EXAMEN PRCTICO:

INSTALACION, CONFIGURACION Y EJECUCION DEL FIREWALL IPCOP

SERGIO DIAZ ROLON

DANIELA RAMIREZ PEARANDA

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2014-2

EXAMEN PRCTICO:
INSTALACION, CONFIGURACION Y EJECUCION DEL FIREWALL IPCOP

SERGIO DIAZ ROLON

CDIGO: 1150411
DANIELA RAMIREZ PEARANDA
CODIGO: 1150453

PRESENTADO A:
ING JEAN POLO CEQUEDA

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2014-2

Historia IPCOP
IPCop creci por mltiples necesidades. La primera de esas necesidades era la
proteccin segura de nuestras redes personales y comerciales. Cuando IPCop empez,
en Octubre de 2001, haba otros cortafuegos disponibles. De todas formas, el equipo que
empez IPCop senta que las otras dos necesidades que IPCop cubre no estaban
conseguidas; GPL y un sentido de comunidad.
El grupo fundador de IPCop decidi hacer las cosas de forma diferente y ramific el
cdigo GPL de un cortafuegos existente para empezar uno nuevo, cuidando de mantener
las necesidades de la comunidad de usuarios en primer trmino. Entre estas necesidades
est la capacidad del usuario para hacer su propio IPCop, para instalar mejoras, para
simplemente aprender viendo lo que otros han hecho. A travs de estas necesidades es
donde el desarrollo aporta mejoras a IPCop, escuchando directamente y viendo lo que
se ha hecho y el porqu. Esta comunidad hace que IPCop crezca y IPCop la hace crecer.
Avanzamos hasta 2011. Unos 10 aos despus, millones de descargas y un nmero
incontable de instalaciones por todo el mundo, se ha liberado una nueva versin de
IPCop. Con IPCop v2.0.0, se han aadido algunas cosas estupendas, una interfaz
rediseada y un cortafuegos de salida, por nombrar algunas.
Que es IPCOP?
1. IPCop es un cortafuegos; de principio, de final y siempre.
2. IPCop es una Distribucin Linux especializada; completa, configurada y lista para
proteger su red. Adems, est distribuida bajo licencia GNU General Public
License, con todo el cdigo fuente disponible para descargarlo, revisarlo o incluso
ser modificado y/o recompilado por usted mismo para sus necesidades personales
o por razones de seguridad.
3. IPCop es una comunidad; donde los miembros se ayudan entre s, compartiendo
para mejorar el proyecto y entre ellos. Esta ayuda va desde simples instrucciones
y consejos del Networking bsico, hasta ayudar a los miembros a personalizar
su IPCop para cubrir una necesidad especial como los telfonos IP (VoIP) o la
integracin de mltiples oficinas.

Prestaciones de IPCOP

Filtros de red IPTables

Soprte para discos IDE, SATA, SCSI y CF (Disk on a Chip). Con RAID por software
opcional.
Soporte para cuatro redes:
o VERDE Red interna de confianza
o AZUL Red inalmbrica semi-confiable (puede usarse como una segunda
VERDE)
o NARANJA DMZ para servidores accesibles desde Internet
o ROJA La red conectada a Intenet mediante:
Mdem analgico
RDSI
Conectado a una tarjeta de red:
Mdem DSL
Cable Mdem
Conectado por USB (con el driver adecuado):
Mdem DSL
Cable Mdem
Soporte para Mltiples IPs Real en ROJA cuando se usan IPs estticas.
Soporte de cliente DHCP en ROJA para recibir una IP del ISP, tambin soportando
la actualizacin de un DNS dinmico cuando esta IP cambia.
Servidor DHCP para VERDE y AZUL para simplificar la configuracin y el
mantenimiento de la red.
Servidor y cliente NTP para ajustar el reloj de IPCop y proveer un reloj comn para
las redes VERDE y AZUL.
Red Privada Virtual (VPN) para permitir a mltiples localizaciones actuar como una
nica gran red.
Red Privada Virtual (VPN) para permitir a los usuarios remotos acceder a la sede
principal (RoadWarrior).
Un Proxy tanto para navegar la Web como DNS permite una respuesta de
conexin ms rpida y una configuracin de red simplificada.
La Administracin tras la carga inicial es mediante una interfaz Web segura, que
incluye:
o Grficos de rendimiento de CPU, memoria y disco, as como de trfico de
red
o Vista de registros con autorotacin.
o Soporte multilenguaje.
Uso de equipos antiguos. 486 o superior, tamao de disco mnimo de 512 MB y al
menos 64 MB de RAM.

