un firewall con iptables en un Pentium II que haca de router. El firewall mantiene a los atacantes fuera de mi red, y registra el trfico entrante y saliente. Adems del firewall iptables, tambin configur un servidor proxy total de seguridad. Solucionar los pro- blemas era totalmente imposible. La configuracin del firewall quedaba a merced de usuarios inexpertos, que podan pulsar aleatoriamente sobre la configuracin de seguridad como el que juega a la ruleta rusa. T engo una red casera desde hace bastantes aos. Empec con un router usando Windows XP con ICS (Internet Connection Sharing) y una tarjeta Ethernet con varias interfaces de red. Las principales desventajas eran la inestabilidad, bajo rendimiento y falta Implementar un proxy casero con Squid PUERTO SEGURO PUERTO SEGURO ADMINISTRACIN Squid 56 Nmero 14 WWW. L I NUX- MAGAZI NE. ES Un servidor proxy proporciona una navegacin ms segura y eficiente. Aunque existen soluciones proxy comerciales disponibles, todo lo que realmente necesitamos es Linux y un viejo PC en el desvn. POR GEERT VAN PAMEL Componentes Necesarios Especificaciones Intel Pentium II CPU, o superior (Por qu no un Alpha Server sobrante?) 350 Mhz 80 - 100 MB de memoria mnimo Cuanto ms, mejor 1 ms discos duros IDE (podemos reutilizar 2 viejos discos duros: uno con 1GB del sistema y el swap y el otro con 3GB de cach, ms el directorio /home) 4GB mnimo 2 tarjetas Ethernet, minihub, modem fast Ethernet y router wireless o hub 100 Mbit/s si es posible CDROM, lector DVD El software se distribuye principalmente por DVD Tabla1: Hardware recomendado Implementar un proxy casero con Squid 056-061_Squid 05.01.2006 16:05 Uhr Pgina 56 Squid para mejorar el rendimiento de Internet, filtrar los molestos popups y blo- quear URLs peligrosas. Un servidor proxy Squid filtra el trfico Web y cachea los archivos a los que se accede frecuentemente. Tambin limita el uso del ancho de banda, acelera el acceso a Web y nos permite filtrar URLs. El blo- queo centralizado de publicidad y descar- gas peligrosas es rentable y transparente para el usuario final. Squid es una implementacin completa en software libre y de alto rendimiento de un servidor proxy. Proporciona amplios controles de acceso y se integra con facili- dad con el firewall iptables. En mi caso, el servidor proxy Squid y el firewall iptables trabajan juntos para proteger mi red de intrusos y HTML peligrosos. Encon- traremos abundantes artculos acerca de firewalls en libros, revistas y pginas Web. (Vanse [1] y [2], por ejemplo). El servidor proxy Squid, por otro lado, no est bien documentado del todo, especialmente cuando hablamos de pequeas redes caseras como la ma. En este artculo, vamos a mostrar cmo configurar Squid. Comenzamos El primer paso es encontrar el hardware necesario. La Figura 1 muestra la configu- racin de red del Pentium II que se ha uti- lizado como firewall y servidor proxy. Este sistema firewall debera operar con una mnima intervencin humana, por lo que tras la configuracin del sistema, se pueden desconectar el ratn, teclado y monitor. Puede que tengamos que ajustar la configuracin de la BIOS para que el ordenador pueda trabajar sin el teclado. El objetivo es poder colocar todo el sistema en el desvn, donde ni lo oigamos. Desde el minihub mostrado en la Figura 1, se pueden bajar las escaleras hasta la red de la casa usando cable UTP estndar o una conexin wireless. La tabla 1 muestra el hardware recomendado para la mquina firewall. Suponiendo que el firewall est ya fun- cionando, el siguiente paso es configurar Squid. Se encuentra disponible en Internet en [3] o en uno de los mirrors [4] como tar.gz (compilado desde las fuentes). Puede instalarse fcilmente usando uno de los siguientes comandos: En el momento de escribir estas lneas, la versin estable