DR - T3

El comando ip route add 10.1.0.0/16 via 192.168.0.1 ejecutado en sun: No tiene ningún efecto puesto que sun no tiene capacidad de actuar sobre la red 10.1.0.0. Añade la ruta para alcanzar la red 10.1.0.0/16 usando moon como gateway. No tiene ningún efecto puesto que sun no tiene capacidad de actuar sobre la red 192.168.0.0. Añade la ruta para alcanzar la red 10.1.0.0/16 usando carol como gateway.

Se desea configurar una conexión strongSwan net2net para que utilice AH en modo transporte. Para eso se incluye en el fichero /etc/ipsec.conf la línea: transport=ah. type=ah,transport. En un escenario net2net no tiene sentido el modo transporte. ah=transport.

Si se quiere permitir la conexión exclusivamente a alice desde la red 10.1.0.0/16 al servidor web en winnetou, debemos: Ejecutar en moon el comando iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 80-j MASQUERADE. Ejecutar en alice el comando iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.10-p tcp --dport 80 -j MASQUERADE. Ejecutar en moon el comando iptables -t nat -D POSTROUTING -o eth0 -s 10.1.0.10 -p tcp --dport 80 -j MASQUERADE. Ejecutar en moon el comando iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.10-p tcp --dport 80 -j MASQUERADE.

Las siguientes líneas dentro de un apartado "conn" del fichero /etc/ipsec.conf de un equipo: left=192.168.0.200 right=192.168.0.2. La dirección del equipo es la 192.168.0.2 y la del equipo remoto la 192.168.0.200. El equipo tiene dos direcciones IPsec, la 192.168.0.2 y la 192.168.0.200. No se puede saber la dirección del equipo ni la del equipo remoto, son necesarias más líneas de configuración. La dirección del equipo es la 192.168.0.200 y la del equipo remoto la 192.168.0.2.

A la vista de la salida del comando "ipsec statusall": La asociación de seguridad IPsec proporciona conectividad a carol solo con los equipos de la red 10.1.0.0/16 que soporten IPsec. La asociación de seguridad IPsec proporciona conectividad a carol con todos los equipos de la red 10.1.0.0/16, incluidos aquellos que no soportan IPsec. La asociación de seguridad IPsec proporciona conectividad a moon solo con los equipos de la red 10.1.0.0/16 que soporten IPsec. La asociación de seguridad IPsec proporciona conectividad a carol con moon pero no con los equipos de la red 10.1.0.0/16.

Teniendo en cuenta que los equipos en las redes 10.1.0.0/16 y 10.2.0.0/16 tienen como gateway por defecto 10.1.0.1 y 10.2.0.1, respectivamente, si se quiere habilitar la conectividad entre las redes 10.1.0.0/16 y 10.2.0.0/16: Ninguna de las otras respuestas. Es suficiente con añadir la ruta 10.2.0.0/16 vía 10.1.0.0 a los equipos en la red 10.1.0.0/16 y la ruta 10.1.0.0/16 vía 10.1.0.1 a los equipos en la red 10.2.0.0/16. Es suficiente con añadir la ruta 10.2.0.0/16 vía 192.168.0.2 en moon. Es suficiente con añadir la ruta 10.1.0.0/16 vía 192.168.0.1 en sun.

Se desea configurar strongSwan para permitir la conectividad de equipos roadwarrior. Para eso se incluye la línea: left=%any dentro de la configuración de una conexión indicada mediante "conn" en el fichero /etc/ipsec.conf en moon. left=%any dentro de la configuración de una conexión indicada mediante "conn" en el fichero /etc/ipsec.conf en cada equipo roadwarrior. left=192.168.0.1 dentro de la configuración de una conexión indicada mediante "conn" en el fichero /etc/ipsec.conf en moon. right=%any dentro de la configuración de una conexión indicada mediante "conn" en el fichero /etc/ipsec.conf en cada equipo roadwarrior.

Se introduce en moon la siguiente regla: iptables-t nat-A PREROUTING-p tcp--dport 11122-j DNAT--to-destination 10.1.0.10:22. Para conectarnos por SSH desde dave a alice, ejecutaremos en dave el comando: ssh alice -p 11122. ssh alice. ssh moon -p 11122. ssh moon.

El comando ip route del 10.1.0.0/16 ejecutado en moon: No tiene ningún efecto en la conectividad de ningún equipo. No tiene ningún efecto puesto que moon no tiene capacidad de actuar sobre la red 192.168.0.0. Elimina la conectividad hacia la red 10.1.0.0/16 tanto desde el propio moon como desde los equipos que estén utilizando moon como gateway para alcanzar dicha red. No tiene ningún efecto en la conectividad hacia la red 10.1.0.0/16 desde el propio moon pero sí desde otros equipos.

