UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Nombre Seguridad en bases de datos.

. Gua de practica 1

OBJETIVO. Manejo de comandos bsicos de SQL. Creacin de una base de datos en mysql. Uso de tablas InnoDB: integridad referencial, actualizacin y borrado. Gestin de transacciones. El sistema de privilegios mysql (1-conexin, 2-operaciones). Creacin/eliminacin de usuarios. Establecimiento/eliminacin de permisos. Ataque por inyeccin de cdigo SQL y Sniffing. METODOLOGA. Las sesiones son desarrolladas en forma terica-practica, la estrategia de aprendizaje a utilizar ser el aprendizaje colaborativo. El desarrollo de las actividades de aprendizaje est basado en el aprendizaje individual y colaborativo como una estrategia de aprendizaje y de trabajo de grupo que es usado en los cursos que se ofertan en el campus virtual de la UNAD, se requieren estas caractersticas para realizar un trabajo realmente efectivo. ACTIVIDADES A REALIZAR. PRIMERA PARTE: Instale MySql y realizar la practica con la informacin suministrada. A continuacin se muestran las tablas que se deben crear para la BD universidad:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Nombre Seguridad en bases de datos. Gua de practica 1

La estructura de las tablas es la siguiente: PERSONA Campo DNI Nombre Apellido Ciudad DireccionCalle DireccionNum Telefono Varon ASIGNATURA Campo Nombre Creditos Tipo dato Texto Numrico Tamao 6 50 Simple 1 Simple 4 6 Otros Primary Key Not Null Check (Creditos In (4.5,6,7.8,9)) Check (Cuatrimestre In ('1','2')) Number(3,2) References PROFESOR(IdProfesor) References TITULACION(IdTitulacion) IdAsignatura Texto Tipo dato Texto Texto Texto Texto Texto Texto Texto Tamao 25 50 25 50 3 9 Fecha corta Fecha corta 1 Check (Varon In ('0','1')) Otros Primary Key Requerido - Not Null Requerido - Not Null Texto-Varchar2 9

FechaNacimiento Fecha/Hora

Cuatrimestre Texto CosteBasico Numrico IdProfesor Curso ALUMNO Campo DNI Texto IdTitulacion Texto

Fecha/Hora Fecha corta Check (Curso In ('1','2','3','4'))

Tipo dato Tamao Otros 7 9 Primary Key References PERSONA(DNI) Texto

IdAlumno Texto

PROFESOR Campo DNI Tipo dato Tamao Otros 4 9 Primary Key References PERSONA(DNI) Texto IdProfesor Texto

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Nombre Seguridad en bases de datos. Gua de practica 1

TITULACIN Campo Nombre Tipo dato Tamao Otros 6 20 Primary Key Not Null - Unique Texto IdTitulacion Texto

ALUMNO_ASIGNATURA Campo IdAlumno IdAsignatura Tipo dato Texto Texto Tamao Otros 7 6 References ALUMNO(IdAlumno) References ASIGNATURA(IdAsignatura) Not Null - Check(NumeroMatricula>=1 NumeroMatricula<=6) AND

NumeroMatricula Numrico Entero

Crear la estructura de la Base de Datos anterior utilizando la consola mysql, usando el motor de Base de Datos InnoDB. Cargar las tablas con varios registros de datos a criterio del estudiante. Crear las tablas vacas con la misma estructura de las tablas de la base de datos universidad y realizar una copia de seguridad de la base de datos utilizando la herramienta mysqldump. Demostrar con un ejemplo que las tablas InnoDB implementan la integridad referencial, la actualizacin en cascada y el borrado en cascada. Demostrar con un ejemplo que las tablas InnoDB implementan control de transacciones. Crear un usuario llamado alumno que tenga acceso a las tablas PERSONA, ALUMNO, ASIGNATURA, ALUMNO_ASIGNATURA desde cualquier lugar. Crear un usuario llamado profesor que tenga permiso de lectura a toda la base de datos desde localhost. Crear un usuario llamado profesor_priv con los privilegios anteriores y los privilegios de insercin y borrado en la tabla persona. Crear un usuario llamado administrador que tenga todos los privilegi os a todas las bases de datos de nuestro servidor mysql. Este administrador no tendr la posibilidad de dar privilegios. Crear un usuario llamado superadmin con los privilegios anteriores y con posibilidad de dar privilegios. Crear un usuario llamado usr_ocasional con permiso para realizar una consulta a la BD universidad por hora. Cambiar la contrasea de root a 654321. Quitar los privilegios al usuario profesor_priv para actualizar la tabla persona. Eliminar todos los privilegios al usuario alumno. Actualizar los privilegios. Muestra los privilegios de usuario alumno.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Nombre Seguridad en bases de datos. Gua de practica 1

