Evaluación Final

Seguridad en Bases de Datos (Posgrado)

Yon Ivan Márquez Buitrago, Luz Amanda Medina Rincón, Jaime Prada Gómez, Elizabeth Gama
Martínez
Universidad Nacional Abierta y a Distancia UNAD'
Fusagasugá, Colombia
yimarquezb@unadvirtual.edu.co, lamedinari@unadvirtual.edu.co, elizagamar@gmail.com.

Resumen La seguridad en las bases de datos es un factor Fig. 1 Instalación Oracle

fundamental, ya que sin el tendríamos todos nuestros datos a
la vista de cualquier persona. Por consiguiente, desde el inicio
de la manipulación el ser humano se ha caracterizado por
intentar avanzar o estar a la par con los sistemas
informáticos. Lo que nos lleva a buscar maneras más óptimas
de garantizar la seguridad de las mismas.
Palabras clave - Seguridad Informática, Oracle, Kali
Linux, Nmap.
Abstract - Database security is a key factor, because
without the would have all our data to the view of anyone.
Therefore from the beginning of handling human has been
characterized by attempting to advance or be on a par with
computer systems. Which brings us to seek ways to more
optimal secure them.
Keywords - Oracle, computer security, Nmap, Kali Linux.

I. INTRODUCCIÓN
Fuente: Autores
Con lo aprendido durante el curso y las prácticas realizadas
se va a crear una base de datos en oracle para diagnosticas las Fig. 2 Instalación Oracle claves. Usuario por defecto SYSTEM
distintas vulnerabilidades a las que está expuesta por medio
de Kali Linux, el cual ha sido utilizado desde el inicio del
curso. También se tocarán temas como firewall y servidores.

Con esto evidenciamos el aprendizaje y el inicio de

investigación constante para poder suplir todas las
necesidades que tiene un servidor, no solo a nivel local sino
en el mundo de la web. Es importante reconocer el error y
sobre todo encontrar la solución. Las bases de datos están
expuestas a muchos ataques, pero todos son producimos por
caminos que se han dejado en evidencia y sobre esto es lo que
hay que trabajar.

II. GESTOR DE BASES DE DATOS

Fuente: Autores
Es necesario revisar la instalación por defecto ya que de
ahí se parte el diagnóstico y poder hacer las recomendaciones Una vez instalado, se crea el acceso directo sobre el
de aplicación de seguridad del entorno de la base de datos, escritorio:
para cualquier tipo de motor de bases de datos. Fig. 3 Acceso Directo

A. Instalación
Después de Descargar Oracle Database Express Edition 11
g Release 2 para Windows de 64 bits de la página de Oracle.
[1]. Y procedemos a la instalación del software sobre
Windows 7 a 64 Bits

Fuente: Autores
 Si al dar doble clic, nos genera el siguiente error: Fig. 8 Menu Storage
Fig. 4 Error

Fuente: Autores

Debemos dar clic derecho e iniciar en SandBox, en este

caso en el del antivirus 360:
Fig. 5 iniciar en SandBox

Fuente: Autores

Fig. 9 Menu Sessions

Fuente: Autores
Fuente: Autores
Fig. 10 Menu Parameters
Fig. 6 Logueo Inicial

Fuente: Autores

B. Reconocimiento del Software Fuente: Autores

Fig. 7 Menu Home
Fig. 11 Menu Application Express

Fuente: Autores
Fuente: Autores

C. Bases de Datos por Defecto

Para ver las BD por defecto vamos al menú Application
Express y elegimos Use Existing,
 Fig. 12 menú Application Express F. Listar puertos y servicios de Oracle,
Para Listar puertos y servicios de Oracle, para la revisión
usamos la aplicación nmap siguiendo los siguientes pasos
Fig. 16 Se procede a la descarga de la herramienta nmap.

Fuente: Autores

al darle al seleccionar, nos aparecen las bases de datos por

defecto:
Fig. 13 bases de datos por defecto

Fuente: Autores

Fig. 17 Se procede a la instalación de nmap.

Fuente: Autores

D. Metadatos del sistema de base de datos

El la sesion de Parameters ubicamos los metadatos del
sistema
Fig. 14 metadatos del sistema

Fuente: Autores

Fig. 18 Se inicia el aplicativo nmap:

Fuente: Autores

E. Usuarios por Defecto

El la sesion de Sessions ubicamos los usuarios por defecto
Fig. 15 usuarios por defecto

Fuente: Autores

De acuerdo a consultas nmap no puede hacer escaneos a la

propia máquina, por ende se inicia Kali Linux

Fuente: Autores
 Fig. 19 Se ejecuta un ping desde Kali Linux a la máquina con Oracle
G. Opciones de configuración en cuanto a seguridad
 Al iniciar la instalación permite al usuario cambiar
los puertos por defecto para TNS Port, MTS Port y
HTTP Por
 Permite al usuario establecer la contraseña para el
usuario principal o root
Fig. 22 establecer la contraseña

