• Artículo

Vigilancia de seguridadProtección de acceso a redes

John Morello

La información preliminar de esta columna acerca de Windows Server “Longhorn” está sujeta a cambios.

Una de las mayores amenazas a la seguridad que enfrentan hoy las organizaciones de todo tamaño son los dispositivos invasores detrás del perímetro de red. Independientemente de la manera en que una organización se pueda proteger contra las amenazas externas de Internet, la seguridad puede estar en riesgo por la presencia de un empleado bien intencionado que involuntariamente se vuelve un vector

de transmisión de código malintencionado por acción de un gusano o troyano. En ningún lugar esto es más cierto que en los entornos de TI de pequeñas y medianas organizaciones, donde el equipo portátil personal y de negocios de los empleados puede ser el mismo, y donde las tecnologías de control de acceso a redes son demasiado costosas y difíciles de implementar. Sin embargo, es habitual que precisamente estas organizaciones paguen altos costos por inactividad, por lo cual es de vital importancia protegerlas contra estas amenazas.

La tecnología de protección de acceso a redes (NAP) de Microsoft permite que organizaciones de todo tamaño comprueben de manera proactiva el buen estado de los equipos cuando se unen a la red y garanticen constantemente que permanezcan en buen estado durante todo el tiempo que se encuentran conectados. NAP ofrece una arquitectura flexible y basada en directivas para que las organizaciones se protejan a sí mismas de equipos con incumplimiento, colocados en forma intencional o involuntaria en sus redes por empleados, proveedores y visitantes. NAP se construye sobre cuatro pilares básicos: validación de directivas, aislamiento, corrección y cumplimiento continuo.

Descripción general de NAP

El primer servicio central que ofrece NAP es la validación de directivas. La validación de directivas es el proceso en que NAP evalúa un sistema comparándolo con un conjunto de reglas definidas por el administrador y clasifica el estado del sistema.

Los administradores de TI especifican un conjunto de elementos de directiva que NAP usa para la comparación cuando los equipos intentan conectarse a la red. Los equipos que coinciden con los elementos de directiva se consideran en buen estado, mientras que aquellos que no superan una o más comprobaciones (según lo especificado por el administrador) se consideran en mal estado. Estas directivas pueden buscar cosas tales como la presencia de software antivirus y antispyware, si el firewall de un host está activo y si al equipo le falta alguna actualización de seguridad. Además, dado que NAP se crea para ser extensible, los proveedores de software independientes pueden crear sus propios complementos para NAP que permiten realizar comprobaciones específicas para aplicaciones.

Otro servicio central que ofrece NAP es la restricción de conectividad de red. En función de las directivas definidas por el administrador, NAP puede colocar a los equipos en distintos estados de conectividad de red. Por ejemplo, si un equipo se considera en mal estado porque le faltan actualizaciones de seguridad críticas, NAP puede colocarlo en una red de cuarentena, donde se lo puede aislar del resto del entorno hasta que vuelva a un buen estado. Sin NAP, el cliente en mal estado tendría libre acceso a la red de la organización. Si algún código mal intencionado pudiera poner en riesgo el equipo a través de los huecos que las actualizaciones que faltan, podría intentar activamente propagar su infección al resto de la red. En la figura 1 se ofrece una idea general de la arquitectura.

Figura 1 Arquitectura general de NAP

Figura 1** Arquitectura general de NAP **(Hacer clic en la imagen para ampliarla)

Sin embargo, restringir simplemente la conectividad, no es una manera eficiente de administrar equipos en mal estado (después de todo, sus usuarios todavía tienen que trabajar). De modo que NAP ofrece también servicios de corrección en los que los equipos en mal estado y en cuarentena pueden corregir sus problemas sin intervención del administrador. En el ejemplo anterior, la red restringida sólo permite que el equipo en mal estado tenga acceso a recursos de red específicos que se necesitan para instalar las actualizaciones que faltan, como el equipo Windows Server® Update Services (WSUS) de la organización. En otras palabras, con NAP en su lugar, el equipo en mal estado sólo puede tener acceso a aquellos recursos que le permiten recuperar el buen estado; no puede enviar tráfico al resto de la red hasta no ser reparado.

