MARCO CONCEPTUAL

 Seguridad de la Información: Es el conjunto de medidas y procedimientos, tanto

humanos como técnicos, que permiten proteger la integridad, confidencialidad y
disponibilidad de la información16

 Seguridad Informática: Es una rama de la seguridad de la información que trata

de proteger la información que utiliza una infraestructura informática y de
telecomunicaciones para ser almacenada o transmitida 17

16
ESCRIVÁ GASCÓ, Gema, Seguridad Informática, p.7
17
ESCRIVÁ Op. cit., p.7.
 Seguridad física: Se asocia a la protección física del sistema ante amenazas
como inundaciones, incendios, robos entre otros18.

 Seguridad lógica: Mecanismo que protege la parte lógica de un sistema

informático (Datos, aplicaciones y sistemas operativos). Uno de los medios más
utilizado es la criptografía19.

 Amenaza: Es cualquier evento accidental o intencionado que puede ocasionar

algún daño en el sistema informático, provocando pérdidas materiales,
financieras o de otro tipo de la organización 20.

 Vulnerabilidad: Es cualquier debilidad en el sistema operativo que pueda permitir

a las amenazas causarle daños y producir perdidas a la organización21.

 Ataque: Es una acción que trata de aprovechar una vulnerabilidad de un sistema

informático para provocar un impacto sobre alguna vulnerabilidad y tener control
total del mismo22. Las etapas de un ataque según los autores de libro de la
administración de los sistemas operativo son23:

1. Recogida de Información.

2. Ataque inicial.

3. Acceso completo al sistema.

18
ESCRIVÁ Op. cit., p.7.
19
ESCRIVÁ Op. cit., p.7.
20
ESCRIVÁ Op. cit., p.7.
21
ESCRIVÁ Op. cit., p.7.
22
ESCRIVÁ Op. cit., p.7.
23
COLOBRAN HUGUET, Miquel, ARQUÉS SOLDEVILLA, Josep María, MARCO GALINDO,
Eduard, Administracion de Sistemas Operativos en Red, p. 229

N
o
se
es
pe
cif
4. Instalación de backdoors, keylogger y troyanos para obtener información y
asegurar futuros acceso del atacante.

5. Eliminación de huellas.

 Intruso: Es una de las dos amenazas más extendidas la otra son los virus,
generalmente es conocido como hacker o cracker24.

 Puerta Trasera: Durante el desarrollo de aplicaciones grandes o de sistemas

operativos es habitual entre los programadores insertar “atajos” en los sistemas
habituales de autenticación del programa o código que se está diseñando25.

 Falso positivo: También se conoce como falsa alarma y corresponde a tráfico

inofensivo que se considera erróneamente como ataque26.

 Falso Negativo: Ataque que no detecta el IDS27.

 Nmap: Herramienta para el escaneo de puertos y servicios que permite el

descubrimiento de red y ejecución de auditorías de seguridad. Con Nmap se
puede determinar los hosts alcanzables en una red, servicios, sistemas
operativos y firewall utilizados.28.

 Nessus: Herramienta de hacking ético utilizada para el análisis de

vulnerabilidades en la red encontrar fallos en configuraciones, malware ataques
DDoS o fugas de información sensible.29.

24
ESCRIVÁ Op. cit., p.7.
25
ESCRIVÁ Op. cit., p.7.
26
ESCRIVÁ Op. cit., p.7.
27
ESCRIVÁ Op. cit., p.7.
28
ESCRIVÁ Op. cit., p.7.
29
ESCRIVÁ Op. cit., p.7.

N
o
se
es
pe
cif
  Wireshark: Herramienta que permite el escaneo de tráfico de red para analizar
los paquetes y sus componentes, los administradores de red la utilizan para
realizar un análisis detallado de los paquetes y encontrar problemas en su
transmisión 30.

 Metasploit: Herramienta utilizada para simular ataques en escenarios reales

para encontrar vulnerabilidades y explotarlas 31.

Snort. Es un sistema de prevención y detección de intrusos de red que funciona en

plataformas Linux/Windows bajo licencia GPL, utiliza el lenguaje de reglas para
detección de ataques a nivel de capa de red o host, cuenta con el respaldo de una
comunidad con el mayor número actualizaciones periódicas. Snort se ha convertido en
el estándar de facto para la industria, tiene las siguientes

N
o
se
es
pe
cif
Características: más de 700 firmas, ligero, distribución gratuita, análisis de tráfico
en tiempo real, uso de filtros, y detección de strings o host arbitrarios32.

