Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús.

Filtrado de paquetes con OpenBSD, en equipos bajo costo 1

IMPLEMENTACIÓN DE FILTRADO DE PAQUETES

(PF) CON OPENBSD EN DISPOSITIVOS
(HARDWARE) DE BAJOS RECURSOS
TECNOLÓGICOS, COMO PRIMER BASTIÓN DE LA
SEGURIDAD INFORMÁTICA.
Sepúlveda Manrique, Luis Jesús
ljsepulveda@[Link]
Universidad Piloto de Colombia

Abstract — This document proposes the seguridad informática para hogares y empresas. A fin
implementation of a packet filtering as a primary de minimizar costos de operación o gastos adicionales
parameter in information security and using free en la puesta de funcionamiento de este tipo de medidas
software "OpenBSD" in devices with low de seguridad, se realiza el planteamiento de utilizar
technological benefits and low monetary cost, with dispositivos de reuso o de reacondicionamiento
packet filtering being an efficient technology that does tecnológico, tomando como referencia la ley 1672 de
not require the use of hardware with high technological 2013 del Congreso de la República [1], donde define y
configurations at the time of implementation in homes plantea el uso de este tipo de equipos. Un caso de éxito
and companies. The filtering of packages is an en el empleo de equipos en desuso es el programa
alternative to be the first bastion in computer security “Computadores para Educar”, con más de un millón
in data networks, to minimize risks of computer de equipos entregados [2]; así mismo, se propone como
attacks.
alternativa el uso de dispositivos embebidos para
cumplir la tarea de filtrado de paquetes, equipos que no
Resumen —Con este documento se propone la superan los 70 dólares.
implementación de un filtrado de paquetes como
Como parte fundamental de esta propuesta se
parámetro primordial en la seguridad de la
sugiere el uso de software libre OpenBSD, el cual
información, y empleando el software libre
“OpenBSD” en dispositivos con bajas prestaciones posee altos estándares de seguridad y criptografía, que
tecnológicas y bajo costo monetario, siendo el filtrado lo hace ideal para la finalidad propuesta. En el
de paquetes una tecnología eficiente que no precisa del documento se plantea una serie de conceptos que
empleo de hardware con altas configuraciones abarcan el tema de firewall, teoría de filtrado de
tecnológicas al momento de la implementación en paquetes y la instalación, configuración y uso de
hogares y empresas. El filtrado de paquetes es una OpenBSD pf (packet filter), como sistema para el
alternativa para ser el primer bastión en la seguridad filtrado de paquetes, para lo cual se propone una
informática en las redes de datos, con la finalidad de configuración con el empleo de dos tarjetas de red una
minimizar riesgos de ataques informáticos. para el acceso a red de internet y otra para la red interna
LAN.
Palabras clave —OpenBSD, Filtrado de paquetes,
Firewall, reuso tecnológico, BeagleBone Black. II. DISPOSITIVOS DE BAJOS RECURSOS
TECNOLÓGICOS
I. INTRODUCCIÓN
Dentro de este documento se hace referencia a la
En este documento se realiza un aproximación al instalación de un sistema de filtrado de paquetes para
empleo de sistemas de filtrado de paquetes como parte dispositivos de bajos recursos tecnológicos, entre ellos
fundamental de la implementación de medidas de se encuentran equipos de cómputo obsoletos o en
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 2

desuso y dispositivos de sistemas embebidos como la obsoletos para la implementación de “firewall” con
plataforma de desarrollo BeagleBone Black. tecnología de filtrado de paquetes como un primer
bastión de seguridad informática en las redes de datos,
A. Equipos por reacondicionamiento o reuso
y empleando el software libre OpenBSD 6.3; que en
tecnológico.
términos de recursos económicos de bajo costo tanto
A medida que avanza la tecnología tanto en software para hogares y empresas no supera $ 300.000 pesos
como en hardware muchos equipos electrónicos (COP) de inversión. En caso de comprar un equipo de
quedan en desuso u obsoletos, lo cual conlleva a cómputo usado, o de cero costo para el caso de la
engrosar la acumulación de desechos electrónicos, reutilización de equipos; este software precisa el uso de
conocidos como “basura tecnológica” o “e-waste”, recursos mínimos o capacidades reducidas de hardware
término según la organización “[Link]” hace como son:
referencia a: “aparatos dañados, descartados u  Procesador Intel Pentium III, Atom, AMD
obsoletos que consumen electricidad. Incluye una Athlon, entre otros con velocidad mínima de 500
amplia gama de aparatos como computadores, equipos Mhz. Memoria RAM de 512 Mb
electrónicos de consumo, celulares y electrodomésticos
 Disco duros de 2 Gb
que ya no son utilizados por sus usuarios”. [3]. Para el
 Dos (2) interfaces o tarjetas de red.
caso de Colombia el Congreso de la República, a través
de la ley 1672 de 2013, estableció los lineamientos para B. Dispositivo BeagleBone Black.
el manejo de los residuos de aparatos eléctricos y Creado con base en la plataforma de desarrollo
electrónicos (RAEE), en el artículo 4, definiendo BeagleBoard, que inició el desarrollo de sistemas
reacondicionamiento como: “Procedimiento técnico de embebidos, estructurados y con filosofía de software y
renovación en el cual se establecen las condiciones hardware abierto, dichos sistemas son desarrollados y
funcionales y estéticas de un aparato eléctrico y mantenidos por la organización sin ánimo de lucro
electrónico con el fin de ser usado en un nuevo ciclo de “BeagleBoard Foundation” [5] de la cual hace parte
vida. Puede implicar además reparación, en caso de Texas Intruments, fabricante de la familia de
que el equipo posea algún daño”. También se define el procesadores AM335X Cortex A8 ARM, procesador
concepto de reuso como: “se refiere a cualquier que se encuentra en la plataforma de desarrollo de la
utilización de un aparato o sus partes, después del referencia BeagleBone Black (figura 1), definido por el
primer usuario, en la misma función para la que el como “una plataforma de desarrollo de bajo costo”
aparato o parte fueron diseñados” [1]. En el marco de [5]. El costo promedio del dispositivo según el
esta ley establece una serie de obligaciones las cuales fabricante es de 49 dólares.
fueron reglamentadas en el decreto No. 284 de 2018,
en la que destaca la obligación de los usuarios. En el Fig. 1. BeagleBone Black.
artículo 2.2.7A.2.3, numeral primero se enuncia que:
“Prevenir la generación de los RAEE mediante
prácticas para la extensión de la vida útil de los AEE”
[4], con lo cual, y acorde a la ley, los ciudadanos
tenemos la obligación de aprovechar los recursos
tecnológicos que por variadas circunstancias van
quedando obsoletos.
Un ejemplo de este tipo de disposición de elementos
tecnológicos es la iniciativa de “Computadores para
Educar” [2], la cual se inició con la recolección de
equipos de cómputo en desuso u obsoletos, los cuales
fueron reacondicionados para ser reutilizados en
entidades educativas y sociales en el territorio nacional,
las estadísticas de esta organización refieren la
reutilización y puesta en funcionamiento de más de
1.886.755 equipos entregados [2]. En este documento
presento la propuesta y como parte de las obligaciones Fig. 1: Se realiza comparativo del tamaño del dispositivo
de los usuarios y consumidores de equipos electrónicos BeagleBone Black. Fuente: el autor.
y eléctricos, la opción de reutilizar equipos en desuso u
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 3

