Вы находитесь на странице: 1из 10
100110001010010 10001100001100100101 01010010101001 101 10101 10100101 INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS DOCENTE
100110001010010 10001100001100100101 01010010101001 101 10101 10100101 INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS DOCENTE

100110001010010

10001100001100100101

01010010101001

101

10101

10100101

INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS

10101 10100101 INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS DOCENTE : ING. LAZARO ARCOS CASTILLO. ASIGNATURA :
10101 10100101 INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS DOCENTE : ING. LAZARO ARCOS CASTILLO. ASIGNATURA :
10101 10100101 INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS DOCENTE : ING. LAZARO ARCOS CASTILLO. ASIGNATURA :

DOCENTE: ING. LAZARO ARCOS CASTILLO. : ING. LAZARO ARCOS CASTILLO.

ASIGNATURA: REDES INALAMBRICAS.

LAZARO ARCOS CASTILLO. ASIGNATURA : REDES INALAMBRICAS. INTEGRANTES DE EQUIPO ALFREDO JOSE ACOSTA REYES CORREO
LAZARO ARCOS CASTILLO. ASIGNATURA : REDES INALAMBRICAS. INTEGRANTES DE EQUIPO ALFREDO JOSE ACOSTA REYES CORREO
LAZARO ARCOS CASTILLO. ASIGNATURA : REDES INALAMBRICAS. INTEGRANTES DE EQUIPO ALFREDO JOSE ACOSTA REYES CORREO

INTEGRANTES DE EQUIPO

ALFREDO JOSE ACOSTA REYES

CORREO ELECTRONICO

PRESENTA:

N-° CONTROL

10E20002

Unidad 4. Seguridad en redes inalámbricas.

4.1 Riesgos y amenazas en las redes inalámbricas.

4.2 Mecanismos de protección en las redes inalámbricas.

4.2.1 Privacidad equivalente al cableado(WEP).

4.2.2 Acceso Wi-Fi Protegido(WPA).

4.2.3 Lista de Control de acceso(Filtrado MAC).

CARRERA: ING. EN SISTEMAS COMPUTACIONALES

SEMESTRE EN CURSO: 8

LUGAR Y FECHA DE ENTREGA: BALANCAN, TABASCO, 09 DE ABRIL DEL AÑO 2014.

REDES INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
REDES INALAMBRICAS
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS

INTRODUCCION

La tecnología está cambiando de forma acelerada, haciendo que en algunos casos, las redes sean la herramienta primordial para comunicarnos. Es por ello que la propia movilidad que tenemos, ha hecho nesesario la evolucion de las redes cableadas a inalambricas. Los sistemas de redes y Telecomunicaciones actualmente estan sujetos a una innovacion tecnologica altamente cambiante, trayendo consigo, que los sistemas basados en la comunicacion inalambrica no sean la excepcion, por lo que evolucionan rapidamente. Las redes inalaanbricas fueron creadas por la nesecidad de proveer acceso a las redes por medio de dispositivos de computo portatiles, lo cual evidentemente atrajo problemas hacia el medio de transmision, debido a los intrusos que pueden entrar en la red libremente dando una posibilidad virtual de no ser detectados. Es por ello, la importancia de tener comunicaciones seguras en redes inalambricas para establecer enlaces de intercambio de informacion confidencial. Las redes inalambricas en los ultimos años, han tenido un auge muy importante por lo que los mecanismos de seguridad que se desarrollan en un inicio, rapidamente pasaron a ser superados por aquellos usuarios mal intencionados, los cuales buscan por donde penetrar a los sistemas en las vulnerabilidades de seguridad que estos presentan. Esto origino, que los fabricantes de dispositivos inalambricos y a organizaciones como IEEE(Institute of Electrical and Electronics Engineers) a buscar las alternativas de solucion a estos problemas. Desde que se comenzo a investigar en esta area, se han encontrado varias soluciones las cuales, se han ido implementando, tal como es el caso del mejoramiento de la incriptacion WEB(Wired Equivalency Piracy) la cual, en su forma mas basica de codificacion es de 40 bits, sin embargo, para lograr una mayor seguridad, se ha extendido hasta los 128 bits