Por otra parte, el proceso de detección de ataques inicia con la captura del tráfico
en la capa de red a nivel de los protocolos: ICMP, UDP y TCP/IP. Luego, es
procesado y analizado por cada uno de sus componentes. El motor de detección
tiene la función de comparar el paquete capturado con una base de reglas y luego
alertar de una posible intrusión para su bloqueo inmediato. El Snort utiliza un fichero
para su configuración, donde se especifican los parámetros de cada uno de los
componentes necesarios para la correcta operación del sensor. A continuación, se
describen cada uno de los módulos que integran este sistema, los cuales se
encuentran contenidos en el archivo snort.conf de la siguiente manera:

 Módulo de Captura: se encarga de capturar los paquetes monitoreados en

tiempo real.

 Decodificador de paquetes: recibe los paquetes del módulo Libpcap e identifica

el tipo de protocolo: ICMP, TCP, UDP o IP.

 Preprocesador: almacena toda la información del paquete para su posterior

procesamiento y análisis. Los datos de los paquetes que se tienen en cuenta
por este componente son: protocolo, IP origen, IP destino, puerto origen y
puerto destino.

 Motor de Detección: es el módulo principal del Snort se encarga de analizar los

paquetes enviados por el preprocesador y los compara con la base de firmas
para tomar la acción de descartar o no el paquete.

32
Snort IDS/IPS. (s.f.). Recuperado el 5 de Septiembre de 2016, de https://www.snort.org

N
o
se
es
pe
cif
 Sistemas de Alertas e Informes: se encarga de generar las alertas cuando se ha
detectado un paquete sospechoso.

 Reglas: son los patrones o comportamientos que se deben buscar en los

paquetes que son capturados y tiene la siguiente estructura:

<Acción> <protocolo>
<IP_Origen> <Puerto_Origen> - > <IP_Destino> <Puerto_Destino>
{Opción_1; …; opción_N}

5.5.1 Sourcefire Network Sensor. Es un sensor de amenazas, uno de los más

robustos del mercado, utiliza un método de detección basado en reglas, detecta
tanto ataques conocidos como comportamientos anómalos. Las reglas permiten
examinar los protocolos en las cabeceras de los paquetes y se pueden configurar
para casos específicos de ataques o para estudiar las condiciones de un ataque.
Comprende las siguientes características33:

 Instalación rápida.

 Interfaz basada en la Web.

 Técnica de análisis de datos e investigación informática.

 Creación de reglas, carga y gestión.

 Configuración de redes y alertas.

33
Módulo de Seguridad Informática. (2008). Recuperado el 30 de Agosto de 2016, de
http://www.cybsec.com/upload/ESPE_IDS_vs_IPS.pdf
N
o
se
es
pe
cif
  Redacción detallada de consultas e informes.

 Los sensores pueden desarrollarse como sistemas separados o en grupo de

gestión centralizada de sensores remotos.

Herramienta para el diseño del sistema de prevención de intruso. La herramienta

que se eligió para la instalación del sistema de prevención de intrusos
es el Snort, dado que es el estándar de facto en detección y prevención de intrusos
con más de descargas a nivel mundial, es multiplataforma, con mayor soporte y por
su efectividad en la detección de ataques, funciona bajo el sistema Linux y no
requiere licencia para su operación, las reglas se descargan directamente desde el
sitio oficial, utiliza un archivo de configuración para el monitoreo de la red. Se habilitó
el modo de operación “Inline”, el cual requiere dos (2) interfaces en modo promiscuo
sin direccionamiento IP lo que impide que sea detectada.

