Documentos de Académico
Documentos de Profesional
Documentos de Cultura
S
Seguridad
id d de
d la
l Información
I f ió en
Redes EmpresarialesTCP
EmpresarialesTCP/IP
/IP
ADACSI
1
Vulnerabilidades
Ataques y
Contramedidas
Módulo 2
ADACSI
2
ADACSI
3
ADACSI
4
ADACSI
5
ADACSI
6
BD
Usuario Red Passw-ID
Telnet Servidor
de aplicaciones
Usuario
Password
ADACSI
10
ADACSI
11
ADACSI
13
Vulnerabilidad
1. Instalaciones por default de sistemas y aplicaciones.
Descripción
- Se instalan más servicios y utilidades que las necesarias.
- Se desconoce todo lo q que se instala.
- No se actualizan las aplicaciones desconocidas o no utilizadas,
exponiendo vulnerabilidades.
- En los S.O. quedan puertos abiertos innecesarios.
- En las aplicaciones se suelen incluir ejemplos no depurados.
Protección
- Utilizar un scanner de puertos y uno de vulnerabilidades luego de cada
instalación.
- Utilizar las guías CIS (Center for Internet Security)
www.cisecurity.org
Guías para Unix y Windows.
ADACSI
14
ADACSI
15
Vulnerabilidades
3. Respaldos (Backups) incompletos o inexistentes.
4. Puertos innecesarios abiertos.
Descripción
- Instalaciones por default o pruebas dejan puertos abiertos
innecesarios.
Protección
- Realizar un escaneo de puertos completo TCP y UDP (1 -
65535).
- Elaborar la lista de puertos justificados (auditoría)
- Cerrar los puertos innecesarios.
ADACSI
16
Vulnerabilidad - Recomendaciones
1. Cualquier paquete que entre en la red no debe tener como dirección de
origen una dirección de la red interna.
2. Cualquier paquete que entre en la red debe tener como dirección de
destino una dirección de la red interna.
3. Cualquier
C l i paquete que salga l ded la
l redd debe
d b tener como dirección
di ió de
d
origen una dirección de la red interna.
4. Cualquier paquete que salga de la red no debe tener como dirección de
destino una dirección de la red interna.
5. Cualquier paquete que entre en la red o salga de ella no debe tener
como dirección de origen o de destino una dirección perteneciente al
rango de dirección privadas o de las listadas en el espacio reservado
detallado en el RFC1918. Estas incluyen las 10.x.x.x/8, 172.16.x.x/12 o
192 168 x x/16 y la red de retorno o "loopback"
192.168.x.x/16 loopback 127.0.0.0/8.
127 0 0 0/8
6. Bloquear todos los paquetes marcados con una ruta predefinida desde
su origen (source routed) o aquellos paquetes con el campo de opciones
del paquete IP habilitado.
7. Tanto las direcciones reservadas, como las de autoconfiguración DHCP
y las Multicast deben de ser también bloqueadas.
ADACSI
18
Ataques y
Contramedidas
ADACSI
20
ADACSI
21
Seguir el rastro
(Footprinting)
ADACSI
22
ADACSI
23
ADACSI
24
ADACSI
25
3 - Enumeración de la red
• El primer paso es identificar nombres de dominio y
redes asociadas con una organización en particular.
ADACSI
27
nslookup - consulta
ns.midominio.com.ar
ns.midominio.com.ar
ADACSI
28
ns.midominio.com.ar
ADACSI
29
200.200.1.1
200.200.1.2
ADACSI
30
ADACSI
31
Exploración
ADACSI
32
Barridos de ping
• Es uno de los pasos básicos en la exploración de una
red para determinar si los sistemas están activos.
• Consiste en enviar,
enviar a un rango de direcciones IP, IP
paquetes ICMP ECHO (tipo 8) y obtener respuestas
ECHO REPLY (tipo 0) que indique que el sistema
está activo.
• Para grandes redes es necesario utilizar herramientas
que realicen barridos automáticos.
automáticos Por ejemplo en
Unix existen el fping y el gping, y para Windows el
superscan y el languard network scanner entre otros.
