EXAMEN DE REDES. FINAL.

SEPTIEMBRE 2003
TEORA
SOLUCIN
1.1

Los puentes que funcionan segn el estndar IEEE 802.1D se denominan transparentes porque:
A) Permiten conectar entre s redes del mismo tipo (por ejemplo 802.3-802.3, 802.5-802.5, etc.)
pero no redes diferentes (802.3-802.5 por ejemplo)
B) No necesitan conocer previamente los equipos que se conectan a ellos, sino que los descubren
de forma automtica.
C) Pueden funcionar sin necesidad de modificar la estructura de la trama MAC, ni el
software de las estaciones de la red.
D) No filtran el trfico broadcast/multicast.

1.2

Cual de las siguientes condiciones permitira transmitir tramas de varias VLANs

simultneamente por un mismo enlace fsico entre dos conmutadores?:
A) Que la velocidad de las interfaces interconectadas sea de 100 Mb/s o superior
B) Que los dos conmutadores marquen las tramas con etiquetas 802.1Q
C) Que los dos conmutadores soporten spanning tree y que est habilitado en esas interfaces
D) Que las interfaces interconectadas operen en modo full dplex

1.3

Cual de las siguientes afirmaciones es cierta referida a la transmisin full duplex en Ethernet?:
A) Requiere desactivar CSMA/CD, el protocolo MAC caracterstico de Ethernet
B) Permite enviar tramas menores de 64 bytes
C) Solo puede utilizarse en enlaces de fibra ptica
D) Ninguna de las anteriores

1.4

Se tienen varias LANs conmutadas y se quiere dividir una de ellas en VLANs. Cual de los
siguientes criterios sera el ms adecuado para decidir cual de ellas debe dividirse?:
A) La que tenga mayor cantidad de trfico total, medido en Mbits/s
B) La que tenga mayor cantidad de trfico total, medido en tramas/s
C) La que tenga mayor cantidad de trafico broadcast, medido en Mbits/s
D) La que tenga mayor cantidad de trfico broadcast, medido en tramas/s

1.5

Cual de las siguientes afirmaciones es cierta referida a los routers:

A) Modifican las direcciones de enlace pero mantienen inalteradas las direcciones de red del
paquete que enrutan.
B) Modifican las direcciones de red pero mantienen inalteradas las de enlace
C) Modifican tanto las direcciones de enlace como las de red
D) No modifican ninguna direccin.

1.6

El tiempo de servicio para paquetes de 800 bytes en un enlace de 64 Kb/s que no tiene carga (0
bits/s de trfico) es:
A) 0 ms.
B) 10 ms.
C) 100 ms
D) 100 ms + x, donde x es una cantidad que depende del retardo del enlace

1.7

La longitud de la cabecera IPv4 de un datagrama es:

A) Siempre de 20 bytes.
B) Puede ser de 20, 40 o 60 bytes.
C) Puede ser cualquier valor mltiplo de 2 entre 20 y 60 bytes.
D) Puede ser cualquier valor mltiplo de 4 entre 20 y 60 bytes

1.8

Cual de las siguientes direcciones de red slo es vlida si se utiliza CIDR?:

A) 192.168.0.0/24
B) 192.168.0.0/16

C) 142.16.0.0/24
D) Todas las anteriores son vlidas
1.9

La asignacin de direcciones IP se realiza siguiendo una estructura jerrquica en la que el nivel

ms alto lo desempean:
A) Los ISP (Internet Service Provider) y los RIR (Regional Internet Registry)
B) Los ISP nicamente
C) Los RIR nicamente
D) Los RIR y los ISP de mbito internacional

1.10

Qu mensaje ICMP se enva al emisor cuando un datagrama IP no cabe en la MTU de la red de

destino y no puede ser fragmentado?:
A) Source Quench
B) Destination Unreachable
C) Redirect
D) No se enva ningn mensaje ICMP

1.11

La funcin que realiza el protocolo RARP es:

A) Permite averiguar la direccin de red a partir de la direccin de enlace. No puede
atravesar routers.
B) Permite averiguar la direccin de enlace a partir de la direccin de red. No puede atravesar
routers
C) Permite averiguar la direccin de red a partir de la direccin de enlace. Puede atravesar
routers
D) Permite averiguar la direccin de enlace a partir de la direccin de red. Puede atravesar
routers

1.12

Cual de los siguientes protocolos de routing tiene un diseo ms sencillo?:

A) IS-IS
B) IGRP
C) PNNI
D) RIP

1.13

Cual(es) de las siguientes condiciones debe darse en una organizacin cconectada a dos ISPs
diferentes (organizacin multihomed) para que se pueda balancear el trfico entre ambas
conexiones y que en caso de fallo de una se reencamine todo el trfico de forma automtica por la
otra conexin:
A) Tener un rango de direcciones IP propio y un sistema autnomo propio.
B) Tener un rango de direcciones IP de cada ISP y un sistema autnomo propio
C) Tener un rango de direcciones IP propio (no asignado por ninguno de los ISPs). No hace falta
disponer de un sistema autnomo propio.
D) Tener dos rangos de direcciones IP, uno de cada ISP. No hace falta disponer de un sistema
autnomo propio.

