  [192.168.10.53]    [192.168.10.5]      60  TCP  D=3259  S=25          ACK=3892012279 WIN=64239 
8  [192.168.10.5]      [192.168.10.53]    60  SMTP   C PORT=3259   Text Data 
9  [192.168.10.53]     [192.168.10.5]      60  TCP  D=3259  S=25          ACK=3892012280 WIN=64238 
10  [192.168.10.5]      [192.168.10.53]    60  SMTP   C PORT=3259   Text Data 
11  [192.168.10.53]     [192.168.10.5]      60  TCP  D=3259  S=25          ACK=3892012281 WIN=64237 
12  [192.168.10.5]      [192.168.10.53]    60  SMTP   C PORT=3259   Text Data 
13  [192.168.10.53]     [192.168.10.5]      60  TCP  D=3259  S=25          ACK=3892012282 WIN=64236 
14  [192.168.10.5]      [192.168.10.53]    60  SMTP   C PORT=3259   Text Data 
15  [192.168.10.53] [192.168.10.5] 128  SMTP  R  PORT=3259 221 2.0.0 mail.example.com  Service closing txmission  
16  [192.168.10.53]   [192.168.10.5]    60  TCP  D=3259  S=25  FIN  ACK=3892012284 SEQ=3659884570 LEN=0  WIN=64234 
17  [192.168.10.5]      [192.168.10.53]    60  TCP  D=25  S=3259          SEQ=3659884571 WIN=17320 
18  [192.168.10.5]     [192.168.10.53]   60  TCP  D=25  S=3259  FIN  ACK=3659884571 SEQ=3892012284 LEN=0 WIN=17320 
19  [192.168.10.53]     [192.168.10.5]      60  TCP  D=3259  S=25          ACK=3892012285 WIN=64234 

Ejercicio 33[editar]

Describir porque DNS puede considerarse un sistema distribuido.

Respuesta:

Porque la información de los dominios no se encuentra centralizada en un solo servidor sino que se encuentra distribuida en una jerarquía.

Ejercicio 34[editar]

¿ Un servidor secundario de DNS siempre responde con la información de la zona del cuál es autoritativo?

Rta: Si se le pregunta por algo que él sabe, responde. Si se le pregunta por algo de una zona de la cual no es autoritativo, depende de la configuración.

Ejercicio 35[editar]

En HTTP 1.0 generalmente el servidor es el que corta la conexión TCP enviando un RST después de enviada la respuesta al navegador. ¿A qué cree que se debe esto?

Respuesta:

A que HTTP 1.0 no maneja persistencia de conexiones, con lo cual una vez enviada la respuesta del servidor la conexión TCP establecida se termina, entonces es factible enviar el reset.

Ejericico 36 (del 2010)[editar]

Los mecanismos de hash (SHA, MD5) permiten encriptar información pero no desencriptarla. Indicar dos usos de estos mecanismos en términos de seguridad en redes.

  • Guardar contraseñas
  • Para firmar documentos eficientemente: En lugar de calcular la firma del documento entero con la clave privada se calcula el hash del documento y se firma este hash, que es cortito.

Ejercicio 36[editar]

Para cada una de las siguientes aplicaciones analizar su implementación utilizando un servicio orientado a conexión versus un servicio sin conexión.

  • Transferencia de archivos
  • Control de una línea de producción
  • Login remoto
  • Validación de tarjetas de crédito
  • Consultas DNS
  • Transferencias de zona DNS
  • HTTP
  • Login remoto seguro
  • POP3
  • IMAP
  • SMTP

Ejercicio 37[editar]

  1. ¿Cuáles son los factores que afectan el tiempo de respuesta de HTTP?
  2. ¿Qué resultaría mas sencillo, programar un servidor http o un cliente HTTP?
  3. ¿Es posible tener dos servidores http en una misma máquina?
  4. Suponga la siguiente página escrita en HTML que reside en el servidor www.fcen.uba.ar, ¿cuántas conexiones TCP utiliza el browser en total para transferir la totalidad de la información? ¿Cómo indica el servidor que un objeto se transmitió completamente?