Si se habilita SNAT tipo MASQUERADE en moon para permitir la conexión desde la red 10.1.0.0/16 a la red 192.168.0.0/24: Se podrá iniciar una conexión desde carol hacia alice pero no desde alice hacia carol. Se podrá iniciar una conexión desde alice hacia carol pero no desde carol hacia alice. No se podrá iniciar una conexión desde alice hacia carol ni desde carol hacia alice. Se podrá iniciar una conexión tanto desde alice hacia carol como desde carol hacia alice.

Si se quiere permitir la conexión exclusivamente a alice desde la red 10.1.0.0/16 a la red 192.168.0.0/24, debemos: Ejecutar en moon el comando iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE. Ejecutar en moon el comando iptables -t nat -D POSTROUTING -o eth0 -s 10.1.0.10 -j MASQUERADE. Ejecutar en moon el comando iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.10 -j MASQUERADE. Ejecutar en alice el comando iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE.

OpenVPN: Utiliza TLS para la autenticación y TCP para transferencia de datos por motivos de fiabilidad. Utiliza OAuth para la autenticación y TCP para transferencia de datos. Utiliza TLS para la autenticación y TCP o UDP para transferencia de datos. Es recomendable UDP por motivos de rendimiento. Utiliza SSH para la autenticación y UDP para transferencia de datos.

En un cliente OpenVPN, la dirección del servidor VPN se configura en su fichero .conf mediante: remote-server <dirección> <puerto>. server <dirección> <puerto>. remote-cert-tls server. remote <dirección> <puerto>.

Se desea configurar una conexión strongSwan host2host para que utilice ESP en modo transporte. Para eso se incluye en el fichero /etc/ipsec.conf la línea: esp=transport. type=transport. transport=esp. En un escenario host2host no tiene sentido el modo transporte.

A la vista de la salida del comando "ipsec statusall": Es una asociación de seguridad IPsec net-to-net usando AH en modo túnel. Es una asociación de seguridad IPsec host-to-host entre moon y sun usando AH en modotúnel. Es una asociación de seguridad IPsec net-to-net usando AH en modo transporte. Es una asociación de seguridad IPsec host-to-host entre moon y sun usando ESP en modo túnel.

A la vista de la salida del comando "ipsec statusall": Se trata de una asociación de seguridad IPsec entre un gateway y un equipo agnóstico sobre IPsec. Se trata de una asociación de seguridad IPsec entre dos gateways. Se trata de una asociación de seguridad IPsec entre dos hosts. Se trata de una asociación de seguridad IPsec entre un host y un gateway.

El descubrimiento de rutas en el protocolo DSR se efectúa mediante: Inundación (flooding) mediante paquetes RTS. Inundación (flooding) mediante paquetes RREP. Inundación (flooding) mediante paquetes RREQ. Multicast mediante paquetes RREQ.

En OpenVPN con PKI el certificado con la clave pública de la CA: Se almacena en todos los equipos de la VPN. Se almacena solo en el equipo que ejerce de CA pero es enviado a los otros equipos de la VPN cuando se establece la conexión. No se almacena en ningún equipo de la VPN. Se almacena solo en el equipo que ejerce de CA.

En un servidor OpenVPN, la dirección de red de la VPN se configura en su fichero .conf mediante: network <dirección de red> <máscara de red>. vpn-network <dirección de red> <máscara de red>. vpn <dirección de red> <máscara de red>. server <dirección de red> <máscara de red>.

Cuando se levanta una conexión IPsec mediante strongSwan, la conectividad queda habilitada mediante: Cambios en las tablas de enrutamiento y en las reglas iptables de los equipos que actúan como extremos de la conexión. Cambios en las reglas iptables de varios equipos, no solo de los que actúan como extremos de la conexión. Cambios en las tablas de enrutamiento de los equipos que actúan como extremos de la conexión. Cambios en las reglas iptables de los equipos que actúan como extremos de la conexión.

Si se quiere permitir la conexión desde la red 10.1.0.0/16 a la red 192.168.0.0/24, debemos: Ejecutar en moon el comando iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE. Ejecutar en moon el comando iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE. Ejecutar en sun el comando iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE. Ejecutar en carol el comando iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE.

¿Cuál de estos valores de MTU para la interfaz TUN, fragmentación y buffer de envío incrementan al máximo el rendimiento de OpenVPN?: tun-mtu 1500, fragment 0, sndbuf 524288. tun-mtu 65000, fragment 0, sndbuf 524288. tun-mtu 9000, fragment 1, sndbuf 524288. tun-mtu 65000, fragment 0, sndbuf 9000.