1.14

Cul de las siguientes no sera una direccin vlida en IPv6?:

A) ::17.234.76.0
B) 8000::1B9E
C) 8000::56FA::FE12
D) 8000:0000:0000:AF34:EDBA:76F8:89AB:12EF

1.15

Diga cual de las siguientes afirmaciones es cierta referida al valor del campo DLCI de Frame
Relay:
A) Si dos VCs diferentes pasan por un mismo enlace de la red necesariamente han de tener
asignados DLCIs diferentes.
B) El DLCI de una trama Frame Relay puede ser modificando en cada conmutador por el que
pasa
C) Los DLCIs asignados a un VC se establecen en el momento de crearlo y se mantienen
inalterados durante la vida del VC
D) Todas las anteriores son ciertas

1.16

Se tiene un router conectado a una red Frame Relay mediante un acceso fsico de 1984 Kb/s. Se
define un nico PVC con un CIR de 1024 Kb/s en cada sentido. No se conoce el EIR pero se sabe
que Be = 0. Diga cual de las siguientes afirmaciones es cierta referida al conmutador que conecta
dicho router a la red:
A) Nunca marca el bit DE ni descarta ninguna trama.
B) Nunca marca el bit DE, pero puede descartar tramas
C) Puede marcar el bit DE, pero no descarta ninguna trama.
D) Puede marcar el bit DE y puede descartar tramas.

1.17

Cul sera la consecuencia de suprimir el campo HEC (Header Error Check) en las celdas ATM?:
A) Ocasionalmente se podran producir errores que afectaran a la parte de carga til y que
pasaran desapercibidos.
B) Ocasionalmente se podran producir errores que afectaran a la parte de carga til, pero seran
detectados por el nivel de transporte (TCP por ejemplo). El rendimiento sera menor pero no
habra riesgo de dar por vlida informacin errnea.
C) Ocasionalmente se podran producir errores que provocaran el envo de las celdas por
VCs equivocados o su descarte al no poder ser enviadas.
D) B y C son ciertas

1.18

En una red ATM se quieren constituir dos circuitos, uno permanente y uno conmutado, entre dos
hosts A y B. Los dos circuitos siguen la misma ruta. Diga que condicin ha de darse para que esto
sea posible:
A) En cada enlace los dos circuitos han de tener un valor diferente de VCI. El valor de VPI es
irrelevante.
B) En cada enlace los dos circuitos han de tener un valor diferente de VCI o VPI
C) En cada enlace los dos circuitos han de tener un valor diferente de VCI y VPI
D) Los valores de VCI y VPI pueden coincidir ambos al ser circuitos de diferente tipo

1.19

Un operador quiere ofrecer un servicio de transporte de datos a travs de una red ATM de acuerdo
con las categoras de servicio habituales. Si las tarifas se disean de forma proporcional a los
recursos utilizados, a que categora de servicio se le debera aplicar la tarifa ms cara por Mb/s de
capacidad mxima utilizable, no necesariamente garantizada?:
A) CBR
B) VBR
C) ABR
D) UBR

1.20

Cuando en una red ATM con PNNI se configuran niveles jerrquicos los conmutadores se agrupan
en:
A) reas
B) Comunidades
C) Sistemas autnomos
D) Grupos pares o Peer groups

1.21

El protocolo de transporte ms adecuado para un servicio orientado a conexin de tiempo real y

caudal constante (por ejemplo para la interconexin de centralitas telefnicas con emulacin de
circuitos) es:
A) AAL1
B) AAL2
C) AAL3/4
D) AAL5

1.22

El organismo que desarrolla la mayor parte de la actividad tcnica relacionada con Internet,
constituyendo para ello diversos grupos de trabajo, es:
A) La ISOC (Internet Society)
B) El IRTF (Internet Research Task Force)
C) El IETF (Internet Engineering Task Force)
D) El IAB (Internet Architecture Board)

1.23

Cual de los flags de TCP se utiliza cuando se producen situaciones inesperadas en los valores del
nmero de secuencia o del ACK de una conexin TCP?:
A) SYN
B) ACK
C) FIN
D) RST

1.24

Un datagrama IP de 100 bytes de longitud total, que contiene un segmento TCP, es enviado por
Internet y llega a su destino . En la memoria de un router intermedio se produjo un error que alter
la informacin contenida en el dcimo byte del datagrama. Este error ser detectado gracias a:
A) El CRC a nivel de enlace.
B) El checksum a nivel IP.
C) El checksum a nivel TCP.
D) Todos los anteriores.