Dentro de las características básicas de conectividad  Procesador Sitara AM335x Cortex ARM con
de la BeagleBone Black se encuentran las siguientes: velocidad de 1Ghz.
 Puerto USB para alimentación y comunicaciones  Memoria RAM de 512 MB tipo DDR3.
 Puerto USB  Almacenamiento flash a bordo eMMC de 2GB y
 Puerto para micro SD 8 bits.
 Puerto Ethernet RJ45  Acelerador de gráficos 3D.
 Puerto HDMI para video
 Dos (2) headers de desarrollo cada uno con 46 La BeagleBone Black viene con el sistema
pines. operativo de Linux Angström, sin embargo,
actualmente se encuentran múltiples distribuciones
En la tabla 1 se aprecian las principales Linux que pueden ser instaladas plataforma
características de la BeagleBone Black. BeagleBone Black; dentro de las cuales se incluyen:
 Ubuntu
TABLA 1  Android
Características Técnicas BeagleBone Black  Fedora
Ítem. Características  Debian
Procesador 1Gz Sitara AM3359AZCZ100
 Kali Linux
Motor gráfico SGX530 3D, 20M Polygons/S
Memoria 512 MB DDR3L 400Mhz  OpenBSD
SDRAM  ArchLinux
Flash 2GB,8bit Embedded MMC  Gentoo
PMIC TPS65217C PMIC regulator and one
additional LDO. Por lo anterior, se aprecia que este tipo de
Alimentación miniUSB o Jack 5VC Vía header dispositivo presenta características y soporte para la
DC de expansión
PCB 3.4” x 2.1”, 6 capas
instalación del sistema operativo OpenBSD propuesto
en este documento.
Indicadores 1 Poder, 2 Ethernet, 4 Leds para
control del usuario
III. FIREWALL
Puerto serial UART0 vía pin 6 3.3V TTL.
Ethernet 10/100, RJ45
SD/Conector microSD, 3.3V En la publicación especial 800-41 "Guidelines on
MMC firewalls and firewall policy” del “National Institute of
Entradas usuario Botón reset, botón boot y botón poder Standards and Technology” (NIST), se define firewall
Salida de video 16b HDMI, 1280×1024 (cortafuegos) como: ”dispositivos o programas que
(MAX)1024×768, 1280×720, controlan el flujo de tráfico de red entre redes o hosts
1440x900w/Soporte EDID que emplean diferentes posturas de seguridad” [6]. En
Audio Vía HDMI, Estéreo
este contexto, el documento describe de manera general
Conectores de Poder 5V, 3.3V
expansión VDD_ADC(1.8V)3.3V I/OMcASP0,
las diferentes tecnologías y tipos de firewall,
SPI1, I2C, GPIO(69), LCD, GPMC, determinando unas directrices para planear,
MMC1, MMC2, 7 AIN(1.8 MAX) , 4 implementar y generar políticas en cuanto la forma en
Timers, 4 Puertos Seriales, CAN0, que los firewall (cortafuegos) deben manejar tráfico en
EHRPWM(0.2) , Interrupciones la red; precisando al respecto que: “ Antes de crear una
XDMA, Botón de Poder política de firewall, se debe realizar alguna forma de
Consumo 210-460mA @ 5V Dependiendo de la análisis de riesgo para desarrollar una lista de los
actividad y velocidad del procesador.
Peso 39.68 gramos
tipos de tráfico que necesita la organización y
Tabla 1: Se detallan las características del dispositivo. Fuente: categorizar cómo deben protegerse” [6]
[Link] Dentro de las diferentes tecnologías de firewall
1ghz/ acorde a lo establecido en la guía NIST 800-41 [6] se
listan las siguientes:
De la tabla 1 se destacan las características de  Filtrado de paquetes.
procesamiento y rendimiento de la BeagleBone Black,  Inspección con estado
entre las cuales se encuentran:  Firewall de aplicación
 Gateway proxy de aplicación
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 4

