http

Question 1

Tier-1 ISPs (Nivel 1)

Answer 1

“son la columna vertebral (backbone) de internet a nivel global (grandes regiones y continentes). No pagan a nadie por el tráfico. Tienen acuerdos entre ellos de peering (no se pagan entre ellos por el tráfico de datos). SI SE PAGA POR ACCEDER A ELLOS
ej: AT&T, Verizon, Telefónica, NTT”

Question 2

Tier-2 ISPs (Nivel 2)

Answer 2

“alcance regional o nacional. Modelo mixto: peering entre nivel 2 y pagan a los del nivel 1 por tráfico (acceder a la red global). Sirven de puente entre nivel 3 y nivel 1
Ej: Vodafone, Orange, Comcast”

Question 3

Tier-3 ISPs (Nivel 3)

Answer 3

llevan el internet hasta el usuario final. Tránsito de pago a los ISP de nivel 2 para el acceso a internet. No tienen acuerdos de peering

Question 4

SISTEMAS AUTONOMOS

Answer 4

“AS: conjunto de redes y routers que operan bajo un mismo control administrativo. Tienen nº de identificación único (ASN Autonomous System Number). (Son los Tier1, Tier2 y Tier3) Usan BGP(179) para comunicarse con otros AS.
En el interior de un AS se usa IGP Ej: RedIRIS (ASN 761), ESIC, RENTA4”
Entre ASs se comunican con EGP

Question 5

IXP

Answer 5

“Internet Exchange Point o Puntos Neutros: centros de datos donde los ISP y los proveedores de contenido se conectan para hacer peering de tráfico entre ellos en lugar de tener que pagar a un ISP de tránsito o que los datos tengan que recorrer largas distancias. Reducen la latencia (el ping). Ej. ESpanix, Catnix”

Question 6

CDN

Answer 6

“Content Delivery Networks: grupo de servidores distribuidos en diferentes ubicaciones geográficas alrededor del mundo, que almacenan copias locales de contenido
Los CDN se instalan en los IXP para estar lo más cerca posible de los usuarios finales. Ej: Akamai, Cloudfare”

Question 7

HTTP

Answer 7

Hypertext Transfer Protocol. Protocolo SIN estado (el servidor no guarda información del cliente entre una petición y otra). Orientado a Carácter (las peticiones son en texto plano) (utiliza caracteres individuales para trasmitir la info. ej ASCII) modelo: request-response
ORIENTADO A CONEXION

Question 8

METODOS HTTP

Answer 8

son los “verbos” o acciones que el cliente indica en la petición para decirle al servidor qué debe hacer con un recurso

Question 9

METODOS SEGUROS

Answer 9

son aquellos en los que el verbo NO modifica el recurso OJO, los métodos seguros también son idempotentes GET, HEAD, OPTIONS y TRACE

Question 10

METODOS IDEMPOTENTES

Answer 10

da igual las veces que se ejecuten, el resultado final en el servidor siempre es el mismo NO IDEMPOTENTES: POST, PATCH y CONNECT

Question 11

HTTP POST

Answer 11

NO idempotente; NO seguro; envía datos al servidor para CREAR un nuevo recurso o realizar una acción. Por defecto No se cachea. Ej: enviar un formulario, crear una entrada en una Base de datos.

Question 12

HTTP GET

Answer 12

“SI idempotente; SI seguro; SOLICITA datos de un servidor; obtiene un recurso existente. No es seguro para enviar datos sensibles. Es cacheable. Los navegadores pueden guardar las respuestas de GET para acelerar futuras consultas.
Solo admite caracteres del código ASCII; Ej: solicita una página web, una imagen o datos de una API”

Question 13

HTTP TRACE

Answer 13

SI idempotente; SI seguro; diagnóstico y depuración para ver que pasa con una petición al servidor; ayuda a depurar el camino de la solicitud a través de proxies.
En servidores Apache, Nginx e IIS deshabilitado por riesgo de ataques.

Question 14

HTTP PATCH

Answer 14

NO idempotente; NO seguro; se utiliza para realizar una ACTUALIZACION PARCIAL de un recurso. Ej: actualizar solo un campo de un documento

Question 15

HTTP HEAD

Answer 15

SI idempotente; SI seguro; obtener sólo los metadatos (encabezados) del recurso. Ej: verifica si un recurso existe o si ha sido modificado, sin descargar el cuerpo

Question 16

HTTP PUT

Answer 16

SI idempotente; NO seguro; se usa para actualizar o reemplazar un RECURSO COMPLETO en el servidor con los datos enviados. Ej: actualizar o reemplazar un documento completo.

