INFORME HERRAMIENTAS DE MONITOREO DE BASES DE DATOS

SERVICIO NACIONAL DE EMPLEO

SISTEMA DE GESTIÓN DE SEGURIDAD DE BASES DE DATOS
FASE EVALUACION
MAYO
2019
 VULNERABILIDADES MÁS COMUNES EN BASES DE DATOS

1. Nombre de usuario/password en blanco o bien hacer uso de uno débil:

Hoy en día no es raro encontrarnos pares de datos usuario/password del tipo

admin/12345 o similar. Esta es la primera línea de defensa de entrada a nuestra

información y debemos optar por el uso de algo más complejo que sea complicado

de conseguir por parte de cualquier atacante.

A la hora de generar una contraseña para un usuario que estemos creando es

recomendable usar tanto letras como números, así como de caracteres especiales

tipo ¡, ¿, %... y con una longitud superior a 8 caracteres. De esta forma nos estamos

asegurando de que la contraseña sea lo suficientemente fuerte para que no pueda

ser adivinada por ningún proceso automático. En esta entrada de nuestro blog

podéis ver consejos para crear una contraseña segura.

2. Preferencia de privilegios de usuario por privilegios de grupo

En ocasiones muchos usuarios reciben más privilegios sobre la base de datos de

los que realmente necesitan, lo que a la larga se puede convertir en un importante

problema. Es recomendable modificar los privilegios otorgados a los usuarios que

estarán en contacto con la información con el fin de que no puedan realizar

modificaciones más allá de las autorizadas.

Si por ejemplo un usuario sólo realizará consultas a la base de datos pero no podrá

modificar ningún registro ni insertar nada nuevo, no tiene sentido que le ofrezcamos

esos privilegios, ya que lo que estamos haciendo es abrir una puerta para un

eventual ataque.

3. Características de bases de datos innecesariamente habilitadas

Cada instalación de base de datos viene con una serie de paquetes o módulos

adicionales de distintas formas y tamaños que en muy pocas ocasiones todos ellos

son utilizadas por las compañías, lo que las convierten en una posible puerta de

entrada para sufrir algún tipo de ataque si en esos paquetes se descubre cualquier

problema de seguridad. Para reducir riesgos, es recomendable que los usuarios

detecten esos paquetes que no se utilizan y se desactiven del servidor donde estén

instalados. Esto no sólo reduce los riesgos de ataques, sino que también simplifica

la gestión de parches ya que únicamente será de máxima urgencia actualizar

aquellos que hagan referencia a un módulo que estemos utilizando.

4.- Desbordamiento de búfer

Se trata de otro de los medios favoritos utilizados por los piratas y que se dan por el

exceso de información que se puede llegar a enviar por medio del ingreso de

información mediante el uso de formularios, es decir, se recibe mucha más

información de lo que la aplicación espera. Por poner un ejemplo, si se espera la

entrada de una cuenta bancaria que puede ocupar unos 25 caracteres y se permite

la entrada de muchos más caracteres desde ese campo, se podría dar este

problema.

5.- Bases de datos sin actualizar

Como ocurre con cualquier tipo de aplicación que tengamos instalada en nuestra

máquina, es necesario ir actualizando la versión de nuestra base de datos con las

últimas versiones lanzadas al mercado, ya que en ellas se solucionan aquellos

problemas de seguridad detectados, por lo que pondremos más barreras a los

posibles atacantes.

6.- Datos sensibles sin cifrar.

Aunque pueda ser algo obvio, a la hora de la verdad no todo el mundo cifra la

información más importante que se almacena en base de datos. Esto es una buena

práctica para que en caso de hackeo, sea complicado para el atacante poder

recuperar esa información.

7. Inyecciones SQL

Un ataque de este tipo puede dar acceso a alguien a una base de datos completa

sin ningún tipo de restricción, pudiendo llegar incluso a copiar y modificar los datos.

El funcionamiento de este tipo de vulnerabilidades es similar al que puede ocurrir

en los portales web, donde una mala limpieza de los datos de entrada puede hace

que ejecuten código no deseado en la base de datos, pudiendo coger el control de

la plataforma. Muchos proveedores ofrecen soluciones para este tipo de

situaciones, pero para que surjan efecto es necesario realizar la actualización de la

aplicación a la última versión estable disponible que exista en cada momento.

RECOMENDACIONES PARA PROTEGER UNA BASE DE DATOS

A continuación veremos algunas interesantes recomendaciones a tener en cuenta

para proteger nuestras bases de datos de posibles vulnerabilidades.

1.- Identificar su sensibilidad

Una cosa hay que tener claro, y es que no se puede asegurar aquello que no se

conoce. Con esto queremos decir que es importante conocer la sensibilidad de

nuestro sistema de bases de datos para saber cómo actuar y mejorar de esta forma

su seguridad. Para ello podemos hacer uso de herramientas de identificación que

nos ayuden a encontrar posibles agujeros por donde podríamos ser atacados.