7.1.1 Actualización de Ubuntu. La Figura 14 muestra el proceso de actualización

de la Máquina virtual en Ubuntu 16.04 requerido para una correcta instalación del
Snort. Se utilizaron los siguientes comandos:

apt-get update -y
apt-get upgrade -y

Figura 14 Actualización de Linux Ubuntu

Fuente: El Autor

7.1.2 Instalación de las Dependencias del Snort. La Figura 15 muestra las

librerías que aplica el Snort para capturar los paquetes en la capa de enlace,
seguido se ejecuta el análisis con el motor de detección; este componente es el
encargado de detectar si existe alguna anomalía en el paquete que debe ser
bloqueada. A continuación, se muestran los comandos utilizados:
sudo apt-get install -y libpcap-dev libpcre3-dev libdumbnet-dev
sudo apt-get install -y bison flex

La Figura 15 muestra el progreso de la instalación de las librerías utilizadas por el

Snort para capturar el tráfico en la capa de enlace.

Figura 15 Instalación de dependencias requeridas por el Snort

Fuente: El Autor

La Tabla 4 contiene una breve descripción de cada una de las dependencias que
utiliza el Snort para capturar el tráfico y las funciones que cumplen, entre ellas la de
pasar los paquetes al módulo decodificador, facilitando la tarea del preprocesador,
que se encarga de pasar los paquetes al motor de detección para su respectivo
análisis.
Tabla 4 Descripción de dependencias requeridas por Snort
PREREQUISITO DESCRIPCION
BUILD-ESSENTIAL : proporciona las herramientas de compilación (GCC y similares) para
compilar software.

BISON, FLEX : Analizadores requeridos por DAQ

LIBPCAP-DEV Biblioteca para la captura de tráfico de red requerida por Snort.

LIBPCRE3-DEV : Biblioteca de funciones para soportar las expresiones regulares

requeridas por Snort.
LIBDUMBNET-DEV : La biblioteca libdnet proporciona una interfaz simplificada y portátil
para varias rutinas de red de bajo nivel. Muchas guías para instalar
Snort instalan esta biblioteca desde el origen, aunque eso no es
necesario.
ZLIB1G-DEV : Una biblioteca de compresión requerida por Snort.

LIBLZMA-DEV : Proporciona descompresión de archivos swf (adobe flash)

OPENSSL Y Proporciona firmas de archivos SHA y MD5

LIBSSL-DEV :
Fuente: https://www.snort.org/documents/snort-2-9-9-x-on-ubuntu-14-16

El DAQ (Data AcQuisition library): es la librería requerida por el Snort para capturar
el tráfico que luego será analizado por el sensor, para validar si existe algún paquete
malicioso que necesite ser descartado, la descarga se realizó con el siguiente
comando:

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
Figura 16 Descarga de librería del Snort

Fuente: El Autor

Después de la descarga de DAQ el siguiente paso es descomprimir el paquete y

compilarlo como se muestra a continuación:

tar -xvzf daq-2.0.6.tar.gzv

./configure
make
Sudo make install

Finalmente, se instalan los prerrequisitos adicionales que mejoran el rendimiento

del Snort con el siguiente comando:

Sudo apt-get install -y zlib1g-dev liblzma-dev openssl libssl-dev

7.1.3 Instalación de Snort. Antes de instalar el Snort se creó el directorio snort_src,
el cual se utilizó para descargar los paquetes del Snort, La Figura 17 muestra la
ejecución de los comandos35:

mkdir ~/snort_src
cd ~/snort_src
wget https://www.snort.org/downloads/snort/snort-2.9.11.tar.gz

Figura 17 Creación de directorio “snort_src” y descarga de Snort

Fuente: El autor

Finalizada la descarga del instalador se descomprimió el paquete y luego se compiló

con los siguientes comandos:

35
Instalación Snort 2.9 en Ubuntu 16.04. (7 de Enero de 2017). Recuperado el 2 de Abril de 2017,
de https://www.snort.org/documents/snort-3-on-ubuntu-14-and-16
tar -xvzf snort-2.9.11.tar.gz
cd snort-2.9.11
./configure --enable-sourcefire
make
sudo make install