Fuente: Autores

Luego se procede a ejecutar nmap para verificar el estado de

los puertos y allí se verifica que Oracle se ejecuta por el
puerto 1521 y está abierto.
Fig. 20 verificar el estado de los puertos

Fuente: Autores

III. BASE DE DATOS RELACIONAL

Diseñar y crear una base de datos relacional que sirva para la

gestión y procesos de historias clínicas.
Se debe aplicar Integridad referencial
Cifrar las claves los usuarios.
A. Crear la base de datos, las tablas y se insertan los datos
Fig. 23 Tabla Salas

Fuente: Autores

Fig. 21 Desde Oracle podemos también observar los puertos

Fuente: Autores

Fig. 24 Tabla Estado Médicos

Fuente: Autores

Fuente: Autores
 Fig. 25 Tabla Médicos Fig. 29 Realizando el escaneo se obtiene

Fuente: Autores

Fig. 26 Tabla Usuarios Fuente: Autores

Fig. 30 Una vez abierta la ruta en el explorador se puede evidenciar la puerta

abierta.

Fuente: Autores

Fig. 27 Tabla Citas

Fuente: Autores
Fuente: Autores
B. Integridad Referencial
Fig. 31 Se puede ingresar y manipular la base de datos
Fig. 28 B. Integridad Referencial

Fuente: Autores

Gracias a esta herramienta podemos organizar el firewall y

mirar que puertos debemos cerrar para cerrar la puerta de
acceso a posibles ataques, también sería bueno modificar los
puertos y estar haciendo escaneos continuos