El último pilar de NAP es el cumplimiento continuo, en que estas directivas de estado se implantan durante todo el tiempo que el equipo está conectado a la red, no sólo en la conexión inicial. En nuestro ejemplo, observe lo que sucede después de que el equipo se actualiza y pasa a buen estado (y se le concede así acceso sin restricciones a la red). Si posteriormente ese equipo cae del cumplimiento, por ejemplo porque se deshabilita el firewall de Windows, NAP automáticamente volverá a poner en cuarentena ese equipo. NAP también permite que los administradores configuren la autocorrección, por la cual el estado de incumplimiento se corrige automáticamente sin intervención adicional del usuario, aún mucho tiempo después de que se complete la conexión de red inicial.

NAP puede usar varias técnicas diferentes para controlar el acceso a redes. Para las organizaciones que disponen de conmutadores de red administrados, se puede usar 802.1X para proporcionar control de acceso basado en puertos en la capa de hardware de red. NAP ofrece también la capacidad de usar cumplimiento basado en IPsec, donde se crean redes seguras a través de asociaciones de IPsec dispuestas por capas sobre redes físicas. Con cumplimiento basado en IPsec, NAP controla el acceso a la zona de seguridad al crear y eliminar dinámicamente certificados usados por el motor IPsec. Por último, NAP puede proporcionar cumplimiento basado en DHCP. En este caso, el servidor DHCP ofrece a los clientes en mal estado concesiones IP de grupos restringidos. Estas concesiones usan sufijos DNS y rutas IP independientes para controlar los recursos a los que puede tener acceso un cliente restringido.

El componente del servidor NAP se incorpora en la siguiente versión de Windows con nombre en código "Longhorn", en concreto en el nuevo servidor de directivas de redes (NPS), el sucesor enormemente mejorado del servicio de autenticación de Internet. Para las organizaciones que usan cumplimiento basado en 802.1X, el hardware de red debe ser compatible con autenticación 802.1X y capacidades VLAN dinámicas (el sitio de asociados de NAP en la barra lateral "Recursos NAP" ofrece más detalles sobre fabricantes de hardware específico). Para cumplimiento basado en DHCP, se requiere un servicio DHCP habilitado para NAP, como el que tiene Windows Server "Longhorn". En el cliente, la compatibilidad con NAP viene integrada con Windows Vista™. La compatibilidad con NAP también estará disponible como un complemento en Windows® XP, junto con un nuevo suplicante 802.1X que habilitará el cumplimiento de 802.1X en Windows XP.

Además, NAP se integra en el centro de seguridad de Windows, así como en agentes de estado de terceros, para informar el estado. A causa de esto, NAP puede realizar decisiones de validación de directivas basado en cualquiera de los datos expuestos a través del centro de seguridad.

NAP es una solución muy competente para la administración de directivas en el nivel empresarial, de modo que no se pueden tratar en un solo artículo todas las características y estrategias de implementación. De esta forma, este artículo se centra en implementaciones para pequeñas y medianas organizaciones donde el tiempo del personal de TI ya está escasamente repartido y donde se puede mejorar una implementación de NAP para ofrecer un rápido retorno de la inversión que se requiere para la implementación. Sin embargo, muchas de las lecciones y la orientación general se aplican igualmente a cualquier diseño de NAP en organizaciones de todo tamaño. Observe, no obstante, que mi tutorial de ejemplo no está diseñado para ser una guía paso a paso de instalación, sino una introducción general a las principales áreas de enfoque de una implementación correcta de NAP basado en DHCP. Consulte la barra lateral "Recursos NAP" para obtener un vínculo a una guía de instalación más detallada.

Conjunto de problemas de Contoso

Para ver con detenimiento cómo se puede aplicar NAP a las necesidades exclusivas de pequeñas y medianas organizaciones, usemos Contoso Inc. como ejemplo. Contoso es una organización mediana ficticia con 250 equipos repartidos en tres oficinas principales. Tiene trabajadores con mucha movilidad, con muchos usuarios que trabajan a distancia o que se conectan a la oficina principal desde ubicaciones remotas de los clientes. Como resultado, casi la mitad del total de sus equipos son portátiles y Tablet PC. Al igual que muchas organizaciones, Contoso enfrenta los crecientes desafíos de seguridad a medida que el personal se vuelve más móvil. Algunos usuarios con equipos móviles estuvieron expuestos a código mal intencionado de sitios de los clientes u oficinas de casa y traen equipos infectados a la red interna de Contoso.