<html><head><title>Facultad de Ciencias Exactas y Naturales</title></head> <body bgcolor="#90c8ff" vlink="#0000aa"> <center><font face="arial" size="4">Facultad de Ciencias Exactas<br> y Naturales - FCEyN</font><br> <font face="arial" size="2">Universidad de Buenos Aires <br> Republica Argentina</font><br> <img alt="FCEyN - Pabellon II" src="archivos/e2-400.jpg" height="129" width="400"></center> <br> Facultad de Ciencias Exactas y Naturales <br><br> </body></html>

Respuesta:

  1. Afecta la calidad de la red TCP subyacente, la cantidad de clientes a los que está sirviendo el servidor, su capacidad de procesamiento, el tamaño de los recursos y la disponibilidad de los mismos (tiempo de acceso a disco, por ejemplo), entre otros.
  2. Los dos son complicados y no me metería con ninguno. El cliente (si abarca hasta el browser) tiene la complejidad de tener que parsear el HTML recibido para hacer los pedidos de los demás objetos. El servidor tiene la complejidad de ser un servidor, y tener que manejar muchos hilos y concurrencia para atender los pedidos.
  3. Sí, se denominan servidores virtuales. Para poder acceder a ellos, es necesario usar la ruta completa al recurso en la URL de un GET si se usa HTTP 1.0. El problema está resuelto en HTTP 1.1 con el agregado del header obligatorio host.
  4. Si es 1.0, debe hacer dos conexiones TCP. En la primera obtiene el código HTML, en la segunda, la imagen archivos/e2-400.jpg. En 1.1 puede intentar mantener abierta la conexión y hacer el segundo GET en cuanto obtiene el HTML. El servidor indica la transmisión completa de un objeto especificando la longitud del cuerpo mensaje y, en el caso de 1.0, generalmente cerrando la conexión TCP.

Ejercicio 38[editar]

El mecanismo original de resolución de nombres usaba una tabla central de hosts.txt, que era distribuida a todos los hosts cada pocos días. Describa las razones por las que este mecanismo no es utilizado en la actualidad.

Respuesta:

Porque hay demasiados clientes y demasiados dominios como para que la transmisión de un único archivo de tal tamaño sea distribuido frecuentemente a todos los hosts. Además, actualmente la asignación nombre de dominio a host TCP/IP es mucho más dinámica, y se logra a través de los DNS; sería imposible de mantener con un archivo centralizado. Este archivo además resultaría demasiado grande como para poder recorrerlo eficazmente. También sería un mecanismo más lento a reconocer nuevos dominios, o bajas de los mismos.

Ejercicio 39[editar]

Usted trabaja como Ingeniero en Seguridad Informática en una empresa Proveedora de Servicios de Internet (ISP). Desde el Departamento de Ventas recibe un requerimiento de una empresa que tiene su casa central en Buenos Aires y una sucursal en Mendoza.

El requerimiento consiste en conectar entre sí las redes de la casa central y la sucursal remota, proveyendo al mismo tiempo acceso Internet a ambos lugares.

  • Indique qué cuestiones debe relevar con el cliente para estudiar la factibilidad de implementar la solución mediante una Red Privada Virtual (VPN) utilizando túneles IPIP.
  • Muestre mediante un diagrama de red un proyecto tentativo, indicando los dispositivos utilizados y funciones de los mismos, el esquema de direccionamiento de las redes, las políticas de ruteo a utilizar, y cualquier otro punto que considere relevante.
  • Indique los problemas de seguridad que encuentra en la solución tentativa y proponga modificaciones para mejorar la seguridad de la misma.

Ejercicio 40[editar]

El siguiente es un dump de paquetes TCP obtenido con el utilitario tcpdump:

14:07:09.875934 host98.advance.com.ar.domain > tamy.inta.gov.ar.43272:  58577* 1/2/2 (165) (DF) 
14:07:09.876298 pcc09.inta.gov.ar.1638 > tamy.inta.gov.ar.domain:  5+ A? de.uol.com.br. (31) 
14:07:09.877816 pcc09.inta.gov.ar.1638 > tamy.inta.gov.ar.domain:  5+ A? de.uol.com.br. (31) 
14:07:09.879658  tamy.inta.gov.ar.43272 > eliot.uol.com.br.domain:    64189  [1au]  A?  de.uol.com.br.  (42) (DF) 
14:07:09.880707 tamy.inta.gov.ar.43272 > ns1.darpa.mil.domain: 1095 [1au] PTR?86.250.224.164.in-addr.arpa.(56)(DF) 
14:07:09.946942  eliot.uol.com.br.domain >  tamy.inta.gov.ar.43272: 64189*-  1/2/3  A  de.uol.com.br  (131) (DF) 
14:07:09.948186 tamy.inta.gov.ar.domain > pcc09.inta.gov.ar.1638:  5 1/2/0 A de.uol.com.br (88) (DF) 
14:07:09.949762 tamy.inta.gov.ar.domain > pcc09.inta.gov.ar.1638:  5 1/2/0 A de.uol.com.br (88) (DF) 

¿ Qué protocolo de nivel de aplicación generó este dump ? Explicar lo más detalladamente posible qué significado le atribuye al contenido del dump.