ING.EN SISTEMAS COMPUTACIONALES

pág. 2

REDES INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
REDES INALAMBRICAS
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS

4.1 RIESGOS Y AMENAZAS EN LAS REDES INALAMBRICAS

Las ondas de radio tienen en sí mismas la posibilidad de propagarse en todas las direcciones dentro de un rango relativamente amplio. Es por esto que es muy difícil mantener las transmisiones de radio dentro de un área limitada. La propagación radial también se da en tres dimensiones. Por lo tanto, las ondas pueden pasar de un piso a otro en un edificio (con un alto grado de atenuación).

La consecuencia principal de esta "propagación desmedida" de ondas radiales es que personas no autorizadas pueden escuchar la red, posiblemente más allá del confinamiento del edificio donde se ha establecido la red inalámbrica.

El problema grave es que se puede instalar una red inalámbrica muy fácilmente en una compañía sin que se entere el departamento de IT. Un empleado sólo tiene que conectar un punto de acceso con un puerto de datos para que todas las comunicaciones en la red sean "públicas" dentro del rango de transmisión del punto de acceso.

Riesgos de Seguridad

Existen muchos riesgos que surgen de no asegurar una red inalámbrica de manera adecuada:

La intercepción de datos es la práctica que consiste en escuchar las transmisiones de varios usuarios de una red inalámbrica.de no asegurar una red inalámbrica de manera adecuada: El crackeo es un intento de acceder

El crackeo es un intento de acceder a la red local o a Internet.transmisiones de varios usuarios de una red inalámbrica. La interferencia de transmisión significa enviar señales

La interferencia de transmisión significa enviar señales radiales para interferir con tráfico.inalámbrica. El crackeo es un intento de acceder a la red local o a Internet. ING.EN

ING.EN SISTEMAS COMPUTACIONALES

pág. 3

REDES INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
REDES INALAMBRICAS
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS Los ataques de denegación de servicio inutilizan la red
INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS Los ataques de denegación de servicio inutilizan la red

Los ataques de denegación de servicio inutilizan la red al enviar solicitudes falsas.

Intercepción de Datos

Una red inalámbrica es insegura de manera predeterminada. Esto significa que está abierta a todos y cualquier persona dentro del área de cobertura del punto de acceso puede potencialmente escuchar las comunicaciones que se envían en la red. En el caso de un individuo, la amenaza no es grande ya que los datos raramente son confidenciales, a menos que se trate de datos personales. Sin embargo, si se trata de una compañía, esto puede plantear un problema serio.

Intrusión de Red

La instalación de un punto de acceso en una red local permite que cualquier estación acceda a la red conectada y también a Internet, si la red local está conectada a ella. Es por esto que una red inalámbrica insegura les ofrece a los hackers la puerta de acceso perfecta a la red interna de una compañía u organización.

Denegación de Servicio

El método de acceso a la red del estándar 802.11 se basa en el protocolo CSMA/CA, que consiste en esperar hasta que la red este libre antes de transmitir las tramas de datos. Una vez que se establece la conexión, una estación se debe vincular a un punto de acceso para poder enviarle paquetes. Debido a que los métodos para acceder a la red y asociarse a ella son conocidos, un hacker puede fácilmente enviar paquetes a una estación solicitándole que se desvincule de una red. El envío de información para afectar una red inalámbrica se conoce como ataque de denegación de servicio.

ING.EN SISTEMAS COMPUTACIONALES

pág. 4

REDES INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
REDES INALAMBRICAS
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS

4.2 MECANISMOS DE PROTECCIÓN EN LAS REDES INALÁMBRICAS

4.2 MECANISMOS DE PROTECCIÓN EN LAS REDES INALÁMBRICAS La seguridad es un aspecto que cobra especial

La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior. Existen 4 tipos de redes inalámbricas, la basada en tecnología BlueTooth, la IrDa (Infrared Data Association), la HomeRF y la WECA (Wi-Fi). La primera de ellas no permite la transmisión de grandes cantidades de datos entre ordenadores de forma continua y la segunda tecnología, estándar utilizado por los dispositivos de ondas infrarrojas, debe permitir la visión directa entre los dos elementos comunicantes. Las tecnología HomeRF y Wi-Fi están basados en las especificaciones 802.11 (Ethernet Inalámbrica) y son las que utilizan actualmente las tarjetas de red inalámbricas. Una red inalámbrica tiene dos componentes principales: las estaciones (STA) y los puntos de acceso (AP). Pueden operar en dos modalidades: ad-hoc, en la que cada cliente (STA) se comunica directamente con los otros clientes de la red y en modalidad de infraestructura, donde las STA envían los paquetes a una estación central, el punto de acceso. Éste AP actúa como si de un bridge Ethernet se tratara. El cliente y el punto de acceso deben establecer una relación antes de poder intercambiar datos. Esta relación puede utilizar tres estados diferentes:

1. Sin autenticación y disasociado

2. Con autenticación y disasociado

3. Con autenticación y asociado

El intercambio de datos 'reales' sólo es posible en el tercer estado. El AP transmite tramas con señales de gestión en periodos de tiempo regulares. Las STA reciben estas tramas e inician la autenticación mediante el envío de una trama de autenticación. Una vez realizada satisfactoriamente la autenticación, la STA envía la trama asociada y el AP responde con otra trama asociada. La utilización del aire como medio de transmisión de datos mediante la propagación de ondas de radio ha proporcionado nuevos riesgos de seguridad. La salida de estas ondas de radio fuera del edificio donde está ubicada la red permite la exposición de los datos a posibles intrusos que podrían obtener información sensible a la empresa y a la

ING.EN SISTEMAS COMPUTACIONALES

pág. 5

REDES INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
REDES INALAMBRICAS
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS seguridad informática de la misma. Varios son los riesgos

seguridad informática de la misma. Varios son los riesgos derivables de este factor. Por ejemplo, se podría perpetrar un ataque por inserción, bien de un usuario no autorizado o por la ubicación de un punto de acceso ilegal más potente que capte las estaciones cliente en vez del punto de acceso legítimo, interceptando la red inalámbrica. También sería posible crear interferencias y una más que posible denegación de servicio con solo introducir un dispositivo que emita ondas de radio a una frecuencia de 2’4GHz (frecuencia utilizada por las redes inalámbricas). La posibilidad de comunicarnos entre estaciones cliente directamente, sin pasar por el punto de acceso permitiría atacar directamente a una estación cliente, generando problemas si esta estación cliente ofrece servicios TCP/IP o comparte ficheros. Existe también la posibilidad de duplicar las direcciones IP o MAC de estaciones cliente legítimas. Los puntos de acceso están expuestos a un ataque de Fuerza bruta para averiguar los passwords, por lo que una configuración incorrecta de los mismos facilitaría la irrupción en una red inalámbrica por parte de intrusos. A pesar de los riesgos anteriormente expuestos, existen soluciones y mecanismos de seguridad para impedir que cualquiera con los materiales suficientes pueda introducirse en una red. Unos mecanismos son seguros, otros, como el protocolo WEP fácilmente ‘rompibles’ por programas distribuidos gratuitamente por Internet.

4.2.1 PRIVACIDAD EQUIVALENTE AL CABLEADO (WEP)

WEP significa Privacidad Equivalente a Cableado (Wired Equivalent Privacy). Esta

herramienta de seguridad fue publicada por la IEEE en la norma 802.11 en

septiembre de 1999 y permaneció intacta por varias revisiones de esta norma. Tal

como lo indica su nombre, su objetivo es equiparar el nivel de seguridad de WLAN

y LAN.

WEP es un protocolo de cifrado de trama de datos 802.11 que utiliza el algoritmo

simétrico RC4 con claves de 64 bits o 128 bits.

El concepto de WEP consiste en establecer una clave secreta de 40 o 128 bits con

antelación. Esta clave debe declararse en cada tarjeta de la red inalámbrica, así

como en el punto de acceso de un red en modo infraestructura. La clave se usa

para crear un número que parece aleatorio y de la misma longitud que la trama de

datos.