 Servidores proxy dedicados. Specification” [9], donde, las reglas de filtrado se

 Redes privadas virtuales (VPN) centran principalmente en los campos de dirección IP
 Controles de acceso a las redes de origen y la dirección IP de destino, compuestas cada
 Gestión unificada de amenazas (UTM). una por 32 bits. Para el caso de IPV4 y para IPV6, las
 Firewall de aplicación web. direcciones de origen y desino están conformadas por
 Firewalls para infraestructuras virtuales. 128 bits.
Otro de los aspectos importantes en el filtrado de
Cada una de estas tecnologías de firewall se pueden paquetes es el concerniente a la capa de transporte del
y deben combinar, a fin de ofrecer una mayor modelo OSI, donde toma papel importante los
protección a las conexiones de red, tanto entrantes protocolos destinados para la entrega de los
como salientes. Se va documentar en relación a la datagramas. Los más importantes a tomar en cuenta
tecnología más primitiva del firewall, como lo es el son: protocolo TCP, definido en el RFC793
filtrado de paquetes. En la actualidad hace parte “Transmission Control Protocol Darpa Internet
importante de la implementación de un perímetro Program Protocol Specification” [10]; en el cual los
básico de seguridad para las redes de datos en hogares campos más importantes de este protocolo son los
o corporativas. relacionados con el puerto de origen y el puerto de
destino, así como lo relacionado con el campo de las
IV. TECNOLOGÍA DE FILTRADO DE banderas o “flags” (URG, ACK, PSH, RST, SYN,
PAQUETES (PACKET FILTERING) FIN). El otro protocolo a tener en cuenta para el filtrado
de paquetes es el protocolo UDP, definido en el
RFC768 “User Datagram Protocol” [11].
Dentro de las tecnologías de cortafuegos (firewall),
Al momento de establecer un sistema de filtrado de
las más básica a implementar es el filtrado de paquetes
paquetes este debe tomar en cuenta las siguientes
(packet filter). Las primeras tecnologías de firewall
consideraciones:
implementadas correspondían a filtros de paquetes que
se encargaban de realizar un enrutamiento [6],
1) Examinar cada uno de los encabezados de los
permitiendo el control de acceso para cada una de las
protocolos y los paquetes de datos, para lo cual se
direcciones host que se definían en las reglas del
definen diferentes reglas de filtrado.
dispositivo; y así establecer la comunicación entre cada
2) Establecer un conjunto de reglas las cuales se
una de las máquinas. Fueron denominados firewall de
establece qué hacer con el paquete de datos. Las reglas
inspección sin estado, debido que básicamente se
buscan la información definida en cada uno de los
encargan de bloquear o permitir el paso a los paquetes
filtros como son: dirección IP de origen y destino,
de datos acorde a una lista de reglas establecidas de
número de puerto de origen y destino, entre otros.
aceptación o denegación de los paquetes [7], y según
3) El filtrado de paquetes debe ser capaz de generar
van llegando a la interfaz de red, este tipo de tecnología
acciones a tomar a partir del resultado del examen
se implementa generalmente a nivel del sistema
realizado al paquete de datos, entre las que se
operativo. El filtrado de paquetes se encuentra
encuentran:
destinado principalmente a las capas 3 (nivel de red) y
 Con base en las reglas puede aceptar solo
capa 4 (capa de transporte) del modelo OSI,
paquetes que sean seguros y rechazar todos los
adicionalmente el filtrado de paquetes permite realizar
otros paquetes.
NAT (Network Address Translation) acorde a lo
 Según el conjunto de reglas rechaza solo paquetes
establecido en el RFC1631 [8], así mismo, es posible
que no sean seguros y acepta todos los otros
realizar acondicionamiento y normalización del tráfico
paquetes.
de red, permitiendo un control del ancho de banda de la
 Preguntar al usuario que hacer con paquetes que
red. En resumen, el filtrado de paquetes (pf) trabaja u
no están establecidos en las reglas de filtrado.
opera a nivel de conexiones, puertos, protocolos y
 Bloquear usuarios de una dirección IP de origen
paquetes.
definida, cuando recibe demasiados paquetes en
Debido a que el filtrado de paquetes se enfoca en las
un corto período de tiempo.
opciones de permitir o bloquear paquetes, en donde el
 Permitir un sin número de reglas de filtrado y
protocolo encargado de enrutar los paquetes a través de
establecer cualquier tipo de acciones a tomar con
internet es el protocolo IP, definido en el RFC791
los paquetes de datos, para lo cual el
“Internet Protocol Darpa Internet Program Protocol
administrador puede crear las reglas que estime
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 5

pertinentes para tal fin, en aras de preservar la sistemas embebidos como la BeagleBone Black entre
seguridad de la red. otros dispositivos.
Al momento de especificar o definir el conjunto de
B. Tipos de filtrado de paquetes.
reglas [14] se hace importante que se realicen como
Acorde con la tecnología del filtrado de paquetes se mínimo las siguientes verificaciones en los
han establecido dos grandes categorías como son: encabezados de los paquetes: La dirección IP de origen
filtrado de paquetes sin estado y filtrado de paquetes del paquete, la dirección IP del destino, el número del
con estado. puerto tanto UDP como TCP, identificación del
1) Filtrado de paquetes sin estado [12]. Hace protocolo IP, los mensajes ICMP entre otros aspectos.
referencia al tipo más básico de filtrado del tráfico que Dentro de la implementación de un filtrado de paquetes
pasa por la red ya sea de entrada o de salida y en la cual existen dos características básicas:
se aplica una lista de reglas para denegar o permitir el  De forma predeterminada aceptar todo y denegar
paquete, para este caso se realiza una inspección del que pasen paquetes de forma explícita.
paquete y se compara con las listas generadas, entre los
 De forma predeterminada denegar todo y
cuales se encuentran los siguientes:
permitir que pasen paquetes de forma explícita.
 Dirección IP de destino o dirección IP de origen.
 Puertos de enlace, siendo los más usuales 80, 22, Siendo la directiva de denegar todo, la más
23, 443, entre otros recomendada a la hora de configurar las reglas de
 Protocolos UDP, TCP, ICMP, etc. filtrado de paquetes, sin embargo, es necesario habilitar
 Cabecera de protocolo TCP. cada servicio con el correspondiente protocolo de
comunicación.
Este tipo de filtrado puede permitir como modo se En aras de garantizar mayor seguridad a la hora de
seguridad básica, que no se muestren las fijar las reglas se debe aclarar los conceptos de rechazar
configuraciones de red, así como evitar que se acceda a o denegar. Rechazar implica que se dé como respuesta
protocolos o se realicen inicios de sesión desde un un mensaje de error ICMP, lo que genera que esta
ataque outsaider. Debido al tipo de inspección respuesta pueda ser usada para realizar un ataque de
realizado a los paquetes en este tipo de filtrado es denegación de servicio, ya que esta respuesta incluye
propenso a recibir ataques de saturación de la red o información útil para cualquier atacante; por ende, la
ataques de tipo SYN flooding acción más recomendada es la de denegar los paquetes,
2) Filtrado de paquetes con estado [14]. en esta acción simplemente se descarta el paquete sin
Generalmente se le conoce como filtrado dinámico, ya devolver ningún tipo de respuesta.
que opera a nivel de conexión o de flujo, se agregó el
concepto de las tablas de estado donde se mantienen los C. Filtrado de paquetes entrantes.
registros de los diferentes inicios de sesión, cada que se 1) Filtrar de dirección de origen remota. La forma de
genera un nuevo paquete, este es comparado o identificar al remitente de un paquete es la dirección IP
verificado con las tablas de estado para establecer si se de origen, sin embargo y a fin de evitar ciertos ataques
encuentra una conexión asociado a ella, en caso de no como “spoofing” se hace necesario al momento de
hallarlo este paquete es descartado. Este tipo de filtrado implementar un filtrado de paquetes con dirección de
de paquetes aumentó la seguridad de la información e origen se realice una denegación principalmente a las
inicialmente se diseñó como una protección contra los siguientes de direcciones IP de origen: mi dirección IP,
ataques de spoofing, los cuales eran muy comunes en las direcciones IP privadas de las clases A, B y C,
el sistema de filtrado de paquetes sin estado, direcciones IP de servicios locales o de bucle,
convirtiendo el filtrado de paquetes dinámico en un direcciones IP reservadas en la clase E y direcciones IP
factor fundamental a la hora de generar políticas y en clase D multidifusión.
estrategias para la defensa en profundidad [13] de las 2) Filtrar dirección destino local. Generalmente la
organizaciones; así mismo, en este tipo los sistemas de tarjeta NIC ignora los paquetes que no tiene como
filtrado con estado permite reducir el gasto de recursos destino esta tarjeta, sin embargo, una excepción a esta
de cómputo lo que nos facilita la instalación en equipos regla lo conforman las direcciones IP de difusión
de bajo costo y bajos recursos de hardware, como lo general, en la cual la dirección IP [Link]
son equipos de reciclaje tecnológico o plataformas de corresponde a una dirección de destino.
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 6