Figura 18 Complication del Snort

Fuente: El Autor

La Tabla 5 muestra los comandos para creación de cada uno de los directorios que
requiere el Snort para su correcto funcionamiento, el cual incluye donde se
almacenan las reglas, preprocesadores, logs y listas de UPS entre otros.
Tabla 5 Creación de directorios para archivo de configuración y reglas
DESCRIPCION COMANDOS
Creación de directorios del Snort Sudo mudar /etc/Snort
Sudo mkdir /etc/Snort/rules
Sudo mkdir /etc/Snort/rules/iplists
Sudo mkdir /etc/Snort/preproc_rules
Sudo mkdir /usr/local/lib/Snort_dynamicrules
Sudo mkdir /etc/Snort/sid-msg.map
Creación del archivo para almacenar sudo touch /etc/snort/rules/iplists/black_list.rules
reglas y Listas de IP sudo touch /etc/snort/rules/iplists/white_list.rules
sudo touch /etc/snort/rules/local.rules
sudo touch /etc/snort/sid-msg.map
Creación de directorio de salida de sudo mkdir /var/log/snort
logs sudo mkdir /var/log/snort/archived_logs

Fuente: https://www.snort.org/documents/snort-2-9-9-x-on-ubuntu-14-16

La Figura 19 muestra la creación exitosa de los directorios que requiere el Snort

para almacenar los archivos de reglas, preprocesadores y configuración entre otros.

Figura 19 Creación de directorios de reglas y Snort

Fuente: El Autor
Después de creado los directorios del Snort se comprueba que la estructura de se
encuentre correctamente con el comando tree como se observa a continuación en
La Figura 20.

Figura 20 Estructura de archivos del snort

Fuente: EL Autor

7.1.4 Configuración del Snort.conf. En este archivo se configuró los módulos

requeridos para analizar el tráfico, se habilitó el modo Inline, para que trabaje como
NIPS (Sistema de Prevención de Intrusos en Red). La Tabla 6 describe cada una
de las configuraciones que se realizaron en el archivo snort.conf. En primer lugar,
se define la variable de la red a monitorear con su respectiva mascara de red, luego
se añaden las rutas de los directorios de las reglas preprocesadores y listas de IPs,
seguido se deben descomentar las líneas de los preprocesadores de los protocolos
TCP/IP versión 4 y 636.

Tabla 6 Parámetro de configuración de “snort.conf”

DESCRIPCION PARAMETROS
1. Variables de red ipvar HOME_NET xx.xx.xx.xx
ipvar EXTERNAL_NET !$ HOME_NET
2. Rutas de archivos del Snort var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/rules /so_rules
var PREPROC_RULE_PATH /etc/snort/rules
preproc_rules
3. Definición de ruta de listas var WHITE_LIST_PATH /etc/snort /rules/iplists
blancas y negras var BLACK_LIST_PATH /etc/snort /rules/iplists

4. Preprocesadores preprocessor normalize_ip4

preprocessor normalize_tcp: ips ecn stream
preprocessor normalize_icmp4
preprocessor normalize_ip6
preprocessor normalize_icmp6

5. Configuración de modo IPS config daq: afpacket

config daq_dir: /usr/local/lib/daq
(INLINE)
config daq_mode: inline
config policy_mode: inline
config daq_var: buffer_size=512

Fuente: https://www.snort.org/documents/snort-2-9-9-x-on-ubuntu-14-16

La Figura 21 muestra las líneas que se deben descomentar y añadir en el archivo

snort.conf, para definir modo Inline, los parámetros se definen en la sesión del DAQ.

36
Snort IPS daq afpacket. (12 de Agosto de 2010). Recuperado el 2 de Abril de 2017, de
https://www.snort.org/documents/snort-ips-using-daq-afpacket
Figura 21 Archivo creado de configuración de Snort

Fuente: El Autor

7.3.10 Creación de regla local. Para probar el funcionamiento como IPS se creó
una regla local, la acción que debe tomar es la de bloquear los paquetes icmp que
procedan de la dirección IP externa y hacia cualquier puerto de la red protegida. A
continuación, se muestra la regla creada para realizar el test:
drop icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”ICMP test detected”;
GID:1; sid:50000001; rev:001; classtype:icmp-event;)

Figura 22 Archivo de regla local “/etc/snort/rules/local.rules”

Fuente: El Autor

La Figura 22 muestra la estructura de una regla en snort, en primer lugar, se coloca

la palabra reservada drop la acción es el bloquear todos los paquetes con cabecera
icmp, seguido se coloca la dirección IP origen en este caso corresponde al tráfico
que ingresa a la Vlan de servidores y el puerto origen. El símbolo “->” indica la
dirección de los paquetes. Después, se colocó la red destino, el mensaje que debe
aparecer en la consola y los identificadores de la regla.