SERVICIOS DEL FIREWALL

Proxy web
Un servidor proxy es un programa que realiza las peticiones de pginas web en lugar de
todas las mquinas de su intranet. El servidor proxy guardar en cach las pginas que
recibe de la web, de manera que si tres mquinas piden la misma pgina, slo se
necesitar una transferencia desde Internet. Si su organizacin tiene varias pginas de
uso habitual, esto puede ahorrar accesos a Internet.
Normalmente, deber configurar los navegadores utilizados en su red para que usen el
servidor proxy para acceder a Internet. Debe poner el nombre/direccin de la mquina
IPCop como proxy y el puerto que introdujo en la casilla Puerto del Proxy, por defecto el
8080. Esta configuracin permite a los navegadores evitar el proxy si lo desean. Tambin
es posible correr el proxy en modo transparente. En este caso, los navegadores no
necesitan ninguna configuracin especial y el cortafuegos redirecciona automticamente
todo el trfico sobre el puerto 80, el puerto estndar HTTP, al servidor proxy.
VPN
Las Redes Privadas Virtuales o VPNs permiten conectar dos redes directamente entre
ellas sobre otra red, como Internet. Todos los datos son transmitidos de forma segura a
travs de un tnel encriptado, oculto a ojos de los fisgones. De forma similar, un solo
ordenador tambin se puede conectar a otra red empleando las mismas capacidades.
Uno de los protocolos usados para crear VPNs es el conocido como IPsec. Otro es
SSL/TLS, empleado por OpenVPN.
IPCop puede establecer VPNs fcilmente con otros servidores IPCop. IPCop tambin
puede interoperar con casi cualquier producto que emplee IPsec o OpenVPN. Esto es
completamente opcional, as que puede ignorar esta seccin con seguridad si no desea
hacer uso de esta prestacin. IPCop puede usar tanto IPsec como OpenVPN al mismo
tiempo.
La mayora de sistemas operativos modernos tienen soporte para IPsec y/o OpenVPN.
Esto incluye Windows, Macintosh OSX, Linux y la mayora de las variantes de Unix.
Desafortunadamente, las herramientas necesarias para proporcionar este soporte varan
enormemente y pueden ser difciles de configurar.

DMZ
En seguridad informtica, una zona desmilitarizada (conocida tambin como DMZ, sigla
en ingls dedemilitarized zone) o red perimetral es una red local que se ubica entre la red
interna de una organizacin y una red externa, generalmente en Internet. El objetivo de
una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn
permitidas, mientras que en general las conexiones desde la DMZ solo se permitan a la
red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto
permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez
que protegen la red interna en el caso de que intrusos comprometan la seguridad de los
equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que
quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un
callejn sin salida.
Portal cautivo
Un portal cautivo (o captivo) es un programa o mquina de una red informtica que vigila
el trfico HTTP y fuerza a los usuarios a pasar por una pgina especial si quieren navegar
por Internet de forma normal
El programa intercepta todo el trfico HTTP hasta que el usuario se autentifica. El portal
se encargar de hacer que esta sesin caduque al cabo de un tiempo. Tambin puede
empezar a controlar el ancho de banda usado por cada cliente (haciendo lo que se
llama Calidad de Servicio).
Se usan sobre todo en redes inalmbricas abiertas, donde interesa mostrar un mensaje
de bienvenida a los usuarios y para informar de las condiciones del acceso
(puertos permitidos, responsabilidad legal, etc.). Los administradores suelen hacerlo para
que sean los propios usuarios quienes se responsabilicen de sus acciones, y as evitar
problemas mayores. Se discute si esta delegacin de responsabilidad es vlida
legalmente.