Question 17

HTTP OPTIONS

Answer 17

SI idempotente; SI seguro; solicita al servidor que indique los METODOS HTTP PERMITIDOS para un recurso, sin realizar ninguna acción. Ej: pregunta qué métodos (GET, POST,…) soporta un recurso en particular.

Question 18

HTTP DELETE

Answer 18

SI idempotente; NO seguro; se utiliza para ELIMINAR un recurso específico en el servidor. Ej: borra un registro de una base de datos o un archivo.

Question 19

WEBDAV

Answer 19

“Web Distributed Authoring and Versioning. Extensión de http que permite editar y gestionar archivos directamente en un servidor web. Convierte el servidor web en un sistema de archivos remoto.
Permite: Edición, gestion y colaboración remota”

Question 20

URI

Answer 20

Uniform Resource Identifier. Es una cadena de caracteres que identifica un recurso (por su ubicación, su nombre o ambos). Se dividen en dos categorías: URL y URN. Ej: mailto:soporte@miempresa.com

Question 21

URL

Answer 21

Uniform Resource Locator. Es un tipo de URI que proporciona identificación, ubicación y método de acceso al recurso. (dónde está y cómo llegar a él) Ej: https://www.ejemplo.com/pagina.html

Question 22

URN

Answer 22

Uniform Resource Name. Es un tipo de URI que identifica un recurso por su nombre, independientemente de su ubicación y de que se pueda mover, de forma persistente. Ej: urn:isbn:0451450523 (identifica un libro por su ISBN International Standard Book Number)

Question 23

HTTP 1.0

Answer 23

muy ineficiente. Por cada objeto el cliente debía abrir una conexión
NO admite multiplexación. NO admite compresión de cabeceras. Las respuestas se entregan en el mismo orden de las peticiones. No requiere https. TCP (coste de tiempo handshake) Conexiones NO persistentes
Casi Obsoleto

Question 24

HTTP 1.1

Answer 24

“Conexiones persistentes (keep-alive, misma conexión TCP para pedir varios objetos seguidos). Pipelining: se envían varias peticiones sin esperar respuesta de las anteriores (se procesan en orden). Host Header: un solo
servidor (IP) puede alojar varias web (Virtual hosting). PROBLEMA: head-of-line blocking: si la primera petición se atasca, las demás esperan”
No admite multiplexación; No admite compresión de cabeceras; las respuestas se entregan en el mismo orden de las peticiones. No requiere https pero se recomienda

Question 25

HTTP 2.0

Answer 25

"publicado en 2015 (basado en **SPDY** de Google). Formato **Binario** más eficiente (deja de ser texto plano). **Multiplexación**: se pueden enviar y recibir multiples peticiones y respuestas simultaneamente sobre una sola conexión TCP (no hay que esperar a que termine una para empezar otra). **Server Push**: el servidor puede enviar recursos antes de que los pida el navegador. **Compresión de cabeceras** (elimina info redundante) Sigue usando TCP: si se pierde un paquete a nivel transporte, se frena la conexión." TLS 1.2 o posteriores (puede requerir seguridad o no)

Question 26

HTTP 3.0

Answer 26

"abandona TCP y utiliza **QUIC**quick UDP Internet Connection (construido sobre **UDP**): si un paquete se pierde, no se pierde toda la conexión (el resto de la web se sigue cargando). Conexión más rápida: **handshake** de conexión y el de **seguridad** (TLS) se hacen **al mismo tiempo**. **Movilidad**: permite cambiar de Wifi a 4G sin cortar la descarga. (Connection Migration): Capacidad de mantener la sesión activa a pesar de cambios en la interfaz de red (IP/Puerto). El cifrado (**https**) pasa a ser **Obligatorio**."

Question 27

200

Answer 27

**OK** La **petición** se ha completado correctamente

Question 28

201

Answer 28

(**Created**) creado un **nuevo recurso** La petición se ha completado correctamente y se ha creado un nuevo recurso

Question 29

202

Answer 29

Aceptado (**Accepted**) La **petición** ha sido aceptada para su procesamiento, **pero aún no se ha completado** (procesamiento asíncrono)

Question 30

301

Answer 30

**movido permanentemente** El recurso solicitado se ha movido permanentemente a una nueva URL

Question 31

302

Answer 31

**movido temporalmente** El recurso solicitado se ha movido temporalmente a una nueva URL

Question 32

304

Answer 32

**NO modificado** desde la última request El recurso solicitado no se ha modificado desde la última vez que el cliente lo solicitó