Ejercicio 41[editar]

Chequear!

Suponga que un usuario, María, descubre que su llave privada de RSA (d1, n1) es igual que la llave pública RSA (e2, n2) de otro usuario, Oscar. Es decir d1 = e2 y n1 = n2. ¿Debe María considerar cambiar su llaves pública y privada? Explique su respuesta.

Respuesta:

Si, porque ahora ambos usuarios saben la clave publica y privada entre ellos. Si coincide un par debería coincidir el otro par.

Ejercicio 42[editar]

Dé una razón por la que un firewall pueda ser configurado para examinar tráfico entrante. Dé una razón por la que pueda ser configurado para examinar tráfico saliente.

Rta:

Entrante: por si alguien quiere explotar una vulnerabilidad remota, por si alguien quiere conectarse a un toyano instalado localmente, etc

Saliente: un troyano o spyware puede querer enviar informacion personal, la maquina pudo haber sido convertida en un zombi, etc

Ejercicio 43[editar]

¿Puede una máquina con un solo nombre DNS tener múltiples direcciones IP? ¿Cómo podría esto ocurrir?

Respuesta:

Sí, hay un tipo de registro DNS particular para indicar aliases.

Ejercicio 44[editar]

Chequear!

¿Puede una computadora tener dos nombres DNS en dos diferentes top-level domains? Si es así dé un ejemplo plausible. Si no, explique porqué no.

Respuesta:

Si, una misma computadora A.B.C.D puede hostear virtualmente dos paginas www.uno.ar y www.dos.com.

Ejercicio 45[editar]

¿Pueden dos servidores de DNS (uno primario y otro secundario) de una zona específica tener distinto "Serial Number"? Explicar.

Rta:

Si, es posible, ya que con el "serial number" el servidor puede verificar si el servidor primario realizo una modificacion. Por lo tanto, si se actualizo algo en el servidor primario y el secundario todavia no realizo un pull para actualizar sus datos, este tendra un "serial number" diferente.

Ejercicio 46[editar]

¿Cuántas conexiones TCP usará una sesión de FTP, donde el cliente lista los archivos que están en un directorio y luego baja dos de ellos?

Respuesta:

Cuatro. Una conexión de control (siempre presente), otra para obtener la lista de archivos y las otras dos para bajar los archivos.

Ejercicio 47[editar]

Dos personas que nunca se vieron ni se conocen desean comunicarse entre sí, pero no hay ningún tercero de confianza o una cadena de confianza entre ellos que pueda certificar la identidad de uno ante el otro. ¿Es posible establecer una comunicación segura entre ellos? Puede usar criptografía de clave pública o secreta, pero no puede basarse en que un tercero (de ningún tipo) certifique la identidad de los interlocutores.

Respuesta:

No, lo mínimo que se necesitaría es que algún tercero provea la clave pública de los interlocutores. De lo contrario, un intruso podría colocarse entre ambos y enviar claves públicas distintas a las verdaderas (las cuales generó el mismo, con lo que posee las privadas), y filtrar toda la información haciéndose pasar por el interlocutor.

Ejercicio 48[editar]

Explicar al menos dos ventajas de usar HTTP o FTP sobre SCTP, en vez de TCP.

Rta:

Hint de Ernesto: Pensar en los multiples flujos por conexion y el multi-homing.

Ejercicio 49[editar]

En la zona “dc.uba.ar” se cuenta con un servidor primario y tres secundarios de DNS. Mencionar dos características a tener cuenta para que la zona sea tolerante a fallos y se pueda balancear la carga.

Rta: Perdon pero.. no preguntan esto en el Ejercicio 29, digo yo??

Ejercicio 50[editar]

Un firewall que protege una red envía TCP RST cuando detecta alguna anomalía en alguna conexión determinada. Describir una ventaja y una desventaja de usar esta técnica.

Rta:

  • Una ventaja es que puede evitar ataques de forma temprana, por ejemplo evitando que se produzca un SYN flooding al ver que se quieren establecer demasiadas conexiones seguidas a un mismo destino (IP y puerto).
  • Una desventaja es que un firewall no tiene conocimiento a nivel de aplicacion, por lo que a el le puede parecer una anomalia, tal vez sea algo totalmente valido para el nivel de aplicacion. Por ej, puedo tener un servidor FTP, y como el firewall no conoce de este protocolo puede pensar que existe una anomalia y hacer un RST de la conexion.

Ejercicio 51[editar]

Para un canal de comunicación segura, ¿Qué aspectos NO son cubiertos por el uso de algoritmos de clave pública/privada?