1.25

En una conexin TCP entre dos hosts, A y B, A enva a B un segmento con SEQ=100, ACK=200
que contiene 100 bytes de datos (sin contar la cabecera TCP). El segmento no tiene puesto el bit
SYN. A continuacin B le responde a A con otro segmento. Que valor tendr en dicho segmento
el campo SEQ?:
A) 101
B) 200
C) 201
D) 301

1.26

El proceso por el cual el TCP emisor intenta enviar segmentos grandes reteniendo los datos
recibidos de la aplicacin hasta que le llega del receptor el ACK correspondiente al segmento
enviado anteriormente se conoce como:
A) Slow start.
B) Algoritmo de Nagle.
C) Sndrome de la ventana tonta.
D) Timer de keepalive.

1.27

Qu campos de la cabecera se modifican normalmente cuando un paquete IP sale de una Intranet

hacia el exterior atravesando un NAPT esttico?:
A) Direccin IP y puerto de origen
B) Direccin IP y puerto de destino
C) Direcciones IP y puertos de origen y destino
D) Direcciones IP de origen y destino

1.28

Si en un cortafuegos, queremos permitir slo el acceso al servidor de FTP, qu puerto

habilitaremos?
A) 25
B) 80
C) 137
D) 20 y 21

1.29

Cmo se llama el mtodo de consulta en los DNS, cuando se exige una respuesta al cliente?
A) Recursiva
B) Iterativa
C) Inversa
D) Ninguna de las anteriores

1.30

Qu comando se utiliza en las recientes distribuciones de Linux para realizar una consulta al
DNS?
A) Tracert
B) Querynet
C) Host y dig
D) Ninguno de las anteriores

1.31

En el caso de suplantacin de IP en un robo de conexin TCP, para evitar que responda la mquina
suplantada, que accin debera realizar el atacante?
A) Duplicar su IP
B) Instalar un analizador de protocolos
C) Modificar la tabla ARP del atacado
D) Realizar un ataque DoS

1.32

Qu tipo de registro especifica intercambiadores de correo en un DNS?

A) WKS
B) MX
C) PTR
D) NS

1.33

Qu nombre recibe el ataque de robo de sesin?

A) Denegacin de servicio
B) Ingeniera social
C) Hijacking
D) Spoofing

1.34

Qu mtodo es utilizado para realizar compendios?

A) RSA
B) MD5
C) SSH
D) SET

1.35

Qu mtodo es utilizado para evitar el no repudio?

A) Utilizar una firma digital
B) Realizar compendios
C) Realizar copias de seguridad
D) Quedarse copia de lo enviado

1.36

MIME o extensiones multipropsito de correo son:

A) Un nuevo formato de mensaje, que sustituye a RFC822
B) No es un estndar
C) Es un formato para correo seguro
D) Ninguna de las anteriores

Pregunta 2.1:
El trfico unicast es de 900 Kb/s.. La mitad de este trfico (450 Kb/s) corresponde al servidor y la otra
mitad a los clientes. Por tanto cada cliente genera 90 Kb/s y el servidor enva 90 Kb/s de trfico unicast a
cada cliente.
En cuanto al trfico broadcast se genera nicamente en los clientes; como sabemos que hay 100 Kb/s en
total cada uno genera 20 Kb/s.
Por tanto por el puerto servidor (1) le entran al conmutador 450 Kb/s de trfico, mientras que por cada
uno de los puertos clientes (2-6) entran 110 Kb/s, 90 de trfico unicast y 20 de broadcast).
El trfico saliente por el puerto servidor es de 550 Kb/s, que corresponde a los 450 Kb/s de trfico unicast
generados por los clientes (todo el trfico unicast que generan va dirigido al servidor) mas los 100 Kb/s
de trfico broadcast que generan.
El trfico saliente por cada uno de los puertos clientes (2-6) es de 170 Kb/s, 90 de trfico unicast enviado
pro el servidor y 80 de trfico broadcast de los otros cuatro servidores (ya que el conmutador no le enva a
cada cliente el trfico broadcast que ha recibido de l).
La tabla queda pues como sigue:
Interfaz
1 (servidor)
2
3
4
5
6

Trfico entrante
450 Kb/s
110 Kb/s
110 Kb/s
110 Kb/s
110 Kb/s
110 Kb/s

Trfico saliente
550 Kb/s
170 Kb/s
170 Kb/s
170 Kb/s
170 Kb/s
170 Kb/s

Como puede verse el trfico total (entrante+saliente) en el puerto del servidor es de 1 Mb/s, es decir tiene
la misma carga que la red original basada en el hub. Solo en el caso de configurar este enlace como full
dplex se conseguira una mejora de prestaciones respecto a la red anterior.
Al margen de las consideraciones de rendimiento cabe comentar que el uso de un conmutador mejorara
la seguridad, ya que el trfico de cada cliente se mantendra localizado sin propagarse por toda la red,
como sucede en el caso de un hub.