3) Filtrar puerto de origen remoto. Generalmente el paquetes TCP, el indicador SYN se encontrará activado
puerto de origen web remoto es el puerto 80 (http) o en la primera petición, pero el indicador ACK no estará
443 (https), para los demás casos las peticiones activo; posteriormente se activa el indicador ACK para
realizadas al servidor local desde servidores remotos se los siguientes paquetes, por tanto, un filtrado del estado
asignan en puertos no privilegiados, que corresponden saliente cliente local solo permite un SYN o un ACK
a los puertos del 1024 al 65535. activo, para el caso de los servidores local siempre se
4) Filtrar de puerto destino local. Las peticiones permitirá que los paquetes que salgan tengan el
realizadas desde clientes remotos generalmente indicador ACK activo.
establecen un puerto de destino con el número de
servicio asignado específicamente, las respuestas de los V. SISTEMA OPERATIVO OPENBSD
servidores remotos tendrán en el puerto de destino
rangos no privilegiados de 1024 al 63535. El sistema operativo OpenBSD es sistema
5) Filtrar estado de conexión TCP entrante. multiplataforma descendiente de UNIX y basado en
Generalmente para este tipo de filtrado se hace NetBSD. OpenBSD es de libre distribución basado en
referencia de los indicadores de estado del protocolo IP la licencia BSD (Berkeley Software Distribution)
SYN, ACK) [14]; por tanto, cada paquete que proceda desarrollada por la Universidad de Berkeley de
de un servidor remoto debe tener activado el indicador California, la ventaja de esta licencia de software libre
ACK debido a que siempre serán la respuesta a una permite que el código fuente puede ser modificado,
petición realizada desde la red local. estudiado y distribuido sin ningún tipo de permiso.
D. Filtrado de paquetes salientes Actualmente OpenBSD se encuentra soportada por la
fundación de sin ánimo de lucro “The OpenBSD
1) Filtrar de dirección de origen local. Para el caso en Foundation” [15] quienes se encargan de realizar las
que se trate de hogares o pymes en las cuales es actualizaciones y soportar el funcionamiento de este
limitado el uso de equipos el filtrado de la dirección IP sistema operativo. Dentro de los objetivos
de origen corresponde a la misma dirección de los fundamentales del sistema operativo se encuentran la
equipos de los usuarios. portabilidad, la estandarización, exactitud, la seguridad
2) Filtrar dirección destino remota. Para el filtrado de proactiva y la criptografía integrada [16]. Respecto del
paquetes con dirección remota se toman en cuenta dos objetivo fundamental de criptografía, el sistema
casos principales así: filtrar paquetes con destino a OpenBSD incluyó en el núcleo el protocolo IPsec
clientes remotos que son direccionados desde servicios desde la versión 2.1 lanzada en el año de 1997, cabe
del usuario, y paquetes con destino a servidores destacar en este objetivo que la criptografía
remotos con los cuales se establecido una conexión implementada en el sistema operativo se encuentra
desde el usuario. relaciona además con los siguientes aspectos:
3) Filtrar puerto de origen local. Se hace necesario y OpenSSH con soporte para las diferentes versiones
recomendado definir el puerto de servicio a emplear hasta la 2.0, funciones de resumen criptográfico,
para las conexiones salientes teniendo claro especificar generación de números aleatorios y sistema de
los puertos para aplicaciones del cliente y otra para las transformaciones criptográficas [17], respecto de la
aplicaciones de los servidores locales. Para el caso de seguridad OpenBSD es considerado uno de los
los aplicativos del cliente se debe tener precaución, ya sistemas operativos tipo UNIX más seguros que existen
que generalmente la salida se realiza por puertos no actualmente.
privilegiados, por lo que se deben asignar a puertos Las características respecto de la criptografía, la
específicos y así aumentar la seguridad en la salida de seguridad implementada en el sistema operativo, así
paquetes de la red. como la baja cantidad de recursos tecnológicos para su
4) Filtrar de puerto destino remoto. Se debe realizar instalación y funcionamiento donde requiere un
un filtrado para que las conexiones de los clientes solo mínimo de memoria RAM de 256 Mb y un espacio
se conecten a los puertos de servicio asociados a los libre en disco de 500 Mb para la instalación, aunado
aplicativos, garantizando que se asegure la red al con que fue el primer sistema operativo que se liberó
permitir o vigilar que programas intenten acceder a los con un sistema de filtrado de paquetes (pf), como se
servidores de internet y minimizar la exploración de mencionó anteriormente el sistema operativo es
puertos. multiplataforma [18], en la tabla 2 se aprecian las
5) Filtrar estado saliente de conexiones TCP. Acorde diferentes plataformas de instalación que se encuentran
al saludo de tres vías del protocolo de conexión de
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 7