de Squid es la 2.5. Configurar Squid Una vez que ha sido instalado, ser nece- sario configurarlo. Squid tiene un archivo de configuracin centralizado. Cada vez que cambia este archivo, la configuracin debe recargarse con el comando /sbin/ init.d/ squid reload. Es posible editar el archivo de configu- racin con un editor de textos. Existe una descripcin detallada de la configuracin en el archivo squid.conf, aunque la expli- cacin a veces es algo tcnica y compli- cada de entender. Esta seccin resume algunas configuraciones importantes del archivo squid.conf. En primer lugar, se habr de evitar que ciertos metadatos relacionados con la con- figuracin lleguen al mundo exterior cuando se navegue por la Web: Ntese que no pueden hacerse annimos Referer y WWW-Authenticate ya que de lo contrario, los mecanismos de autenti- cacin y control de acceso no fun- cionarn. forwarded_for off significa que la direccin IP del servidor proxy no ser enviada al exterior. Con strip_query_terms on no se regis- tran en el log los parmetros de las URL ms all del signo ?. Cuando este parmetro est en off, se registra la URL completa en los archivos log de Squid. Esta caracterstica puede ayudar a depu- rar fallos en los filtros de Quid, pero tam- bin puede violar las reglas de privaci- dad. La siguiente configuracin identifica el host de Squid, el dominio (interno) donde opera la mquina y el nombre de usuario responsable del servidor. Ntese el punto delante del dominio. Ms adelante, encontramos el nombre del servidor local de DNS y el nmero de nombres de dominio a cachear en el servidor Squid. Squid ADMINISTRACIN rpm -i /cdrom/RedHat/RPMS/U squid-2.4.STABLE7-4.i386.rpmU # Red Hat 8 rpm -i /cdrom/Fedora/RPMS/U squid-2.5.STABLE6-3.i386.rpm U # Fedora Core 3 rpm -i /cdrom/.../U squid-2.5.STABLE6-6.i586.rpmU # SuSE 9.2 vi /etc/squid/squid.conf ... anonymize_headers deny U From Server Via User-Agent forwarded_for off strip_query_terms on visible_hostname squid append_domain .mshome.net cache_mgr sysman dns_nameservers 192.168.0.1 dns_testnames router.mshome.net fqdncache_size 1024 http_port 80 icp_port 0 056-061_Squid 05.01.2006 16:06 Uhr Pgina 57 El espacio en disco se distribuye por todos los directorios. Normalmente se esperara una distribucin pareja a lo largo de los directorios, pero en la prc- tica, se acepta una cierta variacin en la distribucin. Es posible encontrar confi- guraciones ms complejas utilizando mltiples discos, pero para el uso casero, una estructura de directorios es sufi- ciente. Sustitucin de la Cach El servidor proxy usa un algoritmo LRU (Least Recently Used). Estudios detalla- dos de HP Laboratories [6] han revelado que un algoritmo LRU no es siempre la opcin ms inteligente. La configuracin GDSF mantiene pequeos objetos popu- lares en la cach, mientras que elimina los ms grandes y menos usados, incre- mentando de esta manera el rendimiento global. Los objetos grandes requeridos una sola vez pueden colocar fuera muchos objetos pequeos, por lo que ser conve- niente que limitemos el tamao mximo de objeto para la cach: Especificacin del Formato de Log Puede elegirse entre el formato de log de Squid y el formato estndar de servidor Web usando el parmetro emulate_httpd_log. Cuando el parmetro se fija a on, se usa el formato de Web. Si se fija a off, obtendremos ms detalles con el formato Squid. Ver [7] para mayor informacin acerca del anlisis de archivos log de Squid. Jerarqua Proxy El proxy Squid puede trabajar de manera jerrquica. Si se desea evitar el proxy padre para algunos destinos, se puede habilitar una resolucin directa. El navegador usar an nuestro proxy local! Algunos ISPs permiten usar su servidor proxy para visitar sus propias pginas Web incluso aunque no se sea cliente. Esto puede ayudar a acelerar las visitas a sus