REGISTRO DE MODIFICACIONES - Implementación de lineamientos base de seguridad en bases de dato

Figura 18: Registro de modificaciones de lineamientos base de Oracle. Fuente: Documento líneas base de Adessa Falabella Chile

Figura 19. Registro de modificaciones de lineamientos base de Microsoft SQL Server. Fuente: Documento líneas base de Adessa Falabella Chile

Anexo 03

Base de datos: PIFPR (pifpr1, pifpr2) Motor: Oracle 10.2.0.4.0 Servicio/Aplicación: Cajeros ATM

Ítem Control Si No Observación

1.1 Actualización de Oracle x

Por políticas del negocio, no se realizará upgrade a la versión más reciente ya que no forma parte del alcance de aplicación de lineas base.

1.2 Contraseñas predeterminadas x 2.1 Librerías del sistema operativo x 2.2 ADMIN_RESTRICTIONS x

2.3 SECURE_CONTROL x Parámetro no disponible en la versión 10.2.0.4.0. 2.4 SECURE_REGISTER x Parámetro no disponible en la versión 10.2.0.4.0. 3.1 AUDIT_SYS_OPERATIONS x 3.2 AUDIT_TRAIL x 3.3 AUDIT USER x 3.4 AUDIT PROFILE x 3.5 AUDIT SYNONYM x 3.6

AUDIT GRANT ANY

4.8 SEC_CASE_SENSITIVE_LOGON x Parámetro no disponible en la versión 10.2.0.4.0. 4.9 SEC_MAX_FAILED_LOGINATTEMPTS x Parámetro no disponible en la versión 10.2.0.4.0.

4.10 SQL92_SECURITY x

4.11 _TRACE_FILES_PUBLIC x

5.1 FAILED_LOGIN_ATTEMPTS x

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.2 PASSWORD_LOCK_TIME x

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.3 PASSWORD_LIFE_TIME x

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.4 PASSWORD_REUSE_MAX x

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.5 SESSIONS_PER_USER x

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

6.1 DBMS_ADVISOR x 6.2 DBMS_CRYPTO x 6.3 UTL_TCP x 6.4 UTL_HTTP x 6.5 DBMS_SYS_SQL x 6.6 SELECT_ANY_DICTIONARY x

Base de datos: EXTRANET Motor: Oracle 11.2.0.3.0 Servicio/Aplicación: Extranet

Ítem Control Si No Observación

1.1 Actualización de Oracle x

No existen parches de seguridad para la versión 11.2.0.3.0.

Por políticas del negocio, no se realizará upgrade a la versión mas reciente ya que no forma parte del alcance de aplicación de lineas base.

1.2 Contraseñas predeterminadas x 2.1 Librerías del sistema operativo x 2.2 ADMIN_RESTRICTIONS x 2.3 SECURE_CONTROL x 2.4 SECURE_REGISTER x 3.1 AUDIT_SYS_OPERATIONS x 3.2 AUDIT_TRAIL x 3.3 AUDIT USER x 3.4 AUDIT PROFILE x 3.5 AUDIT SYNONYM x 3.6

AUDIT GRANT ANY

OBJECT PRIVILEGE x 3.7 AUDIT TRIGGER x 4.1 GLOBAL_NAMES x 4.2 LOCAL_LISTENER x 4.3 07_DICTIONARY_ACCESSIBILITY x 4.4 OS_ROLES x 4.5 REMOTE_LOGIN_PASSWORDFILE x 4.6 REMOTE_OS_AUTHENT x 4.7 REMOTE_OS_ROLES x 4.8 SEC_CASE_SENSITIVE_LOGON x 4.9 SEC_MAX_FAILED_LOGINATTEMPTS x 4.10 SQL92_SECURITY x 4.11 _TRACE_FILES_PUBLIC x 5.1 FAILED_LOGIN_ATTEMPTS x

El área de seguridad de la información del

banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.2 PASSWORD_LOCK_TIME x

El área de seguridad de la información del

banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.3 PASSWORD_LIFE_TIME x

El área de seguridad de la información del

banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.4 PASSWORD_REUSE_MAX x

El área de seguridad de la información del

banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.5 SESSIONS_PER_USER x

El área de seguridad de la información del

banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

6.1 DBMS_ADVISOR x 6.2 DBMS_CRYPTO x 6.3 UTL_TCP x 6.4 UTL_HTTP x 6.5 DBMS_SYS_SQL x 6.6 SELECT_ANY_DICTIONARY x 6.7 DELETE_CATALOG_ROLE x

Base de datos: P11001 Motor: Oracle 12.1.0.2.0 Servicio/Aplicación: Malla ETL

Ítem Control Si No Observación

1.1 Actualización de Oracle x

Se aplicó el parche de seguridad tipo PSU 27338041,

el motor ya cuenta con una versión reciente de Oracle (12.1.0.2.0).

AUDIT GRANT ANY

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.2 PASSWORD_LOCK_TIME x

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.3 PASSWORD_LIFE_TIME x

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.4 PASSWORD_REUSE_MAX x

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

5.5 SESSIONS_PER_USER x

El área de seguridad de la información del banco Falabella tiene que evaluar los perfiles candidatos a la aplicación del control.