ADACSI
34
ADACSI
35
Barridos de ping
• Se debe tener cuidado de excluir la dirección de broadcast de la
red pues se podría sacturar o inundar la red de paquetes ICMP
tal como si fuera un ataque smurf.
• El ataque smurf, es un ataque de Denegación de Servicio (DoS)
que utiliza
tili mensajesj ded ping
i all broadcast
b d t con spoofing fi para
inundar (flood) un objetivo (sistema atacado).
• En este tipo de ataque, el atacante envía grandes cantidades de
tráfico ICMP (ping) a la dirección de broadcast, todos ellos
teniendo la dirección de origen cambiada (spoofing) a la
dirección de la víctima. En las redes que ofrecen accesos a
broadcast, potencialmente miles de máquinas responderán a
cada paquete. Todas esas respuestas retornan a la IP de origen
(la IP de la víctima atacada).
• Para asegurar una red que disponga de routers Cisco se debe
ejecutar la opción de configuración no ip directed-broadcast .
ADACSI
36
web
ADACSI
37
Barridos de ping
• Cuando el tráfico icmp esté bloqueado en el router
frontera o por un firewall, lo mejor es la exploración
de los puertos que las máquinas tengan abiertos o
sea en espera para determinar los sistemas activos
existentes en la red.
• Se puede utilizar nmap y su opción TCP ping scan.
Esta opción envía paquetes TCP SYN al puerto que
se desee para todo el rango de direcciones
especificado y espera paquetes de respuesta TCP
SYN/ACK. Se puede hacer esto con los puertos mas
comúnmente usados como 80, 25, 110, 143, 53,
23.....
ADACSI
38
ADACSI
40
ADACSI
41
Enumeración
• Si la adquisición inicial de datos de un objetivo y el
sondeo sin intrusión no es suficiente, lo siguiente es
identificar cuentas de usuario válidas y recursos
compartidos
tid mall protegidos.
t id
• Al proceso de obtener nombres de recursos compartidos
o cuentas de usuario se lo denomina enumeración.
• El rastreo y la exploración son el punto de partida para la
enumeración.
• La enumeración implica la conexión activa a los
sistemas y la realización de consultas dirigidas. Es una
técnica mucho más intrusiva que las de rastreo y
exploración.
ADACSI
42
ADACSI
43
Enumeración - Windows
• Enumerar dominios
– net view /domain, net view /network
• Enumerar controladores de dominio
– Resource Kit
• Compartir NetBios
– DumpACL, Legion, NAT (Netbios Auditing Tool)
• Enumeración de recursos
– epdump, getmac, netdom
• Enumeración de grupos y usuarios
– nbtstat
• SNMP
– snmpscan
• Enumeración de mensajes y aplicaciones
– netcat, regdmp
ADACSI
44
ADACSI
45
Enumeración - UNIX
• Enumeración de cuentas y recursos
– showmount
• Enumeración de grupos y usuarios
– finger
• Enumeración de mensajes y aplicaciones
– rpcinfo
ADACSI
46
ADACSI
47
Definiciones
• Ataque a la seguridad: Cualquier acción que
comprometa la seguridad de la información de una
organización.
• Mecanismo de seguridad: un mecanismo diseñado
para detectar un ataque a la seguridad, prevenirlo o
restablecerse de él.
• Servicio de seguridad: un servicio que mejora la
seguridad de los sistemas de procesamiento de
datos y la transferencia de información de una
organización. Los servicios están diseñados para
contrarrestar los ataques a la seguridad, y hacen uso
de uno o más mecanismos para proporcionar el
servicio.
ADACSI
48
Ethernet
LOGs Parches
Server
Backups
INTERNET
Router de Router
Firewall
frontera interno
ACL Passwords
Server
ADACSI
49
Mitos
En mi compañía ya tenemos seguridad porque ...
ADACSI
50
ADACSI
51
ADACSI
52
ADACSI
53
Clasificación de ataques
• Número de paquetes a emplear
– Atomic: se requiere un único paquete
– Composite: son necesarios múltiples paquetes
• Información
I f ió necesaria
i para realizarlo
li l
– Context: se requiere sólo información de la cabecera
– Content: es necesario también el campo de datos o payload
ADACSI
ADACSI
55
Clasificación de Ataques
• Ataque Pasivo: intenta conocer o hacer uso de la
información del sistema, pero no afecta a los
recursos del mismo.
