Diferencia entre revisiones de «Práctica 5: Aplicaciones y Seguridad (Teoría de las Comunicaciones)»
| Línea 1: | Línea 1: | ||
__NOTOC__ | __NOTOC__ | ||
{{Back|Teoría de las Comunicaciones}} | |||
==Ejercicio 01== | ==Ejercicio 01== | ||
| Línea 421: | Línea 421: | ||
* Con una dirección IP basta | * Con una dirección IP basta | ||
* Solamente el well-known port para acceso web | * Solamente el well-known port para acceso web | ||
* | * Debe agregarse el puerto correspondiente a telnet server, con el mismo IP alcanza. | ||
==Ejercicio 32== | ==Ejercicio 32== | ||
Revisión del 14:53 23 nov 2007
Ejercicio 01
Lea la página del manual del utilitario nslookup utilizado para comunicarse interactivamente con servidores DNS. Determine que secuencia de name servers son contactados para resolver los nombres www.w3.org y www.dc.uba.ar
Ejercicio 02
Consultas DNS. Explique brevemente qué se consulta y qué significa la respuesta:
$ nslookup -q=cname www.anta.gov.ar Server: o200.prime.com.ar Address: 200.44.0.108 Non-authoritative answer: www.anta.gov.ar canonical name = heidi.anta.gov.ar Authoritative answers can be found from: anta.gov.ar nameserver = deisy.anta.gov.ar anta.gov.ar nameserver = samantha.anta.gov.ar deisy.anta.gov.ar internet address = 200.10.166.34 samantha.anta.gov.ar internet address = 200.10.166.31 $ nslookup -q=ptr 200.10.166.30 Server: o200.prime.com.ar Address: 200.44.0.108 30.166.10.200.in-addr.arpa name = heidi.anta.gov.ar 30.166.10.200.in-addr.arpa name = anta.gov.ar 166.10.200.in-addr.arpa nameserver = deisy.anta.gov.ar 166.10.200.in-addr.arpa nameserver = samantha.anta.gov.ar deisy.anta.gov.ar internet address = 200.10.166.34 samantha.anta.gov.ar internet address = 200.10.166.31
Respuesta:
En el primer caso se pide el canonical name de www.anta.gov.ar. Es decir, cual es el nombre verdadero de la máquina donde se encuentra situado dicho alias. El servidor o200.prime.com.ar, en 200.44.0.108, que no es autoritativo para esa zona, sino que seguramente sea el cache-only DNS que utiliza el cliente para obtener sus respuestas, responde indicando que el nombre canonico es heidi.anta.gov.ar. Indica también los nombres e IP de los nameservers autoritativos de la zona anta.gov.ar de donde se puede obtener dicho resultado.
El segundo caso es un reverse lookup, donde dada una IP se solicita el nombre. Nuevamente la respuesta la otorga o200.prime.com.ar. Dicha IP se encuentra mapeada a los nombres heidi.anta.gov.ar y anta.gov.ar. Para hacer un reverse lookup de la IP A.B.C.D, se debe buscar el record PTR de la direccion D.C.B.A.in-addr.arpa. El servidor también responde con los nombres de los nameservers autoritativos sobre el rango IP 200.10.166.0.
Ejercicio 03
Describir la búsqueda de la dirección IP de algún servidor de correo electrónico para el dominio dc.uba.ar.
Rta:
Se manda un query al servidor de nombres de dc.uba.ar con la siguiente forma pidiendo el mail server (MX).