Contoso también se esfuerza por garantizar que estos equipos remotos se mantengan actualizados. Con frecuencia, los usuarios trabajan desde ubicaciones del cliente durante períodos prolongados antes de volver a una oficina de Contoso. En estas situaciones, los equipos de que disponen tienen a menudo meses de atraso en las actualizaciones de seguridad, lo cual aumenta el riesgo total para el resto de los equipos en la red de Contoso. Contoso necesita una solución que pueda garantizar que todos los equipos conectados a la red, sea en forma remota o local, sean seguros y se encuentren en buen estado.

¿De qué manera puede NAP colaborar para que Contoso logre sus objetivos? Recuerde los pilares principales de NAP. A través de validación de directivas, NAP puede comprobar el estado de todos los equipos que se conectan a la red del Contoso. La validación de directivas puede determinar si un equipo recibe oportunamente las firmas de antivirus y si está totalmente al día con todas las actualizaciones de seguridad. Cuando las rutinas de validación de directivas de NAP determinan que un equipo está en mal estado, NAP puede restringir la conectividad de red de los hosts en mal estado. Esto garantiza que un equipo que se usó externamente y contrajo código mal intencionado no propague el problema a otras partes de la red. NAP restringirá la conectividad del equipo en mal estado para que sólo tenga acceso a los recursos de corrección definidos por el administrador de TI de Contoso. Por ejemplo, el equipo en mal estado tendrá acceso al servidor WSUS de Contoso y al servidor que aloja las firmas de antivirus. Finalmente, NAP puede asegurar que después de que el equipo recobre el buen estado, se mantenga de manera continua en ese estado. En el ejemplo que mostré aquí, si un trabajador a distancia usó el host en mal estado a través de la VPN y el usuario desactivó el firewall del host, NAP corregirá automáticamente el problema. Tan pronto como se deshabilite el firewall, la infraestructura de NAP pondrá en cuarentena el equipo, volverá a habilitar el firewall, reevaluará el estado del equipo y, después de determinar el buen estado, devolverá el equipo a la red sin restricciones. Los cuatro pilares de NAP se aplican directamente a necesidades clave de seguridad del entorno informático móvil y dinámico de Contoso.

Diseño de NAP

Para muchas pequeñas y medianas organizaciones, el cumplimiento basado en DHCP para NAP es la opción de implementación más rápida y sencilla. Esto se debe a que el cumplimiento DHCP no requiere cambios adicionales de red ni servicios adicionales aparte de DHCP y NPS. Mientras que las opciones de cumplimiento de IPsec y 802.1X son más flexibles, requieren también cambios adicionales en la red y nuevos servicios a implementar. Para entornos menos complejos, el uso de DHCP ofrece las principales ventajas de NAP a un costo mucho más bajo de implementación y un compromiso menor de continuidad operativa.

En el entorno de Contoso, se usa un equipo que ejecuta Windows Server "Longhorn" como núcleo de la implementación de NAP. Debido a que NAP requiere NPS de Windows Server "Longhorn", no se puede implementar con versiones anteriores de Windows Server. El cumplimiento basado en DHCP para NAP también necesita un servidor DHCP de Windows Server "Longhorn". Para consolidar los servicios, Contoso puede implementar tanto NPS como DHCP en el mismo servidor; coexisten sin problemas. De esta manera, la infraestructura básica de servidor NAP para Contoso es bastante sencilla: un solo equipo con Windows Server "Longhorn" ejecuta tanto los componentes de directivas como los de cumplimiento.

En el cliente, los equipos de Contoso que ejecutan Windows Vista cuentan con las capacidades necesarias para ser compatibles con NAP. El único cambio necesario en el cliente en los equipos que ejecutan Windows Vista es habilitar la funcionalidad de NAP, lo que se puede conseguir a través de directivas de grupo. En los equipos de Contoso que ejecutan Windows XP, se debe instalar por separado un paquete de cliente NAP. De forma predeterminada, los equipos unidos al dominio y que ejecutan Windows XP tienen deshabilitada la funcionalidad del centro de seguridad de Windows. Si la directiva de NAP usa información de estado del centro de seguridad para evaluar el estado del equipo, se debe ejecutar el centro de seguridad para que NAP funcione correctamente. De esta manera, en los equipos de Contoso que ejecutan Windows XP, los administradores habilitaron el centro de seguridad con directivas de grupo. Aparte de estos cambios, no se necesita nada más en el cliente para que sea compatible con NAP.