soportadas en la versión 6.3, versión que fue librada el Fig. 2. Diagrama de flujo análisis de paquetes
día 15 de abril de 2018.
TABLA 2
Plataformas soportadas por OpenBSD 6.3
alpha Digital Alpha-based systems
amd64 AMD64-based systems
arm64 64-bit ARM systems
ARM-based devices, such as BeagleBone,
armv7 BeagleBoard, PandaBoard ES, Cubox-i, SABRE
Lite, Nitrogen6x and Wandboard
Hewlett-Packard Precision Architecture (PA-RISC)
hppa
systems
Standard PC and clones based on the Intel i386
i386
architecture and compatible processors
IO-DATA Landisk systems (such as USL-5P) based
landisk
on the SH4 cpu
Loongson 2E- and 2F-based systems, such as the
loongson
Lemote Fuloong and Yeeloong, Gdium Liberty, etc.
luna88k Omron LUNA-88K and LUNA-88K2 workstations
Apple New World PowerPC-based machines, from
macppc
the iMac onwards
octeon Cavium Octeon-based MIPS64 systems
sgi SGI MIPS-based workstations
sparc64 Sun UltraSPARC and Fujitsu SPARC64 systems
Tabla 2: Plataformas soportadas para la instalación de
OpenBSD 6.3. Fuente. [Link]

Por estas características entre otras más, fueron

predominantes a la hora de escoger el sistema para la Fig. 2: Diagrama de flujo para el análisis básico de un paquete
implementación de filtrado de paquetes basado en bajo el sistema operativo OpenBSD. Fuente:
OpenBSD, como primer bastión en la seguridad de las [Link]
[Link]
redes de datos en hogares y corporativas, para ser
instalado en dispositivos de obsoletos o de reuso A. Configurar las interfaces.
tecnológico, así como, en la placa de desarrollo Previo a realizar la implementación del sistema de
BeagleBone Black, la cual se encuentra soportada por filtrado de paquetes, se hace necesario realizar la
la distribución armv7, para el caso de dispositivos configuración de cada una de las interfaces de red a
obsoletos o de reuso hay aplicaciones disponibles en emplear, y realizar pruebas de conectividad, los
sistema con arquitecturas i386 o amd64. siguientes comandos nos permiten realizar este proceso
en OpenBSD:
VI. FILTRADO DE PAQUETES CON OPENBSD
LAN:
Previa la instalación y configuración de PF de echo inet [dirección IP] [mascara] > etc/hostname.
OpenBSD, se hace necesario conocer y comprender [nombre]
conceptos básicos relacionados con el funcionamiento
y configuración del filtrado de paquetes en OpenBSD. WLAN:
En la figura 2, se aprecia el diagrama de flujo [19] echo inet [dirección IP] [mascara] >
correspondiente al procesamiento de un paquete bajo etc/hostname.[nombre]
OpenBSD, el cual finaliza con dos opciones: permitir
el paso del paquete o rechazar el paquete; Otro comando que se puede emplear es:
posteriormente se hace referencia a una serie de
conceptos y comandos relacionados con LAN
configuraciones básicas para filtrado de paquetes [20], cat hostname.[nombre]
en este tipo de sistema operativo. inet [dirección IP] [mascara]
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 8

WLAN 5) Interface: Hace relación a la interfaz de red o grupo

cat hostname.[nombre] de interfaces de red por donde circula el paquete.
inet [dirección IP] [mascara] 6) Af: Hace referencia a la familia de direcciones de
red, ya sean intet4 para IPv4 o inet6 para IPv6.
Verificar el funcionamiento: 7) Protocol: Determina el protocolo de red de la capa
ifconfig 4 como lo son: tcp, udp, icmp, icmp6; o nombres
validos de protocolo de etc/protocols, conjunto de
Configurar el gateway, para lo cual se edita el protocolos empleando una lista.
archivo /etc/mygate y se define la IP de enlace o puerta 8) src_addr,dst_addr: Corresponde a las direcciones
de enlace IP de origen src addr y destino dst addr; las direcciones
cat /etc/mygate pueden ser: una dirección, bloque de direcciones,
[dirección IP] nombres de dominio, nombre de interfaz de red, entre
otras formas de especificar las direcciones
Posteriormente se debe definir el reenvío de 9) src_port, dst_port: Hace relación a los puertos de
paquetes entre cada una de las tarjetas de red, para lo origen src port y los puertos de destino dst port, estos
cual se modifica el archivo /etc/[Link], editando la se pueden definir o especificar como: número del
variable [Link] y colocando un “1” puerto de 1 a 65535, conjunto de puertos creados en
[21], así: una lista, rangos empleando operadores (<,>,!=,><,
etc.)
cat /etc/[Link] | grep “[Link]” 10) tcp_flags: Se refiere a los indicadores o flags del
[Link]=1 protocolo TCP, los cuales se especifican como check.
11) mask: Dentro de los flag están: SYN y ACK.
B. Definir reglas.
12) state: Determina la información del estado del
Una vez se cuente con la adecuada planificación se paquete la cual es almacenada para realizar la
deben definir las reglas, especificando qué se permite o comparación con las reglas, tales como:
qué se deniega acorde a las políticas establecidas, esta
reglas deben ser muy específicas respecto de cuál va a  non state: Se emplea en TCP, UDP e ICMP.
ser el tipo de tráfico a filtrar, donde se deben tener en OpenBSD pf, no realiza el rastreo de la conexión,
cuenta las direcciones IP de origen, IP de destino, para TCP, se requieren flags any.
protocolos. Así mismo es primordial definir el filtro de
 keep state: Es la función predeterminada en las
los puertos hacia el exterior de la red y el tipo de
reglas del filtro de paquetes funciona TCP, UDP
contenido a ser filtrado tanto entrante como el que sale
e ICMP.
de la red, la siguiente es la estructura de una regla [22]
 Modulate state: Funciona solo con TCP.
para pf de OpenBSD:
 Synproxy state: Trabaja únicamente con
action [direction] [log] [quick] [on interface] [af] conexiones TCP entrantes, previne o protege los
[proto protocol] [from src_addr [port src_port]] [to servidores de inundaciones TCP SYN falsas. En
dst_addr [port dst_port] [flags tcp_flags] [state] esta opción se incluyen las opciones keep state y
modulate state.
1) Action: Corresponde a la acción a ejecutar con el
paquete y se emplean las siguientes: pass para permitir A continuación, se aprecia un ejemplo [23] de la
el paso del paquete y block para bloquear o rechazar el definición de una regla de filtrado, donde se aprecian
paquete acorde a lo establecido en las políticas. los componentes básicos de la sintaxis de una regla.
2) Direction: Especifica la dirección del paquete in
entrante out saliente de la interface de red. Pass TCP traffic in to the web server running on the
3) Log: Se realiza un registro de log del paquete, en OpenBSD machine.
caso de que se requiera generar un registro log de todos pass in on egress proto tcp from any to egress port www
los paquetes se emplea el comando log all. C. Listas
4) Quick: En caso de que a un paquete se haya asignado Pf de OpenBSD permite especificar criterios
el comando quick, el cual es considerado como la similares dentro de una misma regla, como: varios
última regla y se realiza la acción específica. protocolos, números de puertos, direcciones de origen
o destino, entre otros criterios; con lo cual es más fácil
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 9