laverne:~ vortex$ dig dc.uba.ar IN MX ; <<>> DiG 9.3.4 <<>> dc.uba.ar IN MX ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12485 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 4 ;; QUESTION SECTION: ;dc.uba.ar. IN MX ;; ANSWER SECTION: dc.uba.ar. 566 IN MX 10 smtp-2.dc.uba.ar. dc.uba.ar. 566 IN MX 10 smtp-1.dc.uba.ar. ;; AUTHORITY SECTION: uba.ar. 65635 IN NS ns2.telespazio.net.ar. uba.ar. 65635 IN NS ns1.uba.ar. uba.ar. 65635 IN NS ns1.telespazio.net.ar. uba.ar. 65635 IN NS ns2.uba.ar. ;; ADDITIONAL SECTION: smtp-2.dc.uba.ar. 566 IN A 157.92.27.62 ns1.uba.ar. 5290 IN A 157.92.1.1 ns1.telespazio.net.ar. 21595 IN A 200.108.64.65 ns2.telespazio.net.ar. 18388 IN A 200.108.64.129 ;; Query time: 13 msec ;; SERVER: 200.49.156.4#53(200.49.156.4) ;; WHEN: Sat Nov 17 21:33:26 2007 ;; MSG SIZE rcvd: 224
Es interesante notar que el pedido fue hecho al cache de DNS de Fibertel y que parece que no tiene la información adicional completa (falta 1 server de SMTP y uno de NS de uba.ar). Si hacemos el lookup directamente en el servidor de nombres de dc.uba.ar obtenemos:
laverne:~ vortex$ dig @157.92.27.241 dc.uba.ar MX ; <<>> DiG 9.3.4 <<>> @157.92.27.241 dc.uba.ar MX ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24943 ;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 4 ;; QUESTION SECTION: ;dc.uba.ar. IN MX ;; ANSWER SECTION: dc.uba.ar. 600 IN MX 10 smtp-2.dc.uba.ar. dc.uba.ar. 600 IN MX 10 smtp-1.dc.uba.ar. ;; AUTHORITY SECTION: dc.uba.ar. 600 IN NS ns-1.dc.uba.ar. dc.uba.ar. 600 IN NS ns-2.dc.uba.ar. dc.uba.ar. 600 IN NS ns1.uba.ar. dc.uba.ar. 600 IN NS ns2.uba.ar. ;; ADDITIONAL SECTION: smtp-1.dc.uba.ar. 600 IN A 157.92.27.61 smtp-2.dc.uba.ar. 600 IN A 157.92.27.62 ns-1.dc.uba.ar. 600 IN A 157.92.27.241 ns-2.dc.uba.ar. 600 IN A 157.92.27.253 ;; Query time: 18 msec ;; SERVER: 157.92.27.241#53(157.92.27.241) ;; WHEN: Sat Nov 17 21:44:16 2007 ;; MSG SIZE rcvd: 211
Ejercicio 04
Mencionar ventajas y desventajas de usar HTTP 1.0 (no persistente) versus HTTP 1.1 (persistente).
Respuesta:
HTTP 1.1 reduce la cantidad de conexiones TCP a crear cuando se desean hacer muchos pedidos a un mismo servidor. Una ventaja de tener una sola conexión permanente es que tenemos mejor información de congestión. De esta manera una vez establecida una buena ventana aprovechamos la velocidad en lugar de tener que recomenzar cada vez.
Tiene como inconveniente el hecho de que el servidor debe mantener más conexiones abiertas y saber el tiempo de inactividad de cada una para poder elegir cuál cerrar en caso de quedarse sin recursos; lo cual supone un overhead adicional.
Ejercicio 05
Describir qué es ETRN en ESMTP.
Respuesta:
El protocolo ESMTP es una extensión del protocolo SMTP. Entre otras cosas, se agregan los siguientes comandos:
• EHLO dominio Hace que el servidor realice una consulta al DNS del reverso del dominio indicado para verificar que el mismo exista.
• ETRN dominio Extended Turn. Este comando permite que el CLIENTE le pida al SERVIDOR que le envíe todos los mensajes que posee destinados al CLIENTE. Si hay mensajes para la máquina cliente, el servidor debe iniciar una NUEVA sesión SMTP para enviarle los mensajes.
Ejercicio 06
Una empresa decide instalar un servidor Web. Se espera que se conecten hasta 5 clientes simultáneamente.
- ¿Cuántas direcciones IP diferentes necesita el servidor?
- ¿Cuántos puertos diferentes debe estar escuchando el servidor WEB?
Respuesta:
Con una única dirección y puerto basta, ya que las conexiones TCP se arman en base a las 4-uplas de direccion-puerto origen-destino.
Ejercicio 07
La red de un banco esta compuesta de un backbone que conecta a 15 sucursales distribuidas en distintas ciudades del interior, donde la salida a Internet es solo a través del backbone ubicado en Buenos Aires. Se quiere instalar servidores DNS para ser tolerantes a fallos y poder distribuir la carga. ¿Cómo se puede lograr esto?
Ejercicio 08
Si un navegador de Internet usa HTTP/1.1 (persistente) para establecer conexiones y el usuario decide conectarse con un servidor HTTP que solo usa HTTP/1.0 (no-persistente), ¿Qué sucede?
Respuesta:
El cliente detectará que el servidor es 1.0 y no se realizará una conexión explícita entre ambos. HTTP 1.1 mantiene compatibilidad hacia atrás con 1.0.
