Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Actividades
Índice
Objetivos..........................................................................................................................2
Instalación de laboratorio.............................................................................................2
Ejecución de SCUBA......................................................................................................4
Resultado de Scuba.........................................................................................................5
Guía de seguridad de un SGBD MYSQL......................................................................5
Remediación de las vulnerabilidades detectadas por Scuba....................................5
Cuenta Root de MySQL..............................................................................................6
Seguridad en autenticación.......................................................................................7
Atención a alertas medias..............................................................................................8
Users not Forced to Use SSL:................................................................................8
have_openssl Option Set to DISABLED:............................................................8
Existing 'test' Database:.......................................................................................10
local_infile Option Set to ON:.............................................................................11
have_symlink Option Set to YES:......................................................................11
Conclusiones..................................................................................................................13
Referencias....................................................................................................................13
Objetivos
Instalación de laboratorio
Para poder realizar la actividad se requiere montar el laboratorio con las herramientas
para el análisis y elaboración de la guía de seguridad de MYSQL:
1. Se requiere instalar en la máquina de Host las versiones de Java JRE/JDK, las
herramientas se bajan del portal de Java.
a. Se valida la instalación y la versión de Java en una consola de CMD con el
comando “java -version” o “java -showversion”.
2. Se descarga e instala Tomcat 7.0
a. Se configuro el puerto en el 9090.
b. Se asigna un usuario y su contraseña para la administración de Tomcat.
3. Se descarga e instala MySQL Community Server 5.5.x,
a. se instala el servidor con los puertos por defecto y con el usuario Root y la
asignación de contraseña.
4. Se descarga WAVSEP y se copia en la carpeta:
a. "C:\Program Files\Apache Software Foundation\Tomcat 8.5\webapps",
para que se cargue en el Apache Tomcat.
b. Al realizar esta tarea de requiere reiniciar el servio para que tome los
cambios
5. Y por último se tendrá que descartar e instalar Scuba para el análisis y escaneo de la
BD de WAVSEP.
a. Hay que bajar el OBDC para java y copiarlo en la carpeta de
“C:\Users\i.zunigag.TELESITES\Desktop\TareaBd\Scuba-
Windows\ODBC\Production\MYSQL”, en este caso mi ruta donde se
ejecuta.
Es importante menciona que la maquina Host es un Windows 10 y todas las
instalaciones y ejecuciones de las herramientas se requieren iniciar con permisos de
Administrador para que puedan correr y ejecutarse correctamente, se anexan pantallas
de la puesta del laboratorio.
Instalación de MySQL
Ejecución de SCUBA
Ya con la puesta del laboratorio, ejecutamos Scuba capturando los datos que solicita la
aplicación para poder realizar el análisis de la BD de WAVSEP, en este caso la ejecución
se realiza con el Usuario Root de MySQL para identificar las vulnerabilidades que nos
indique Scuba, y que en el tutorial de Scuba indica que se den permisos full para el
análisis, pantalla de ejecución de Scuba:
Resultado de Scuba
En el resultado del escaneo de Scuba se puede identificar que se encuentran 7 alertas
donde 2 son altas y 5 de medias, esta herramienta como otras de escaneo integran una
base de datos con las que se realizan las pruebas en este caso se ejecutaron 511 pruebas
conde el 96% pasaron sin gravedad y 1% no paso y 3% son de notificación, también se
puede observar que se integran los links o referencias de las vulnerabilidades
encontradas para poder realizar o ejecutar su remediación.
Eliminación de “Root”
Seguridad en autenticación
Vulnerabilidad:
Secure_auth Option Set to OFF se de tecto que MySQL tiene activada la
autenticacion de contraseñas Anteriores a la Version 4.1 lo que compromete la
seguridad de la BD.
Remediacion:
Se tiene que desactivar esta accion de OFF a ON para remediar la vulnerabilidad:
I. En la consola de MySQL Workbench en el apartado “Option File” nos
desplazamos a la pestaña de “Security” donde activaremos la seguridad con
el chek para desactivar esta alerta como se muestra en la imagen.
III. En Options File se configuran los certificados para poder ingresar por SSL
como se muestra en la pantalla.
IV. Se realizan las pruebas de Test para validar la conexión y que está bien
configurado se realiza otra validación por la consola de MySQL de las dos
alertas que se solucionaron.
V. Para forzar que el usuario realmente use SSL para conectarse hay que correr
una line de comandos en la consola para poder ver el cambio en Scuba
“UPDATE mysql.user SET ssl_type='ANY' WHERE user='maverick'”, se
anexa la pantalla con el resultado del comando.
III. Por ultimo se anexa la pantala con la correcion de las alertas de Scuba donde
solo nos queda la que no se puede aplicar para Windows, y los archivos del
escaneo con la remediación.
dashboard.html AssessmentResults.j
s
Conclusiones
Como nos podemos dar cuenta en el transcurso del laboratorio las instalaciones se
realizaron por defecto en Apache Tomcat y MySQL lo cual nos detona alertas en el
escáner de Scuba 2 altas y 5 medias.
Aun solucionando las alertar que encontró Scuba, las más graves son las de sobre
privilegios en el usuario Root y ejecución de sus acciones en la base nos deja claro
que el no contar con un manual de instalción MySQL deja vulnerable al manejador
de la BD y compromete el Sistema Operativo y los aplicativos que se cuelguen a los
servicios que ofrezca esta BD.
Aunque se corriguieron las 2 alertas altas y de las 5 medias falta una
have_symlink esta se puede clasificar como un falso positivo ya que en Windows
no tiene consecuencia bajo la documentacion de Mysql y se integro la nota, no la
quite para hacer notar el comentario ya que si se puede mitigar en las variables esto
nos indicaria que tambien el software de Scaneo pudiera tener fallas como esta y se
tendra que recurrir a mas inveetigacion.
Es primordial contar con una Check-list de seguridad en este caso lo proporciono
Scuba ya que realiza 511 pruebas y esto en su versión gratuita, sería de gran
recomendación tener la versión de paga para profundizar más en la seguridad de las
Bases de Datos.
Como podemos ver no es trivial el aseguramiento de la base de datos y mucho
menos su auditoria ya que este tema le pega en rendimiento a la operación.
Esto fue para MysQL pero todas las bases tendran su caracteristica para asegurar y
aduditar.
Referencias
3. Mysql, C., & Politis, A. (2019). Couldn't enable symbolic links for Mysql. Retrieved 3
December 2019, from https://stackoverflow.com/questions/48042107/couldnt-
enable-symbolic-links-for-mysql
4. sectooladdict/wavsep. (2019). Retrieved 3 December 2019, from
https://github.com/sectooladdict/wavsep/wiki/WAVSEP-Installation-and-
Deployment
5. 'root'@'localhost', m., Flores, M., & Duarte, G. (2019). mysql
how to fix Access denied for user 'root'@'localhost'. Retrieved 3 December 2019,
from https://superuser.com/questions/603026/mysql-how-to-fix-access-denied-
for-user-rootlocalhost