ING.EN SISTEMAS COMPUTACIONALES

pág. 6

REDES INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
REDES INALAMBRICAS
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS Funciones WEP realiza dos funciones una es cifrado y

Funciones

WEP realiza dos funciones una es cifrado y la otra es autentificación. Es un hecho

conocido el que las transmisiones inalámbricas pueden ser captadas por terceros

de forma pasiva. WEP hace que estas transmisiones no tengan sentido para otro

que no sea el destinatario, puesto que los mensajes quedan escritos en clave, es

decir cifrados.

Cifrado

Las vulnerabilidades de WEP son variadas y se combinan de distintas formas

permitiendo que la seguridad del punto de acceso sea burlada. La debilidad

fundamental viene dada por el aprovechamiento del XOR usado en el cifrado. Esta

debilidad se traduce en que capturando dos cifrados C1 y C2 y conociendo alguno

de los textos planos P1, se puede obtener el texto plano P2 con una simple

operación binaria. El texto de algunos mensajes puede ser predicho debido a que

en la red hay muchos paquetes circulando que son redundantes. Además se

necesita que los 64 bits (vector y clave) usados para el cifrado sean los mismos.

4.2.2 ACCESO WI-FI PROTEGIDO (WPA)

WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede proporcionar. El IEEE tiene casi terminados los trabajos de un nuevo estándar para reemplazar a WEP, que se publicarán en la norma IEEE 802.11i a mediados de 2004. Debido a la tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se encontraron en 2001), Wi-Fi decidió, en colaboración con el IEEE, tomar aquellas partes del futuro estándar que ya estaba suficientemente maduras y publicar así WPA. WPA es, por tanto, un subconjunto de lo que será IEEE 802.11i. WPA (2003) se está ofreciendo en los dispositivos actuales.

WPA soluciona todas las debilidades conocidas de WEP y se considera suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad de cambiar a IEEE 802.11i cuando esté disponible.

Características de WPA

ING.EN SISTEMAS COMPUTACIONALES

pág. 7

REDES INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
REDES INALAMBRICAS
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS Las principales características de WPA son la distribución

Las principales características de WPA son la distribución dinámica de claves, utilización más robusta del vector de inicialización (mejora de la confidencialidad) y nuevas técnicas de integridad y autentificación.

WPA incluye las siguientes tecnologías:

IEEE 802.1X. Estándar del IEEE de 2001 para proporcionar un control de acceso en redes basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de un switch, también se puede aplicar a las distintas conexiones de un punto de acceso con las estaciones. Las estaciones tratarán entonces de conectarse a un puerto del punto de acceso. El punto de acceso mantendrá el puerto bloqueado hasta que el usuario se autentifique. Con este fin se utiliza el protocolo EAP y un servidor AAA (Authentication Authorization Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service). Si la autorización es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS puede contener políticas para ese usuario concreto que podría aplicar el punto de acceso (como priorizar ciertos tráficos o descartar otros).

EAP. EAP, definido en la RFC 2284, es el protocolo de autentificación extensible para llevar a cabo las tareas de autentificación, autorización y contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Point-to-Point Protocol), aunque WPA lo utiliza entre la estación y el servidor RADIUS. Esta forma de encapsulación de EAP está definida en el estándar 802.1X bajo el nombre de EAPOL (EAP over LAN). TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo encargado de la generación de la clave para cada trama.

MIC (Message Integrity Code) o Michael. Código que verifica la integridad de los datos de las tramas.

Mejoras de WPA respecto a WEP

WPA soluciona la debilidad del vector de inicialización (IV) de WEP mediante la inclusión de vectores del doble de longitud (48 bits) y especificando reglas de secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 2 elevado a 48 combinaciones de claves diferentes, lo cual parece un número suficientemente elevado como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la comunicación, se puede utilizar para evitar ataques de repetición de tramas (replay).

Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostró inservible en WEP y se ha incluido un nuevo código denominado MIC. Las claves ahora son generadas dinámicamente y distribuidas de forma automática por lo que se evita tener que modificarlas manualmente en cada uno de los elementos de red cada cierto tiempo, como ocurría en WEP.