V. CIFRADO DE LA BASE DE DATOS (PUEDE USAR CIFRADO

TRANSPARENTE TDE (SOLO APLICA PARA VERSIONES
ENTERPRISE) O USAR ENCRIPTACIÓN WALLET. MODIFICACIÓN
Fuente: Autores DE SQLNET.ORA).
En este punto del taller se seleccionaron las dos opciones
dando como resultado el cifrado de la base de datos, donde
IV. CHEQUEO DE VULNERABILIDADES se modificó y se creó la carpeta de wallet de manera manual
y generando un certificado del mismo con un password
SPARTA definido por el usuario
Como tengo conexión WiFi y mi IP es aleatoria entonces
debo configurar cada vez que conecto el pc. Así que habrá
cambios respecto a algunos parámetros para poder realizar
este punto.
Por medio de la aplicación Sparta también se pueden ver las
vulnerabilidades.
 Fig. 32 cifrado de la base de datos
Fuente: Autores
VI. CHEQUEO DE VULNERABILIDADES A BASE DE DATOS
CIFRADA CIFRADA LA BASE DE DATOS, USAR LA APLICACIONES
DE KALI LINUX (MÁQUINA VIRTUAL USADA EN LAS
PRACTICAS) PARA ANÁLISIS DE VULNERABILIDADES REPETIR EL
PUNTO 3.
Seguido de haber cifrado las bases de datos encontramos que
algunos fallos fueron corregidos.
• Ataque de denegación de servicios fue corregido hasta el
punto de presentar error al intentar realizarlo.
• Con otra herramienta se cerraron los puertos lo que
garantiza menor riesgo a posibles ataques de intrusos.
• cifrar datos confidenciales tales como números de tarjetas
de crédito almacenados en tablas y espacios de tabla. Los
datos cifrados se descifran de forma transparente para una
aplicación o un usuario de base de datos que tenga acceso a
los datos.
En la siguiente imagen se refleja el cambio de estado de las
que se habían encontrado
Fig. 33 cambio de estado de las vulnerabilidades
Fuente: Autores
Fig. 34 En esta imagen encontramos que se disminuyen considerablemente las
vulnerabilidades.
Fuente: Autores
VII. CONCLUSIONES
. Con el anterior trabajo pudimos observar la facilidad de
configuración de un gestor de bases de datos Oracle.
De igual manera las formas de implementación de seguridad
están a un clic, donde podemos configurar dependiendo de
nuestro tipo de licencia, algunas características adicionales a
nuestras bases de datos.
Cabe mencionar que Oracle cuenta con un sistema muy
robusto de aplicaciones que permiten la interacción total y
coherente, desde el punto de vista de los modelos lógicos y
relacionales, hasta exportar un sql directamente en el gestor
que tenemos.
La herramienta Kali Linux es fundamental a la hora de
detectar vulnerabilidades, con ella se realizaron las pruebas y
se obtuvieron resultados de algunas fallas de seguridad que se
puede corregir de manera rápida, permitiendo mayor calidad
de seguridad al cliente final.
Las bases de datos en Oracle permiten realizar operaciones de
manera gráfica y por medio de sentencias SQL. Además
permiten implementar seguridad con el fin de encriptar las
tablas y sus campos.
De otra parte es muy importante reconocer que los usuarios
pueden tener su clave encriptada, con el fin de proteger el
acceso a la base de datos.
Las herramientas, tales como nessus y nmap, permiten
analizar puertos abiertos y las diversas vulnerabilidades que
pueden aplicarse por esos puertos.
VIII. REFERENCIAS
[1] SEGURIDAD EN BASES DE DATOS Artículo de
Internet:
http://www.monografias.com/trabajos26/seguridad-base-
datos/seguridad-base-datos2.shtml
[2] ATAQUES BASES DE DATOS Aticulo de Internet:
https://www.google.com.co/?
gws_rd=ssl#q=posibles+ataques+que+se+pueden+realizar+
a+las+bases+de+datos
[3] PRUEBAS DE PENETRACION A LA SEGURIDAD
Articulo de Internet:
http://revista.seguridad.unam.mx/numero-18/pruebas-de-
penetraci%C3%B3n-para-principiantes-5-herramientas-
para-empezar
[4] Oracle Database Express Edition 11 g Release 2 .
disponible en:
http://www.oracle.com/technetwork/database/database-
technologies/express-edition/downloads/index.html
https://docs.oracle.com/cd/E17781_01/server.112/e18804.pdf
[5] ajpdsoft. (2016). Oracle. Recuperado el Mayo de 2016, de
Instalar Oracle data base 11g R2 Entrerprise 64 bits en
Windows Server 2003:
http://www.ajpdsoft.com/modules.php?
name=News&file=article&sid=525
[6] Oracle. (4 de Junio de 2014). Oracle Database Express
Edition 11g Release 2. Recuperado el Mayo de2016, de
http://www.oracle.com/technetwork/database/database-
technologies/express-edition/downloads/index.html
[7] systemadmin. (2016). Oracle. Recuperado el Mayo de
2016, de Listar todas las tablas en Oracle:
http://systemadmin.es/2009/10/listar-totas-las-tablas- en-
oracle
IX. BIOGRAFÍA
Yon Iván nació en Colombia – Fusagasugá, el
26 de mayo de 1976. Vive en la ciudad de
Fusagasugá, es estudiante de Ingeniería de
Sistemas y realiza la especialización en Seguridad
Informática, se desempeña como técnico en mantenimiento de
equipos de cómputo, con una empresa propia
(http://yimbunal.wix.com/yimb, yimb.com.co) y trabajando de
forma independiente prestando servicios a Unidades
Educativas y empresas de la región. Se espera que con los
conocimientos que adquiera en el presente curso mejore su
idea de negocio y le dé nuevos incentivos a su vida laboral y
profesional.
Se considera una persona descomplicada, le gustan los
deportes, en especial el futbol de salón, el cual práctica, le
gusta escuchar música en especial rock y pop, lee, también, le
apasionan su trabajo y su actual estudio.
Elizabeth Gama Martinez Nació en Colombia – Bogota), el
01 de octubre de 1990. Estudiante de Ing. de sistemas en la
universidad Piloto de Colombia Girardot. Actualmente
Analista de procesos A Toda Hora S. A Que es la red de
cajeros del grupo Aval.
Ama la vida en Familia y le agrada mucho compartir con sus
amigos.
Vive la vida de la mejor forma que se puede: trabajando,
divirtiéndose, haciendo deporte.
Sus principales Intereses. Programación,
Deportes, Diseño Web, seguridad
Informática.
Jaime Prada nació en Colombia,
Bucaramanga, el 21 de Noviembre de
1983. Se graduó como Tecnólogo en
Informática Empresarial en 2010, en 2012
inicia su formación profesional como
Ingeniero de Sistemas en la Universidad
Nacional Abierta y A Distancia (UNAD),
en 2016 inicia la especialización en
Seguridad Informática para optar al título
de Ingeniero de Sistemas
Luz Medina nació en Colombia –
Cocontá, el 04 de agosto de 1993. Está cursando decimo
semestre de Ingeniería de sistemas, en la Universitaria
Nacional Abierta y a Distancia UNAD, y estudia en la misma
universidad su especialización en Seguridad Informática.
Su experiencia profesional está enfocada en
la parte administrativa en el campo de
seguridad informática, actualmente trabaja
en la universidad de la Sabana, fue
contratado por ser responsable y cumplir con
el perfil laboral solicitado. Actualmente
trabaja en un proyecto de sistemas integrado
de gestión académica, realizando
procedimientos de seguridad informática en bases de datos.
Francisco Javier Hilarion Novoa, nació en Colombia,
Gachetá, el 10 de mayo de 1991, mejor bachiller académico,
Graduado de la Universidad Nacional Abierta y a Distancia
como Tecnólogo e Ingeniero Electrónico. Su experiencia
laboral se basa en soporte técnico
informático, Asesor de Gestión de
Calidad, Docente ocasional de la Escuela
de Ciencias Básicas de la Universidad
Nacional Abierta y a Distancia y Asesor
en seguridad electrónica.