Implementación de NAP en Contoso

Después de que Contoso realizó los cambios necesarios de directivas de grupo a los que anteriormente se hizo referencia, el paso siguiente en la implementación de NAP es la instalación de Windows Server "Longhorn". Todas las versiones de Windows "Longhorn" incluyen los componentes necesarios de NAP, de modo que Contoso puede usar cualquier edición que mejor se adapte a sus necesidades. Una vez finalizada la instalación, el administrador de TI usa la herramienta Administrador de servidores para agregar nuevas funciones al equipo. Para el cumplimiento basado en DHCP que usa Contoso las funciones que se necesitan son los Servicios de acceso a redes y Servidor DHCP. El Asistente para agregar funciones ayudará al administrador en el control de cualquier dependencia y la inclusión de cualquier característica adicional que se pueda desear en el servidor. Una vez que se agregan las funciones, Contoso está listo para comenzar a configurar NAP.

El administrador de Contoso usará la herramienta Administrador de servidores para obtener acceso al complemento DHCP para Microsoft Management Console (MMC) y agregar un nuevo ámbito. La configuración del servidor DHCP de Windows Server "Longhorn" hará que se reemplacen todos los servicios DHCP existentes en los segmentos IP que atiende. Una vez que se crea el ámbito y se llena con las opciones correctas, basadas en la red de Contoso, se debe habilitar NAP en el mismo. Esto se hace en la ficha Protección de acceso a redes en las propiedades del ámbito (consulte la figura 2).

Figura 2 Habilitación de NAP

Figura 2** Habilitación de NAP **(Hacer clic en la imagen para ampliarla)

NAP intercambia equipos entre acceso a redes restringido o sin restricción dentro del mismo ámbito mediante una nueva opción de ámbito de clase de usuario de NAP. Este conjunto especial de opciones de ámbito (incluidos los servidores DNS, el sufijo DNS predeterminado, etc.) se usa cuando se ofrecen concesiones a clientes en mal estado. Por ejemplo, mientras que a clientes en buen estado se les ofrecerá un sufijo DNS predeterminado "contoso.com", a clientes en mal estado se les dará un sufijo "restringido.contoso.com", tal como se muestra en la figura 3. Una vez que se configuran las opciones de ámbito DHCP, se puede configurar el servidor de directivas de redes y crear las reglas.

Figura 3 Acceso restringido

Figura 3** Acceso restringido **(Hacer clic en la imagen para ampliarla)

La directiva de NPS está compuesta por cuatro componentes principales. Validadores de estado del sistema (SHV) que definen qué comprobaciones se realizan para evaluar el estado de un equipo. Grupos de servidores de actualizaciones que contienen la lista de sistemas a los que los equipos en mal estado tienen permitido el acceso para pasar a buen estado (por ejemplo, WSUS). El componente de plantilla de validador de estado del sistema se usa para definir los estados actuales. Por ejemplo, Contoso podría decir que un equipo "compatible" es uno que supera la Seguridad de Windows SHV, pero permite que el cliente no supere otra comprobación de SHV que proporciona el proveedor del antivirus. Por último estos componentes se combinan en un conjunto de directivas de red, que contiene la lógica que determina lo que le sucede a los equipos según su estado.

Los validadores de estado del sistema son listas de elementos que el agente NAP comprueba e informa su estado al NPS. Una implementación predeterminada de NAP incluye Windows SHV, que se conecta con el centro de seguridad de Windows y permite que NAP compruebe el estado de todos los componentes de seguridad informados por el centro de seguridad. Se incluye firewall, antivirus, actualizaciones automáticas y componentes antispyware.