al momento de crear una regla para múltiples Finalmente, una vez definidos los conceptos básicos
direcciones o criterios empleados, la lista se define de filtrado de paquetes con OpenBSD, se hace una
dentro de corchetes {}, ejemplo: {[Link], breve explicación acerca de la activación, la cual se
[Link], [Link]}, las comas “,” dentro una lista encuentra contenida en el fichero ubicado en
son opcionales; es de mencionar que dentro de una /etc/[Link] y configuración, que se encuentra dentro de
regla se pueden incluir varias listas, lo que permite /etc/[Link].
administrar de forma más eficiente la escritura de las
reglas. Para la activación del filtrado de paquetes (pf) se
modifica el fichero /etc/[Link], en la línea
pass in on eth1 proto { tcp udp } from { [Link], \
[Link] } to any port { telnet ssh } pf=YES
D. Macros
También se pueden emplear los comandos de pfctl:
Son variables que pueden ser definidas por los
usuarios, las cuales pueden contener, puestos, pfctl -e # activa pf
direcciones, interfaces, etc. El empleo de macros pfctl -d # desactiva pf
reduce la complejidad de las reglas o un grupo de reglas
de filtrado de paquetes. Para designarlas no se deben Luego se realiza el reinicio del sistema, con estos
emplear palabras reservadas (out, pass, block, etc); para comandos no se realiza la carga del conjunto de reglas
nombrar una variable macro de bebe iniciar con una establecidas.
letra, se pueden usar números, letras guion bajo, Para generar la configuración del paquete de reglas
ejemplo: se accede al sistema de archivos y ubicamos el fichero
/etc/[Link], este es un fichero de texto cargado e
red_int = "lmx1" interpretado por pfctl.
El fichero de configuración consta de siete partes
Al memento de generar la regla y cuando se hace [23], las cuales excepción de las macros y tablas, cada
referencia al macro se debe preceder del carácter “$” sección debería aparecer en el mismo orden:
pass in on $red_int from any to any 1) Macros.
E. Tablas. 2) Tablas.
Generalmente empleadas para agrupar o contener 3) Opciones: Empleadas para el funcionamiento del
grupos de direcciones IPv4 o IPv6, se asignan dentro pf, como el tiempo de expiración de conexiones,
de los símbolos de “< >”. Una de las ventajas de tiempos de espera, acciones para paquetes bloqueados,
utilizar las tablas es el menor consumo de memoria y criterios de aggressive corta conexiones no activas y
durante las búsquedas, se pueden emplear en: dirección conservative, conserva las conexiones, entre otros.
de origen y/o de destino en reglas de filtrado, scrub, 4) Normalización (Scrub): Permite establecer reglas
NAT y redireccionamiento, traducción de direcciones para reprocesamiento de paquetes de normalización y
en reglas de NAT, entre otras. Para crear una tabla se desfragmentación, siendo muy útil declarar que los
acede a [Link] y se crea la tabla respetiva la cual puede paquetes no estén fragmentados antes de ingresar a la
constar de dos tipos de atributos: const donde no se red.
puede cambiar el contenido y persist con lo cual el 5) Formación de colas: Provee control del ancho de
núcleo del sistema conserva el contenido de la tabla, la banda y priorización de paquetes.
cual se borrará una vez se ejecute todas las reglas, en el 6) Traducción de direcciones de red NAT: Se
siguiente ejemplo observamos la creación de una tabla: pueden establecer las reglas que indican como
mapear/traducir las peticiones salientes de la red local
table <red1> { [Link]/24 } hacia internet o viceversa, así mismo permite el
table <red2> const { [Link]/16, [Link]/12, redireccionamiento de paquetes.
\[Link]/8 } 7) Reglas de filtrado: Empleado para filtrado
table <introspam> persist selectivo o el bloqueo de paquetes, nos permite
establecer las reglas de filtrado. La manera en que pf
evalúa estas reglas de la primera a la última, la última
regla coincidente es la aplicada. Una regla que tenga la
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 10

palabra clave quick marcada para un paquete, Fig. 3. Esquema de configuración

automáticamente se aplica esa regla y no se continua el
recorrido con el listado de reglas
A continuación, se presenta un ejemplo [23] del
conjunto de reglas, en las cuales se incluyen listas,
macros, opciones NAT y filtrado de paquetes.