pginas. Cuanto ms cercano est el proxy a las pginas originales, ms probabilidad hay de que la pgina se cachee. Debido a que nuestro propio ISP es ms lejano, el ISP tender menos a cachear los contenidos de su competidor http_port es el puerto usado por el servi- dor proxy. Se puede elegir cualquiera, siempre que la configuracin no entre en conflicto con otros puertos de nuestro router. Una eleccin comn es la 8080 o la 80. El puerto por defecto de Squid, el 3128, no es especialmente fcil de recordar. No se est usando cp_port, por lo que lo fijamos a 0. Esta configuracin sin- croniza los servidores proxy. Con log_mime_hdrs on, es posible hacer visibles las cabeceras mime en el archivo access.log. Evitar Bloqueos Squid necesita guardar su cach en algn lugar del disco duro. La cach es un rbol de directorios. Con la opcin cache_dir en el archivo squid.conf, se puede especificar la configuracin con caractersticas como las siguientes: mecanismo de I/O del disco aufs ubicacin de la cach en el disco /var/cache/squid cantidad de espacio en disco que puede ser usado por el servidor proxy 2.5 GB nmero de directorios principales 16 subdirectorios 256 Por ejemplo: Las opciones para mtodos de acceso a disco son las siguientes: ufs acceso a disco clsico (demasiada I/O puede ralentizar el servidor Squid) aufs UFS asncrona con hilos, menos riesgo de conflictos de acceso al disco diskd demonio diskd, evita tambin el peligro de conflicto de acceso al disco pero usando ms memoria. UFS es el sistema de I/O de archivos clsico de UNIX. Se recomienda usar aufs para evitar cuellos de botella. (Al usar aufs, van a existir menos procesos). Es recomendabl e mant ener l a ubi caci n est ndar para l a cach en /var /cache/squi d, y de al l crear un enl ace si mbl i co al di rect or i o real de cach. Si se mueve a ot ro di sco por mot i vos de rendi mi ent o o de capaci dad, sl o ser necesar i o modi f i car el enl ace si mbl i co. ADMINISTRACIN Squid 58 Nmero 14 WWW. L I NUX- MAGAZI NE. ES Figura 1: Configuracin bsica de una LAN Ethernet. # ls -ld /var/cache/squid lrwxrwxrwx 1 root rootU 19 Nov 22 00:42 U /var/cache/squid -> U /volset/cache/squid cache_replacement_policyU heap GDSF memory_replacement_policyU heap GDSF acl direct-domain U dstdomain .turboline.be always_direct allow U direct-domain acl direct-path urlpath_regexU -i "/etc/squid/direct-path.reg" always_direct allow direct-path cache_mem 20 MB maximum_object_sizeU 16384 KB maximum_object_sizeU _in_memory 2048 KB 056-061_Squid 05.01.2006 16:06 Uhr Pgina 58 Para Squid, las expresiones regulares pueden especificarse inmediatamente, o pueden estar en un nombre de fichero entre dobles comillas, en cuyo caso el archivo debera contener una expresin regex por lnea, sin lneas vacas. La -i (ignorar maysculas) significa que se usarn comparaciones sin diferenciacin entre maysculas y minsculas. Si se est configurando un sistema con mltiples proxys, es posible especificar un round-robin para acelerar la resolucin de las pginas y minimizar el retraso cuando uno de los servidores no est disponible. Recordemos que la mayora de los naveg- adores establecen conexiones en paralelo para obtener todos los elementos de una pgina. Si se usan mltiples servidores proxy para obtener estos elementos, la respuesta debera ser ms rpida. Los archivos FTP se descargan normal- mente una sola vez, por lo que general- mente no se desear cachearlos, excepto cuando se descarguen repetidamente. As mismo, las pginas locales no se cachean normalmente, debido a que ya residen en nuestra red: Filtrado con Squid En las secciones precedentes se han comentado algunas configuraciones importantes de Squid. Tambin se ha dicho que las listas ACL (Access Control Lists) pueden usarse para permitir acceso directo a las pginas sin usar el