Ejercicio 09
Al visualizar el contenido de una página web se bajan archivos de los siguientes servidores:
- Server1: 3 archivos JPG y un HTML
- Server2: 2 archivos GIF
- Server3: 1 archivo WAV
¿Cuántas conexiones TCP se realizan si se utiliza HTTP 1.0 y HTTP 1.1?
Respuesta:
En el caso de 1.0, se deben realizar 7 conexiones TCP, una por cada GET realizado a cada servidor. Con 1.1 pueden usarse solamente tres conexiones, una por servidor, manteniendolas abiertas hasta realizar todos los pedidos.
Ejercicio 10
Se dice que DNS puede ser tolerante a fallos. ¿Cómo se implementa esto para una zona en particular?
Respuesta:
Se mantiene siempre un servidor slave por lo menos, por cada zona de autoridad. Los servidores que apuntan a dicha zona tienen un registro NS y uno A por cada uno de estos servidores.
Por ejemplo, se tiene la zona dc.uba.ar que depende de uba.ar. Se tienen dos servidores, jose.dc.uba.ar y pepe.dc.uba.ar, el primero master y el segundo slave, con las tablas de los hosts y zonas que dependen del dc. Los records de uba.ar contienen entonces los registros:
<dc.uba.ar, jose.dc.uba.ar, NS, IN> <jose.dc.uba.ar, 157.92.27.41, A, IN> <dc.uba.ar, pepe.dc.uba.ar, NS, IN> <pepe.dc.uba.ar, 157.92.27.42, A, IN>
Ejercicio 11
Una compañía desea publicar en Internet un sistema de comercio electrónico. El sistema consta de un servidor Web que publica un portal, un servidor de transacciones seguras (HTTPS), un servidor de mail (SMTP) y un servidor de base de datos en la cual se validarán y registrarán las transacciones. Se desea proteger el sistema mediante un firewall del tipo “Stateful Inspection” (Cisco Pix, CheckPoint FireWall-1, NTI NetScreen, etc.). Se pide diseñar una propuesta de organización de red utilizando el concepto de DeMilitarized Zone (DMZ), indicando la ubicación de cada servidor y las políticas básicas de configuración del firewall.
Ejercicio 12
El siguiente es un extracto de un archivo de log generado por un servidor DNS que recibe consultas. Explique brevemente qué significa cada línea.
Aug 03 10:21:47.999 client 200.11.114.35#51521: query: dymail.com.ar IN MX Aug 03 10:21:48.070 client 200.11.114.35#51522: query: 241.148.226.168.in-addr.arpa IN PTR Aug 03 10:21:48.181 client 200.11.114.19#1034: query: 101.20.241.85.IN-ADDR.ARPA IN PTR Aug 03 10:21:48.397 client 200.11.114.35#51526: query: segemar.inpa.com.ar IN A Aug 03 10:21:48.440 client 200.11.114.35#51527: query: shell.com IN MX Aug 03 10:21:48.443 client 200.11.114.35#51528: query: dymail.com.ar IN MX Aug 03 10:21:48.456 client 200.11.114.22#1028: query: 48.112.18.172.IN-ADDR.ARPA IN PTR Aug 03 10:21:48.657 client 200.11.114.35#51530: query: gina.inpa.com.ar IN A Aug 03 10:21:48.662 client 200.11.114.35#51531: query: earthlink.com IN MX Aug 03 10:21:48.699 client 200.11.114.22#1028: query: clarin.com IN MX Aug 03 10:21:48.732 client 200.11.114.22#1028: query: smtp.agea.com.ar IN A Aug 03 10:21:49.904 client 200.11.114.14#32943: query: pop3.inpa.com.ar IN A Aug 03 10:21:50.058 client 200.11.114.19#1034: query: 128.113.81.206.IN-ADDR.ARPA IN PTR Aug 03 10:21:50.958 client 200.11.114.205#1806: query: www.clarin.com IN A Aug 03 10:21:51.175 client 200.11.114.35#51532: query: 14.161.10.200.in-addr.arpa IN PTR
Respuesta:
Cada linea comienza con fecha, hora, IP y puerto del cliente que realizó la consulta.
- Las queries del estilo dymail.com.ar IN MX son para averiguar la IP del servidor de mail de dymail.com.ar.
- Las 241.148.226.168.in-addr.arpa IN PTR buscan obtener los nombres asociados a la IP 168.226.148.241 (recordar que se debe escribir la dir IP al reves, ya que la jerarquía en DNS se lee de derecha a izquierda).
- Las segemar.inpa.com.ar IN A buscan obtener la dirección IP del host con ese nombre.