INSTALACION DE IPCOP
Para la instalacin de IPCOP seguir paso a paso los pantallazos mostrados a
continuacin

CONFIGURACION DE IPCOP
1. Iniciamos la mquina virtual con IPCOP

2. En configuracin del men seleccionamos red

3. Seleccionamos el tipo de tarjeta roja

4. Ingresamos DHCP como tipo de tarjeta roja

5. Asignamos tarjeta verde

6. Asignamos la tarjeta naranja

7. Seleccionamos la tarjeta naranja para configurar

8. Asignamos IP y mascara de subred a la tarjeta naranja

CONFIGURACION DE PROXY

Desde la maquina Windows se coloca la direccin ip de la red roja con el 8443 y se

inicia sesin con los datos que colocamos anteriormente n la instalacin

En una maquina perteneciente a la red principal sea la roja distinta la que est instalado
el IPCOP iniciamos sesin, y le damos conectar para que el firewall se active.

Configuramos el proxy, el nombre del host y el correo electrnico del administrador

adems de darle CHECK a activar, y el puerto 8080

En URL filter seleccionamos los dominios y los filtros que queremos denegarles el acceso

CONFIGURACION DE VPN
Para configurar una VPN con IPsec, haga lo siguiente:
1. Cree una Autoridad Certificadora.
2. Active IPsec en la(s) interfaz(es) de su eleccin en la seccin Ajustes Globales.
3. Aada o bien una conexin Host-a-Red (Roadwarrior) o bien una conexin Red-aRed.
4. Siguiente elemento...
5. Siguiente elemento...
La primera lnea en la seccin de Ajustes Globales indica si el servidor IPsec est parado
o corriendo.

IPsec en ROJA. Marque esta casilla para activar el servidor IPsec en ROJA.

IPsec en AZUL. Slo visible si tiene configurada una interfaz AZUL. Marque esta casilla
para activar el servidor IPsec en AZUL.
IP pblica o FQDN de la interfaz ROJA o <%defaultroute>. Introduzca los detalles del
servidor IPsec, su FQDN o la direccin IP pblica de la interfaz roja. Si est utilizando un
servicio de DNS dinmico, aqu debera usar su nombre DNS dinmico.
VPNs y DNS dinmico
Si su ISP cambia su direccin IP, tenga en cuenta que las VPNs Red-a-Red pueden
necesitar ser reiniciadas desde ambos extremos del tnel. Los roadwarriors tambin
tendrn que reiniciar sus conexiones en tal caso.
Saltar MTU por defecto - opcional. El MTU (Maximum Transmission Units) es el
tamao mximo del datagrama en bytes que puede ser enviado sin fragmentar sobre un
camino de red concreto.
Retraso antes de lanzar la VPN (segundos). Si tiene una direccin IP pblica fija en
ROJA, debera mantener el valor 0. Si utiliza un servicio de DNS dinmico, debera usar
un valor mnimo de 60 segundos para que la entrada de DNS dinmico tenga tiempo
suficiente de propagarse a todos los servidores DNS.
Reiniciar VPN Red-a-Red cuando la IP remota cambie... Reinicia la VPN Red-a-Red
cuando la IP remota cambia (dyndns). Esto ayuda al Dead Peer Detection (DPD). Aadir
contenido...
PLUTO DEBUG. Varias opciones de depuracin que pueden ayudar a resolver
problemas. Utilcelo con cuidado, los muchos mensajes de registro adicionales suelen
ser confusos.

Para crear una conexin VPN IPsec utilice el botn Aadir. Aparecer la pgina de tipo
de conexin VPN.

Seleccione VPN Host-a-Red (Roadwarrior) para usuarios mviles que necesitan acceso
a la red VERDE o VPN Red-a-Red para dar a usuarios en otra red acceso a su red
VERDE y dar a usuarios de su red VERDE acceso a la otra red.
Elija el tipo de conexin que desea crear y pulse el botn Aadir.
La siguiente pgina que aparece contiene dos secciones. La seccin Conexin variar
dependiendo del tipo de conexin que est aadiendo. La seccinAutenticacin ser
igual.