Recuerde que NAP está diseñado para ser extensible y permitir que terceros creen sus propios SHV para proporcionar comprobaciones más detalladas de componentes individuales (consulte microsoft.com/windowsserver2003/partners/nap­part­ners.mspx para obtener más información). Por ejemplo, la Seguridad de Windows SHV permite que NAP compruebe si el antivirus está o no habilitado y actualizado. Sin embargo, la Seguridad de Windows SHV no puede realizar comprobaciones más detalladas de la aplicación antivirus, como por ejemplo, la frecuencia con la que se analiza el equipo u otras opciones específicas de la aplicación. No obstante, el proveedor del antivirus podría crear su propio SHV que se conecte con mayor profundidad a la aplicación y exponga comprobaciones más específicas que las predeterminadas en Windows SHV. Este SHV funcionaría en concierto con Windows SHV y cualquier otro SHV que pueda existir; una implementación de NAP puede tener varios SHV simultáneamente en uso (consulte la figura 4).

Figura 4 Seguridad de Windows SHV

Figura 4** Seguridad de Windows SHV **

Los grupos del servidor de actualizaciones se usan para especificar a qué recursos puede tener acceso un equipo en mal estado. Estos grupos incluyen a menudo recursos tales como servidores WSUS o Systems Management Server (SMS), así como servidores de actualización de antivirus. Es crítico incluir no sólo los servidores en sí, sino también los servidores de resolución de nombres que los clientes usan para buscarlos. Debido a que los clientes de Contoso se configuran a través de directivas de grupo, para usar el servidor llamado wsus.contoso.com para actualizaciones automáticas, el grupo de servidores de actualizaciones debe incluir no sólo la dirección IP del servidor WSUS, sino también la del servidor DNS que los clientes usan para convertir el nombre de dominio completo (FQDN) en una dirección IP numérica. Si no se permite el acceso a estos recursos de resolución de nombres (que pueden ser tanto DNS como WINS, según cómo se configuren los clientes), éstos no podrán resolver las direcciones IP de los recursos de corrección y por tanto, no podrán tener acceso a los mismos. En la figura 5 se muestran los valores de DNS e IP del ejemplo.

Figura 5 Nombres DNS y direcciones IP

Figura 5** Nombres DNS y direcciones IP **(Hacer clic en la imagen para ampliarla)

Las plantillas de validador de estado del sistema se usan para definir qué constituye un equipo en buen estado. Las plantillas de validador toman los resultados de las comprobaciones de SHV e indican si un equipo está en buen estado o mal estado en función de si superan una o más de estas comprobaciones (consulte la figura 6).

Figura 6 Comprobaciones de cumplimiento

Figura 6** Comprobaciones de cumplimiento **(Hacer clic en la imagen para ampliarla)

En el entorno de Contoso (al igual que en el de muchas pequeñas y medianas implementaciones), se definen sólo dos estados. Un equipo en buen estado es uno que supera todas las comprobaciones de SHV. Un equipo que no cumple es uno que no supera una o más de estas comprobaciones. Las organizaciones tienen la opción de implementar una lógica más compleja si fuera necesario (por ejemplo, crear diferentes estándares de cumplimiento para usuarios según la función, el departamento, la geografía, etc.), pero se debe tener en cuenta que al hacerlo, la identificación y solución de problemas serán potencialmente más dificultosas y demandará mayor tiempo.

Todos estos componentes se reúnen con directivas de red. Los administradores definen las directivas de red e instruyen al NPS sobre cómo tratar a los equipos en función de su estado. Estas directivas se evalúan de arriba abajo (tal como se muestra en la IU de NPS) y el procesamiento se detiene una vez que coincide una regla de directiva.

Nuevamente, el objetivo en la red de Contoso es la sencillez, de modo que se necesitan sólo unas pocas directivas. Primero está la directiva Cumplimiento-Acceso total. Esta directiva indica que a los equipos que superan todas las comprobaciones de SHV se les conceden acceso sin restricción a redes. Específicamente, cuando se evalúa el estado de un equipo, y éste supera todas las comprobaciones, NPS instruirá al servidor DHCP para que ofrezca al equipo una concesión de IP con opciones de ámbito "normales”. Esta directiva Cumplimiento-AccesoTotal normalmente aparece primero en el orden de procesamiento, ya que la mayoría de los equipos deberán ser compatibles cuando se comprueban. Al incluir primero esta directiva, se reduce la carga de procesamiento y el tiempo en el NPS.