Ejercicio 13
Interprete detalladamente la siguiente secuencia de comandos realizadas desde un servidor cualquiera en Internet.
$ telnet pop3.inta.gov 110 Trying 200.11.141.35... Connected to pop3.inta.gov Escape character is '^]'. +OK POP3 pop3.inta.gov v2001.78 server ready user prueba +OK User name accepted, password please pass xxxxxxx +OK Mailbox open, 7 messages list +OK Mailbox scan listing follows 1 14391 2 3884 3 1079 4 1257 5 1085 6 1086 7 6634 . quit +OK Sayonara Connection closed by foreign host.
Respuesta:
Se utiliza POP3 sobre telnet para leer los mails del host pop3.inta.gov.ar. Recordar que telnet, además de ser un protocolo para usar un servidor desde terminales bobas, funciona como canal de comunicaciones para otros, como ser POP3.
El usuario ingresa user y pass (que viajan planos, es muy inseguro, se puede leer con un sniffer), y luego ejecuta elcomando list para ver los mails de su casilla.
Ejercicio 14
Acerca de certificados digitales,
- ¿Qué técnicas de encriptación se utilizan para firmar un certificado digital?
- ¿Qué protocolos existen para las técnicas mencionadas en el ítem anterior?
- ¿En qué se basa la seguridad del uso certificados digitales?
Respuesta:
- Se usan algoritmos de encriptación de clave asimétrica, como RSA. El firmante encripta un mensaje con su clave privada, y cualquiera puede desencriptarlo usando su clave pública. La idea es que solamente quien conoce la clave privada puede encriptarlo de forma tal que la pública funcione.
- TSL/SSL utilizan certificados digitales en el handshake inicial para que el cliente verifique la autenticidad del servidor y obtenga su clave pública asociada.
- En que solamente quien posee la clave privada es capaz de generar el certificado, y dicho certificado se encuentra emitido por una autoridad competente. Asimismo, al firmar conjuntamente el nombre y la clave publica del servidor se asegura que no pueda haber un intruso que se haga pasar por él copiando el certificado, ya que cualquier mensaje enviado por el cliente no podra ser desencriptado por el intruso.
Ejercicio 15
Un firewall que no mantiene el estado de las conexiones TCP necesita dejar pasar tráfico FTP. ¿En qué modo de FTP podría funcionar la comunicación a través del firewall?
Ejercicio 16
Se tiene un servidor DNS que es primario para la zona dc.uba.ar y secundario para las zonas uba.ar y .ar ¿Se puede en ese servidor configurar todo lo necesario para las tres zonas, incluyendo la delegación? ¿Puede este servidor responder por información de otras zonas?
Respuesta:
Chequear: Si, es posible. El servidor tendria registros NS apuntando hacia si mismo para el dominio dc.uba.ar, pero no deberia devolverlo nunca ya que siempre deberia tener la info de todos los hosts. Respecto de devolver info de otras zonas, deberia ser posible, aunque generalmente los authoritative servers tienen la cache deshabilitada y no se usan para estos fines.
Ejercicio 17
HTTP es un protocolo orientado a texto, con lo cual archivos binarios, gráficos y sonidos, primero deben convertirse a texto (ASCII o algo parecido) antes de pasarlo por la red (uuencode, base64, etc.). Usando un capturador de paquetes de red, viendo paquetes que llevan HTTPS, los datos no se ven como caracteres de texto sino más bien binario. ¿Esto significa que HTTPS no hace “conversión” a texto?
Ejercicio 18
Se tienen dos servidores DNS para una zona en particular ubicados en distintos continentes. Uno es primario y el otro es secundario. El primario tuvo problemas con su disco duro y salió de servicio definitivamente. El secundario luego de transcurrido cierto tiempo dejó de responder requerimientos de DNS pero el servidor funciona bien (SO, hard, config de DNS). ¿A qué se puede deber esto?
Respuesta:
A que el servidor secundario, luego de no recibir actualizaciones del primario por un determinado tiempo, droppea las entradas correspondientes por considerarlas obsoletas.
Ejercicio 19
HTTP tiene dos comandos denominados GET y HEAD, donde el GET trae el objeto, datos del objeto y el resultado de la operación y HEAD solamente trae el resultado la operación y datos del objeto. ¿Para qué cree que puede ser útil usar HEAD?
Respuesta:
HEAD puede utilizarse para chequear la validez de un link (que no esté roto y se encuentre disponible) o para obtener la metadata del objeto, como ser el timestamp de última modificación.