Se debe descomentar la regla local creada para que el Snort la reconoza como se
muestra a continuación en la Figura 23.

Figura 23 Habilitación de regla local en archivo de Snort

Fuente: El Autor

Después de terminar la configuración de los parámetros del Snort se debe validar

que el archivo este configurado correctamente con el comando “sudo snort -T -c
/etc/snort/snort.conf -I ens192:ens224 -Q”, como se muestra en La Figura 24. De
esta manera, se garantiza que el Sistema hará cualquier tipo de detección de la
regla activada en el archivo.

Figura 24 Resultado Test de validación de configuración del Snort

Fuente: El Autor

La Figura 25 muestra que la regla local creada anteriormente fue reconocida por el
Snort sin ningún error, en la columna se observa que el bloqueo se aplica sobre el
protocolo icmp sobre cualquier puerto. La validación se realizó con el siguiente
comando:
Figura 25 Validación de Reglas Activas

Fuente: El Autor

Con la regla configurada se puede validar que el modo IPS de Snort está activo, la
regla bloquea cualquier paquete con protocolo icmp desde cualquier puerto y
dirección IP externa que se dirija a la red protegida.

7.3.11 Prueba de IPS. La Figura 26 ilustra un ping realizado a uno de los servidores
que se encuentra en la Vlan monitoreada con respuesta exitosa. Es decir, que no
existe restricciones de respuesta de paquetes icmp.

Nota: Por políticas de seguridad las direcciones IP no pueden ser reveladas.

Figura 26 Resultado de un Ping a un host en la Vlan de Servidores

Fuente: El Autor

La Figura 26 muestra en la consola del Snort el momento en que el IPS detecta tres
(2) paquetes que provienen de la IP origen al destino en la Vlan de Servidores, esto
ocurre al momento de habilitar el Snort. La consola muestra la detección de
actividad sospechosa sobre el protocolo icmp y realiza el bloqueo inmediato.
Figura 27 Consola del Snort haciendo bloqueo de un ping al host

Fuente: El Autor

Una vez habilitado el Snort IPS se observa en la gráfica que los paquetes son
bloqueados con la acción drop sobre el protocolo icmp. La Figura 28 muestra la
perdida de paquetes durante el monitoreo del tráfico por Snort.
Figura 28 Bloqueo de paquetes protocolo icmp por el Snort

Fuente: El Autor

Para finalizar la prueba del Snort IPS se detiene el monitoreo de la consola y se

observa la respuesta al ping por el host, dado que la consola del IPS se encuentra
deshabilitada como se observa a continuación en la Figura 28.
Figura 29 Ping de respuestas del host con Snort desactivado

Fuente: El Autor

En la Figura 29 se puede observar la fortaleza que tiene el Snort para realizar

bloqueo a nivel de protocolo, similar a un ataque cuando el intruso está dentro de
nuestra red puede realizar este tipo de escaneos, estos sistemas no solo revisan
las cabeceras de los paquetes, sino que también pueden analizar el contenido para
validar que el tráfico no sea malicioso.

La Figura 30 muestra las estadísticas de los paquetes procesados por el Snort

durante un periodo de 1 minuto y 57 segundos que se mantuvo activo el modo Inline,
se analizaron 1278 paquetes, 1004 recibidos y uno rechazado.
Figura 30 Resultado de Monitoreo del Snort por medio de consola

Fuente: El Autor

La Figura 31 muestra la clasificación por protocolos del tráfico analizado durante el

periodo, el preprocesador se encarga de esta actividad y la pasa al módulo de
detección para que tome la acción de acuerdo al cumplimiento de la regla.
Figura 31 Resultado de paquetes detectado por protocolos

Fuente: El Autor

En total se analizaron 1281 paquetes durante el periodo de prueba, lo que

demuestra la capacidad que tiene el Snort de analizar tráfico y poder detectar algún
comportamiento anormal directamente en la consola como se puede observar a
continuación en la Figura 32.
Figura 32 Número total de paquetes analizados por Snort IPS