• Ataque activo: intenta alterar los recursos del
sistema o afectar su funcionamiento.
ADACSI
56
ADACSI
57
ADACSI
58
ESCUCHAR
CONFIDENCIALIDAD
Intercepción
Ej. Sniffing
ADACSI
59
Análisis de tráfico
• Este tipo de ataque es más sutil que el anterior.
• Suponga que se ha ocultado el contenido del mensaje
u otro tráfico de información (por ej. cifrando) de
manera qque el atacante incluso habiendo capturado
p el
mensaje no pueda extraer la información que
contiene.
• Aún así, el atacante podría observar el patrón de los
mensajes, determinar la localización y la identidad
de los servidores que se comunican, descubrir la
frecuencia y la longitud de los mensajes que se están
intercambiando
intercambiando.
• Esta información puede ser útil para averiguar la
naturaleza de la información que se está
transmitiendo.
ADACSI
60
ADACSI
61
Monitoreos
• Analizadores de Protocolos: Herramientas de diagnóstico y
seguimiento de los paquetes que son transmitidos a través
de las redes. Pueden ser equipos de Hardware o Software
instalado en PC
PC’ss estándar
ADACSI
62
ADACSI
63
Sniffing
• Un sniffer no es más que un sencillo programa que
recibe toda la información que pasa por la interfaz
de red a la que está asociado. Una vez capturada, se
la puede almacenar para su análisis posterior.
posterior
• Estos dispositivos, denominados sniffers de alta
impedancia, se conectan en paralelo con el cable de
forma que la impedancia total del cable y el aparato
es similar a la del cable solo, lo que hace difícil su
detección.
detecc ó .
ADACSI
64
ADACSI
65
Sniffing
• Contra estos ataques existen diversas soluciones; la más económica a
nivel físico es no permitir la existencia de segmentos de red de fácil
acceso, lugares ideales para que un atacante conecte un sniffer y capture
todo nuestro tráfico.
• Otra contramedida es el uso de aplicaciones
p de cifrado ppara realizar las
comunicaciones o el almacenamiento de la información.
• Tampoco se deben descuidar las tomas de red libres, donde un intruso
con una PC portátil puede conectarse para capturar tráfico.
• Es recomendable analizar regularmente nuestra red para verificar que
todas las máquinas activas están autorizadas.
• Otra técnica consiste en la segmentación de la red mediante el uso de
switches Al segmentar la red,
switches. red el único tráfico que tendrían que ver las
máquinas sería el que les pertenece, puesto que el switch se encarga de
encaminar hacia la puerta correspondiente únicamente aquellos
paquetes destinados a las direcciones MAC que ha aprendido en dicha
puerta.
ADACSI
66
ADACSI
67
ADACSI
68
ADACSI
69
ADACSI
70
ADACSI
71
ADACSI
72
ADACSI
73
ADACSI
74
ADACSI
75
ADACSI
76
ADACSI
77
ADACSI
78
ADACSI
79
ADACSI
80
ADACSI
81
ADACSI
82
ADACSI
83
Sniffing
• Las técnicas de sniffing también se conocen como
técnicas de eavesdropping y técnicas de snooping.
• Eavesdropping, es una variante del sniffing,
caracterizada por realizar la adquisición o
intercepción del tráfico que circula por la red de
forma pasiva, es decir, sin modificar el contenido
de la información.
• Las técnicas de snooping se caracterizan por el
aalmacenamiento
ace a e to de laa información
o ac ó captu
capturada
ada een eel
ordenador del atacante, mediante una conexión
remota establecida durante toda la sesión de
captura. En este caso, tampoco se modifica la
información incluida en la transmisión.
ADACSI
84
Snooping
• Aunque el resultado es en muchos aspectos similar al
sniffing, técnicamente poco tiene que ver con éste.
• En ningún momento se capturan datos que circulan por la
red,
d la
l tarjeta
j no trabaja
b j en modo
d promiscuo
i ( más,
(es á nii
siquiera es necesario un interfaz de red), simplemente, la
información que un usuario introduce en un terminal es
clonada en otro, permitiendo tanto la entrada como la
salida de datos a través de ambos.