# Macros y listas pueden combinarse

int if=``em1''
tcp services=``f 22, 113 g''
udp services=``f domain g''
icmp types=``echoreq''
Fig. 3: Esquema para la configuración elegida. Fuente: Book
of PF, 3rd Edition. A No-Nonsense Guide to the OpenBSD
# Opciones
firewall, Peter N. M. Hansteen October 2014, 248 pp.
set block-policy return
set loginterface em0 A. Instalación en BeagleBone Black.
set skip on lo
Para proceder a la instalación se realiza la búsqueda
# NAT en la página oficial del proyecto OpenBSD
match out on egress inet from !(egress) to any nat-to (egress:0) [Link] [24], en la sección
“Download”, se procede a la descarga de sistema, así
# Filtrado – se bloquea tráfico en todas direcciones. mismo se encuentran las instrucciones para la
block in log instalación, dependiendo del sistema escogido, para el
pass out quick
antispoof quick for f lo $int if g #Antispoofing
caso se realizó la descarga del archivo armv7 en “Index
of /pub/OpenBSD/6.3/armv7/ [Link]”
# Permitimos paso a protocolos y puertos autorizados [25]. Debido al auge en la propagación de software
pass in on egress inet proto tcp from any to port $tcp services malicioso, la fundación OpenBSD recomienda realizar
pass proto udp to port $udp services la verificación del software descargado, comprobando
pass in inet proto icmp all icmp-type $icmp types #ping la integridad del archivo con sha256, el cual se
pass in on $int if # confiamos en tráfico de interfaz interno encuentra disponible en la página de [Link], lo
que permite que podamos tener la seguridad de que el
VII. INSTALACIÓN DE OPENBSD
archivo de instalación descargado no fue alterado o
infectado con malware. Previa a la instalación en la
Para el procedimiento de instalación del software BeagleBone Black, se hace necesario contar con los
OpenBSD y la configuración del sistema de filtrado de siguientes elementos:
paquetes (pf), se opta por emplear la plataforma de
desarrollo BeagleBone Black y un sistema de cómputo  BeagleBone Black.
de bajos recursos tecnológicos de la marca Acer,
 MicroSD mínimo 4GB.
modelo Aspire One; para lo cual, la aplicación
 Cable USB a serial RS232 de 3.3 voltios (TTL).
propuesta comprende el uso de dos tarjetas de red, una
de las cuales se encuentra dispuesta hacia la red de  Cable Ethernet con conexión a internet.
internet y la otra configurada a red LAN. En figura 3 se  Tarjeta red USB a rj45.
detalla el esquemático de la configuración a emplear.
Se realiza la aclaración que, a fín de no extender este Se debe tener especial cuidado en la conexión de los
documento y el cual no pretende ser un tutorial de cables entre la BeagleBone Black y el cable serial [26];
instalación, no se detallan cada uno de los procesos que los pines empleados en la BeagleBone son: ground (1),
se requieren durante la instalación, por lo cual se dan RX (4) y TX (5) del puerto serial debug, donde deben
las pautas generales para puesta en funcionamiento del estar conectados el pin de ground, los pines RX y TX
sistema operativo OpenBSD. del cable serial, estos dos últimos de forma invertida
Una vez instalados los sistemas de manera general, así: RX a TX (BeagleBone Black) y de TX a RX
se deben realizar los ajustes pertinentes en cuanto a: (BeagleBone Black). Para la instalación del software en
configuración de tarjetas de red, inicio del filtrado de la memoria se puede emplear el comando: dd
paquetes, fijación de reglas de filtrado, descarga de if=[Link] of=/dev/rsd1c, donde sd1
repositorios o paquetes. corresponde al nombre del dispositivo, el cual puede
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 11

cambiar según la lista de dispositivos, con el comando Fig. 6. Pantallazo cantidad de memoria RAM
fdisk –l se pueden listar para determinar el nombre de
la unidad y realizar la instalación; una vez conectado el
dispositivo USB al equipo, se procede a conectar en
consola y realizar la configuración del puerto serial, Fig. 6: Imagen obtenida, donde se detalla la cantidad de
luego se energiza la placa BeagleBone Black y se memoria RAM del equipo. Fuente el autor
mantiene presionado el botón de power, lo que hace
que el dispositivo arranque desde la memoria microSD Para la instalación se realiza la búsqueda en la
e inicie el proceso de instalación del sistema operativo página oficial del proyecto OpenBSD
OpenBSD [25], para el caso se seleccionó la opción [Link] [24], en la sección
(I)nstall, en la figura 4 se aprecian las diferentes “Download”, se realiza la descarga de sistema, para
opciones de instalación, una vez inicia la instalación, el este equipo de cómputo se toma la opción del archivo
software solicita parámetros como: interfaces, DHCP, “[Link] [i386]”, o el archivo “[Link] [i386];
usuario y password, configuración de paquetes de
es de mencionar que otra de las opciones para la
descarga, entre otras opciones, las cuales se configuran
descarga del sistema OpenBSD es ingresar al servidor
acorde a los requerimientos del usuario.
FTP [Link]
Fig. 4. Pantallazo opciones de instalación donde se halla el archivo de instalación “[Link]”
y luego de verificada la integridad descarga se procede
a la instalación [27].
Como procedimiento adicional en el sistema
OpenBSD de escritorio se procede a realizar
modificación para automatizar la descarga de paquetes
Fig. 4: Opciones de instalación en el dispositivo BeagleBone
Black. Fuente el autor.
necesarios para la configuración y personalización del
sistema, para lo cual se emplea el siguiente comando:
Finalizada la instalación se procede a realizar las
configuraciones de cada una de las redes e implementar export
las diferentes reglas de filtrado acorde a las necesidades PKG_PATH=[Link]
o políticas de los usurarios [20] y [22]. 3/packages/$(uname -m)
B. Instalación en equipo Acer Aspire One. Luego para que este comando quede permanente en
Para este caso se seleccionó un computador portátil, el sistema con el administrador root se ingresa el
con bajas prestaciones tecnológicas, como son: siguiente comando:

 Procesador Intel Atom de 1.66Ghz. Figura 5. echo export

 Memoria RAM 1024 Mb. Figura 6. PKG_PATH=[Link]
 Un puerto Ethernet 10/100 Mbps, para la 3/packages/$(uname -m) >> .profile
instalación de OpenBSD, se adiciona un puerto
conversor USB a Rj45. Con estos comandos ya es posible descargar
 Disco duro 80Gb. diferentes paquetes como editores de texto, fondo de
escritorio, si se desea la versión gráfica, openoffice,
Se aprecia la configuración del equipo seleccionado entre otras aplicaciones.
para la instalación del OpenBSD pf. Finalmente se realiza la configuración del filtrado
de paquetes acorde al sistema propuesto [20] y [22].
Fig. 5. Imagen configuración procesador
VIII. CONCLUSIONES