Nombre. Un nombre simple (slo minsculas, sin espacios) para identificar esta
conexin.
Activado. Marque la casilla Activado para activar esta conexin.
Direccin IP del host. Escribir contenido...
Host remoto/IP - opcional. Introduzca la direccin IP fija del servidor IPsec de la red
remota. Tambin puede introducir el FQDN del servidor remoto. Si el servidor remoto est
usando un servicio de DNS dinmico, puede que tenga que reiniciar IPsec si su direccin
IP cambia. Hay varios scripts disponibles en los grupos de noticias de IPCop que harn
esto por usted.
Subred Local. Subred Local es por defecto su red VERDE. Si lo desea, puede crear una
subred de su red VERDE para limitar el acceso roadwarrior a su red VERDE.
ID local - opcional. Escribir contenido...
ID remota - opcional. Escribir contenido...

Accin de Dead Peer Detection. Elija entre limpiar, mantener o reiniciar.

Openswan recomienda en su archivo README.DPD que se use mantener para tneles
definidos estticamente, y limpiar para tneles roadwarrior.
Resea - opcional. El campo Resea le permite aadir un comentario opcional que
aparecer en la ventana de conexin VPN de IPCop para esta conexin.
Editar ajustes avanzados al terminar. Marque la casilla Editar ajustes avanzados al
terminar si necesita modificar los ajustes por defecto de IPCop para IPsec.

Nombre. Un nombre simple (slo minsculas, sin espacios) para identificar esta
conexin.
Activado. Marque la casilla Activado para activar esta conexin.
Direccin IP del host. Escribir contenido...

Host remoto/IP. Introduzca la direccin IP fija del servidor IPsec de la red remota.
Tambin puede introducir el FQDN del servidor remoto. Si el servidor remoto est usando
un servicio de DNS dinmico, puede que tenga que reiniciar IPsec si su direccin IP
cambia. Hay varios scripts disponibles en los grupos de noticias de IPCop que harn esto
por usted.
Subred Local. Subred Local es por defecto su red VERDE. Si lo desea, puede crear una
subred de su red VERDE para limitar el acceso roadwarrior a su red VERDE.
Subred remota. Introduzca la direccin de red y la mscara de red la red remota en el
mismo formato que el campo Subred Local. Esta red debe ser diferente a la Subred
Local ya que IPsec configura entradas en la tabla de rutas para enviar paquetes IP a la
red remota correcta.
ID local - opcional. Escribir contenido...
ID remota - opcional. Escribir contenido...
Accin de Dead Peer Detection. Elija entre limpiar, mantener o reiniciar.
Openswan recomienda en su archivo README.DPD que se use mantener para tneles
definidos estticamente, y limpiar para tneles roadwarrior.
Operacin al iniciar IPsec. Elija entre aadir, enrutar o iniciar.
Resea - opcional. El campo Resea le permite aadir un comentario opcional que
aparecer en la ventana de conexin VPN de IPCop para esta conexin.
Editar ajustes avanzados al terminar. Marque la casilla Editar ajustes avanzados al
terminar si necesita modificar los ajustes por defecto de IPCop para IPsec.
La segunda seccin de la pgina web trata sobre la autenticacin. En otras palabras, as
es como este IPCop se asegurar de que el tnel establecido por ambas partes de la
interfaz est hablando a su opuesto. IPCop ha hecho todo lo posible para soportar
certificados tanto PSK como X.509. Hay cuatro elecciones, mutuamente excluyentes, que
se pueden emplear para autenticar una conexin.
F

Utilizar una clave precompartida. Introduzca una frase de paso que se usar para
autenticar al otro lado del tnel. Escoja esto si quiere una VPN Red-a-Red simple.
Tambin puede emplear PSKs mientras experimenta en la creacin de VPNs. No utilice
PSKs para autenticar tneles de roadwarriors.
Subir peticin de certificado. Algunas implementaciones IPsec de roadwarrior no
tienen su propia CA. Si quieren utilizar la CA integrada en IPCop, pueden generar lo que
se llama una peticin de certificado. Esto es un certificado X.509 parcial que debe ser
firmado por una CA para ser un certificado completo. Durante la subida de la peticin de
certificado, la peticin es firmada y el nuevo certificado estar disponible en la pgina web
principal de VPNs.
Subir un certificado. En este caso, el par IPsec tiene una CA disponible para usar. Se
deben subir tanto el certificado del par como el certificado del host.