Fuente: El Autor

7.3.12 Instalación manual de reglas. Después de probado el modo IPS del Snort
el paso que sigue es descargar las reglas desde el sitio oficial y descomprimirlas en
el directorio del Snort para habilitarlas:

cd ~/snort_src
wget https://www.snort.org/reg-rules/snortrules-snapshot-
29110.tar.gz/<SNORTCODE> -O snortrules-snapshot-29110.
tar.gz
sudo tar xvfvz snortrules-snapshot-29110.tar.gz -C /etc/Snort
sudo cp ./*.conf* ../
sudo cp ./*.map ../
cd /etc/snort
sudo rm -Rf /etc/snort/etc
Figura 33 Descarga de reglas del Snort

Fuente: El Autor

Se procede con las descargas de las reglas desde el sitio oficial del Snort , el paso
que sigue es la comprobación de la configuración del Snort con las reglas
actualizadas para luego realizar el test de validación como se muestra a
continuación en La figura 34.
Figura 34 Validando de reglas descargadas desde el sitio oficial del Snort

Fuente: El Autor

La Figura 34 muestra que el snort detectó que tiene instaladas 9.886 reglas, las
cuales se descargaron directamente desde el sitio web y se descomprimieron en el
directorio /etc/snort/rules. Con esta configuración el IPS queda habilitado para
operar y detectar cualquier intento de intrusión.
Figura 35 Reglas detectadas por el Snort

Fuente: El Autor
 BIBLIOGRAFIA

ATAQUES INFORMÁTICOS EN COLOMBIA Y SECTORES MÁS AFECTADOS. En

línea 11 de septiembre de 2016 disponible en
http://www.vanguardia.com/actualidad/colombia/250540-98-de-empresas-
colombianas-son-victimas-de-ataques-informaticos

ESCRIVÁ GASCÓ, Gema; ROMERO SERRANO, Rosa Maria y RAMADA, David

Jorge y ONRUBIA PEREZ, Ramón. Seguridad Informática,
Málaga: Macmillan, 2013. P. 7

FACULTAD DE CIENCIAS EXACTAS, Protocolo OSI. En línea. Fecha. 13

septiembre de 2016 disponible en: http://www.exa.unicen.edu.ar

GOMEZ LOPEZ, Julio. Optimización de Sistemas de Detección de Intrusos en Red

Utilizando Técnicas Computacionales Avanzadas. Barcelona, 2009. Universidad de
Almería. Facultad de Informática. Informática.

INSTALACIÓN SNORT 2.9 EN UBUNTU 16. En Línea. Fecha. 7 Mayo de 2017

disponible en: https://www.snort.org/documents/snort-3-on-ubuntu-14-and-16

LEY 1273 DE 2009. En línea. Fecha. 31 agosto de 2016 disponible en:

http://www.redipd.org/legislacion/common/legislacion/Colombia/ley_1273_0501200
9_Colombia.pdf

RED HAT ENTERPRISE LINUX 4 MANUAL DE SEGURIDAD. En línea. Fecha. 20

octubre de 2016 disponible en: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-
4/ch-detection.html
REVISTA DEL INSTITUTO TECNOLÓGICO DE INFORMÁTICA. En línea. Fecha.
25 octubre de 2016 disponible en: http://web.iti.upv.es/actualidadtic/2005/02/2005-
02-intrusos.pdf

SALAZAR MORALES, Jorge Iván, Seguridad Avanzada en Redes de Datos.

Medellín: 2013, 171p. Universidad Nacional Abierta y a Distancia. Escuela de
Ciencias Básicas Tecnología e Ingeniería. Especialización en Seguridad
Informática.

SANTOS COSTAS, Jesus, Seguridad Informática.

Madrid: MacMillan. 2013. 216p.

SISTEMA DE PREVENCIÓN DE INTRUSOS. En línea. Fecha. 11 septiembre de

2016 disponible en: https://www.ecured.cu/Intrusion_Prevention_System

STALLINGS, William, Fundamentos de Seguridad en Redes Aplicaciones y

Estándares. 2da Edición. Madrid: Pearson Educación, 2004. 418p.

SNORT IPS DAQ AFPACKET. En Línea. Fecha. 2 Abril de 2017 disponible en:
https://www.snort.org/documents/snort-ips-using-daq-afpacket

VIEITES GOMEZ, Álvaro, Seguridad en Equipos Informáticos.

Madrid: Starbook Editorial. 2014. 168p