Você está na página 1de 6

Momento I

Seguridad en Base de Datos (Septiembre 2015)


II.

Se plantea seleccionar 5 diferentes motores de

Ing. Claudia Lizeth Aguilera Daz.


bases de datos comerciales y de libre distribucin,
Universidad Nacional Abierta y a Distancia UNAD
claudia.aguilerad@gmail.com

Resumen En el presente informe, he realizado la actividad


del momento 1, despus de estudiar el material y contenidos,
suministrados en el entorno de conocimiento e indagando
sobre, los tipos y arquitecturas de bases de datos, as como los
problemas de seguridad informtica que afrontan las bases de
datos.
Palabras clave Arquitectura, Ataque,
Informtica, Seguridad, Vulnerabilidad.

Bases,

Datos,

Abstract In this report, I have done the activity at time 1,


after studying the material and content provided in the
knowledge environment and asking about the types and
architectures databases and the security problems faced by
databases.

a.

SQL Server
Admite dos modos de autenticacin, el modo de
autenticacin de Windows y el modo mixto.

La autenticacin de Windows: es el modo


predeterminado, y a menudo se denomina seguridad
integrada debido a que este modelo de seguridad de SQL
Server est integrado estrechamente en Windows. Para
iniciar sesin en SQL Server, se confa en las cuentas de
usuario y grupo especficas de Windows. Los usuarios
de Windows que ya hayan sido autenticados no tienen
que presentar credenciales adicionales.

El modo mixto: admite la autenticacin tanto de


Windows como de SQL Server. Los pares de nombre de
usuario y contrasea se mantienen en SQL Server.

Keywords Architecture, Attack, Bases, Data, Information,


Security, Vulnerability.

I.

INTRODUCCIN

Como primera instancia, se revis la gua integradora del


curso, para establecer las pautas de presentacin del trabajo
del momento 1.
En el presente informe se busca, aprender sobre el uso e
importancia de las bases de datos en la informtica moderna
y el papel que desempean en hoy en da en la
organizaciones, que se han extendido a todos los sectores
informticos, permitiendo almacenar informacin y
mostrarla a medida que se va necesitando, y estas bases de
datos se han convertido en un foco de ataques en busca de
extraer esta informacin ilcitamente.
Tambin veremos las caractersticas y arquitecturas de las
bases de datos y la forma en que se deben resguardar, para
ser usadas adecuadamente por las empresas y evitar su dao
o prdida, ya que afectara el funcionamiento de la
organizacin.
Y por ltimo, conoce cuales son DBMS ms comunes, sus
caractersticas principales y cmo podemos asegurar la
informacin para manejo ptimo de ellas, identificando
amenazas y vulnerabilidades a que se enfrentan las bases de
datos.

para:
Describir los mecanismos de autenticacin para
usuarios en las bases de datos

Oracle
Mecanismos de autenticacin

Nativo.
Mixto (a travs del sistema operativo).

Mysql
Su mecanismo de autenticacin es mediante su propio
sistema con usuario y contrasea.
PostgreSQL
Su mecanismo de autenticacin es mediante su propio
sistema con usuario y contrasea.
DB2
Un tipo de autenticacin para cada instancia determina la
verificacin del usuario. El tipo de autenticacin se
almacena en el archivo de configuracin del gestor de bases
de datos en el servidor. Estn permitidos los siguientes tipos
de autenticacin con DB2 Connect:

CLIENT: El ID de usuario y la contrasea se


validan en el cliente.
SERVER: El ID de usuario y la contrasea se
validan en el servidor de bases de datos.
SERVER_ENCRYPT: El ID de usuario y la
contrasea se validan en el servidor de bases de
datos y las contraseas se cifran en el cliente.
KERBEROS: El cliente se registra en el servidor
utilizando autenticacin de Kerberos.
b. Identificar las posibles causas que generan las fallas de
seguridad en las bases de datos.
1.

Nombre de usuario/password en blanco, por


defecto o dbil.
No es nada raro conseguir en el da a da pares de
usuario/password como sa/1234, sta es la primera lnea de
defensa y un punto fundamental de la armadura de nuestras
bases de datos. Es importante hacer revisiones peridicas de
credenciales.
2. Inyecciones SQL.
Cuando la plataforma de base de datos falla para desinfectar
las entradas, los atacantes son capaces de ejecutar las
inyecciones SQL de forma similar a como lo hacen en los
ataques basados en Web, lo que les permite elevar sus
privilegios y obtener acceso a una amplia gama de
funcionalidades. Muchos de los proveedores han dado a
conocer soluciones para evitar estos problemas, pero no
servir de mucho si los parches no se aplican o no se toman
los correctivos correspondientes.
3.