Generar un certificado. En este caso, el par IPsec podr ofrecer un certificado X.509,
pero no tiene la capacidad ni siquiera de generar una peticin de certificado. En este
caso, rellene los campos requeridos. Los campos opcionales estn indicados con puntos
rojos. Si este certificado es para una conexin Red-a-Red, el campo Nombre de usuario
completo o Nombre del sistema pueden ser el FQDN de Internet del par. El nombre de
organizacin opcional es para aislar diferentes porciones de una organizacin del acceso
a la red VERDE completa haciendo subredes de la Subred local en el apartado de
definicin de conexin de esta pgina web. El campo Contrasea del archivo
PKCS12 asegura que los certificados de host generados no puedan ser interceptados y
comprometidos mientras se transmiten al par IPsec.

CONFIGURACION DMZ
Ipcop nos define una red exclusiva para esta funcin, con lo cual solo hay que crear la
red, configurarla y anexar las reglas nuevas del firewall.
Por lo cual vamos al submen reglas de firewall

Debido a que vamos a definir una regla que permita comunicar a la red verde (interna)
con la red naranja (DMZ), vamos a crear una regla de trafico interno.

Definimos la interfaz de origen, la red, si nos queremos limitar a un equipo o a toda la

red indicando por ip o por mac al equipo, tambin se definen los datos de la interfaz y
red de destino, asi como el tipo de servicio, la accin de la regla y una breve
observacin.

Como podemos ver las reglas que van de naranja a verde estn indicadas, ya que
abran el cortafuego.
Con esto la DMZ ya cumple con los requisitos exigidos.

CONFIGURACION DE PORTAL CAUTIVO

Este mtodo de autenticacin es adecuado para entornos de red pequeos y medianos.
Los usuarios tienen que autenticarse cuando acceden a sitios web. Las credenciales se
verifican contra un servidor externo que acta como Controlador de Dominio. ste
puede ser un:

Servidor Windows NT 4.0 o Windows 2000/2003/2008 Server (incluso con

Directorio Activo activado).
Servidor Samba 2.x / 3.x (corriendo como Controlador de Dominio).

El Proxy Avanzado funciona con la autenticacin integrada de Windows (transparente)

o con autenticacin estndar (explcita, con nombre de usuario y contrasea).

Puede mantener listas con nombres de usuario autorizados (lista blanca) o con
nombres de usuario denegados (lista negra).
La autenticacin basada en Grupo de Trabajo probablemente funcione, pero ni se
recomienda ni est soportada.

Nmero de procesos de autenticacin. El nmero de procesos en segundo plano a

la escucha de peticiones. El valor por defecto es 5 y debera ser incrementado si la
autenticacin toma demasiado tiempo o la autenticacin integrada de Windows pasa a
autenticacin explcita.
TTL de la cach de autenticacin. El tiempo en minutos durante el cual las
credenciales se mantendrn en cach para cada sesin. Si este tiempo expira, el
usuario tiene que volver a introducir las credenciales para esa sesin. Por defecto es de
60 minutos, el mnimo es de 1 minuto. El TTL se reinicia cada vez que el usuario enva
una peticin al servidor Proxy durante una sesin.
Si el usuario abre una nueva sesin, las credenciales siempre tienen que ser
introducidas, incluso si el TTL no ha expirado para otra sesin.
Lmite de direcciones IP por usuario (opcional). Nmero de direcciones IP de origen
desde las que un usuario puede estar autenticado a la vez. La direccin IP se liberar
tras el tiempo establecido en TTL de la cach de Usuario/IP.
Esto no tiene efecto si se est usando autenticacin Local y el usuario es miembro del
grupo Extendido.
TTL de la cach de Usuario/IP. Tiempo en minutos durante el cual se mantendrn en
cach las relaciones entre cada usuario y la direccin IP empleada. El valor por defecto
es 0 (desactivado).
Un valor mayor de 0 slo tiene sentido cuando se emplea un lmite de direcciones IP
concurrentes por usuario.