Respuesta:

El hecho de que las claves públicas de los interlocutores efectivamente les pertenezcan, y no sean las de un intruso que se hace pasar por los interlocutores.

Ejercicio 52 (del 2010)[editar]

Una PC se conexta a Internet protegida por un filtro stateless que impide que el primer paquete de una conexión TCP pase, lo que bloquea conexiones hacia ella desde afuera. La PC usa syn-cookies y por error se usó la función identidad en lugar de una función segura para la generación del propio número de secuencia (#_seq_pc = #_seq_del_otro). Muestre como haría para pasar el firewall y conectarse a un servicio que tiene un puerto abierto en la PC. Explique porque funciona la técnica usada.

Si no sabes que es SYN Cookies, mirá el Ejercicio 14

"Impide que el primer paquete de una conexión TCP pase" supongo que significa que no se deja pasar SYN=1 y ACK=0 desde afuera.

Para sortear el firewall se manda un segmento TCP que diga SEQ = n y ACK = n.

¿Por que esto funciona?

Por que el server tiene TCP Cookies, entonces cuando le llegue un ACK se va a fijar si corresponde a un posible SYN descartado anteriormente.

Entonces, como no es en base a timestamp la función, sino a SEQ del otro, la suposición de server es:

SYN -> SEQ = x (El cliente me envio un pedido de conexión con un SEQ dado)

SYN+ACK -> SEQ = x (Yo calculé mi SEQ especial, pero soy medio nabo)

Entonces, un ACK se corresponderá con esta conexión si tiene:

ACK = x+1 y SEQ = x+1.

Suponiendo que no se guardan los x, entonces cualquier paquete con ACK= SEQ inicilizará una conexión.

Supuse que no se guardan los x porque

  • Si se guardaran la verdad que no veo forma de entrarle,
  • Además TCP Cookies funciona calculando en el momento los posibles SEQ asociados de pedidos de conexiones pasadas

Ejercicio 52[editar]

Chequear!

¿Cuántas conexiones TCP seran necesarias para que un navegador pueda mostrar un web site, compuesto de un archivo .html y tres archivos .jpg (para uno de ellos la URL empieza con “https://...") que se encuentran en un servidor y otros dos archivos .jpg que se encuentran en otro servidor?

Respuesta:

  • Con HTTP/1.0: Seis conexiones, una para cada archivo.
  • Con HTTP/1.1: Una conexión plana y una segura para el primer servidor y una conexión para el segundo servidor.

Ojo: se trata de HTTPS que no lo vimos!

Ejercicio 53[editar]

Justificar la siguiente frase: “DNS es el unico sistema distribuido global que funciona”.

Respuesta:

No tiene justificación ni perdón de Dios.

Ejercicio 54[editar]

Para un canal de comunicación segura, ¿En qué se basa la seguridad si trabaja con certificados digitales?

Respuesta:

Se basa en que la autoridad, la cual emitió el certificado que autentica la identidad y clave pública del servidor, se supone confiable.

Ejercicio 55[editar]

¿Pueden dos conexiones FTP iniciadas desde una máquina A estar bajando el mismo archivo del mismo servidor B al mismo tiempo?

Respuesta:

Deberian, pues cuando se genera una conexión FTP para bajar un archivo, se indica en ese momento el puerto a utilizar, con lo que se podrían tener dos conexiones TCP cada una usando puertos distintos.

Ejercicio 56[editar]

Completar!

Explique brevemente qué observa en la siguiente sesión SMTP.

Connecting to smtp-2.dc.uba.ar [157.92.27.62]:25 ... connected
SMTP<< 220 smtp-2.dc.uba.ar ESMTP
SMTP>> EHLO maiz.inta.gov.ar
SMTP<< 250-smtp-2.dc.uba.ar
250-PIPELINING
250-DATAZ
250-STARTTLS
250-AUTH LOGIN PLAIN
250 8BITMIME
SMTP>> MAIL FROM:<[email protected]>
SMTP>> RCPT TO:<[email protected]>
SMTP>> DATA
SMTP<< 250 ok
SMTP<< 554 Sorry, no mailbox here by that name. (#5.1.1)
SMTP<< 503 RCPT first (#5.5.1)
SMTP>> QUIT

Respuesta:

Está en un parcial de los que fotocopiamos, hay que copiarla.

Ejercicio 57[editar]

El siguiente es un extracto de un reporte obtenido del sitio http://www.dnsreport.com sobre el estado de la zona “cisco.com”. Explicar brevemente el significado de cada entrada del reporte.

DNS Report for cisco.com Generated by www.DNSreport.com at 21:20:26 GMT on 25 Nov 2005.

(...cuadro...)