Universidad Nacional Abierta y a Distancia

Especialización en Seguridad Informática

Seguridad en Bases de Datos

Caso de Estudio 2019 (16-4)

A continuación, se describe el caso de estudio practico, para el curso Seguridad en

Bases de Datos, el cual deberá ser desarrollado tomando como base el escenario
controlado disponible en la siguiente URL:
https://drive.google.com/open?id=1fzJqbZxS8giVzpqbn6p9_OczPLpeXbYu, y este
será importado en el programa Virtualbox (Pueden consultar los recursos para
saber más de la instalación del programa).

Presentación:
La empresa Quality SAS, es una organización de orden internacional, dedicada a la
búsqueda y formación de talento humano, en distintas áreas y temas de interés,
para la oferta de personal requerido por otras instituciones.

Debido a su gran expansión de sus sedes tanto a nivel nacional, e internacional,

está evaluando la posibilidad de implementar sistemas de información que apoyen
y salvaguarden la información de toda la organización, por lo cual ha designado al
área de TI, para que busque y seleccione una infraestructura tecnológica que
soporte toda esta información.

El área de TI de Quality, por su parte ha diseñado un escenario controlado, en el

cual ha implementado algunas bases de datos que podrían utilizarse en el desarrollo
del proyecto, pero requiere de los servicios de un profesional en seguridad
informática que evalué la seguridad del escenario, así mismo que de algunas
recomendaciones para la elección del motor de base de datos a implementar,
teniendo presente el aspecto de la seguridad y rendimiento; a continuación
describimos el escenario propuesto por el área de TI de Quality para su análisis y
propuesta de aseguramiento, el estudiante podrá selecciona el entorno que
corresponda a su motor de base de datos seleccionado:
Entorno Linux (Aplica para motores de bases de datos: Oracle, Mysql,
Postgres, MongoDB y Firebird)
Memoria RAM 1536 MB Sistema Oracle Linux 7.6, x64
Operativo
Conectividad Tarjeta de red Modo Bridge, IP dinámica
(recibida por red, consultar con comando: ip addr show)
ALMACENAMIENTO
Disco Duro 25 GB Contenido Sistema Operativo y aplicaciones
principal
Disco Duro 10 GB Contenido Sin información inicialmente
adicional
USUARIOS DEL SISTEMA
Usuario Contraseña Usuario Contraseña
root root123 admin admin123
oracle oracle123 postgres postgres123
APLICACIONES INSTALADAS
Aplicación Notas Aplicación Notas
Oracle 11G SID: DB11G MySQL 5.7 Usuario: root
Contraseña: root123
Usuario: sys
Contraseña: sys123

Usuario: system
Contraseña: system123
Mongo DB 3.4 Database: estudiante PostgresSQL Usuario: postgres
9.6 Contraseña: postgres123
Usuario: estudiante
Contraseña: estudiante123 Base de datos: estudiante
Usuario: estudiante
Contraseña: estudiante123
Firebird 2.5 Usuario: SYSDBA Servidor Ruta archivos aplicación web:
Contraseña: masterkey Web Apache /var/www/html
2.x
Base de datos:
/var/lib/firebird/data/estudiantes.fdb

Usuario: estudiante
Contraseña: estudiante123

Entorno Windows (Aplica para motor de base de datos Microsoft SQL

Server)
Memoria RAM 1536 MB Sistema Windows Server 2008, x64
Operativo
Conectividad Tarjeta de red Modo Bridge, IP dinámica
ALMACENAMIENTO
Disco Duro 20 GB Contenido Sistema Operativo y aplicaciones
principal
USUARIOS DEL SISTEMA
Usuario Contraseña Usuario Contraseña
Administrador administrador123$
APLICACIONES INSTALADAS
Aplicación Notas Aplicación Notas
MS Sql Server Usuario: sa Servidor Web Ruta archivos aplicación web:
2014 Contraseña: sa123$ Apache 2.x C:\apachex\htdocs

Usuario: system
Contraseña: system123

Los servidores de bases de datos han sido implementados con las sugerencias y
salvaguardas básicas previstas en cada una de sus instalaciones, y su despliegue
de producción a futuro está estimado bajo el siguiente esquema:

Figura 1Diagrama de despliegue a producción

Como se puede observar en la figura 1, en el momento de desplegar los servicios

de bases de datos y servidores web que soportarán las aplicaciones corporativas,
estas deberán de consultarse en cualquier otra sede de la compañía que se
encuentran en otras ciudades, por lo que se debe considerar algunas
recomendaciones en aseguramiento perimetral y de hardening.

Las aplicaciones que se implementaran será tipo web, lo que facilita el acceso desde
cualquier sitio y dispositivo que cuente con un navegador web, pero se debe
considerar que los servicios deben soportar aproximadamente 50 usuarios
simultáneos, por lo que se recomienda tener presente la configuración de los
servicios de base de datos.
Finalmente, es importante que se realice un análisis de vulnerabilidades haciendo
uso de herramientas especializadas para detectar falencias que puedan ser
descubiertas y atacadas afectando los pilares de la información.

Considere cualquier recomendación o sugerencia que considere necesario para la

implementación del escenario.