ING.EN SISTEMAS COMPUTACIONALES

pág. 8

REDES INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
REDES INALAMBRICAS
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS Para la autentificación, se sustituye el mecanismo de

Para la autentificación, se sustituye el mecanismo de autentificación de secreto compartido de WEP así como la posibilidad de verificar las direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que requiere de una mayor infraestructura: un servidor RADIUS funcionando en la red, aunque también podría utilizarse un punto de acceso con esta funcionalidad.

Modos de funcionamiento de WPA

WPA puede funcionar en dos modos:

Con servidor AAA, RADIUS normalmente. Este es el modo indicado para las empresas. Requiere un servidor configurado para desempeñar las tareas de autentificación, autorización y contabilidad.

Con clave inicial compartida (PSK). Este modo está orientado para usuarios domésticos o pequeñas redes. No requiere un servidor AAA, sino que se utiliza una clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta clave sólo se utiliza como punto de inicio para la autentificación, pero no para el cifrado de los datos.

WPA2 (IEEE 802.11i) 802.11i es el nuevo estándar del IEEE para proporcionar seguridad en redes WLAN. Se espera que esté concluido todo el proceso de estandarización para mediados de 2004. Wi-Fi está haciendo una implementación completa del estándar en la especificación WPA2. Sus especificaciones no son públicas por lo que la cantidad de información disponible en estos momentos es realmente escasa. WPA2 incluye el nuevo algoritmo de cifrado AES (Advanced Encryption Standard), desarrollado por el NIS. Se trata de un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Requerirá un hardware potente para realizar sus algoritmos. Este aspecto es importante puesto que significa que dispositivos antiguos sin suficientes capacidades de proceso no podrán incorporar WPA2. Para el aseguramiento de la integridad y autenticidad de los mensajes, WPA2 utiliza CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication Code Protocol) en lugar de los códigos MIC. Otra mejora respecto a WPA es que WPA2 incluirá soporte no sólo para el modo BSS sino también para el modo IBSS (redes ad-hoc).

4.2.3 LISTAS DE CONTROL DE ACCESO (FILTRADO MAC)

La mayoría de 802,11 (Wi-Fi), los puntos de acceso permiten al administrador de la red para entrar en una lista de MAC (Media Access Control) se ocupa de que se les permite comunicarse en la red. Esta funcionalidad, conocida como dirección MAC Filtrados permite al administrador de red para denegar el acceso a cualquier dirección MAC que no esté específicamente permitido en la red. Esto exige que

ING.EN SISTEMAS COMPUTACIONALES

pág. 9

REDES INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
REDES INALAMBRICAS
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS
INALAMBRICAS INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS cada nuevo dispositivo de la red tiene su dirección

cada nuevo dispositivo de la red tiene su dirección MAC, entró en la base de datos como un dispositivo autorizado. Por otra parte, más 802,11 (Wi-Fi), tarjetas le permiten configurar la dirección MAC de la tarjeta en el software. Por lo tanto, si usted puede oler la dirección MAC de un nodo de red, es posible unirse a la red usando la dirección MAC de ese nodo.

Propósito de las ACL

Las ACL permiten un control del tráfico de red, a nivel de los routers. Pueden ser parte de una solución de seguridad (junton con otros componentes, como antivirus, anti-espías, firewall, proxy, etc.).

Puntos varios, que se deben recordar

Una ACL es una lista de una o más instrucciones.

Se asigna una lista a una o más interfaces.

Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; el protocolo usado.

El router analiza cada paquete, comparándolo con la ACL correspondiente.

El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantes renglones.

Es por eso que hay que listar los comandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general!

Si no encuentra una coincidencia en ninguno de los renglones, rechaza automáticamente el tráfico. Consideren que hay un "deny any" implícito, al final de cada ACL.

Cualquier línea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí.

Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen.

Las ACL extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen; la dirección de destino; y el protocolo utilizado.

También podemos usar ACL nombradas en vez de usar un rango de números. El darles un nombre facilita entender la configuración (y por lo tanto, también facilita hacer correcciones). No trataré las listas nombradas en este resumen.

ING.EN SISTEMAS COMPUTACIONALES

pág. 10