Pregunta 2.2:
En el conmutador X se han de configurar los tres PVCs. Los PVCs deben ser bidireccionales, por lo que
cada uno tendr dos entradas en la tabla.
Puerto de entrada
1
2
1
3
2
3

VPI
1
1
1
1
1
1

VCI
12
21
13
31
23
32

Puerto de salida
2
1
3
1
3
2

VPI
1
1
1
1
1
1

VCI
21
12
31
13
32
23

Las primeras dos entradas corresponden al PVC R1-R2; las dos siguientes al R1-R3 y las dos ltimas al
R2-R3
En Y se han de configurar dos PVCs, los de R1 con R3 y los de R2 con R3. En este caso no se modifican
los nmeros de VCI pues los cambios correspondientes ya se realizaron en X:
Puerto de entrada
1
2
1
2

VPI
1
1
1
1

VCI
31
31
32
32

Puerto de salida
2
1
2
1

VPI
1
1
1
1

VCI
31
31
32
32

Pregunta 2.3:
1.- Qu nombres absolutos son vlidos segn la informacin obtenida para identificar a 147.156.16.46?
sweb.informat.uv.es.
informatica.uv.es.
sweb.uv.es.
2.- Cmo se llama la mquina que hace de servidor DNS primario del dominio uv.es? En el caso de
detectar alguna incoherencia en la informacin del DNS, a quin se dirigira?
De la lnea: uv.es. SOA gong.ci.uv.es root.gong.ci.uv.es se obtiene que el, DNS primario
lo gestiona gong.ci.uv.es y para avisar de la incoherencia, se mandara un email a
root@gong.ci.uv.es
3.- En el caso, que el servidor externo tratara de entregar al puesto 25 un correo, enviando el
comandoEHLO y contestara 500 sintaxis error, a qu puede ser debido dicha contestacin?
Que el servidor SMTP ejecuta la versin SMTP y no la ESMTP, es decir SMTP extendido.
4.- En el supuesto que 147.156.16.46 aceptara intercambiadores de correo y estuviera apagada en el
momento de la conexin del servidor externo, qu IP recibira el correo?
147.156.1.90, tras analizar las siguientes lneas del DNS
sweb.informat
postin

MX
A

20
postin.uv.es.
147.156.1.90

5.- En el supuesto anterior del punto 3, el usuario debera tener buzn en dicho servidor? Explique por
qu.
No, porque los intercambiadores de correo, son caractersticas de los servidores para
aceptar correo dirigido a otro servidor y no afecta a la gestin de cuentas de usuarios. Si el
servidor cado, no tiene cuenta de dicho usuario, ser l, el encargado de rechazar dicho
correo cuando reciba finalmente los correos.

EXAMEN DE REDES. FINAL. SEPTIEMBRE 2003

LABORATORIO
SOLUCIN
L.1

Tenemos un conjunto de ordenadores conectados a un hub y sustituimos el hub por un conmutador

configurado en una nica VLAN. Diga cual de las siguientes afirmaciones es correcta en ese caso:
A) Se ha reducido el tamao de los dominios de colisiones, pero todos los ordenadores estn
en el mismo dominio de broadcast.
B) Tanto los dominios de colisiones como los de broadcast son ahora ms pequeos.
C) Los dominios de broadcast son ahora ms pequeos, pero no se ha modificado el dominio de
colisiones.
D) No se ha modificado ni el dominio de broadcast ni el de colisiones.

L.2

En la prctica de conmutadores LAN la primera vez que se acceda al conmutador se tena que
utilizar el puerto de consola y no poda usarse el Telnet. Esto se debe a que:
A) Inicialmente no conozco la password de telnet.
B) El conmutador no tena configurada ninguna direccin IP.
C) El conmutador tiene una direccin IP, pero falta asignarle una mscara adecuada
D) El conmutador no tiene activada inicialmente la gestin SNMP.

L.3

En la prctica de conmutadores LAN (primera sesin, sin VLANs) se conectan inicialmente cuatro
ordenadores a un conmutador que tiene la configuracin de fbrica. Para que sea posible la
comunicacin entre los ordenadores es preciso:
A) Asignarles direcciones IP y mscaras adecuadas a los ordenadores.
B) Asignarles direcciones IP y mscaras adecuadas a los ordenadores y al conmutador
C) Asignarles direcciones IP y mscaras adecuadas a los ordenadores, conectar y configurar un
router que los comunique.
D) Asignarles direcciones IP y mscaras adecuadas a los ordenadores y al conmutador, y conectar
y configurar un router que los comunique.

L.4

El protocolo spanning tree, que sirve para evitar el bloqueo de la red por la creacin de bucles:
A) Genera trfico de forma regular por todas sus interfaces activas, aun cuando no haya
bucles ni trfico de los hosts.
B) Solo genera trfico si los hosts generan trfico, aunque no haya bucles.
C) Solo genera trfico si hay bucles en la topologa, aun cuando los hosts no generen trfico.
D) Solo genera trfico si hay bucle sen la topologa y adems los hosts generan trfico.