Preferencia de privilegios de usuario por


privilegios de grupo.
Las organizaciones necesitan garantizar que los privilegios
no se les den a los usuarios por asignacin directa quien
finalmente los recoger como conserjes recogen las llaves
en sus llaveros. En cambio, Rothacker recomienda que los
usuarios slo reciban privilegios por parte de grupos o
funciones y sean manejados colectivamente. De esta forma
ser ms fcil eliminar derechos a un usuario con
simplemente eliminarlo del grupo, sin que queden derechos
ocultos u olvidados asignados a dicho usuario.
4.

Caractersticas de base de datos innecesariamente


habilitadas.
Cada instalacin de base de datos viene con paquetes
adicionales de todas las formas y tamaos que en su
mayora rara vez son utilizados por una sola organizacin.
Dado que el nombre del juego en materia de seguridad de
base de datos es el de reducir las superficies de ataque, las
empresas necesitan buscar los paquetes que no utilizan y
desactivarlos. Esto no slo reduce los riesgos de ataques (0)
day a travs de estos vectores, sino que tambin simplifica
la gestin de parches.
5. Configuracin de seguridad ineficiente.
Del mismo modo, las bases de datos tienen una gran
cantidad opciones de configuracin y consideraciones

diferentes a disposicin de los administradores para ajustar


el rendimiento y funcionalidades mejoradas. Las
organizaciones necesitan conseguir y desactivar aquellas
configuraciones inseguras que podran estar activadas por
defecto para mayor comodidad de los DBA o
desarrolladores de aplicaciones. Las configuraciones de
bases de datos en produccin y desarrollo deben ser
radicalmente diferentes.
6. Desbordamientos de bfer.
Otro favorito de los piratas cibernticos, las
vulnerabilidades de desbordamiento de bfer, son
explotadas por las inundaciones de las fuentes de entrada
con valores diferentes o muy superiores a los que aplicacin
espera - por ejemplo, mediante la adicin de 100 caracteres
en un cuadro de entrada pidiendo un nmero de Seguro
Social. Los proveedores de bases de datos han trabajado
duro para solucionar los problemas tcnicos que permiten
estos ataques se produzcan. Esta es otra razn por la cual los
parches son tan importantes.
7. Escalada de privilegios
Del mismo modo, las bases de datos con frecuencia
exponen vulnerabilidades comunes que permiten a un
atacante escalar privilegios en una cuenta de privilegios
bajos hasta tener acceso a los derechos de un administrador.
A medida que estas vulnerabilidades son descubiertas, los
proveedores las corrigen y los administradores deben
mantener las actualizaciones y parches actualizados.
8. Ataque de denegacin de servicio
El caso del SQL Slammer es siempre un ejemplo muy
esclarecedor de cmo los atacantes pueden utilizar las
vulnerabilidades de los DBMS para derribar los servidores
de base de datos a travs de un alto flujo de trfico. An
ms ilustrativo es el hecho de que cuando el Slammer atac
en 2003, un parche ya estaba por ah que se dirigi a
corregir la vulnerabilidad por la que se gener su ataque.
Hoy en da siete aos ms tarde, SQL Slammer todava est
dando dolores de cabeza en los servidores no actualizados.
9. Bases de datos sin actualizar.
Esto podra sonar repetitivo, pero vale la pena repetirlo. Los
administradores de base de datos a veces no aplican un
parche en el momento oportuno porque tienen miedo de este
dae sus bases de datos. Pero el riesgo de ser hackeado hoy
es mucho ms alto que el riesgo de aplicar un parche que
descomponga la base de datos. Adems existen ante esos
temores los backups y las rplicas. Quizs este punto pudo
haber sido vlido hace cinco aos, pero los proveedores
ahora sin encriptar los datos sensibles en reposo y en
movimiento
10. Datos sensibles sin cifrar, tanto en reposo como en
movimiento.
Tal vez sea una obviedad, pero las organizaciones no deben
almacenar los datos sensibles en texto plano en una tabla. Y
todas las conexiones a la base de datos siempre que manejen
datos sensibles deben utilizar el cifrado.