2.- Evaluación de las vulnerabilidades y la configuración

Evalúe la configuración de tu base de datos para descartar posibles agujeros de

seguridad. Esto incluye la verificación de la forma en la que ésta fue instalada y la

de tu sistema operativo. Por ejemplo podríamos verificar los privilegios de los

distintos grupos de usuarios respecto a las acciones de ejecutar, leer y escribir en

bases de datos.

3.- Audita
Una vez que hayamos creado una configuración que creamos que puede ser

totalmente segura, realicemos actividades de auditoría para asegurarnos que no te

desvías de tu objetivo. Por ejemplo, se podría poner algún tipo de alarma para que

nos avisara de cualquier cambio que se pudiera dar en dicha configuración.

4.- Monitoriza toda acción relacionada con la base de datos

Monitorizar la actividad que se lleva a cabo en nuestra base de datos nos puede dar

algún tipo de pista en caso de estar siendo utilizada de forma indebida o para la

detección de intrusos.

5.- Control de acceso y gestión de derechos

No todos los datos son igual de importantes y no todos los usuarios son creados

igual. Es necesario establecer una jerarquía y garantizar que cada tipo de usuario

sólo pueda realizar las acciones que se le permiten en la base de datos, para

garantizar de esa forma la integridad de la información.

HERRAMIENTA DE MONITOREO - PRTG

La herramienta de monitoreo de seguridad que utilizaremos para la Alcaldía San

Antonio será el PRTG, el cual nos permite:

 Supervisar todos los sistemas, dispositivos, tráfico y aplicaciones de la

infraestructura de TI.

 PRTG viene con todo incluido, no hay necesidad de instalar complementos

o descargas adicionales.

FUNCIONALIDADES

1. Alertas flexibles

PRTG cuenta con 10 tecnologías integradas como email, push, reproducir archivos

de audio para las alarmas, o desencadenar solicitudes HTTP. PRTG on-premises

también soporta mensajes de texto SMS y ejecutar archivos EXE.

Nuestras notificaciones push gratuitas le permiten estar al tanto en cualquier

momento y lugar cuando use sus dispositivos móviles.

Adapte el sistema de notificaciones a sus necesidades concretas y programe alertas

(como “ninguna alerta de baja prioridad por la noche”), o evite recibir una cantidad

ingente de alarmas mediante el uso de dependencias y acuses de recibo. Incluso

puede utilizar nuestra API de PRTG para escribir sus propias notificaciones.

2. Diversas interfaces de usuario

Completísima interfaz web: basada en AJAX, con altos estándares de seguridad, y

un gran rendimiento gracias a su tecnología SPA (Single Page Application),

adaptada de forma óptima a sus sistemas gracias a su diseño responsive.

PRTG Desktop: Aplicación nativa para PRTG, especialmente para varias

instalaciones de PRTG.

Aplicación móvil para iOS y Android: Todas las interfaces de usuario permiten

acceso local y remoto protegidos por SSL y se pueden utilizar simultáneamente.

3. Failover Cluster

Siempre es mejor prevenir que curar. PRTG Network Monitor permite una

monitorización tolerante a fallos. ¡Todas las licencias de PRTG on-premises

incluyen un nodo de failover!

Tolerancia a fallos automática: si el nodo maestro del clúster no está conectado o

ha caído, inmediatamente otro nodo se hace cargo de todas sus responsabilidades,

incluyendo el envío de notificaciones.

Puede configurar varios puntos de presencia: todos los nodos vigilan a todos los

sensores todo el tiempo, por lo que puede comparar los tiempos de respuesta desde

diferentes puntos de la red (LAN/WAN/VPN).

La solución de PRTG hospedada en la nube también es de alta disponibilidad.

Nosotros nos encargamos de eso por usted, por lo tanto no hay soporte para clúster

en la nube.
4. Mapas y dashboards

Mantente Informado:

Los mapas en PRTG muestran no solo dispositivos y conexiones, sino que también

brindan información sobre su estado. Detecte problemas de un vistazo y solucione

los problemas de manera efectiva, utilizando los mapas como fuente principal de

información.

Para mantenerse al día con el estado global de su red, incluya Geo Maps para

recibir información en vivo desde cualquier parte del mundo. Haga que sus

diferentes mapas giren en una página y vigile todo.

Editor de Mapas:

Usando el sencillo editor de mapas integrado "arrastrar y soltar", todos los

componentes monitoreados por PRTG pueden integrarse rápida y fácilmente en

mapas de red claros. Al utilizar HTML personalizado, se pueden generar mapas de

varias capas que permiten profundizar en varias capas.

Incluso agregar imágenes externas o applets a sus mapas no es un problema. De

esta manera, puede personalizar sus mapas de la manera que desee. Incluso puede

incluir información sobre el clima o el tráfico.

Comparte:

Cada mapa tiene una URL única que puede usar para vincular al mapa.