Al implementar el filtrado de paquetes como base

fundamental de la seguridad de la información en
Fig. 5: Imagen obtenida, donde se detalla el tipo y velocidad hogares y empresas, estamos contribuyendo o
del procesador del equipo. Fuente el autor. aportando nuestro grano de arena en la consecución del
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 12

objetivo general planteado en el documento CONPES REFERENCIAS

3854 “Política Nacional de Seguridad Digital” [28] y
en especial con lo relacionado con mitigar los riesgos [1] Ley N°. 1672. Diario oficial de la República de
informáticos. Colombia. No. 48856 del 19 de julio de 2013

En el documento CONPES 3701 “Lineamientos de [2] Reutilización y puesta en funcionamiento de

Política para Ciberseguridad y Ciberdefensa”, se equipos. Recuperado de:
plantea que: “es de vital importancia crear conciencia [Link]
y sensibilizar a la población en todo lo referente a la
seguridad de la información” [29], por lo cual se hace [3] “e-waste” (n.d). Recuperado de: http://
necesario que se capacite y se implementen sistemas de [Link]. 6 de abril de 2018.
software y hardware de bajo costo para los ciudadanos,
para la instalación de filtrado de paquetes, como primer [4] Decreto 284 de 2018. Ministerio de Ambiente y
bastión de la seguridad en las redes de información. Desarrollo Sostenible.

Es posible aprovechar la infraestructura creada por [5] What is BeagleBone Black? Recuperado de:
“Computadores para Educar” [2], con el fin de generar [Link]
un plan para capacitar en riesgos informáticos e
implementar el filtrado de paquetes en las instituciones [6] Karen Scarfone, Paul Hoffman. Guidelines on
a las cuales llega el programa y aprovechando los firewalls and firewall policy 800-41. Recuperado
equipos en reuso u obsolescencia tecnológica para tal de:
fin. [Link]
41/rev-1/final
La ventaja principal de OpenBSD radica en que se
encuentra disponible para múltiples plataformas o [7] OpenBSD filtrado de paquetes. Recuperado de
arquitecturas, desde dispositivos embebidos como [Link]
BeagleBone Black, Rasperry Pi, hasta robustos equipos es/[Link].
de cómputo e incluso servidores, con lo cual es posible
masificar su instalación; así mismo por tratarse de [8] The IP Network Address Translator (NAT).
software libre, su implementación no precisa de Network working group. Recuperado de:
grandes recursos económicos para la puesta en [Link]
funcionamiento.
[9] Defense advanced research projects agency.
El proceso de instalación y configuración del Internet Protocol RFC791. Disponible en:
filtrado de paquetes es sencillo; sin embargo, la parte [Link]
que precisa de cierto cuidado y conocimiento es lo
relacionado con la creación y aplicación de reglas de [10] Transmission control protocol. Defense
filtrado, para lo cual en la planeación y generación de advanced research projects. RFC793. Disponible
las políticas de seguridad se debe tener en cuenta el tipo en: [Link]
de tráfico y categorizar cuales son las áreas
primordiales a proteger. [11] User datagram protocol. Disponible en:
[Link]
El empleo de software de filtrado de paquetes de
OpenBSD precisa grandes ventajas, ya que no solo [12] Ganesh Dutt Sharma. Packet filtering firewall: An
realiza filtrado de paquetes en IPv4 e IPv6, si no, que introduction. 2010. Recuperado de:
además, permite balanceo de cargas, implementación [Link]
de NAT (Network Address Translation), normalización t-filtering-firewall-an-introduction.
de paquetes y modulación del ancho de banda, entre
otros beneficios. Por tanto, lo hace un software robusto [13] Mecanismos de filtrado stateless y stateful.
a la hora de minimizar y proteger nuestra información. Recuperado de: [Link]
perimetral/firewall-stateful-stateless.
Universidad Piloto de Colombia, Sepúlveda Manrique Luis Jesús. Filtrado de paquetes con OpenBSD, en equipos bajo costo 13

[14] OpenBSD filtrado de paquetes. Recuperado de: [27] Installation notes for OpenBSD/i386 6.3.
[Link] Disponible en:
es/[Link] [Link]

[15] The OpenBSD foundation - Funding for [28] Política nacional de seguridad digital CONPES
OpenBSD and related projects. Recuperado de: 3854. 2016. Recuperado de:
[Link] [Link]
con%C3%B3micos/[Link].
[16] Only two remote holes in the default install, in a
heck of a long time. Disponible en: [29] Lineamientos de política para ciberseguridad y
[Link] ciberdefensa. CONPES 3701. 2011. Disponible
en:
[17] Espíndola Raúl. OpenBSD. Recuperado de: [Link]
[Link] con%C3%B3micos/[Link]

[18] OpenBSD platforms. Disponible en:

[Link] Autor:
Luis Jesús Sepúlveda Manrique. Tecnólogo en
[19] Packet filter firewall and packet processing. Electrónica, Ingeniero en Telecomunicaciones,
Oracle. Disponible en: actualmente culminando estudios de Especialización
[Link] en Seguridad Informática en la Universidad Piloto de
829/[Link] Colombia.
[20] OpenBSD pf - Packet filtering. Disponible en:
[Link]

[21] Peter N.M. Hansteen. Book of pf. A no-nonsense

guide to the OpenBSD. 3rd edition. October
2014, 248 pp.

[22] OpenBSD pf: Filtrado de paquetes. Recuperado

de:
[Link]
es/[Link]

[23] Cortafuegos con software libre. Diez años de pf.

Master oficial en software libre. Miguel Vidal.
Disponible en: [Link] 2011.

[24] OpenBSD pf. Download. Disponible en:

[Link]
oad.

[25] Installation notes for OpenBSD/armv7 6.3.

Disponible en:
[Link]
7/INSTALL.armv7

[26] OpenBSD 6.2 on BeagleBone Black. Last edited

Wed Jan 3 [Link] 2018. Disponible en:
[Link]