Ejercicio 20
Pendiente chequear
- ¿Puede un servidor DNS ser primario y secundario para una misma zona?
- ¿Y para distintas zonas?
Respuesta:
- Para la misma zona no tiene sentido, los secundarios se usan como cache o backup. En este caso si se cayera... como se levantaría a si mismo? Y para que va a cachear si ya tiene toda la información? Non-sense.
- Si.
Ejercicio 21
En una red, todos los hosts envían sus paquetes IP con TTL=255 por razones de seguridad. Suponga que uno de los hosts de esa red recibe un paquete con dirección origen en esa misma red, pero con TTL<255. ¿Qué puede deducirse del punto de vista de la seguridad?
Respuesta:
Que alguien externo quiere meter paquetes en la red haciéndose pasar por alguien de la red.
Ejercicio 22
Explicar al menos 2 diferencias entre POP e IMAP para acceder al correo electrónico.
Respuesta:
Ambos responden al modelo cliente servidor para acceder a los mails remotamente, pero IMAP es mas potente que POP. Tiene las siguientes ventajas:
- Las transacciones IMAP pueden durar mucho más tiempo.
- El servidor guarda información del estado de los mail (si fueron leído o no, si fueron guardados en una carpeta, etc)
- Se pueden definir distintas carpetas para acceder a distintos mailboxes.
- Se puede conectar más de un cliente al mismo mailbox.
- Posee buscadores que se ejecutan en el servidor
En contrapartida, es más complicado de implementar y consume más recursos.
Ejercicio 23
Explicar brevemente el significado de cada entrada de la siguiente porción de un archivo de configuración de la base de datos del DNS para el dominio cs.vu.nl.
Ejercicio 24
Explique las diferencias entre estas dos secuencias de comandos realizadas desde un servidor cualquiera en Internet:
telnet www.inta.gov.ar 80 GET / HTTP/1.1 Host: www.inta.gov.ar telnet www.inta.gov.ar 80 GET / HTTP/1.1 Host: www.mercosurt.org.ar
Respuesta:
El servidor que se encuentra en www.inta.gov.ar escuchando en el puerto 80 parece soportar y servir virtual-hosts. En la primera el cliente está pidiendo al servidor el directorio "/" del URL http://www.inta.gov.ar. En cambio en la segunda, si bien se la pide al mismo host, en realidad quiere acceder al URL http://www.mercosurt.org.ar
Ejercicio 25
Interprete detalladamente la siguiente secuencia de comandos realizadas desde un servidor cualquiera en Internet.
$ telnet www.inta.gov.ar 80 HEAD / HTTP/1.1 Host: www.inta.gov.ar Trying 200.10.166.33... Connected to www.inta.gov.ar. Escape character is '^]'. HTTP/1.1 200 OK Date: Fri, 02 Sep 2005 19:36:42 GMT Server: Apache X-Powered-By: PHP/5.0.4 Content-Type: text/html
Respuesta:
El cliente se conecta al puerto 80 (HTTP well-known port) de www.inta.gov.ar. Antes de que se establezca la conexión escribe un comando HTTP HEAD para obtener los headers del recurso /, avisando que el host es www.inta.gov.ar (obligatorio en HTTP 1.1). Lo que escribe el usuario es buffereado por el programa telnet.
Luego se establece la conexión y los datos son enviados. La respuesta del servidor contiene la ultima fecha de modificación del recurso, el nombre del servidor, la version de PHP que corre y el tipo de contenido que transferiría en caso de hacer un GET.
Ejercicio 26
Indicar si las siguientes afirmaciones son verdaderas o falsas:
- Mediante una consulta DNS se puede averiguar cuál es la dirección IPv4 del host zorzal.dc.uba.ar
- Mediante una consulta DNS se puede averiguar cuál es el nombre del host con dirección IPv4 200.10.166.35
- Mediante una consulta DNS se puede averiguar que versión del protocolo IP está corriendo en el host zorzal.dc.uba.ar
- Mediante una consulta DNS se puede averiguar cuál es la dirección IPv4 del host cuya dirección MAC es la 00:07:E9:85:06:98
- Mediante una consulta DNS se puede averiguar cuál es el servidor de correo POP3 para el dominio inta.gov.ar
Respuestas:
- Verdadero, para eso existe DNS
- Verdadero, se usa reverse lookup, con el nombre 35.166.10.200.in-addr.arpa
- No tengo idea, para el Peterson apenas si se esta pensando en IPv6
- Falso, DNS no tiene idea de N2
- Verdadero, se solicita el registro MX
Ejercicio 27
Un servidor Web cuya dirección IP es 168.83.72.5 levanta el servicio en el port TCP/80. En una PC cuya dirección es 157.92.27.33 alguien abre dos ventanas de un navegador y en cada una de ellas abre simultáneamente una página distinta del mismo servidor. ¿Es esto posible? ¿Cómo se distinguen los paquetes que son para una ventana de los que son para la otra?