proxy padre. En esta seccin, se examinar cmo usar las listas ACL para un control ms detallado al acceso a Internet. La tabla 2 proporciona una gua para la creacin de listas ACL. Puede ser una buena idea permitir la navegacin WYSI- WYG (lo-que-ves-es-lo-que-tienes). Si no se quieren ver ciertas pginas o marcos, se pueden bloquear automticamente las correspondientes URLs en el servidor proxy. Es posible filtrar por: dominios de cliente o servidor subredes IP del cliente o servidor ruta URL URLs completas, incluyendo parmetros palabras clave protocolos: HTTP, FTP mtodos: GET, POST, HEAD, CON- NECT da y hora tipo de navegador nombre de usuario El Listado 1 muestra ejemplos de comandos que bloquean pginas no deseadas. El script del Listado 2 har invisibles las pginas no deseadas. Cada vez que Squid ejecuta la etiqueta deny_info, enva el archivo /etc/squid/errors/fil- ter_spam al navegador en lugar de a la pgina Web filtrando efectivamente los objetos no deseados. La marca <!-- esconde cualquier otro mensaje de error de Squid en el cuerpo del texto. Squid ADMINISTRACIN 59 Nmero 14 WWW. L I NUX- MAGAZI NE. ES no-query significa que no usamos, o no podemos usar, ICP (Internet Caching Protocol), vase [8]. Puede obtenerse la misma funcionalidad usando expre- siones regulares, pero esto proporciona mayor libertad. El ACL puede incluir tambin una expresin regular (regex para abreviar) con la URL usando una construccin url_regex. el orden de las reglas es importante primero se listan todas las reglas de denegacin se ejecuta la primera regla coinci- dente el resto de las reglas se ignora la ltima regla debera ser permite todo Tabla 2:Gua para ACL cache_peer proxy.tiscali.beU parent 3128 3130 U no-query default cache_peer_domain U proxy.tiscali.be .tiscali.be cache_peer 80.200.248.199 U parent 8080 7 U no-query round-robin cache_peer 80.200.248.200 U parent 8080 7 U no-query round-robin ... cache_peer 80.200.248.207U parent 8080 7 U no-query round-robin acl FTP proto FTP always_direct allow FTP acl local-domain dstdomain U .mshome.net always_direct allow U local-domain acl localnet-dst dst U 192.168.0.0/24 always_direct allow U localnet-dst cache_peer proxy.tiscali.beU parent 3128 3130 U no-query default acl tiscali-proxy U dstdom_regex -i U \.tiscali\.be$ cache_peer_access U proxy.tiscali.be allow U tiscali-proxy 01 acl block-ip dst "/etc/squid/block-ip.reg" 02 deny_info filter_spam block-ip 03 http_access deny block-ip 04 05 acl block-hosts dstdom_regex -i "/etc/squid/block-hosts.reg" 06 deny_info filter_spam block-hosts 07 http_access deny block-hosts 08 09 acl noblock-url url_regex -i "/etc/squid/noblock-url.reg" 10 http_access allow noblock-url Safe_ports 11 12 block-path urlpath_regex -i "/etc/squid/block-path.reg" 13 deny_info filter_spam block-path 14 http_access deny block-path 15 16 acl block-url url_regex -i "/etc/squid/block-url.reg" 17 deny_info filter_spam block-url 18 http_access deny block-url Listado 1: Bloqueando pginas no buscadas 056-061_Squid 05.01.2006 16:06 Uhr Pgina 59 Squid tambin permite filtrar por expresiones regulares usadas en la URL. Por supuesto, nuestro filtro puede ocasionalmente provocar un falso posi- tivo. Pueden aadirse expresiones regu- lares para las URL que especficamente no queramos bloquear en /etc/squid/noblock-url.reg. Proteger los Puertos Por razones de seguridad, se deberan deshabilitar todos los puertos y habilitar slo los puertos Web usando la sintaxis mostrada en en Listado 5. Lo mismo puede hacerse con los puertos con conexin. Pueden habili- tarse los puertos SSL cuando se est conectado, y denegarlo en otro caso. Es importante recordar que el protocolo normal HTTP es sin conexin. El cliente y el navegador establecen una nueva conexin para cada pgina visi- tada. Debe impedirse que