L.5

Se tienen dos conmutadores, cada uno con 12 puertos 10BASE-T (1-12) y uno 100BASE-T
(puerto 13). Ambos tienen configuradas dos VLANs y asignados los puertos 1-6 a una y los 7-12 a
la otra. El puerto 13 (100BASE-T) est configurado como trunk. El spanning tree est activado
en todos los puertos de ambos conmutadores. Inicialmente los conmutadores se conectan por el
puerto 1, pero mas tarde se conectan tambin por el puerto 13. En que estado quedan los puertos
cuando se realiza esta segunda conexin?:
A) El puerto 13 se pone en estado blocked en ambos conmutadores. El trfico sigue yendo por
el enlace del puerto 1
B) El puerto 13 se pone en estado blocked en uno de los conmutadores solamente. El trfico
sigue yendo igualmente por el enlace del puerto 1
C) El puerto 13 se pone en estado forwarding en ambos conmutadores y el 1 se pone en estado
blocked en ambos. El trfico discurre por el enlace del puerto 13
D) El puerto 13 se pone en estado forwarding en ambos y el 1 se pone en estado blocked
en uno de los conmutadores solamente. El trfico discurre por el enlace del puerto 13

L.6

Diga cual de las siguientes afirmaciones es cierta referida al routing esttico:

A) Slo es posible cuando la red fsica no tiene bucles, es decir cuando no existe mas que un
camino posible entre dos puntos cualesquiera de la red
B) Es ms sencillo de configurar que el routing dinmico, pues solo es necesario indicar las redes
directamente conectadas

C) Tiene menor overhead que el routing dinmico pues no require el intercambio regular de
informacin ni el clculo de las rutas ptimas
D) Ninguna de las anteriores
L.7

El comando show ip route sirve para:

A) Averiguar las rutas estticas definidas.
B) Averiguar las rutas aprendidas por los diferentes protocolos de routing
C) Averiguar las redes directamente conectadas
D) Todas las anteriores.

L.8

La forma de configurar routing dinmico en una red es:

A) Declarar todas las redes existentes nicamente en el router raz (el de identificador ms bajo).
De ah se propaga la informacin al resto de la red.
B) Declarar todas las redes existentes en todos los routers.
C) Declarar en cada router las redes que tiene directamente conectadas para que las
anuncie al resto de los routers.
D) No es necesario declarar ninguna red; cada router anuncia automticamente al resto las redes
que tiene directamente conectadas.

L.9

Desde el punto de vista de la programacin de sockets la principal diferencia entre el uso de UDP
y de TCP en la prctica de programacin de un cliente en sockets para acceder al servicio daytime
era que:
A) El nmero de puerto era diferente para cada caso.
B) La estructura de datos donde se reciba la informacin era diferente.
C) En TCP haba que arrancar el servicio antes de enviar la peticin, mientras que en UDP el
servicio estaba en marcha permanentemente.
D) En UDP haba que contemplar el caso un timeout para el caso de que el datagrama no
llegara a su destino. En cambio en TCP la recepcin estaba garantizada por el nivel de
transporte.

L.10 En una conexin TCP con sockets el servidor debe seguir los siguientes pasos, en el orden que se
indica:
A) Crear el socket, establecer el nmero de conexiones en cola. Aceptar recibir conexiones y
bloquearse a la espera de conexiones, recibir del cliente el puerto y direccin donde quiere
conectarse, intercambiar datos, cerrar la conexin y atender otras conexiones.
B) Crear el socket, asociarlo a una direccin y puerto, intercambiar datos, cerrar la conexin y
atender otras conexiones.
C) Crear el socket, asociarlo a una direccin y puerto, establecer el nmero de conexiones
en cola, aceptar recibir conexiones y bloquearse a la espera de conexiones, intercambiar
datos, cerrar la conexin y atender otras conexiones.
D) Crear el socket, asociarlo a una direccin y puerto, y empezar a intercambiar datos, cerrar la
conexin y atender otras conexiones. El resto de acciones solamente son necesarias en
conexiones UDP.
L.11

Con que comando se podran averiguar las conexiones establecidas y los puertos que estn a la
escucha?
A) ifconfig/all
B) nslookup
C) arp
D) netstat

L.12 Se encuentra en una LAN no conectada al exterior y observa que su mquina est siendo atacada
por otra. Mediante un analizador de protocolos tipo Ethereal analiza las tramas recibidas del
atacante Que informacin utilizara para identificar de forma fiable al atacante?
A) La direccin IP de origen
B) La direccin MAC de origen
C) El Ethertype
D) No es posible identificar al atacante de forma fiable utilizando nicamente la trama
recibida

L.13 En la ARP cache de un ordenador normalmente se encuentran las direcciones IP de:

A) Todos los ordenadores de la LAN, haya o no intercambiado trfico con ellos.
B) Solo las de los ordenadores de la LAN con los que ha intercambiado trfico recientemente
C) Todos los ordenadores de la LAN y la WAN con los que ha intercambiado trfico
recientemente
D) Las de los ordenadores de la LAN con los que ha intercambiado trfico recientemente;
si ha intercambiado trfico con algn ordenador de la WAN tambin contendr la del
router.
L.14 El proceso xinetd se encarga de:
A) Mantener la informacin sobre las conexiones TCP activas (nmeros de secuencia, etc.)
B) Actuar como intermediario, transmitiendo la informacin enviada por el usuario al proceso
servidor correspondiente, cuando se utiliza la programacin basada en sockets
C) Activar el proceso correspondiente a un servicio determinado cuando se necesita, es
decir cuando llega una peticin dirigida a ese nmero de puerto
D) Activar los procesos correspondientes a los servicios activos en el arranque del sistema.
L.15 Suponga que tiene el siguiente fichero hosts.allow:
in telnetd: .uv.es : spawn (/bin/echo conectado %h a las $(/bin/date)>> /tmp/fich.txt)
all: all : deny

Esto significa que:

A) El servicio telnet est habilitado para cualquier ordenador.
B) El servicio telnet est totalmente inhabilitado ya que hemos indicado en la segunda fila un
deny para todos los servicios.
C) El servicio telnet est habilitado solo para los ordenadores de la Universidad de Valencia
y adems se registrar en un fichero la direccin IP y la hora a la que se ha conectado
cualquier ordenador de mi red local.
D) El servicio telnet est deshabilitado para todos los ordenadores y adems se registrar en un
fichero la direccin IP y la hora en que alguien de la Universidad de Valencia intente
conectarse a mi ordenador.

EXAMEN DE REDES. FINAL. SEPTIEMBRE 2003

PROBLEMAS
SOLUCIN
Problema 1:
Vamos a utilizar para toda la discusin H1, H2, H3 y H4 como representantes de los cuatro grupos de
hosts implicados.
Los requisitos que se plantean son esquemticamente:
H1 H3: Inalmbrico
H2 H4: punto a punto
H1 H4, H2 H3: punto a punto
H3 Internet: punto a punto
H4 Internet: punto a punto
H1 H2, H3 H4: localmente
Dado que la comunicacin H1 - H3 se quiere realizar a travs del enlace inalmbrico (que acta como un
puente transparente) vamos a definir una subred comn para todos los ordenadores inseguros,
independientemente de la oficina en la que se encuentren. De esta forma la comunicacin entre ellos se
har siempre de manera directa, a travs del puente inalmbrico. Sin embargo, aunque ser una subred
comn mantendremos una distribucin de direcciones como si se tratara de dos subredes diferentes, de
forma que podamos dividirla fcilmente cuando nos interese. Haremos adems dos subredes con los
ordenadores seguros de cada oficina. La distribucin de direcciones quedar pues de la siguiente manera:
Oficina
A
B
A
B

Subred
Insegura
Insegura
Segura
Segura

Subred
200.1.1.0/25
200.1.1.0/25
200.1.1.128/27
200.1.1.160/27

Rango
1-62
65-126
129-158
161-190

Para que la comunicacin entre H1-H2 (H3-H4) sea posible y se realice de manera local debemos definir
en la interfaz ethernet del router X dos direcciones IP, una de la subred segura y otra de la subred insegura
(por ejemplo 200.1.1.129/27 y 200.1.1.1/25). El problema que plantea esta configuracin es que la
comunicacin H2-H3 se realizar a travs del enlace inalmbrico, lo cual va en contra de lo planteado.
Para evitarlo haremos un pequeo truco, que consiste en asignar a X una mscara de 26 bits, de forma que
solo pueda ver a los hosts de la subred insegura que estn en su oficina. De este modo cuando X quiera
comunicar con H3 lo har a travs de la ruta existente, que encamina el trfico por el enlace punto a
punto.
La siguiente configuracin cumple todos los requisitos planteados:

Oficina A

H2

Host inseguro
IP: 200.1.1.262/25
Router: 200.1.1.1
H1

200.1.1.1/26
200.1.1.129/27

Host seguro
IP: 200.1.1.130158/27
Router: 200.1.1.129

Enlace LAN inalmbrico

200.1.1.253/3
0

Host inseguro
IP: 200.1.1.66-126/25
Router: 200.1.1.65
H3

200.1.1.65/26
200.1.1.161/27

200.1.1.254/30

H4

130.206.1.30/3
0

Host seguro
IP: 200.1.1.162190/27
Router: 200.1.1.161

130.206.1.29/3
0

A 200.1.1.0/24 por 200.1.1.254

A 0.0.0.0/0 por 130.206.1.29

Oficina
B

Internet
A 0.0.0.0/0 por 200.1.1.253

H1-H3: Inalmbrico
H2-H4, H2-H3, H1-H4: punto a punto

En principio el router X debera tener dos rutas, una para el trfico dirigido a la subred de H3 (A
200.1.1.64/26 por 200.1.1.254) y otra para el trfico hacia la subred de H4 (A 200.1.1.160/27 por
200.1.1.254). Pero dado que ambas rutas son agregables (es decir se pueden expresar mediante una
mscara comn, 200.1.1.0/24) y que se encaminan por la misma interfaz, solo es necesario definir una
ruta. Obsrvese que dicha ruta engloba tambin a las subredes de H1 y H2, pero la posible ambigedad se
resuelve aplicando la regla de la mscara ms larga primero
En lo que respecta al router Y solo es necesario definir la ruta por defecto ya que todo el trfico, excepto
el que corresponde a las dos subredes directamente conectadas, debe encaminarse por el enlace punto a
punto.
La comunicacin local entre equipos de las dos subredes de una misma oficina se realiza gracias a las dos
direcciones IP asignadas a la interfaz Ethernet del router. Dicha comunicacin se realizar de forma
directa, excepto el primer paquete que se enviar al router, que responder con un ICMP redirect al host
para indicarle que incluya una ruta directa hacia ese destino. Se podra conseguir una comunicacin an
ms directa (desde el primer paquete) poniendo la ruta explcita en la configuracin de cada host, por
ejemplo en H1 poner A 200.1.1.128/27 por 200.1.1.1 y en H2 poner A 200.1.1.0/26 por 200.1.1.129.
Una vez resuelto el problema del enunciado vamos a plantearnos como ejercicio adicional la solucin del
mismo problema, pero cumpliendo ahora con los siguientes requisitos:

El enlace punto a punto solo se debe utilizar para la comunicacin segura (H2-H4)

Cualquier otra comunicacin entre las oficinas (H2-H3, H1-H4, H1-H3, H3-Internet, H4Internet) debe efectuarse a travs del enlace inalmbrico

De nuevo, para que la comunicacin H1-H3 se realice por el enlace inalmbrico debemos crear una
subred comn entre H1 y H3 (200.1.1.0/25) a fin de que dicha comunicacin no pase por el router. A
continuacin definiremos en X e Y una ruta para asegurar que el trfico H2-H4 discurra por el enlace
punto a punto. Para que la comunicacin H2->H3 (H4->H1) se haga a travs del enlace inalmbrico
definimos una ruta (en este caso la ruta por defecto) que vaya por dicho enlace. El problema que nos
queda por resolver es como evitar que el trfico H3->H2 (H1->H4) se enve por el enlace punto a punto,
ya que si este trfico llega al router este utilizar la ruta definida, independientemente del origen de los
paquetes. Para resolver este problema es necesario introducir rutas host en H1 y H3.
El siguiente esquema muestra una posible configuracin que cumple con los requisitos planteados:

Host inseguro
IP: 200.1.1.2-62/25
A 200.1.1.160/27 por 200.1.1.65
Router: 200.1.1.1

Oficina A

H2

H1

200.1.1.1/25
200.1.1.129/27

Enlace LAN inalmbrico

Host seguro
IP: 200.1.1.130158/27
Router: 200.1.1.129

200.1.1.253/3
0

Oficina
B

200.1.1.65/25
200.1.1.161/27

200.1.1.254/30

130.206.1.30/3
0
130.206.1.29/3
0

A 200.1.1.160/27 por 200.1.1.254

A 0.0.0.0/0 por 130.206.1.29

Host inseguro
IP: 200.1.1.66-126/25
A 200.1.1.128/27 por 200.1.1.1
Router: 200.1.1.65
H3

H4

Y
Host seguro
IP: 200.1.1.162190/27
Router: 200.1.1.161

Internet
A 200.1.1.128/27 por 200.1.1.253
A 0.0.0.0/0 por 200.1.1.1

H2-H4: punto a punto

H1-H3, H2-H3, H1-H4: enlace inalmbrico

Obsrvese que en este caso la visin que tienen los routers X e Y de la subred de H1-H3 es la misma que
la que tienen los hosts, es decir mscara de 25 bits.

Problema 2:
Al tratarse de una sesin TCP se aplica la limitacin impuesta por el tamao de ventana de TCP. Como se
nos dice que no se soporta factor de escala el tamao de ventana puede valer como mximo 65535 bytes,
que equivalen a 524280 bits.
De la frmula:
Ancho_de_Banda * Round_Trip_Time = Tamao_de_ventana
Despejamos el ancho de banda y obtenemos:
Ancho_de_Banda = Tamao_de_ventana / Round_Trip_Time
Que aplicndola a los valores del enunciado nos da:
Ancho de banda = 524.280 / 0,48 = 1.092,25 Kb/s
As pues el rendimiento mximo que podremos obtener es de 1,09 Mb/s.
En el caso de mantener varias sesiones FTP en paralelo el rendimiento mximo sera de 1,09 Mb/s por
sesin, ya que cada sesin corresponde a una conexin TCP diferente que lleva de forma independiente
los contadores de datos transmitidos.