• En algunas versiones de Linux existe un programa
d
denominado
i d ttysnoop capaz de d registrar
i en tiempo
i reall
todo lo que un usuario teclea en una terminal, tanto física
como virtual.
ADACSI
86
ADACSI
88
ADACSI
92
ADACSI
93
Ataques Activos
• Los ataques activos implican alguna modificación
del flujo de datos o la creación de un flujo falso y se
pueden dividir en cuatro categorías:
– Suplantación de identidad
– Repetición
– Modificación de mensajes
– Interrupción de servicio
ADACSI
94
INTEGRIDAD
Y
AUTENTICIDAD
ADACSI
95
Repetición
• Implica la captura pasiva de una unidad de datos y su
retransmisión posterior para producir un efecto no
autorizado.
Captura y Repite
CONFIDENCIALIDAD
Y AUTENTICIDAD
ADACSI
96
INTEGRIDAD
CONFIDENCIALIDAD
Y AUTENTICIDAD
ADACSI
97
Interrupción de Servicio
• Impide el uso o la gestión normal de las utilidades de
comunicación.
• Podría tener un objetivo específico como por ejemplo
suprimir todos los mensajes dirigidos a un destino en
particular (por ej. a auditoría de seguridad).
• Otra variante sería la interrupción de una red
completa, ya sea inhabilitándola o sobrecargándola
con mensajes para reducir su rendimiento.
INTERRUMPIR
DISPONIBILIDAD
ADACSI
98
ADACSI
99
ADACSI
100
ADACSI
101
ARP Spoofing
• Con el objetivo de reducir el tráfico de broadcast en
la red, cada respuesta de ARP (arp-reply) que llega a
la tarjeta
j de red es almacenada en una tabla caché,
aunque la máquina no haya realizado la
correspondiente petición.
• Así pues, toda respuesta de ARP que llega a la
máquina es almacenada en la tabla de ARP de este
equipo. Este mecanismo es el que se utilizará para
realizar
li ell ataque de
d suplantación
l ió ded ARP.
ARP
• Este engaño se conoce con el nombre de
”envenenamiento de ARP”(ARP poisoning).
ADACSI
102
ADACSI
103
ARP Spoofing
• Un host, antes de enviar una petición ARP, trata de resolver
buscando en las propias entradas del caché.
• Cada host mantiene una tabla caché ARP, la cual contiene
las correspondencias más recientes entre las direcciones IP y
las direcciones hardware.
• Las entradas en esta tabla pueden ser:
• Entradas dinámicas: la dirección física se obtiene de una
respuesta ARP. Las entradas tienen un tiempo de vida
establecido. Cuando este tiempo finaliza, la entrada
correspondiente es eliminada del caché.
• Entradas estáticas: la dirección física es introducida
manualmente por el usuario. Las entradas así creadas no
tienen tiempo de vida, por lo que se tienen que eliminar
también de forma manual.
ADACSI
104
ADACSI
105
ARP Spoofing
• ARP SPOOFING es la Suplantación de Identidad por
falsificación de la tabla ARP.
• Se trata de la construcción de tramas de solicitud y respuesta
ARP modificadas con el objetivo de falsear la tabla ARP
(relación IP-MAC) de una víctima y forzarla a que envíe los
paquetes a un host atacante en lugar de hacerlo a su destino
legítimo.
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
• El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta
técnica solo puede ser utilizada en redes LAN o en cualquier caso en la
parte de la red que queda antes del primer Router.
ADACSI
106
ADACSI
107
ARP Spoofing
• Desde la PCA se envían paquetes de respuesta ARP falsos hacia
las víctimas.
• A PCC le indicamos que la dirección MAC del servidor es la
nuestra.
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
ADACSI
108
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
ADACSI
109
ARP Spoofing
• Para evitar que las arp-cache de las PC de las víctimas
se refresquen, se deben enviar flujos constantes de
paquetes ARP-Replay modificados hacia ambas
víctimas Esto es lo que se conoce como ataque ARP-
víctimas.
Poisoning.