Nota: En cada uno de los puntos se debe evidenciar en el informe el desarrollo de la prctica, suministrando de forma detallada cada uno de los comandos utilizados en el desarrollo de la actividad. Por ejemplo para crear una tabla se evidencia con los comandos as:

CREATE TABLE `universidad` ( `idTitulo` VARCHAR( 6 ) PRIMARY KEY, `nombre` VARCHAR( 20 ) NOT NULL UNIQUE ) ENGINE = innodb;

SEGUNDA PARTE: Ataque por inyeccin de cdigo SQL. 1. Descargue e instale la mquina virtual Virtualbox. Para descargar la mquina virtual lo puede hacer desde la pgina https://www.virtualbox.org/wiki/Downloads. Link de videos de como descargar e instalar Virtualbox: www.youtube.com/watch?v=ORRixrwkc3Y http://www.youtube.com/watch?v=VFYqm6Gva3k http://carloszuluaga.wikidot.com/instalacion:virtualbox-windows-xp http://www.youtube.com/watch?v=nQiR5_iGVJI http://www.youtube.com/watch?v=MFBzloUSE2c 2. Descargue BadStore, para descargar Badstore lo puede hacer desde la pgina web http://www.badstore.net y presionamos donde dice DOWNLOAD THE DEMO (necesitaremos registrarnos para poder descargar). 3. Una vez instalada la mquina virtual se procede a la configuracin. Al ejecutar Virtualbox se tendr algo como se ve en la figura siguiente.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Nombre Seguridad en bases de datos. Gua de practica 1

Para crear una nueva mquina virtual hacemos clic en el botn New

. Hacer click sobre Siguiente hasta que nos pida nombre y tipo de SO.

Hacer clic sobre Siguiente y le asignar la cantidad de memoria ram para la mquina virtual, se puede dejar el valor predeterminado, aunque para BadStore con 100MB es suficiente

Hacer clic sobre Siguiente y elegir el disco duro (dejar como esta).

Hacer clic sobre Siguiente y dejar esta opcin como est.

Hacer clic sobre Siguiente y elegir el tipo de almacenamiento.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Nombre Seguridad en bases de datos. Gua de practica 1

Hacer clic en Siguiente y elegimos el tamao para el disco, yo usare 70MB.

Hacer clic sobre Siguiente y luego sobre crear.

Ahora ir a Configuracin

. Y en Red, elegir adaptador de puente:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Nombre Seguridad en bases de datos. Gua de practica 1

Y ya tenemos la mquina virtual configurada. Ahora la iniciaremos, saldr el asistente para la primera ejecucin, hacemos clic en Siguiente y a partir de ac ocurrirn dos cosas: Si tiene en CD el LiveCd, entonces deja esta opcin como esta, inserta el CD y deja que botee. Si quieres trabajar con el iso seguiremos los siguientes pasos. En la interfaz actual hacer clic sobre el botn amarillo de la derecha.