desconocidos hagan mal uso de nuestra cach! Se desea que slo se use en la propia intranet. Los usuarios externos en Internet no deberan poder acceder a nuestra cach: Habilitando al Resto Para habilitar nicamente los protocolos y mtodos que se deseen: La ltima regla debera permitirlo todo, ya que la regla anterior era una prohibicin No debemos olvidar reiniciar el servi- dor Squid cada vez que cambiemos los parmetros, tecleando el siguiente comando: Para SuSE el directorio /sbin/init.d es estndar. Para Fedora, se crear un enlace simblico: cd /sbin ln -s /etc/init.d Una vez que se haya finalizado la con- figuracin, se usar setup (Fedora), yast2 (SuSE) o una herramienta equi- valente para activar el servicio Squid. Tras recargar, si algo no funciona como se esperaba, puede buscare la razn en el archivo log en var/log/squid/cache.log. Squid nos permite bloquear con- tenidos por subred IP. Por ejemplo, se pueden bloquear pginas con contenido sexual explcito. Pueden usarse whois [9] para ayudarnos a identificar las sub- redes y luego aadir las subredes al archivo /etc/squid/block-ip.reg: Para bloquear anuncios o pginas con contenido sexual por el nombre de dominio, es posible listar expresiones regulares describiendo las pginas en el archivo /etc/squid/block-hosts.reg, como se muestra en el Listado 3. Tambin puede ser una buena idea bloquear ciertos tipos de archivos. Por ejemplo, puede que no queramos per- mitir los archivos .exe, dado que a veces son archivos zip ejecutables que insta- lan software. Squid permite bloquear archivos por ruta, nombre de archivo o extensin del archivo, tal y como se muestra en el Listado 4. ADMINISTRACIN Squid 60 Nmero 14 WWW. L I NUX- MAGAZI NE. ES 01 vi /etc/squid/block-hosts.reg 02 ... 03 ^a\. 04 ^ad\. 05 ^adfarm\. 06 ^ads\. 07 ^ads1\. 08 ^al\. 09 ^as\. 10 \.msads\.net$ 11 ^ss\. 12 ^sa\. 13 ^sc\. 14 ^sm6\. 15 ^tracking\. 16 adserver.adtech.de 17 18 \.belstat\.be$ 19 \.doubleclick\.net$ 20 \.insites\.be$ 21 ^metrics\. 22 \.metriweb\...$ 23 \.metriweb\....$ 24 25 \.playboy\.com$ 26 \.hln\.be$ 27 side6 28 www.whitehouse.com Listado 3:Bloqueo por Nombre de Dominio vi /etc/squid/noblock-url.reg ... ^http://ads\.com\.com/ acl SSL_ports port 443 563 acl SSL_ports port 1863 U # Microsoft Messenger acl SSL_ports port 6346-6353 U # Limewire http_access allow U CONNECT SSL_ports http_access deny U CONNECT acl localhost src U 127.0.0.1/255.255.255.255 acl localnet-src src U 192.168.0.0/24 http_access deny !localnet-src acl allow-proto proto HTTP http_access deny !allow-proto acl allow-method U method GET POST http_access deny U !allow-method http_access allow all /sbin/init.d/squid reload 01 vi /etc/squid/errors/filter_spam 02 ... 03 <script language="JavaScript" type="text/javascript"> 04 <!-- 05 window.status="Filter " + document.location; //.pathname; 06 // --> 07 </script> 08 <noscript><plaintext><!-- Listado 2: Hacer Invisible una Pgina vi /etc/squid/block-ip.reg ... 64.255.160.0/19 64.57.64.0/19 64.7.192.0/19 66.115.128.0/18 66.152.64.0/19 66.230.128.0/18 056-061_Squid 05.01.2006 16:06 Uhr Pgina 60 Conclusiones Este artculo es el resultado de una pre- sentacin para la organizacin Belgium HP- Interex. Las diapositivas estn disponibles en [1], donde aparecen ms detalles acerca de la configuracin del firewall iptables, el router, el servidor de cacheo de DNS, el servidor DHCP y el servidor NTP. Si se est buscando un mejor rendimien- to, una navegacin ms segura y una man- era de bloquear el acceso a contenido peli- groso, se debera intentar colocar un servi- dor proxy en el desvn. Para los que se pre- ocupan por el consumo: un Pentium II con- sume unos 11 kWh/semana. Debera eval- uarse este gasto frente a la mayor seguridad y la disminucin de los quebraderos de cabeza al operar nuestro propio fire- wall con proxy Squid. I Squid ADMINISTRACIN 61 Nmero 14 WWW. L I NUX- MAGAZI NE. ES 01 vi /etc/squid/block-path.reg 02 ... 