6.1 DBMS_ADVISOR x 6.2 DBMS_CRYPTO x 6.3 UTL_TCP x 6.4 UTL_HTTP x 6.5 DBMS_SYS_SQL x 6.6 SELECT_ANY_DICTIONARY x 6.7 DELETE_CATALOG_ROLE x

Servidor SQL Server: CMR206 Motor: SQL Server 2000

Servicio/Aplicación:

Ítem Auditoria de inicio de sesión Si No Observación

1.1 Actualización del sistema x

Por políticas del negocio, no se aplicará parches a versiones sin soporte ni realizar upgrade ya que no forma parte del alcance de aplicación de líneas base.

1.2 Servidor dedicado x

2.1

AD HOC DISTRIBUTED

QUERIES x Parámetro no disponible en la versión 2000.

2.2

COMMON LANGUAGE

RUNTIME (CLR) x Parámetro no disponible en la versión 2000.

2.3

DEDICATED ADMIN

CONNECTION (DAC) x Parámetro no disponible en la versión 2000. 2.4 Escaneo de procedimientos automáticos x

2.5 TRUSTWORTHY x Parámetro no disponible en la versión 2000. 2.6 Protocolos de SQL Server x

2.7 Puertos no estándar x

Se mantuvo el puerto estándar 1433, el cambio de puerto impactaría las conexiones de todas las aplicaciones.

2.8 Deshabilitar la cuenta “SA” x 2.9 Renombrar la cuenta “SA” x

3.1 Autenticación SQL Server x

No fue posible cambiar la autenticación a Windows Only ya que impactaría las conexiones que no cuenten con un usuario de dominio Windows (SQL Server Authentication).

3.2 Usuario invitado (guest) x

3.3 Usuario huérfano x

4.1 Actualizar la contraseña al primer inicio de sesión x

4.2 Caducidad de la contraseña x Parámetro no disponible en la versión 2000. 4.3 Complejidad de la contraseña x Parámetro no disponible en la versión 2000.

5.1

Número máximo de archivos de registros de

errores x

Servidor SQL Server: SVR92088 Motor: SQL Server 2005

Servicio/Aplicación:

Ítem Auditoria de inicio de sesión Si No Observación

1.1 Actualización del sistema x

Por políticas del negocio, no se aplicará parches a versiones sin soporte ni realizar upgrade ya que no forma parte del alcance de aplicación de líneas base.

1.2 Servidor dedicado x

Se observó que se encontraba instalado el cliente Oracle 9.2; sin embargo, no se desinstalo ya que el servidor SQL Server cuenta con link servers conectándose a bases de datos remotas Oracle.

2.1 AD HOC DISTRIBUTED QUERIES x 2.2 COMMON LANGUAGE RUNTIME (CLR) x 2.3 DEDICATED ADMIN CONNECTION (DAC) x

2.4 Escaneo de procedimientos automáticos x

2.5 TRUSTWORTHY x

2.6 Protocolos de SQL Server x

2.7 Puertos no estándar x

Se mantuvo el puerto estándar 1433, el cambio de puerto impactaría las conexiones de todas las aplicaciones.

2.8 Deshabilitar la cuenta “SA” x 2.9 Renombrar la cuenta “SA” x

3.1 Autenticación SQL Server x

No fue posible cambiar la autenticación a Windows Only ya que impactaría las conexiones que no cuenten con un usuario de dominio Windows (SQL Server Authentication).

3.2 Usuario invitado (guest) x

3.3 Usuario huérfano x

4.1 Actualizar la contraseña al primer inicio de sesión x

4.2 Caducidad de la contraseña x

No fue posible aplicar el control ya que forzaría la indisponibilidad

de los procesos cada cierto tiempo por el cambio de contraseña para los usuarios de aplicación.

4.3 Complejidad de la contraseña x

No fue posible aplicar el control ya que

ocasionaría errores de autenticación a todos los procesos que se conecten a la base de datos.

5.1

Número máximo de archivos de registros de

errores x

Servidor SQL Server: SVR0418 Motor: SQL Server 2008

Servicio/Aplicación:

Ítem Auditoria de inicio de sesión Si No Observación

1.1 Actualización del sistema x

Se actualizó el service pack del motor SQL Server 2008 R2 (actualización de SP 2 al 4) para la corrección de bugs y vulnerabilidades.

1.2 Servidor dedicado x 2.1 AD HOC DISTRIBUTED QUERIES x 2.2 COMMON LANGUAGE RUNTIME (CLR) x 2.3 DEDICATED ADMIN CONNECTION (DAC) x

2.4 Escaneo de procedimientos automáticos x

2.5 TRUSTWORTHY x

2.6 Protocolos de SQL Server x

2.7 Puertos no estándar x

Se mantuvo el puerto estándar 1433, el cambio de puerto impactaría las conexiones de todas las aplicaciones.

2.8 Deshabilitar la cuenta “SA” x 2.9 Renombrar la cuenta “SA” x

3.1 Autenticación SQL Server x

No fue posible cambiar la autenticación a Windows Only ya que impactaría las conexiones que no cuenten con un usuario de dominio Windows (SQL Server Authentication).

3.2 Usuario invitado (guest) x

3.3 Usuario huérfano x

4.1 Actualizar la contraseña al primer inicio de sesión x

4.2 Caducidad de la contraseña x

No fue posible aplicar el control ya que forzaría la indisponibilidad

de los procesos cada cierto tiempo por el cambio de contraseña para los usuarios de aplicación.

4.3 Complejidad de la contraseña x

No fue posible aplicar el control ya que

ocasionaría errores de autenticación a todos los procesos que se conecten a la base de datos.

5.1

Número máximo de archivos de registros de

errores x

In document Implementación de lineamientos base de seguridad en bases de datos Oracle y SQL Server en una entidad bancaria (página 67-74)