Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Actividades
Objetivos:
Descripción:
Se deberán descargar cada una de las herramientas de los links que se describen a
continuación.
DESARROLLO
A continuación se describe el paso a paso de la realización de la actividad, describiendo
desde la instalación de herramientas, hasta resultados del análisis obtenido por las
herramientas utilizadas.
INSTALACIÓN DE HERRAMIENTAS
INSTALACIÓN DE JAVA 8
Se inicia el proceso de instalación de cada una de las herramientas necesarias así como
complementos.
Hecho
por:
Gustavo
Hecho
por:
Gustavo
Hecho
por:
Gustavo
Hecho
por:
Gustavo
Hecho
por:
Gustavo
Hecho
por:
Gustavo
Hecho
por:
Gustavo
Hecho
por:
Gustavo
Hecho
por:
Gustavo
Hecho
por:
Gustavo
Ejecución de Scuba
Ya con la puesta del laboratorio, ejecutamos Scuba, se capturan los datos solicitados por
la aplicación. Para poder realizar el análisis de la base de datos WAVSEP. Para identificar
las vulnerabilidades que indique Scuba.
Hecho
por:
Gustavo
Hecho
por:
TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)
Gustavo
Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos
Resultado de Scuba
A través del resultado de Scuba, se pudieron obtener 7 alertas que 2 son altas y 5 son
medias, dentro de ésta herramienta se integra una base de datos con la que es posible
realizar pruebas.
Se ejecutaron un total de 511 pruebas donde el 96% pasaron sin gravedad, el 1% no pasó
y 3% son de notificación así como tambien se muestra los links de las vulnerabilidades
encontradas para poder realizar o ejecutar la corrección de las mismas.
Guía de Seguridad de un SGBD MYSQL
Scuba de forma general en base a las 511 pruebas que logró realizar pero en este caso se
tendrá que validar puntos faltantes y el experto en seguridad en este caso será el
encargado de dicha tarea.
Remediación de las vulnerabilidades detectadas por Scuba
Como primer punto se remediaran las 2 primeras vulnerabilidades detectadas.
Hecho
por:
Gustavo
Cuenta Root de MYSQL
Vulnerabilidad:
Existing root account:
Esta parte es una mala práctica ya que no se debe tener en cuenta para la administración
de las bases de datos, ya que en caso de existir una vulnerabilidad propia de MYSQL
podría comprometer de manera completa el equipo.
Remediación:
Se quitará de la base de datos WAVSEP, el usuario root y se agregara otra cuenta distinta
sin privilegios de root.
Como primera parte, se ingresará a la consola esto con la finalidad de ingresar a las
propiedades de la base de datos y poder cambiar las configuraciones así de ésta forma
remediar las vulnerabilidades.
En el apartado de User and Privileges se agregará a otro usuario, a este usuario se le
asignarán todos los permisos de DBA y se eliminará root para corregir el primer punto
descrito como amenaza grave.
Hecho
por:
Gustavo
Se ejecuta la herramienta Scuba, esto con la finalidad de poder validar que la información
que se pretende que tiene que ser corregida, fue corregida.
Hecho
por:
Gustavo
Seguridad en Autenticación
Vulnerabilidad:
Secure_auth Option Set to OFF
Remediación:
A través de la consola de MySQL Workbench en el apartado “Option File”, a través de la
pestaña Seguridad donde a través del CheckBox, para poder desactivar esta alerta como
es mostrado a continuación:
Hecho
por:
Gustavo
Hecho
por:
Gustavo
La presente alerta es accionada en el caso de que las bases de datos se van a administrar
fuera de la red corporativa, al no ser cifrado el canal o la información son comprometidos
los datos.
Remediación:
Para este tipo de alertas para la resolución, lo que se hará es la instalación de OPENSSL
y la activación del uso de este protocolo para su administración en MySQL garantizando
la confidencialidad de los datos, con el cifrado del canal.
Hecho
por:
Gustavo
En Options File se configuran los certificados para poder ingresar por SSL
Hecho
por:
Gustavo
Se realizan pruebas para validar conexión y que se encuentra todo bien configurado.
Hecho
por:
Gustavo
Para obligar al usuario que realmente use SSL para conectarse hay una línea de
comandos en la consola para que sea posible el poder ver cambios en Scuba.
Hecho
por:
Gustavo
El concepto por el cual se genera la siguiente alerta es porque se tienen bases de datos
que no deberían de estar.
Remediación:
La siguiente alerta se detona debido a una variable que se instala en ON y esto por ende
y consecuencia pone en riesgo al servidor para un ataque SQL Injection para una
explotación de carga de documentos.
Remediación:
en la opción de “Server\Status Sistem and Variable” buscamos Hecho
por:
“local_infile” para cambiar la opción a “OFF”, Gustavo
Se impide que se usen enlaces sym para archivos de base de datos, esto en el caso de
MySQL cuando se ejecuta en root, ya que los archivos pueden sobreescribirse.
Remediación:
De igual manera que la alerta anterior se podría cambiar el estatus en las variables para
pasar de “Yes” a Disable.
Hecho
por:
Gustavo
Por último se adjunta, la siguiente pantalla, donde se muestran las correcciones que
realizó Scuba, dónde solo quedan los archivos que no puede resolver en Windows o para
Windows y los archivos con el escaneo.
Hecho
por:
Gustavo
CONCLUSIÓN:
Con la realización de la presente práctica se pudo determinar lo grave que puede llegar a
ser el tener mal configurado el servidor referente a las bases de datos, ya que de ésta
forma toda la información que ahí se almacena queda vulnerable.
Scuba resulta ser una gran herramienta de gran utilidad y eso que se usó la versión de
prueba que contiene 511 pruebas, se recomienda ampliamente adquirir la versión
completa ya que al contar con ella, el numero de fallos será mínimo.
Referencias:
'root'@'localhost', m., Flores, M., & Duarte, G. (2019). mysql
how to fix Access denied for user 'root'@'localhost'. Retrieved 3 December 2019,
from https://superuser.com/questions/603026/mysql-how-to-fix-access-deniedfor-
user-rootlocalhost