03 \.ad[ep](\?.*)?$ 04 \.ba[st](\?.*)?$ 05 \.chm(\?.*)?$ 06 \.cmd(\?.*)?$ 07 \.com(\?.*)?$ 08 \.cpl(\?.*)?$ 09 \.crt(\?.*)?$ 10 \.dbx(\?.*)?$ 11 \.hlp(\?.*)?$ 12 \.hta(\?.*)?$ 13 \.in[fs](\?.*)?$ 14 \.isp(\?.*)?$ 15 \.lnk(\?.*)?$ 16 \.md[abetwz](\?.*)? 17 \.ms[cpt](\?.*)?$ 18 \.nch(\?.*)?$ 19 \.ops(\?.*)?$ 20 \.pcd(\?.*)?$ 21 \.p[ir]f(\?.*)?$ 22 \.reg(\?.*)?$ 23 \.sc[frt](\?.*)?$ 24 \.sh[bs](\?.*)?$ 25 \.url(\?.*)?$ 26 \.vb([e])?(\?.*)?$ 27 \.vir(\?.*)?$ 28 \.wm[sz](\?.*)?$ 29 \.ws[cfh](\?.*)?$ Listado 4:Bloqueo por Ruta o Extensin 01 acl Safe_ports port 80 # http 02 acl Safe_ports port 21 # ftp 03 acl Safe_ports port 2020 # BeOne Radio 04 acl Safe_ports port 2002 # Servidor Local 05 acl Safe_ports port 8044 # Tiscali 06 acl Safe_ports port 8080 # Escaneo puertos Turboline 07 acl Safe_ports port 8081 # Prentice Hall 08 09 # Denegar peticiones a puertos desconocidos 10 http_access deny !Safe_ports Listado 5: Proteccin de Puertos [1] Presentacin para el grupo de usuar- ios de HP-Interex en Belgica el 17/03/ 2005, titulada Implementing a home Router, Firewall, Proxy server, and DNS Caching Server using Linux: http://users.belgacombusiness. net/ linuxug/pub/router/ linux-router-firewall-proxy.zip [2] Firewalls: http://www.linux-magazine. com/issue/40/ Checkpoint_FW1_Firewall_Builder.pdf http://www.linux-magazine.com/issue/ 34/IPtables_Firewalling.pdf [3] Acerca de Squid en general: http:// www.squid-cache.org http:// squid-docs.sourceforge.net/latest/ book-full.html#AEN1685 http://www. squid-cache.org/FAQ/FAQ-10.html [4] Servidores mirror de Squid: http:// www1.de.squid-cache.org http:// www1.fr.squid-cache.org http:// www1.nl.squid-cache.org http:// www1.uk.squid-cache.org [5] Suse 9.2 Professional Distribucin en DVD http://www.linux-magazine. es/issue/07/DVD.pdf [6] Para mayor informacin acerca de las polticas de remplazamiento de cach GDSF y LFUDA, vase: http://www. hpl.hp.com/techreports/1999/ HPL-1999-69.html http://fog.hpl. external.hp.com/techreports/98/ HPL-98-173.html [7] Reporte y anlisis de los archivos log de Squid: http://www.linux-magazine. com/issue/36/Charly_Column.pdf [8] ICP Internet Caching Protocol: http:// en.wikipedia.org/wiki/ Internet_Cache_Protocol [9] La base de datos whois: http://www. ripe.net/db/other-whois.html [10] Expresiones Regulares: http://www. python.org/doc/current/lib/ module-re.html [11] Ejemplos de archivos de configu- racin para Squid: http://members. lycos.nl/geertivp/pub/squid RECURSOS Deberamos configurar nuestro firewall iptables de manera que bloquee todo el trfico HTTP saliente a menos de que se use el servidor proxy. Dado que el proxy esta en la red local, permite todas las peticiones entrantes desde los navegadores locales. Cualquier intento de saltarse los filtros Squid se bloquea por la regla FORWARD del fire- wall que corta el trfico HTTP saliente. Los programas de Spyware usan generalmente el protocolo HTTP (recordatorio: puerto 80) para las conexiones salientes, pero parece que el Spyware raramente usa el proxy (da la impresion de que los creadores de Spyware son demasiado perezosos como para inspeccionar la configuracin). De esta manera el Spyware queda bloqueado por las reglas del firewall. Imposicin del Control Paterno y Bloqueo de Spyware Geert Van Pamel ha trabajado como jefe de proyectos en Belgacom, Blgica, desde 1997. Miembro de DECUS desde 1985 y miembro de la directiva de HP-Interex desde 2002. Aprendi UNIX en un sistema PDP en 1982, y trabaja en la actualidad con Linux en un entorno compartido con otros servidores como Tru64 UNIX, HP-UX, OpenVMS, Non- Stop Tandem, SUN y NCR Teradata. EL AUTOR 056-061_Squid 05.01.2006 16:06 Uhr Pgina 61