Tentti 27.10.2009 suuntaa-antavia vastauksia 1 a) kolme asiaa (3*1), kummankin version kannalta, esim - osoitteet - otsikko - tarkastussumma - lohkominen - DHCP:n lisäksi automaattinen tilaton osoitteenmääritys IPv6ssa - multicast vs broadcast - arp vs icmp:n nd b) IP:n otsikon ensimmäisestä kentästä näkee, kumman version paketti on kyseessä. Kaksi tilannetta ja tapaa kuvailtuna eli onko IPv6-liikenne vain IPv4-verkon läpi vai voiko IPv6-kone viestiä IPv4-koneen kanssa, ja miten toimii. Tekniikat ovat dual stact, SIIT ja NAT-PT. HUOM! osoitteen muuttaminen ei riitä! c) virhe- ja ohjausviestit 2 a) talletetaan määräajaksi kyseltyjä ip-nimi pareja. root ja top level ei talleta tehokkuussyistä - eikä ne edes tiedä yksittäisten koneiden iptä (vastaus ei kulje niiden kautta) b) man in the middle, dns spoofing, cache poisoning LISÄTEHTÄVÄ: miksi DNSSEC ei käytä salausta vaan vain allekirjoituksia? 3 a) polkuvektori kertoo reitin verkkojen läpi käyttäen ASien numeroita (ei sisällä metriikkaa) (osa siis autonomisten järjestelmien _välistä_ reititystä, ei sisäistä, missä käytetään linkkitila- ja etäisyysvektoriprotokollia) b) 1p/ongelma: dynaamisuus: allaoleva unicast-reitityspuu muuttuu, ryhmään voi liittyä uusia ja poistua; kuka vaan voi lähettää; viestit saattavat saapua useampaa reittiä c) ha on kotiverkossa, tehtävä lähettää viesti eteenpäin jos kone ei ole kotiverkossa, eli pitää kirjaa missä kone on vierailemassa. vierasagentti on vierasverkossa, tehtävä antaa osoite vierailijalle, kertoa sijainnista kotiagentille, ja välittää viestit 4 kymmenen asiaa: tunnisteiden välinen mäppäys ja mitä muuttuu, pääpaino ekassa - miten selvitetään nimestä ip-osoite (miten toimii dns) - mitä portti tarkoittaa ja mihin sitä tarvitaan - miten ip-osoitteesta saadaan linkkikierroksen osoite (esim arp) (huom: linkkikerroksen osoitetta käytetään yhden fyysisen verkon sisällä, verkko kerrallaan edeten, eikä vastaanottajan osoite ole lähettäjän tiedossa, jollei olla samassa verkossa - siihen tarvitaan ip) muutoksia: dns palauttama arvo, kuljetuskerroksen pseudoheader, udpn tarkistussumma... linkkikerros<->ip: arp / nd ip<->nimi: dns portti - tunnettu palvelu 5 a) 2p erilaisia muuttujia, 1p ongelma integer, octet string, gauge, counter, time tics... laskurista ei tiedä, onko se jo "pyörähtänyt ympäri" b) 2p valvonta-asema (kerätä ja analysoida tietoa), 1p agentti (koota tietoa) 6 a) 1p esimerkkejä tavoitteiden ristiriidoista, 1p ratkaisu esim: luotettava vs nopea; selvitetään käyttäjiltä kumpaa tarvitaan enemmän b) toimiiko NATien ja palomuurien kera c) 2 asiaa: turvaa on vaikea lisätä jälkikäteen, pitää miettiä mitä suojataan ja miltä (eli hyökkäysmahdollisuudet), algoritmit pitää voida vaihtaa toisiin (modulaarisuus), 7 a) 2 asiaa: luotetut päätepisteet, pysyvät julkiset osoitteet ja päästä-päähän oleva yhteys b) asiakas-socket luodaan ja yhteys avataan palvelimeen. palvelin-socket luodaan ja odotetaan yhteydenottoja ja sellaisen tullessa muodostetaan erillinen yhteys asiakkaaseen. Palvelin toimii tunnetussa/rekisteröidyssä portissa. c) tarjoavat tavan määritellä ja löytää palvelu 8 10 asiaa, luettavassa muodossa +2: sähköpostin kuvaus (store and forward, fetch) - eli mikä luo ongelman luottamuksellisuus eheys saatavuus pääsynvalvonta todennus valtuutus kiistämättömyys roskapostin esto kuka vaan voi lähettää