Respuesta:
El cliente sale a distintas página por dos puertos distintos, generando así dos conexiones TCP diferentes. En cada una pide la página correspondiente, la demultiplexación de TCP resuelve el problema de los paquetes.
Chequear: HTTP 1.1 no parece ayudar mucho con esto, al menos no veo que en un response diga la pagina que está dando en el header de respuesta. Supongo que tambien podria ocurrir que al abrir la primera ventana (porque alguna va a abrirse antes que la otra) abrimos una conexión HTTP/1.1 persistente y mandamos el query. Cuando se abre la otra se usa la misma conexión y se manda el otro query. Como tenemos el orden en el que madamos los pedidos sabemos al llegar una respuesta a que "ventana" debe ir.
Ejercicio 28
Ejercicio 29
Se tiene para la zona dc.uba.ar tres servidores de DNS, uno primario y dos secundarios. Mencionar al menos una característica que debieran tener estos servidores para que den un servicio de DNS tolerante a fallos. Suponiendo que el servidor primario esta muy sobrecargado de tareas (brinda otros servicios además de DNS), indicar dos mecanismos para aliviar la carga de este servidor.
Ejercicio 30
Se tiene: C=clave publica, D=clave privada. Explicar mediante fórmulas matemáticas como se realiza el proceso de autenticación usando las claves mencionadas.
Ejercicio 31
Una empresa decide instalar un servidor de Web. Se espera que se conecten hasta 5 clientes simultáneamente.
- ¿Cuántas direcciones IP diferentes necesita el servidor?
- ¿Cuántos puertos diferentes debe estar escuchando el servidor WEB?
- Si además se decide agregar el servicio de telnet server para los administradores, ¿se modifican las respuestas anteriores? ¿Por qué?
Respuesta:
- Con una dirección IP basta
- Solamente el well-known port para acceso web
- Debe agregarse el puerto correspondiente a telnet server, con el mismo IP alcanza.
Ejercicio 32
Ejercicio 33
Describir porque DNS puede considerarse un sistema distribuido.
Respuesta:
Porque la información de los dominios no se encuentra centralizada en un solo servidor sino que se encuentra distribuida en una jerarquía.
Ejercicio 34
¿Un servidor secundario de DNS siempre responde con la información de la zona del cuál es autoritativo?
Ejercicio 35
En HTTP 1.0 generalmente el servidor es el que corta la conexión TCP enviando un RST después de enviada la respuesta al navegador. ¿A qué cree que se debe esto?
Respuesta:
A que HTTP 1.0 no maneja persistencia de conexiones, con lo cual una vez enviada la respuesta del servidor la conexión TCP establecida se termina, entonces es factible enviar el reset.
Ejercicio 36
Para cada una de las siguientes aplicaciones analizar su implementación utilizando un servicio orientado a conexión versus un servicio sin conexión.
- Transferencia de archivos
- Control de una línea de producción
- Login remoto
- Validación de tarjetas de crédito
- Consultas DNS
- Transferencias de zona DNS
- HTTP
- Login remoto seguro
- POP3
- IMAP
- SMTP
Ejercicio 37
- ¿Cuáles son los factores que afectan el tiempo de respuesta de HTTP?
- ¿Qué resultaría mas sencillo, programar un servidor http o un cliente HTTP?
- ¿Es posible tener dos servidores http en una misma máquina?
- Suponga la siguiente página escrita en HTML que reside en el servidor www.fcen.uba.ar, ¿cuántas conexiones TCP utiliza el browser en total para transferir la totalidad de la información? ¿Cómo indica el servidor que un objeto se transmitió completamente?
<html><head><title>Facultad de Ciencias Exactas y Naturales</title></head> <body bgcolor="#90c8ff" vlink="#0000aa"> <center><font face="arial" size="4">Facultad de Ciencias Exactas<br> y Naturales - FCEyN</font><br> <font face="arial" size="2">Universidad de Buenos Aires <br> Republica Argentina</font><br> <img alt="FCEyN - Pabellon II" src="archivos/e2-400.jpg" height="129" width="400"></center> <br> Facultad de Ciencias Exactas y Naturales <br><br> </body></html>
Respuesta:
- Afecta la calidad de la red TCP subyacente, la cantidad de clientes a los que está sirviendo el servidor, su capacidad de procesamiento, el tamaño de los recursos y la disponibilidad de los mismos (tiempo de acceso a disco, por ejemplo), entre otros.
