SEGURIDAD

INTRODUCCIN
En la mayora de las organizaciones y empresas pblicas y
privadas, se tiene la idea de que la Seguridad de la
Informacin, es un obstculo que impide la agilidad y el
dinamismo

necesarios

para

abarcar

nuevos

retos,

evolucionar y expandir la compaa. Sin embargo, mantener

la seguridad de la informacin facilitar tomar decisiones
futuras o responder frente a incidentes e imprevistos.

Medidas bsicas de
seguridad en un
SMBD

 Mantener informacin de los usuarios, su tipo y los accesos y

operaciones permitidas a stos.
Los SGBD tienen opciones que permiten manejar la seguridad, tal como
GRANT, REVOKE, etc. Tambin tienen un archivo de auditoria en
donde se registran las operaciones que realizan los usuarios.
Medidas fsicas: Controlar el acceso al equipo. Tarjetas de acceso, etc.
Medidas del personal: Acceso slo del personal autorizado. Evitar
sobornos, etc.
SO: Seguridad a nivel de SO.
SGBD: Uso herramientas de seguridad que proporcione el SGBD.
Perfiles de usuario, vistas, restricciones de uso de vistas, etc.

 Un SMBD cuenta con un subsistema de seguridad y

autorizacin que se encarga de garantizar la seguridad de
porciones de la BD contra el acceso no autorizado.
Identificar y autorizar a los usuarios: uso de cdigos de
acceso y palabras claves, exmenes, impresiones digitales,
reconocimiento de voz, barrido de la retina, etc.
Uso de tcnicas de cifrado: para proteger datos en Base de
Datos distribuidas o con acceso por red o internet.
Diferentes tipos de cuentas: en especial del DBA con
permisos para: creacin de cuentas,
concesin y
revocacin de privilegios y asignacin de los niveles de
seguridad.

 Manejo de la tabla de usuarios con cdigo y contrasea,

control de las operaciones efectuadas en cada sesin de
trabajo por cada usuario y anotadas en la bitcora, lo cual
facilita la auditora de la Base de Datos.
Los mecanismos de proteccin deben ser simples,
uniformes y construidos en las capas ms bsicas del
sistema.
Evitar prdidas de datos por fallos hardware o software
(fallo disco, etc.). Normalmente suelen ser fallos de disco
o prdida de memoria RAM

LAS TRES PRINCIPALES CARACTERSTICAS DE LA

SEGURIDAD
Confidencialidad :
No mostrar datos a usuarios no autorizados.
Accesibilidad :
Que la informacin se encuentre disponible.
Integridad :
Permite asegurar que los datos no se han falseado.

Polticas de la empresa
Contar con unas polticas de seguridad de la
informacin. Las polticas deben ser claras e incluir lo
necesario para garantizar la clasificacin de la
informacin y el manejo que se le debe dar desde su
creacin, clasificacin, almacenamiento y destruccin.

 Que los parches estn instalados, el antivirus est

funcionando correctamente.
Toda la compaa debe tener conciencia de cmo manejar
su informacin. Desde los puestos ms modestos hasta
los directivos de primer nivel.
Hacer respaldos peridicos de la informacin sensible.
prevenir que la informacin crtica y estratgica para la
organizacin caiga en malas manos o sea usada en contra
de la propia empresa, adems de prevenir el fraude
interno o externo, utilizando para ello, metodologas
forenses y preventivas.

Firewall de bases de datos

El firewall de bases de datos es una aplicacin de
software que permite filtrar, mediante un conjunto de
reglas preestablecidas, las peticiones que llegan al
manejador de bases de datos.

Al instalar una solucin orientada para proteger la base de

datos, no solo se bloquean las peticiones maliciosas, si no
que se puede llevar a cabo el monitoreo de las actividades,
generando bitcoras y explotando la informacin que se
almacena en ellas.
Cuando algn usuario malicioso intenta obtener acceso a la
informacin almacenada, se cuenta con una capa adicional
de proteccin proporcionada por el firewall de bases de
datos que le impedir poder consultarla. El firewall solo
permitir el paso a los usuarios o a consultas y accesos
autorizados con anterioridad.

GreenSQL
Es un software que se instala para fungir como un firewall
de base de datos entre la aplicacin y el SMBD. Puede
instalarse en varios sistemas operativos y configurarse de
manera personalizada. Adicionalmente, intenta apegarse al
Estndar de Seguridad de la Industria de las Tarjetas de
Crdito (PCI DSS).
Algunos de los manejadores de bases de datos que puede
proteger son: MySQL, MariaDB, PostgreSQL, Microsoft
SQL Server, Amazon RDS y la estructura de las bases de
datos de Drupal.

Oracle
Database Firewall
Es un firewall que opera sobre bases de datos que se
encuentran en Oracle, as como IBM DB2, Sybase, Microsoft
SQL Server y MySQL. Busca apegarse a las siguientes
legislaciones: Acta Sarbanes-Oxley (SOX), Estndar de
Seguridad de la Industria de las Tarjetas de Crdito (PCI DSS)
y al Acta de la Ley de Portabilidad y Responsabilidad del
Seguro Mdico (HIPAA).

ModSecurity
Es un mdulo del servidor de aplicaciones web Apache,
cuyo funcionamiento principal se orienta a la proteccin de
aplicaciones web mediante su funcionamiento como
firewall. Sin embargo, tambin cuenta con una serie de
reglas que pueden emplearse para proteger las peticiones
realizadas al manejador de bases de datos.
Adicionalmente, se puede integrar con otros servidores de
aplicaciones web como Nginx, IIS y Java.