2. Describir los tipos de respaldo de las Bases de datos que


ofrece Oracle, PostgreSQL, Microsoft SQL server, Mysql.
Oracle
Tipos de backup en Oracle
Whole Backups o Parciales
Un backup complete (whole backup) es un backup de todos
los datafiles, los controlfiles y en caso de que se utilice el
spfile. Los controlfiles al estar multiplexados solo es
necesario hacer backup de uno de ello.
De los archivos de redo logs no se debe hacer backup. Los
archivos temporales, tempfile que se utilizan en los
tablespace temporales no se pueden respaldar con RMAN,
tampoco se pueden poner en modo backup, para hacer un
backup a travs del sistema operativo.
Un backup parcial incluir nada ms uno o ms datafiles y/o
el controlfile, este tipo de backup no estar sincronizado con
la base de datos. Simplemente es una copia de parte de la
base de datos, un determinado momento de tiempo.
Un backup completo o parcial se puede hacer con RMAN o
con el sistema operativo, mientras la base de datos este
abierta o cerrada, y si la base de datos no est en modo
archive los backups parciales solo tienen sentido para
trasladar tablespaces a otra base de datos.
Full o Incremental
Un full backup que puede ser whole o parcial, es una copia
completa de uno o ms datafiles.
Un backup incremental es un backup de solo ciertos bloques
de un datafile, solo los bloques que han cambiado o que se
han aadido despus de un full backup.
Backups Offline or Online
Un backup offline es el que se hace cuando la base de datos
est cerrada. Los backup offline tambin se llaman closed,
cold, consistent.

En PostgreSQL existen diferentes tipos de Copias de


Seguridad Backups: Completos y Parciales.
Backup Completo -Full BackupEste tipo de copia de seguridad es un volcado completo de
nuestra base de datos en un instante "t", y como es natural,
contiene la informacin hasta el instante que comenzamos
el proceso de backup.
Backup parcial: copia de una parte de la base de datos.
SQL Server
Backups completos
El tipo de operacin de backup ms bsico y completo es el
backup completo. Como su propio nombre indica, este tipo
de backup copia la totalidad de los datos en otro juego de
soportes, que puede consistir en cintas, discos, o en un DVD
o CD. La ventaja principal de la realizacin de un backup
completo en cada operacin es que se dispone de la
totalidad de los datos en un nico juego de soportes. Esto
permite restaurar los datos en un tiempo mnimo, lo cual se
mide en trminos de objetivo de tiempo de recuperacin
(RTO).
Backups incrementales
Una operacin de backup incremental slo copia los datos
que han variado desde la ltima operacin de backup de
cualquier tipo. Se suele utilizar la hora y fecha de
modificacin estampada en los archivos, comparndola con
la hora y fecha del ltimo backup.
Backups diferenciales
Una operacin de backup diferencial es similar a un backup
incremental la primera vez que se lleva a cabo, pues copiar
todos los datos que hayan cambiado desde el backup
anterior. Sin embargo, cada vez que se vuelva a ejecutar,
seguir copiando todos los datos que hayan cambiado desde
el anterior completo. Por lo tanto, en las operaciones
subsiguientes almacenar ms datos que un backup
incremental, aunque normalmente muchos menos que un
backup completo.
MySQL

Un backup online es un backup que se hace cuando la base


de datos est online, un backup online se puede hacer con
RMAN o con comandos del sistema operativo, pero solo se
puede hacer cuando la base de datos est en modo archive.
Para hacer un backup online con el sistema operativo, se
tiene que utilizar el comando ALTER TABLESPACE
BEGIN BACKUP.
Los backups online pueden ser incrementales, full, de toda
la base de datos o de solo parte y se pueden hacer con el
sistema operativo o con RMAN, lo nico que es necesario
es que la base de datos este en modo ARCHIVELOg. Los
backups online siempre que se restauren se deben
sincronizar con el resto de la base de datos.
PostgreSQL

Backup Lgico.
Se realiza con la BD online.
Se realiza con la utilidad mysqldump.
Permite transportar bases de datos entre servidores
Permite hacer restauraciones parciales (p.ej.: recuperar una
tabla)
Ms costoso (tiempo y espacio) que backup fsico
Puede configurarse restauracin en tiempo utilizando
logs.
Backup Fsico
Es necesario detener el servidor de Bases de Datos
Se trata de una copia fsica de ficheros
Mas fcil para recuperar Bases de Datos complejas
Menos costoso que backup lgico

No se permite restaurar en tiempo

How to (Backup de una base de datos MySQL)


Para hacer una copia de seguridad de una base de datos
MySQL, usando mysqldump.

3. Describir la arquitectura y las principales caractersticas


de seguridad de la base de datos, Oracle DataBase 12c
relase 1: http://docs.oracle.com/en/database/database.html
y http://docs.oracle.com/database/121/index.htm
Existen diferentes arquitecturas segn el gestor de bases de
datos a continuacin mostraremos algunas de ellas [4].
Oracle.
Es una de las bases de datos ms popular en el mundo, por
su buena calidad y porque se adapta muy bien a muchas de
las plataformas y sistemas operativos.