• Ahora, para que nadie se entere de que estamos en el
medio, se deben hacer llegar los paquetes a los
verdaderos destinatarios reenviándoles los paquetes
capturados.
• Así la comunicación entre ambos no se ve
interrumpida, y se puede “ver” todo el tráfico entre
ellos.
ADACSI
110
ADACSI
111
ARP Spoofing
• Cain&Abel: Es un programa para sistemas operativos de Microsoft que
permite recuperar contraseñas. Aunque no es su principal función, utiliza
técnicas de ARP spoofing para capturar el tráfico de la red y recuperar o
incluso modificar contraseñas. Es capaz de interpretar múltiples protocolos,
incluso VoIP para realizar escuchas telefónicas de forma sencilla.
http://www oxid it/cain html
http://www.oxid.it/cain.html
• Dsniff: Es un conjunto de herramientas para la auditoría de redes de cualquier
tipo, incluyendo aquellas construidas con conmutadores. Algunas de sus
características más llamativas incluyen la intercepción de tráfico cifrado con
los protocolos HTTPS (HTTP Secure) y SSH (Secure SHell), aprovechando la
debilidad de los mismos a la hora de establecer contextos de seguridad
basados en una infraestructura de clave pública (PKI).
http://www.monkey.org/~dugsong/dsniff/
• Arp-sk: Se define por sus propios autores como una “navaja suiza” para ARP.
Se trata de un generador de paquetes ARP que permite casi cualquier uso
posible del protocolo para realizar numerosos ataques, no sólo aquellos
basados en el envenenamiento de caché. Desde suplantaciones más
elaboradas, hasta denegaciones de servicio a una máquina o incluso toda la
ADACSI
subred. http://sid.rstack.org/arp-sk/
112
ADACSI
113
ARP Spoofing
Ettercap: es la herramienta por excelencia para realizar ataques de tipo “man in
the middle”, utilizando ARP spoofing y otras sofisticadas técnicas. Permite la
monitorización y filtrado del tráfico de una red o entre dos nodos de la misma,
incluyendo la disección tanto activa como pasiva de múltiples protocolos. Al
igual que Dsniff o Cain & Abel,
Abel es capaz de extraer información sensible del
tráfico analizado. Está disponible para múltiples plataformas (tanto UNIX como
Windows) y provee además varias interfaces de uso diferentes, para adaptarse a
las circunstancias de la mejor forma posible. Ettercap es capaz de intervenir
comunicaciones cifradas bajo SSL en protocolos como HTTPS o SSHv1, lo que
lo convierte en una herramienta muy polivalente y ampliamente utilizada.
Incluye la posibilidad de realizar ataques de envenenamiento de DHCP, robo de
puertos o redirecciones ICMP, así como el descubrimiento preciso de una red de
computadoras. Por si todas estas características no fuesen suficientes,
implementa una arquitectura escalable por medio de plugins que permite
ampliar su funcionalidad. http ://ettercap.sourceforge.net
ADACSI
114
ADACSI
115
ARP Spoofing
• La manera más sencilla de protegerse de esta técnica es
revisando la tabla ARP que se desea proteger para ver si hay en
algún momento dos equipos con la misma dirección MAC.
• También se puede proteger mediante tablas ARP estáticas
(siempre que las ips de red sean fijas).
• Para convertir una tabla ARP estática tendríamos que ejecutar
el comando:
ADACSI
116
ADACSI
117
ARP Spoofing
• El ataque de MITM no es el único que se puede hacer con la
técnica de ARP-Spoofing.
• Se puede efectuar un ataque de Denegación de Servicio (DoS)
• Si se envenena la caché arp de un servidor por ejemplo
haciéndonos pasar por el gateway de la red (suplantándolo),
(suplantándolo)
toda la comunicación pasará por nuestro equipo.
• Si se desechan todos los paquetes que el servidor envía a sus
clientes, esto provocaría una DoS sin que los clientes sepan
qué sucede.
• Las posibilidades son muchísimas, pudiendo llegar hasta
controlar una red completa.
• Una protección adicional es utilizar switches con
funcionalidades de autentificación de equipos y que puedan
fijar las direcciones MAC de sus puertas, bloqueando dicha
puerta si detecta el paso de una MAC distinta a la que tiene
autorizada.