Question 33

400

Answer 33

**bad request** (petición incorrecta) El servidor no puede procesar la petición debido a un error del cliente

Question 34

401

Answer 34

**NO autorizado** El cliente no está autorizado para acceder al recurso solicitado (requiere autentificarse)

Question 35

403

Answer 35

**PROHIBIDO** El **cliente no tiene permiso** para acceder al recurso solicitado (Se ha autenticado correctamente pero no tiene permiso)

Question 36

404

Answer 36

**not found** (NO encontrado) El servidor no puede encontrar el recurso solicitado

Question 37

405

Answer 37

**Método no permitido** El método HTTP utilizado en la petición no está permitido para el recurso solicitado

Question 38

413

Answer 38

**Carga útil demasiado grande** El servidor no puede procesar la petición porque el cuerpo de la petición es demasiado grande

Question 39

500

Answer 39

**internal error** (error interno del servidor) El servidor ha encontrado un error interno y no puede procesar la petición

Question 40

502

Answer 40

**bad gateway** (puerta de enlace incorrecta) El servidor actúa como una puerta de enlace y ha recibido una respuesta no válida del servidor ascendente

Question 41

503

Answer 41

**Servicio no disponible** El servidor no está disponible temporalmente debido a una sobrecarga o mantenimiento

Question 42

Autenticación BASIC

Answer 42

es un **método** sencillo de **autenticación HTTP** que permite a un **servidor** web **solicitar** credenciales (nombre de **usuario** y **contraseña**) a un cliente (como un navegador web) inseguro. password en BASE64 (codificado NO cifrado --> Inseguro) cabecera WWW-Authenticate: Basic

Question 43

POLITICA CORS

Answer 43

Cross-Origin Resource Sharing mecanismo de seguridad que permite a los **navegadores determinar** que **solicitudes** de origen cruzado (de un dominio diferente al del origen de la página actual) son **permitidas o bloqueadas**. Cabecera principal: Access-Control-Allow-Origin quién puede acceder a tus recursos desde fuera

Question 44

Técnica CSP

Answer 44

Content Security Policy es una técnica de seguridad web que permite a los **administradores** de sitios web definir **qué fuentes de contenido son seguras y autorizadas para cargar en una página web**. Esto ayuda a prevenir ataques de inyección de código malicioso, como el Cross-Site Scripting /XSS) qué se puede cargar / ejecutar en mi web

Question 45

Técnica HSTS

Answer 45

HTTP Strict Transport Security es un mecanismo de seguridad web en el que un **servidor web** comunica a los navegadores que **solo** deben interactuar con él utilizando **conexiones** seguras (**HTTPS**), **nunca** a través de **HTTP**. (previene de ataques man-in-the-middle)

Question 46

AES

Answer 46

Advanced Encryption Standard: Es el** estándar actual **para el cifrado simétrico. Es extremadamente seguro y muy eficiente, usado en una amplia variedad de aplicaciones, desde la seguridad de redes Wi-Fi hasta el cifrado de discos duros. (es una variante de Rijndael)

Question 47

algoritmos asimétricos (o de clave pública)

Answer 47

clave pública y clave privada (lo que se hace con una, se deshace con otra) **LENTOS** **solucionan el problema de la distribución de la clave** requieren de alto poder computacional RSA, DSA, Diffie Hellman, El Gammal, Curvas elípticas, Massey-Omura Elliptic Curves, ECDH, ECDSA

Question 48

algoritmos HMAC

Answer 48

hash-based message authentication code es un tipo de MAC más seguro que utiliza un algoritmo de HASH **verifican integridad y autenticidad** de los mensajes usa **función hash** (SHA-256 o SHA-3) **+ clave secreta** **resisten ataques de extensión de longitud**

Question 49

algoritmos MAC

Answer 49

Message Authentication Code es una técnica para verificar la **integridad** (que el mensaje no ha sido modificado) y la **autenticidad** (que viene del remitente esperado) de un mensaje Se **usan** en protocolos como **IPSec o SSL/TLS** para garantizar que los datos no han sido alterados en el camino son **vulnerables a ataques de extensión de longitud**

Question 50

algoritmos simétricos (o de clave secreta / privada)

Answer 50

una sola clave para cifrar y descifrar **rápidos** computacionalmente (ideales para **grandes volúmenes de datos**) **problema de la distribución de clave** las claves son más cortas que los asimétricos ej: DES, 3DES, RC5, IDEA, AES, Blowfish, ChaCha20

Question 51

Blowfish

Answer 51

Algoritmo simetrico **alternativo a DES**, conocido por su velocidad y por no tener patentes

Question 52

campos del Certificado X.509v3

Answer 52

Versión; Nº de serie; Nombre del emisor; Periodo de validez; Nombre del sujeto; Clave pública del sujeto; Extensiones; Firma del emisor