Medidas bsicas de
seguridad en un
servidor

 Deshabilitar los usuarios de invitado (guest): a estos usuarios

se les debe asignar una contrasea compleja y se puede restringir
el nmero de logons que puede realizar por da como medida
extra de seguridad.
Limitar el nmero de cuentas en el servidor: eliminar
cualquier usuario innecesario, audita tus usuarios regularmente.
Limitar los accesos de la cuenta de administracin: el
administrador no debe utilizar la cuenta de mayores privilegios
para sus actividades diarias que no necesitan accesos especiales.
Renombrar la cuenta de administracin: el nombre del
usuario no debe indicar sus privilegios.

 Crear una cuenta tonta de administrador: crear una cuenta

llamada administrador y no se le otorgan privilegios y una
contrasea compleja de al menos 10 caracteres.
Cuidado con los privilegios por omisin para los grupos de
usuarios: existen carpetas compartidas para los usuarios del
sistema operativo y algunas personas que no conocen los riesgos
colocan datos en ellas.
Coloca las particiones con NTFS: Los sistemas FAT y FAT32
no soportan buenos niveles de seguridad.
Configura polticas de seguridad en su servidor y su red:
seleccionar el nivel de seguridad que su organizacin requiere y
se pueden editar aspectos como: perfil de usuarios, permisologa
de carpetas, tipos de autenticacin, etc.

 Apagar servicios innecesarios en el servidor: algunos

servicios vienen configurados y listos para utilizarse,
aquellos que no estn siendo utilizados constituyen una
vulnerabilidad para el equipo.
Cerrar el acceso a puertos que no se estn utilizando:
Configurar los puertos va la consola de seguridad TCP/IP
ubicada en el panel de control accesos de red.
Habilitar la auditora en el servidor: como mnimo
considerar habilitar las siguientes opciones: Eventos de
login de usuario, gestin de cuentas de usuario, acceso a
objetos, cambios en polticas, uso de privilegios y eventos
del sistema.

 Colocar proteccin a los archivos de registros de

eventos: es importante dar permisos tanto de lectura
como escritura solo a los usuarios de sistema y
administradores.
Desactivar la opcin del ltimo usuario para
desplegarse en la pantalla de inicio o bloqueo del
sistema: este parmetro de configuracin puede
modificarse en las plantillas de CD de instalacin o en las
polticas de seguridad.
Verificar los parches de seguridad que libera
Microsoft mensualmente.

 Deshabilitar la opcin de creacin del archivo dump:

aunque esta opcin es muy til para conocer los por
menores de un error en el servidor como las causas de los
famosos pantallazos azules. Tambin sirve para proveer
al atacante de informacin sensible como contraseas de
las aplicaciones.
Deshabilita las carpetas compartidas que no son
necesarias.
Protocolos: cualquier protocolo que no se necesite debe
inhabilitado o removido.

 Cortafuegos: Se trata de un dispositivo o conjunto de

dispositivos configurados para permitir, limitar,

cifrar, descifrar, el trfico entre los diferentes mbitos
sobre la base de un conjunto de normas y otros
criterios.
Los cortafuegos pueden ser implementados en hardware o
software, o una combinacin de ambos.

MEDIDAS PREVENTIVAS
CONTRA ATAQUES
INFORMTICOS

Pruebas de penetracin
Realizar pruebas de penetracin involucra un proceso en
donde se realizan distintos tipos de tareas que identifican,
en una infraestructura objetivo, las vulnerabilidades que
podran explotarse y los daos que podra causar un
atacante. Es decir, se realiza un proceso de hacking tico
para identificar qu incidentes podran ocurrir antes de
que sucedan y, posteriormente, reparar o mejorar el
sistema, de tal forma que se eviten estos ataques.

HERRAMIENTAS UTILIZADAS
PARA PRUEBAS DE
PENETRACIN

NMAP
Es una herramienta de escaneo de redes que permite
identificar qu servicios se estn ejecutando en un
dispositivo remoto, as como la identificacin de equipos
activos, sistemas operativos en el equipo remoto, existencia
de filtros o firewalls, entre otros.
Cuando se va a atacar un servidor o dispositivo, el atacante
podr realizar distintas arremetidas en funcin del servicio.

NESSUS
Es una herramienta que cuenta con una extensa base de
datos de vulnerabilidades conocidas en distintos servicios y,
por cada una de stas, posee plugins que se ejecutan para
identificar si la vulnerabilidad existe (o no) en determinado
equipo objetivo.

Metasploit Framework
Metasploit posee una base de datos de exploits, es decir,
explotacin de las vulnerabilidades. Lo que hace es que en lugar
de revisar si hay una vulnerabilidad en un equipo remoto,
directamente se intenta la ejecucin de un exploit y se simulan las
consecuencias posteriores, en caso de que ste se ejecutara con
xito.
Si se logra explotar la vulnerabilidad, podra comprobarse y
dimensionar cul podra ser el dao hacia la organizacin, en
funcin de la informacin o sistemas que estuvieran detrs de
dicha vulnerabilidad.

DVL-DVWA
Para probar las tres herramientas anteriores, es necesario
definir un sistema objetivo, un sistema en el que se harn
las pruebas.
Para ello, existen dos herramientas excelentes: Damn
Vulnerable Linuxy (DVL) y Damn Vulnerable Web
Application (DVWA). Se trata de un sistema operativo y
una aplicacin web que poseen todo tipo de
vulnerabilidades, de tal forma que, la persona que los
utiliza, puede intentar explotarlas y experimentar.

Kali Linux (Backtrack)

Kali (antes conocida como Backtrack) es una distribucin
de Linux que posee todo tipo de herramientas preinstaladas
que sirven para realizar Penetration Testing.
El orden de las herramientas antes mencionadas, es lo
recomendable para comenzar a experimentar. Primero hay
que probarlas de forma aislada y luego, abocarse
completamente a Kali Linux.