- Los dos son complicados y no me metería con ninguno. El cliente (si abarca hasta el browser) tiene la complejidad de tener que parsear el HTML recibido para hacer los pedidos de los demás objetos. El servidor tiene la complejidad de ser un servidor, y tener que manejar muchos hilos y concurrencia para atender los pedidos.
- Sí, se denominan servidores virtuales. Para poder acceder a ellos, es necesario usar la ruta completa al recurso en la URL de un GET si se usa HTTP 1.0. El problema está resuelto en HTTP 1.1 con el agregado del header obligatorio host.
- Si es 1.0, debe hacer dos conexiones TCP. En la primera obtiene el código HTML, en la segunda, la imagen archivos/e2-400.jpg. En 1.1 puede intentar mantener abierta la conexión y hacer el segundo GET en cuanto obtiene el HTML. El servidor indica la transmisión completa de un objeto especificando la longitud del cuerpo mensaje y, en el caso de 1.0, generalmente cerrando la conexión TCP.
Ejercicio 38
El mecanismo original de resolución de nombres usaba una tabla central de hosts.txt, que era distribuida a todos los hosts cada pocos días. Describa las razones por las que este mecanismo no es utilizado en la actualidad.
Respuesta:
Porque hay demasiados clientes y demasiados dominios como para que la transmisión de un único archivo de tal tamaño sea distribuido frecuentemente a todos los hosts. Además, actualmente la asignación nombre de dominio a host TCP/IP es mucho más dinámica, y se logra a través de los DNS; sería imposible de mantener con un archivo centralizado. Este archivo además resultaría demasiado grande como para poder recorrerlo eficazmente. También sería un mecanismo más lento a reconocer nuevos dominios, o bajas de los mismos.
Ejercicio 39
Usted trabaja como Ingeniero en Seguridad Informática en una empresa Proveedora de Servicios de Internet (ISP). Desde el Departamento de Ventas recibe un requerimiento de una empresa que tiene su casa central en Buenos Aires y una sucursal en Mendoza.
El requerimiento consiste en conectar entre sí las redes de la casa central y la sucursal remota, proveyendo al mismo tiempo acceso Internet a ambos lugares.
- Indique qué cuestiones debe relevar con el cliente para estudiar la factibilidad de implementar la solución mediante una Red Privada Virtual (VPN) utilizando túneles IPIP.
- Muestre mediante un diagrama de red un proyecto tentativo, indicando los dispositivos utilizados y funciones de los mismos, el esquema de direccionamiento de las redes, las políticas de ruteo a utilizar, y cualquier otro punto que considere relevante.
- Indique los problemas de seguridad que encuentra en la solución tentativa y proponga modificaciones para mejorar la seguridad de la misma.
Ejercicio 40
Ejercicio 41
Chequear!
Suponga que un usuario, María, descubre que su llave privada de RSA (d1, n1) es igual que la llave pública RSA (e2, n2) de otro usuario, Oscar. Es decir d1 = e2 y n1 = n2. ¿Debe María considerar cambiar su llaves pública y privada? Explique su respuesta.
Respuesta:
Si, porque ahora ambos usuarios saben la clave publica y privada entre ellos. Si coincide un par debería coincidir el otro par.
Ejercicio 42
Dé una razón por la que un firewall pueda ser configurado para examinar tráfico entrante. Dé una razón por la que pueda ser configurado para examinar tráfico saliente.
Rta:
Entrante: por si alguien quiere explotar una vulnerabilidad remota, por si alguien quiere conectarse a un toyano instalado localmente, etc
Saliente: un troyano o spyware puede querer enviar informacion personal, la maquina pudo haber sido convertida en un zombi, etc
Ejercicio 43
¿Puede una máquina con un solo nombre DNS tener múltiples direcciones IP? ¿Cómo podría esto ocurrir?
Respuesta:
Sí, hay un tipo de registro DNS particular para indicar aliases.
Ejercicio 44
Chequear!
¿Puede una computadora tener dos nombres DNS en dos diferentes top-level domains? Si es así dé un ejemplo plausible. Si no, explique porqué no.