ADACSI
118
ADACSI
119
IP spoofing
•Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un
paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se
consigue generalmente gracias a programas destinados a ello y puede ser usado
para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP.
•Hay que tener en cuenta que las respuestas del host que reciba los paquetes irán
dirigidas a la IP falsificada
falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo
echo
request") spoofeado, la respuesta será recibida por el host al que pertenece la IP
legalmente. Este tipo de spooofing unido al uso de peticiones broadcast a
diferentes redes es usado en un tipo de ataque de flood conocido como ataque
smurf.
•Para poder realizar IP SPOOFING en sesiones TCP, se debe tener en cuenta el
comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su
ISN específico y teniendo en cuenta que el propietario real de la IP podría (si no
se le impide de alguna manera) cortar la conexión en cualquier momento al
recibir paquetes sin haberlos solicitado.
•También hay que tener en cuenta que los routers actuales no admiten el envío de
paquetes con IP origen no perteneciente a una de las redes que administra (los
paquetes spoofeados no sobrepasarán el router).
ADACSI
120
ADACSI
121
WEB Spoofing
•Suplantación de una página web real (no confundir con phising).
Enruta la conexión de una víctima a través de una página falsa
hacia otras páginas WEB con el objetivo de obtener información
de dicha víctima (páginas WEB visitas, información de
formularios,, contraseñas etc.).
) La página
p g WEB falsa actúa a modo
de proxy solicitando la información requerida por la víctima a cada
servidor original y saltándose incluso la protección SSL. El
atacante puede modificar cualquier información desde y hacia
cualquier servidor que la víctima visite. La víctima puede abrir la
página web falsa mediante cualquier tipo de engaño, incluso
abriendo un simple LINK. El WEB SPOOFING es difícilmente
detectable, quizá la mejor medida es algún plugin del navegador
que muestre en todo momento la IP del servidor visitado,
visitado si la IP
nunca cambia al visitar diferentes páginas WEB significará que
probablemente estemos sufriendo este tipo de ataque.
ADACSI
122
ADACSI
123
Ataques SMTP
ADACSI
124
Flooding
– Net Flood
• Degradar la capacidad de conexión a la red saturando sus enlaces.
• ICMP Flood y UDP Flood. BW ataque BW atacado.
– Smurf
• Variante del Net Flood qque aprovecha
p las características de
broadcast de las redes. (Nuking)
• Se combina con IP spoofing . Se envía paquete ICMP (IP origen:
máquina a atacar; IP destino: broadcast).
– TCP Syn Flood
• Asociado al protocolo TCP. (limitación de conexiones)
• Envío de paquetes SYN a un sistema reserva de memoria.
• Se puede combinar con IP spoofing. (“neptune”, “synk4”)
– Connection Flood
• Variante del Syn Flood que establece la conexión (a veces no FIN)
– SMTP Flood
• Envío masivo de mensajes a grandes listas.
ADACSI
126
ADACSI
127
Ping of death
• Ping de la muerte (1996)
– Envía un paquete ping (ICMP echo request) > 64KB.
– Se pproduce overflow en el buffer de memoria asignado.
g
– Cálculo: 65535 - 20 - 8 = 65507 bytes
• Unix: # ping adacsi.com 65510
• Win: C:\ping -l 65510 adacsi.com
– Protección: vigilar paquetes ICMP de gran tamaño.
ADACSI
128
ADACSI
131
Interrupción - Disponibilidad
Tcp-wrapper Nocol
Tcplogger Tiger
Udplogger Crack
Icmplogger Noshell
Etherscan Trinux
Nstat Monitor de performance
Argus Windows NT Resource Kit
Gabriel Scan NT
Suck Server NetXRayy
Red Button
ADACSI
132
ADACSI
133
Modificación - Integridad
Tcp-wrapper lsof
Tcplogger osh
Icmplogger noshell
Etherscan trinux
ISS Monitor de sucesos
Gabriel Windows NT Resource
COPS Kit
Tiger Scan NT
Red Button
ADACSI
134
ADACSI
135
SARA
ADACSI
136
ADACSI
137
MBSA
ADACSI
138