Requerir autenticacin para direcciones de origen no restringidas. Por defecto se

requiere autenticacin incluso para las direcciones IP no restringidas. Si no quiere
requerir autenticacin a esas direcciones, desmarque esta casilla.
Texto del dilogo de autenticacin. Este texto se mostrar en el dilogo de
autenticacin. Por defecto es Servidor Proxy Avanzado de IPCop
Destinos sin autenticacin. Esto le permite definir una lista de destinos que pueden
ser accedidos sin autenticacin.
Cualquier dominio listado aqu son dominios de destino DNS y no dominios de origen
Windows NT.
Ejemplos:
Dominios completos y subdominios
*.ejemplo.net
*.google.com
Hosts nicos
www.ejemplo.net
www.google.com
Direcciones IP
81.169.145.75
74.125.39.103
URLs
www.ejemplo.net/download
www.google.com/images
Nota
Puede introducir todos estos tipos de destino en cualquier orden.
Ejemplo para Windows Update.

Para permitir acceder a Windows Update sin autenticacin aada estos destinos a la
lista:
*.download.microsoft.com
*.windowsupdate.com
windowsupdate.microsoft.com

Dominio. Introduzca el nombre del dominio que quiere utilizar para la autenticacin. Si
est corriendo un Directorio Activo de Windows 2000 o Windows 2003, deber
introducir el nombre de dominio NetBIOS.
Nombre del CPD. Introduzca el nombre NetBIOS del Controlador Primario de Dominio
aqu. Si est corriendo un Directorio Activo de Windows 2000 o Windows 2003, puede
introducir el nombre de cualquier Controlador de Dominio.
En Windows 2000 y posteriores, el Controlador Primario de Dominio no est asignado a
un servidor especfico. El emulador de CPD de Directorio Activo es un rol lgico y puede
estar asignado a cualquier servidor.
Importante
El nombre del CPD debe poder resolverse por IPCop. Esto se puede lograr aadiendo
el nombre de host en Servicios > Editar Hosts(recomendado) o editando el
archivo /etc/hosts directamente.
Nombre del CDR (opcional). Introduzca el nombre NetBIOS del Controlador de
Dominio de Reserva aqu. Si est corriendo un Directorio Activo de Windows 2000 o
Windows 2003, puede introducir el nombre de cualquier Controlador de Dominio. Si el
CPD no responde a las peticiones de autenticacin, el proceso de autenticacin
consultar al CDR en su lugar.
Importante
El nombre del CDR debe poder resolverse por IPCop. Esto se puede lograr aadiendo
el nombre de host en Servicios > Editar Hosts(recomendado) o editando el
archivo /etc/hosts directamente.

Activar autenticacin integrada de Windows. Si est activada, no se le preguntar al

usuario por el nombre de usuario y contrasea. Se usarn las credenciales del usuario
actualmente activo automticamente para la autenticacin. Esta opcin est activada
por defecto.
Si la autenticacin integrada est desactivada, se le pedir explcitamente al usuario un
nombre de usuario y contrasea.

Activado. Activa las listas de control de acceso para usuarios autorizados o

denegados.
Utilizar control de acceso positivo / Usuarios de dominio autorizados. Los
usuarios listados aqu tendrn acceso web. Para todos los dems usuarios, el acceso
ser denegado.
Utilizar control de acceso negativo / Usuarios de dominio denegados. Los
usuarios listados aqu tendrn el acceso web bloqueado. Para todos los dems
usuarios, el acceso estar permitido.
Si la autenticacin integrada de Windows est activada, el nombre de usuario debe ser
introducido con el nombre de dominio como prefijo, separado por una barra invertida.
Ejemplo de listas de control de acceso por usuario usando autenticacin integrada:

dominio\administrador
dominio\bruno
dominio\juana
dominio\maria
dominio\pablo
dominio\esteban
Cuando se usa la autenticacin integrada, el usuario tiene que estar logeado en el
dominio, de lo contrario, se aadir el nombre de la mquina al nombre de usuario, en
vez de el nombre de dominio.
Ejemplo de listas de control de acceso por usuario usando autenticacin explcita:
administrador
bruno
juana
maria
pablo
esteban
La autenticacin explcita proporciona acceso al usario, incluso si el usuario no est
logeado en el dominio, siempre que el nombre de usuario sea el mismo y que la
contrasea de la mquina local y la contrasea de dominio no coincidan.