Los usuarios que quieran acceder al mapa necesitarán una cuenta en su instalación

de PRTG. Alternativamente, pueden acceder a una URL pública del mapa si habilita

la función de acceso público. Los mapas públicos contienen una clave de acceso

de ID de mapa única en la URL para bloquear visitantes no deseados.

Otra forma excelente y fácil de mostrar sus mapas directamente dentro de otras

páginas web es a través de IFRAME.

5. Monitorización distribuida

 Supervise varias redes en diferentes ubicaciones y redes separadas dentro

de su empresa (p. ej. DMZ y LAN) con las sondas remotas de PRTG.

 Use sondas remotas para monitorear su LAN con la solución de PRTG

hospedada en la nube.

 Consulte un resumen en una sola instalación central de PRTG.

 También puede utilizar sondas remotas para distribuir la carga de

supervisión.
  Cada licencia de PRTG incluye sondas remotas ilimitadas.

 Como MSP, puede supervisar las redes de sus clientes y aumentar la calidad

del servicio.

6. Informes detallados

 Tenga a mano todas las cifras, estadísticas y gráficas de sus datos de

monitorización o su configuración.

 Exporte los datos históricos en forma de PDF, HTML, XML o CSV y procese

su información de monitorización como desee.

 Genere informes de forma proactiva o programe informes periódicos (diarios,

semanales, mensuales).

“Por experiencia esta aplicación nos permite manejar un control preciso de nuestra

BD poniendo los parámetros adecuados para que cuando la memoria, la carga del

procesador o el proceso apache de las BD al igual que el espacio del disco duro

estén presentando fallas se genere alerta llegando directamente a nuestro correo

electrónico para ejecutar el incidente en el menor tiempo posible. Para el tema de

Backus y BD de réplicas se llevan los servidores al PRTG de manera que si pasa

algo el sistema nos alerta de las posibles fallas, con esto estamos teniendo

reacciones a tiempo para los procesos de la compañía. “

SQL Server Profiler

La herramienta permite realizar trazas de los eventos y consultas que se están

ejecutando contra un motor de bases de datos SQL Server en particular, es de gran

utilizad cuando se requieren capturar las operaciones ejecutadas por aplicaciones

o usuarios sobre los objetos del motor.

El SQL Server Profiler es una herramienta de monitoreo que se puede utilizar para

poder crear y administrar seguimientos de SQL Server para poder supervisar la

actividad en las instancias de SQL Server. Estos archivos de rastreo pueden ser

analizados y reproducirse luego. El Profiler posee una interfaz gráfica, que hace que

sea más sencillo usarlo.

Además de las acciones para la auditoría que se producen en una instancia de SQL

Server, es útil para poder resolver problemas de rendimiento de SQL Server, de tal

forma que se pueda realizar un seguimiento del procedimiento almacenado y

también la ejecución de consultas mostrando los que ralentizan, captar las

instrucciones y los eventos que causaron la degradación del rendimiento, que pueda

reproducir un conjunto específico de eventos en otro entorno para fines de prueba,

etc.
Para iniciar el analizador del SQL Server:

 Abrir: Inicio, todos los programas (Windows + C para Windows 8)

 Seleccione el programa SQL Server Profiler

 Abra SQL Server Management Studio

 En el menú de herramientas, seleccione el SQL Server Profiler

 Abra el símbolo del sistema

 Escriba profiler

 Presione Enter

Para crear un nuevo rastreo:

 En el SQL Server Profiler, abra archivo en el menú

 Seleccione nuevo rastreo

 Seleccione una instancia de SQL Server, modo de autenticación y

proporcione las credenciales

 En la pestaña de selección de eventos haga clic en Mostrar todos los eventos

(Show all events)

 Seleccione todos los eventos y las columnas de evento que desea rastrear

Para poder capturar la información sobre eventos que son producidos en una base

de datos, por ejemplo, los archivos de datos y de registro crecen de manera

automática y los eventos de reducción automática, seleccione estos tipos de

eventos en el tipo de evento de base de datos

Selecting the events in Database event type

Para poder rastrear varios errores, como el límite de CPU excedido, seleccione el

siguiente evento en el tipo de Errores y Advertencias EVENT

En la pestaña General seleccione si es que desea guardar la traza en un archivo o

en una tabla

Haga clic en el botón Ejecutar (Run)

Se capturarán todos los eventos pertenecientes a los tipos de eventos que se han

seleccionado para realizar el seguimiento.

Dialog showing events being captured

Aunque el SQL Server Profiler proporciona bastante información muy útil, algunos

Administradores de bases de datos evitan su uso en un servidor de producción,

debido a que puede agregar una sobrecarga significativa. Además, si no se ha

configurado la propiedad para realizar la colección de seguimiento de SQL Server

para recopilar solo la información que realmente necesita para el análisis, existirá

una gran cantidad de datos recopilados que puede que sean difíciles de analizar.