Se desea configurar strongSwan para permitir la conectividad de equipos roadwarrior. Para eso se incluye la línea: right=%any dentro de la configuración de una conexión indicada mediante conn en el fichero /etc/ipsec.conf en moon. right=%any dentro de la configuración de una conexión indicada mediante conn en el fichero /etc/ipsec.conf en cada equipo roadwarrior. left=%any dentro de la configuración de una conexión indicada mediante conn en el fichero /etc/ipsec.conf en cada equipo roadwarrior. left=%any dentro de la configuración de una conexión indicada mediante conn en el fichero /etc/ipsec.conf en moon.

Se desea configurar una conexión strongSwan host2host para que utilice AH en modo transporte. Para eso se incluye en el fichero /etc/ipsec.conf: type=transport ah=aesxcbc. ah=transport. transport=ah. type=ah,transport.

El protocolo ESP de IPsec: Autentica la cabecera IP original cuando se usa en modo túnel. Autentica tanto la cabecera IP original como la nueva cuando se usa en modo túnel. No autentica la cabecera IP original cuando se usa en modo túnel. Autentica la cabecera IP original cuando se usa en modo transporte.

El protocolo IKE utiliza las siguientes bases de datos: SPD (Security Policy Database), que contiene políticas generales y cuyas entradas son dinámicas y SAD (Security Association Database), que contiene las asociaciones de seguridad y cuyas entradas son estáticas. Ninguna de las otras respuestas. SPD (Security Policy Database),que contiene las asociaciones de seguridad y cuyas entradas son dinámicas. y SAD (Security Association Database), que contiene políticas generales y cuyas entradas son estáticas. SPD (Security Policy Database), que contiene políticas generales y cuyas entradas son estáticas y SAD (Security Association Database), que contiene las asociaciones de seguridad y cuyas entradas son dinámicas.

En la primera fase del protocolo IKE: Se crea una asociación de seguridad ISAKMP para la protección del propio protocolo IKE. Se realiza el intercambio de claves de la asociación de seguridad IKE pero no la autenticación de los extremos de la misma, que se realiza en la segunda fase. Ninguna de las otras respuestas. Se utiliza el algoritmo de Diffie-Hellman, que proporciona PFI (Perfect Forward Security).

El protocolo IPSec: Contempla solo un mecanismo de operación, resultante de combinar dos mecanismos más sencillos: transporte y túnel. El mecanismo de transporte se encarga de garantizar la entrega de paquetes extremo a extremo, mientras que el mecanismo de túnel se encarga de encriptar el paquete IP original. Contempla cuatro modos de operación: transporte, túnel, transporte tunelizado y túnel transportado. El modo transporte se comporta como un protocolo de nivel 4 (transporte). El modo túnel actúa solo a nivel 3 (IP). En el modo transporte tunelizado se hace tunneling del modo transporte, mientras que en el modo túnel transportado se superpone el modo transporte (nivel 4) al modo túnel (nivel 3). Contempla dos modos de operación: transporte y túnel. En el modo transporte no se utiliza ningún túnel, es decir, la cabecera IP original se utiliza como cabecera IP del nuevo paquete. En el modo túnel el paquete IP original se encapsula en un nuevo paquete IP, por lo que se dice que el túnel es IP-en-IP. Contempla dos modos de operación: transporte y túnel. En el modo transporte no se utiliza ningún encapsulamiento adicional, tan solo se encripta la cabecera IP original. En el modo túnel el paquete IP original se encapsula en un nuevo paquete IP, por lo que se dice que el túnel es IP-en-IP.

Como regla general de diseño de un despliegue IPsec: Si uno de los dos extremos es un host, ha de usarse modo túnel. Si uno de los dos extremos es un gateway, ha de usarse modo túnel. Si uno de los dos extremos es un gateway, ha de usarse modo transporte. Solo si los dos extremos son gateways, ha de usarse modo túnel.

En el protocolo IPSec: AH y ESP pueden usarse de modo aislado o conjunto. Como regla general, cuando se utilizan ambos conjuntamente, lo mejor es que ambos utilicen el mismo modo (transporte o túnel). AH y ESP pueden usarse de modo aislado o conjunto. Como regla general, cuando se utilizan ambos conjuntamente, lo mejor es que AH utilice el modo túnel y ESP el modo transporte. AH y ESP pueden usarse de modo aislado o conjunto. Como regla general, cuando se utilizan ambos conjuntamente, lo mejor es que AH utilice el modo transporte y ESP el modo túnel. AH y ESP no pueden usarse de modo conjunto: ha de escogerse utilizar uno u otro para mantener la SA.