Question 53

certificado X.509v3

Answer 53

es un documento digital estandarizado (firmado digitalmente por una Autoridad de Certificación) que vincula una clave pública con una entidad Verifica la identidad de una entidad (uso más común en el protocolo SSL/TLS) Campos más importantes: -Versión y número de serie -Nombre del emisor -Periodo de validez -Clave pública

Question 54

Cipher Suite

Answer 54

conjunto de algoritmos criptográficos que se utilizan para asegurar una conexión de red (con protocolo TLS) ej: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS: El protocolo. ECDHE: Algoritmo de intercambio de claves. (cómo se hacen llegar) RSA: Algoritmo de autenticación de los participantes AES_256_GCM: Algoritmo de cifrado masivo. SHA384: Algoritmo de MAC. Se encarga de la integridad de los datos

Question 55

Condiciones de una función Hash

Answer 55

-imposible extraer el mensaje original -imposible generar un mensaje cuyo residuo sea uno previo que ya tengamos -efecto avalancha: un cambio pequeño en la info produce un cambio total en el resultado del hash -el residuo tiene una longitud fija independientemente de la información hasheada -evitar colisiones: dos entradas distintas producen el mismo residuo de hash MD5 -- 128 bits OBSOLETO SHA / SHA1 -- 160 bits OBSOLETO SHA256 -- 256 bits

Question 56

códigos respuestas http

Answer 56

100 informativos 200 códigos de éxito 300 redirecciones 400 problemas con la solicitud del cliente 500 error al procesar solicitud con el servidor

Question 57

de qué provee SSL/TLS?

Answer 57

**Confidencialidad** --- Cifrado simétrico -- AES **Integridad** ------------ MAC ------------------ funciones hash (SHA-256) **Autenticación** -------- PKI y certif X.509 - certificado digital firmado por una CA **Anti-Replay** ----------- números de secuencia --- frustar ataques de repetición No provee de NO repudio.

Question 58

DES / 3DES

Answer 58

Data Encryption Standard fueron muy utilizados, hoy en día se consideran **obsoletos** y **vulnerables a ataques de fuerza bruta** debido a su longitud de clave. SIMETRICO

Question 59

DH

Answer 59

Diffie-Hellman: Es un protocolo de **intercambio de claves**, NO un algoritmo de cifrado o firma. Permite que dos partes, que nunca se han comunicado antes, establezcan un **secreto compartido** (una clave simétrica) a través de un canal no seguro. Fundamental para **establecer la sesión en protocolos SSL/TLS y VPN**

Question 60

DSA

Answer 60

Digital Signature Algorithm: se usa únicamente para **crear y verificar firmas digitales**. NO PUEDE CIFRAR DATOS. Usa la **clave privada para generar una firma única** para un mensaje y la **clave pública para verificar que la firma es auténtica** y que el mensaje no ha sido alterado.

Question 61

EC

Answer 61

Elliptic Curves: Es un enfoque más moderno y eficiente para la criptografía de clave pública. Ofrece **misma seguridad que RSA pero con claves más cortas** ECDH (Elliptic Curves Diffie-Hellman) para intercambio de claves. ECDSA (Elliptic Curves Digital Signature Algorithm)

Question 62

RSA

Answer 62

Rivest, Shamir, Adleman: se usa para **cifrado de datos, intercambio de claves y firmas digitales**. Se basa en la dificultad de **factorizar números primos muy grandes**

Question 63

TIER1, TIER2, TIER3

Answer 63

Tier1: entre ellos se comunican por peering privado(free) pagar para acceder a ellos Tier2: regionales; entre ellos peering público Tier3: ISPs (a los que acceden los consumidores) todos los ISPs tiene un número de sistema autónomo (AS) asignado por IANA

Question 64

verbos NO idempotentes de http

Answer 64

POST envía datos a una url PATCH modificaciones parciales CONNECT tunel https a través de un proxy

Question 65

verbos que usa http

Answer 65

GET, HEAD, PUT, POST, PATCH, TRACE, OPTIONS, DELETE, CONNECT

Question 66

Cómo funcionan las cookies?

Answer 66

1-servidor manda una o varias cookies al navegador al acceder al sitio web 2-el navegador almacena las cookies localmente en archivos de texto 3-al visitar de nuevo la web, el navegador envía la cookie en la solicitud http 4-el servidor usa las cookies para "recordar" y personalizar la visita

Question 67

Tipos de cookies

Answer 67

-de sesión: se eliminan automáticamente cuando se cierra el navegador -persistentes: permanecen en el navegador durante un tiempo aunque se cierre el navegador -de terceros: creadas por un dominio diferente al que se está visitando (para seguimiento y publicidad en línea)