Ahora buscar y seleccionar la iso

Hacer click en Siguiente y luego en Iniciar. Una vez aparezca esta pantalla, presionamos Enter y escribir el comando ifconfig

Y copiar la direccin ip inet addr por ejemplo: 192.168.0.30.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Nombre Seguridad en bases de datos. Gua de practica 1

Nota: Para 'sacar' el cursor de la mquina virtual debes presionar Ctrl Derecho Ahora en el navegador escribimos la direccin ip y ya se tiene BadStore lista para ser atacada

4. Descargue un programa para realizar ataque por inyeccin de cdigo SQL se sugiere SQLMAP ( http://sqlmap.org/ ) o Nmap ( http://nmap.org/download.html ), para documentacin sobre el manejo del software y del tema, existen infinidades de vdeos en Youtube que podrn ser de ayuda. http://www.youtube.com/watch?feature=player_embedded&v=_wwYuilkn8M http://paraisolinux.com/que-es-y-como-usar-nmap/

5. Realizar un ataque a la base de datos de Badstore, con lo cual se debe obtener toda la informacin sobre la base de datos por ejemplo servidor de BD y Versin, Nombre de la base de datos, nombre de las tablas, informacin de las tablas, informacin de las columnas, etc.

Nota: En el informe se debe evidenciar el desarrollo de la prctica, suministrando de forma detallada cada uno de los pasos y comandos utilizados en el desarrollo de la actividad. Por ejemplo para conocer el nombre de la base de datos se evidencia con los comandos as:

C:\sqlmap-0.9\sqlmap>sqlmap.py -u http://pagina.vulnerable.com/listproducts.php?cat=1 --current-db

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Nombre Seguridad en bases de datos. Gua de practica 1

TERCERA PARTE: Ataque con inyeccin de cdigo SQL a sitio web. Realizar un ataque a la base de datos del sitio http://testphp.vulnweb.com , con lo cual se debe obtener toda la informacin sobre la base de datos por ejemplo servidor de BD y Versin, Nombre de la base de datos, nombre de las tablas, informacin de las tablas, informacin de las columnas, etc. Nota: En el informe se debe evidenciar el desarrollo de la prctica, suministrando de forma detallada cada uno de los pasos y comandos utilizados en el desarrollo de la actividad. Por ejemplo para conocer el nombre de la base de datos se evidencia con los comandos as:
C:\sqlmap-0.9\sqlmap>sqlmap.py -u http://pagina.vulnerable.com/listproducts.php?cat=1 --current-db

Una vez culminado el proceso de anlisis por inyeccin de cdigo SQL, se debe proponer soluciones de configuracin de los equipos y las bases de datos para mitigar este tipo de ataque o amenaza en la red. CUARTA PARTE: Ataque por Sniffing. Para esta prctica se debe descargar el software Wireshark desde el sitio web http://www.wireshark.org/download.html, este est catalogada como una de las mejor herramientas para el anlisis de datos de transmisin de redes. Solo se har una mnima prctica de sus bondades como herramienta hacking y/o de auditora. Toda la prctica sirve para descubrir que las aplicaciones por lo general envan cierta informacin en Texto plano, como usuario y contrasea de la Base de datos y consultas SQL. La prctica consiste en la instalacin del software Wireshark, luego con el software en ejecucin tomar una observacin prolongada, generando trfico ftp, telnet, http, icmp, entre otro, observar que se muestran los passwords en claro y observar las capacidades para obtener datos estadsticos por parte de wireshark. Para ampliar la informacin sobre Wireshark visite: http://blog.underc0de.org/2013/07/sniffingcon-wireshark.html. Arranque un navegador Internet y realice algunos accesos con l a cualquier direccin web, preferiblemente donde se requiere la utilizacin de usuario y contrasea, tambin sera importante que se realizara un envo y recepcin de informacin para ver el comportamiento del software. Una vez terminado el proceso de captura inicie el anlisis de los paquetes e identifique que tipo de informacin se puede obtener a travs de este tipo de ataque. Una vez culminado el proceso de anlisis del ataque Sniffing con Wireshark , se debe proponer soluciones de configuracin de los equipos y las bases de datos para mitigar este tipo de ataque o amenaza en la red.