Respuesta:
Si, una misma computadora A.B.C.D puede hostear virtualmente dos paginas www.uno.ar y www.dos.com.
Ejercicio 45
¿Pueden dos servidores de DNS (uno primario y otro secundario) de una zona específica tener distinto "Serial Number"? Explicar.
Ejercicio 46
¿Cuántas conexiones TCP usará una sesión de FTP, donde el cliente lista los archivos que están en un directorio y luego baja dos de ellos?
Respuesta:
Cuatro. Una conexión de control (siempre presente), otra para obtener la lista de archivos y las otras dos para bajar los archivos.
Ejercicio 47
Dos personas que nunca se vieron ni se conocen desean comunicarse entre sí, pero no hay ningún tercero de confianza o una cadena de confianza entre ellos que pueda certificar la identidad de uno ante el otro. ¿Es posible establecer una comunicación segura entre ellos? Puede usar criptografía de clave pública o secreta, pero no puede basarse en que un tercero (de ningún tipo) certifique la identidad de los interlocutores.
Respuesta:
No, lo mínimo que se necesitaría es que algún tercero provea la clave pública de los interlocutores. De lo contrario, un intruso podría colocarse entre ambos y enviar claves públicas distintas a las verdaderas (las cuales generó el mismo, con lo que posee las privadas), y filtrar toda la información haciéndose pasar por el interlocutor.
Ejercicio 48
Explicar al menos dos ventajas de usar HTTP o FTP sobre SCTP, en vez de TCP.
Ejercicio 49
En la zona “dc.uba.ar” se cuenta con un servidor primario y tres secundarios de DNS. Mencionar dos características a tener cuenta para que la zona sea tolerante a fallos y se pueda balancear la carga.
Ejercicio 50
Un firewall que protege una red envía TCP RST cuando detecta alguna anomalía en alguna conexión determinada. Describir una ventaja y una desventaja de usar esta técnica.
Ejercicio 51
Para un canal de comunicación segura, ¿Qué aspectos NO son cubiertos por el uso de algoritmos de clave pública/privada?
Respuesta:
El hecho de que las claves públicas de los interlocutores efectivamente les pertenezcan, y no sean las de un intruso que se hace pasar por los interlocutores.
Ejercicio 52
Chequear!
¿Cuántas conexiones TCP seran necesarias para que un navegador pueda mostrar un web site, compuesto de un archivo .html y tres archivos .jpg (para uno de ellos la URL empieza con “https://...") que se encuentran en un servidor y otros dos archivos .jpg que se encuentran en otro servidor?
Respuesta:
- Con HTTP/1.0: Seis conexiones, una para cada archivo.
- Con HTTP/1.1: Una conexión plana y una segura para el primer servidor y una conexión para el segundo servidor.
Ojo: se trata de HTTPS que no lo vimos!
Ejercicio 53
Justificar la siguiente frase: “DNS es el unico sistema distribuido global que funciona”.
Respuesta:
No tiene justificación ni perdón de Dios.
Ejercicio 54
Para un canal de comunicación segura, ¿En qué se basa la seguridad si trabaja con certificados digitales?
Respuesta:
Se basa en que la autoridad, la cual emitió el certificado que autentica la identidad y clave pública del servidor, se supone confiable.
Ejercicio 55
¿Pueden dos conexiones FTP iniciadas desde una máquina A estar bajando el mismo archivo del mismo servidor B al mismo tiempo?
Respuesta:
Deberian, pues cuando se genera una conexión FTP para bajar un archivo, se indica en ese momento el puerto a utilizar, con lo que se podrían tener dos conexiones TCP cada una usando puertos distintos.
Ejercicio 56
Completar!
Explique brevemente qué observa en la siguiente sesión SMTP.
Connecting to smtp-2.dc.uba.ar [157.92.27.62]:25 ... connected SMTP<< 220 smtp-2.dc.uba.ar ESMTP SMTP>> EHLO maiz.inta.gov.ar SMTP<< 250-smtp-2.dc.uba.ar 250-PIPELINING 250-DATAZ 250-STARTTLS 250-AUTH LOGIN PLAIN 250 8BITMIME SMTP>> MAIL FROM:<[email protected]> SMTP>> RCPT TO:<[email protected]> SMTP>> DATA SMTP<< 250 ok SMTP<< 554 Sorry, no mailbox here by that name. (#5.1.1) SMTP<< 503 RCPT first (#5.5.1) SMTP>> QUIT
Respuesta:
Está en un parcial de los que fotocopiamos, hay que copiarla.