La siguiente directiva a usar es No-cumplimiento-Restringido. En el entorno de Contoso, cualquier equipo que no supere una o más comprobaciones de SHV (coincidiendo así con la plantilla de validación de estado de sistemas que no cumplen) corresponde con esta directiva. Cuando se coincide con esta directiva, NPS instruye al servidor DHCP para que ofrezca al cliente una concesión IP con opciones especiales de ámbito de NAP "restringidas". Esto permite que los equipos que no cumplen tengan acceso sólo a aquellos recursos definidos en el grupo de servidores de actualizaciones de Contoso.

La tercera directiva se usa para compatibilidad con versiones anteriores. Recuerde que, de forma predeterminada, la compatibilidad con NAP está disponible para sistemas operativos Windows XP y posteriores (aunque fabricantes de software independientes pueden desarrollar clientes NAP para versiones anteriores de Windows y sistemas operativos que no sean Windows). Si Contoso tiene aún Windows 2000 en producción, puede crear una regla (NivelInferior-AccesoTotal en nuestro ejemplo) que permite conceder acceso normal a la red a equipos que no conocen NAP (el servidor DHCP otorga opciones de ámbito predeterminadas). Esta directiva se deberá evaluar al final y sólo se debe crear y habilitar cuando equipos de nivel inferior necesiten tener acceso a redes (consulte la figura 7).

Figura 7 Configuración de acceso para equipos de nivel inferior

Figura 7** Configuración de acceso para equipos de nivel inferior **(Hacer clic en la imagen para ampliarla)

¿Qué sucede si Contoso tiene recursos en la red que no son y nunca serán compatibles con NAP, como por ejemplo, impresoras u otro hardware? ¿Aún más, qué sucede si Contoso tiene equipos que son compatibles con NAP pero desea exceptuarlos de comprobaciones de directiva, ya sea en forma permanente o temporal? Una manera fácil de exceptuar estos equipos es por dirección MAC. Para ofrecer a estos equipos una omisión para evitar comprobaciones de NAP, los administradores de Contoso pueden crear una nueva directiva (Exceptuar por MAC) que conceda acceso completo a la red. Esta directiva usa una instrucción condicional donde la propiedad del cliente RADIUS Calling Station ID coincide con la dirección MAC de aquellos dispositivos que necesitan una omisión de NAP. Cuando un equipo coincide con esta instrucción de la directiva, NPS instruirá al servidor DHCP para que ofrezca una concesión con opciones de ámbito "normales”. Esta directiva se debe incluir primero en el orden de evaluación para reducir el tiempo general de procesamiento y la carga en el NPS. Los equipos que coinciden con esta directiva no necesitan ninguna evaluación de SHV, de modo que no tiene sentido dedicar ciclos en el NPS para comprobarlos (consulte la figura 8).

Figura 8 Omisión de ciertos equipos

Figura 8** Omisión de ciertos equipos **(Hacer clic en la imagen para ampliarla)

Cuando se combinan, estas directivas ayudan a garantizar que el NPS de Contoso evalúe en forma rápida y exacta los equipos que se conectan a la red. También ofrecen excepciones cuando son necesarias en equipos y dispositivos de nivel inferior o por momentos cuando se necesita una omisión temporal para dispositivos compatibles con NAP.

Conclusión

NAP abarca un amplio conjunto de tecnologías y, especialmente en escenarios más complejos, necesita planeamiento y pruebas exhaustivos. Aunque me centré en un escenario menos complejo, el sitio web de NAP incluye orientación más detallada para implementaciones de todos los tamaños. El sitio web incluye también asistencia en el planeamiento de tecnologías de cumplimiento basadas en IPsec y 802.1X, que a menudo se ajustan mejor en las empresas que el cumplimiento basado en DHCP.

NAP ofrece una plataforma apta y extensible para evaluar el estado de los equipos que se conectan a una red. Para pequeñas y medianas organizaciones, el cumplimiento basado en DHCP puede ofrecer muchos beneficios con costos bajos de implementación y administración. NAP es una ventaja clave de Windows Server "Longhorn" y puede ayudar a que la organización mejore la seguridad y el cumplimiento.

Recursos NAP

John Morello trabajó durante seis años con Microsoft en varias funciones. Como consultor jefe, ha diseñado soluciones de seguridad para empresas pertenecientes a Fortune 100 y para clientes de defensa, civiles y federales. En la actualidad, es administrador jefe de programas en el grupo de Windows Server que trabaja en tecnologías de acceso remoto desde cualquier lugar.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.