Problema 3:
1.

Suponga que tanto el banco como el usuario conocen TODAS las claves pblicas. Indique las
operaciones a realizar para que el usuario U enve oper.x de forma cifrada al banco B y adems,
permita asegurar a B que lo manda U
Grfico:
Paso 1: EB(Du(oper.x))
Usuario U

Banco B

Explicacin:
Paso 1: utilizando la clave pblica de B, mando la informacin cifrada, de forma que
slo puede leerla B con su clave privada, pero adems firmada con la clave privada de
U, con lo cual B puede descifrar utilizando la clave pblica de U.
2.

Especifique con el mnimo nmero de mensajes intercambiados, la forma de enviar desde el usuario
U al banco B el texto P, de forma que permita en B verificar dicho documento, tanto su integridad
como quien lo manda, es decir una firma digital. La informacin intercambiada ha de ir de forma
cerrada y suponga que tanto el banco como el usuario conocen TODAS las claves pblicas.
Grfico:
Paso 1: Eb(U, P, Du(MD5(P)))
Usuario U

Banco B

Explicacin:
De forma cerrada cifrando con la clave pblica de B, el usuario U enva su identidad, el
texto y firmado con su clave privada, el compendio de P, de forma que el banco pueda
comprobar que realmente esto lo firma U.
3.

De la siguiente figura, captura de pantalla visualizando la configuracin de un certificado enviado a

www2.bancopopular.es y emitido por Verisign, utilizado en un navegador en conexin segura, y
suponiendo valores por defecto, especifique:
a.- formato de certificado utilizado:
X509.v3
b.- libreras utilizadas para gestionar el envo de certificados:
SSL o TSL, no disponemos de mayor informacin
c.- puerto utilizado en la conexin al servicio:
por defecto el 443 para las conexiones https
d.- en el campo huella digital, qu informacin se incluye?
Un compendio del mensaje cifrado con la clave privada de la autoridad de certificacin

4.

Especifique con el mnimo nmero de mensajes intercambiados, la forma de enviar oper.x desde el
banco B al usuario U, de forma que B pueda identificarse y la informacin viaje protegida por la red
entre ambos y adems permita comprobar la integridad de lo enviado. Suponga que tanto el banco
como el usuario conocen TODAS las claves pblicas.
Grfico:
Paso 1: Eu(B, oper.x , Db(MD5(oper.x)))
Usuario U

Banco B

Explicacin:
Utilizando la clave pblica del usuario U, el banco B manda la informacin cifrando
con su clave privada, de forma que al usuario U le queda claro que esto slo lo podra
haber mandado B si firma el compendio con su clave privada.
5.

En el caso que ni el banco ni el usuario se conocieran entre ellos sus respectivas claves pblicas,
se optara por implantar una PKI para poder firmar las claves con las identidades. Especifique la
infraestructura necesaria, para poder emitir y gestionar los certificados, indicando cada uno de
los elementos que forman dicha infraestructura (incluyendo los propios certificados y detalle de
su contenido) y la funcionalidad que tienen.
La PKI requiere de una autoridad de certificacin, que es una institucin fiable que
se encarga de firmar digitalmente los certificados que ella emite. El proceso de
certificacin, se lleva a cabo a travs de las autoridades de registro, que comprueban
fehacientemente la identidad de quien dice ser, pero de forma fsica. Todo esto, queda
reflejado en el certificado una vez emitido con el siguiente formato:
Certificado= {Id, Eid(),Dca (MD5(Id, Eid()))}
Es decir, el certificado incluye la identidad y la clave pblica de dicha identidad, y
adems lo certifica la Autoridad CA firmando con su clave privada, el compendio de
ambas informaciones.
Adems, las PKI con sus CA, gestionan los CRL (lista de certificados revocados) que
indica la validez de cada certificado, si es vigente o no.
Por otro lado, la propia CA certifica sus propias claves pblicas, lo que se llaman
certificados raz, que descargarn los navegadores para poder gestionar los mtodos
de seguridad.

6.

Suponga que el usuario U necesita acudir a la autoridad de certificacin CA para solicitar el

certificado del banco B (certificado B). Qu operaciones realizara el usuario U con la
autoridad CA para obtener dicho certificado? Suponga que CA ha certificado a todos los usuarios
U y el banco B. Adems se pide, que toda la informacin intercambiada vaya abierta y permita
autenticar quien la enva. Suponga que tanto el banco como el usuario conocen la clave pblica
de CA, ECA(). Utilice el mnimo nmero de mensajes posibles.
Grfico:
Paso 1: Du(certificado de B?)
Usuario U
Certificacin

Autoridad
Paso 2: Dca(certificado B)

Explicacin:

Paso 1: se manda de forma cifrada utilizando la clave privada de quien enva, el

usuario U, pidiendo la solicitud del certificado de B.
Paso 2: la autoridad de certificacin responde con el certificado de B, utilizando
para ello su clave privada de CA.