El protocolo IPSec: Es un protocolo que incorpora seguridad a nivel IP contemplando el mecanismo de tunneling a nivel 3, por lo que tanto los protocolos de niveles superiores como el nivel de aplicación son conscientes de su utilización. Es un protocolo que incorpora seguridad a nivel IP contemplando el mecanismo de tunneling a nivel 3, por lo que es imposible que los protocolos del nivel 2 (capa de enlace) sean conscientes de su utilización. Es un protocolo que incorpora seguridad a nivel IP contemplando el mecanismo de tunneling a nivel 3, por lo que los protocolos del nivel 4 (capa de transporte) son conscientes de su utilización. Es un protocolo que incorpora seguridad a nivel IP contemplando el mecanismo de tunneling a nivel 3, siendo por tanto transparente a los protocolos de niveles superiores y al nivel de aplicación.

El protocolo AH de IPsec: Autentica tanto la cabecera IP original como la nueva si se usa en modo túnel. Ninguna de las otras respuestas. No autentica la cabecera IP original si se usa en modo transporte. Autentica solo la cabecera IP original pero no la nueva si se usa en modo túnel.

Como regla general de diseño de un despliegue IPsec: Si los dos extremos son hosts, ha de usarse modo transporte. Si uno de los dos extremos es un gateway, ha de usarse modo transporte. Si uno de los dos extremos es un host, ha de usarse modo túnel. Si uno de los dos extremos es un host, ha de usarse modo transporte.

El protocolo IPSec: Incluye dos protocolos, AH y ESP, y permite establecer una asociación de seguridad (SA) dinámica entre dos extremos de la red. Incluye dos protocolos, AH y ESP, y permite establecer una asociación de seguridad (SA) estática entre dos extremos de la red. Incluye dos protocolos, AH y ESP, y permite establecer una asociación de seguridad (SA) estática entre dos extremos de la red. AH proporciona el modo transporte de IPsec mientras que ESP el modo túnel. Incluye dos protocolos, AH y ESP, y permite establecer una asociación de seguridad (SA) estática entre dos extremos de la red (al usarse el modo túnel) o dinámica (al usarse el modo transporte).

El protocolo AH de IPSec: Proporciona autenticación del origen mediante hashes MD5 y/o SHA-1 con clave secreta compartida; integridad de los datos mediante hashes MD5 y/o SHA-1 del mensaje; encriptación básica mediante AES; y autenticación adelantada de cabecera (Header Forward Authentication), que significa que autentica los campos inmutables de la cabecera externa. Proporciona autenticación del origen mediante hashes MD5 y/o SHA-1 con clave secreta compartida; integridad de los datos mediante hashes MD5 y/o SHA-1 del mensaje; y autenticación adelantada de cabecera (Header Forward Authentication), que significa que autentica los campos inmutables de la cabecera externa.No proporciona integridad de secuencia ni no repudio que, en cambio, son contemplados por el protocolo ESP. Proporciona autenticación del origen mediante hashes MD5 y/o SHA-1 con clave secreta compartida; integridad de secuencia; no repudio; y autenticación adelantada de cabecera (Header Forward Authentication), que significa que autentica los campos inmutables de la cabecera externa. No proporciona integridad de los datos que, en cambio, es contemplada por el protocolo ESP. Proporciona autenticación del origen mediante hashes MD5 y/o SHA-1 con clave secreta compartida; integridad de los datos mediante hashes MD5 y/o SHA-1 del mensaje; integridad de secuencia; no repudio; y autenticación adelantada de cabecera (Header Forward Authentication), que significa que autentica los campos inmutables de la cabecera externa.

En IPsec, si se desea tener autenticación: Puede usarse AH, AH+ESP o simplemente ESP en modo túnel. Puede usarse AH o AH+ESP. No es posible usar solo ESP. Puede usarse AH, AH+ESP o simplemente ESP en modo transporte. Tiene que usarse AH.

El protocolo de gestión de claves utilizado en IPSec es: IKE (Internet Key Exchange), que es una combinación de ISAKMP (Internet Security Association and Key Management Protocol), Oakley y SKEME. IKE se utiliza para el intercambio periódico de claves, así como en la negociación del protocolo usado por IPSec (AH o ESP). IKE (Internet Key Exchange), que es una combinación de ISAKMP (Internet Security Association and Key Management Protocol), Oakley y SKEME. IKE se utiliza para el intercambio periódico de claves, pero no en la negociación del protocolo usado por IPSec (AH o ESP). ISAKMP (Internet Security Association and Key Management Protocol), que es una combinación de IKE (Internet Key Exchange), Oakley y SKEME. ISAKMP se utiliza para el intercambio periódico de claves, así como en la negociación del protocolo usado por IPSec (AH o ESP). Ninguna de las otras respuestas.