Database: Hace referencia a los archivos fsicos que


almacenan los datos.
Parameter file, password file y archived log files:
Archivos de control que guardan los parmetros
especficos para un servidor Oracle (normalmente
init.ora), contraseas (en desuso en versiones actuales
del servidor) y archivos de log del servidor.

DB2
DB2 es un gestor de bases de datos creado por IBM, hace ya
varios aos y podra decirse que es el precursor del SQL y
est ms enfocada a estructuras internas de sistemas de
informacin de empresas e industrias, y no al internet como
Oracle.
En la Fig. 3 vemos la arquitectura tipo DAS (Data
Administration Server) que maneja DB2 y se encarga de
administrar la base de datos.

En la siguiente grafica Fig.2 se muestra la arquitectura base


de Oracle ya que segn la versin ha cambiado un poco su
estructura.

Fig. 1. Arquitectura de Oracle.

Proceso de usuario: Se conecta al servidor para


interactuar con la base de datos.
Proceso del servidor: Escucha los procesos de usuario y
realiza las peticiones a una instancia de la base de datos.
PGA (program global area): Memoria reservada para un
proceso de usuario. Se libera al morir la sesin.
Instancia: Conjunto de procesos tanto lgicos como de
control para acceder a los datos en s, almacenados en
ficheros fsicos. Accede a una y slo una base de datos.
SGA (system global area): Es el rea de memoria creada
al arrancar una instancia de Oracle. Tiene una serie de
subreas:
Shared pool: Almacena tanto la estructura e ndices de
los ltimos objetos a los que se ha accedido en la base de
datos como de las funciones y procedimientos PL/SQL
utilizados.

Fig. 2. Arquitectura de DB2


Para la comunicacin entre el servidor y el cliente, DB2 usa
DRDA (distributed relational database architecture), el cual
es un protocolo abierto aunque no ha gozado de gran
difusin. Dicho protocolo se transmite sobre TCP/IP y
dentro de cada uno de dichos paquetes se encuentran
empaquetados uno o ms paquetes DSS (datastream
structures ), en los que se encuentran los comandos de base
de datos junto con sus parmetros correspondientes.
En la autenticacin, el protocolo realiza la transmisin de
credenciales en texto plano (aunque puede cambiar en
funcin de la configuracin del servidor), aunque en caso de
esnifar los paquetes de red esto no parece evidente debido a

que no se transmiten en ASCII sino que DB2 utiliza


caracteres codificados mediante EBCDIC (extended binary
coded decimal interchange code), cdigo propiedad de IBM.
Dado este escenario, es posible realizar un mapeo entre
ambos conjuntos de caracteres y acceder a los datos de
autenticacin en caso de acceder al trfico entre cliente y
servidor durante el proceso de autenticacin.
a)

Qu nuevas caractersticas de seguridad


implementa esta versin con respecto a las
anteriores?

Bases de datos 'conectables'


La arquitectura multitenant permite que las bases de datos
se consoliden en un nico servidor a la vez que se
mantienen separadas entre ellas. Esta nueva arquitectura
permite compartir la SGA, la CPU y otros recursos,
reduciendo ampliamente la cantidad requerida de memoria y
de CPU, en comparacin con la que sera necesaria para
mantener las bases de datos por separado.
Heatmaps de bases de datos
Oracle database 12c monitoriza la actividad de cada
columna de las tablas, determina qu tipo de compresin se
adapta mejor a cada una, y puede realizar la compresin.
ndices duplicados
Esta caracterstica permite crear ndices duplicados sobre el
mismo conjunto de columnas. Esto puede ser muy til en
entornos de Data Warehouse en los que se puede mejorar el
rendimiento implementando a la vez ndices de tipo Bitmap
y de tipo B-tree sobre las mismas columnas.
Result sets implcitos
Una de las principales utilidades de los tipos de PL/SQL es
para devolver result sets desde una funcin o un
procedimiento almacenado. Ahora, con la release 12c, ya no
va a ser necesario proceder de esta manera, ya que se podr
devolver por referencia el mismo cursor desde las mismas
funciones y procedures.
Seguridad a nivel de PL/SQL
Ahora los DBA podemos asignar roles a bloques de cdigo
PL/SQL. Parece sencillo pero es impresionante. Oracle se
est asegurando de que la seguridad se puede otorgar
incluso a nivel de cada bloque.
Columnas de Identidad
Esta mejora ha sido tomada otras bases de datos como
MySQL y MS SQLServer. Estos gestores de bases de datos
ya permiten utilizar desde hace tiempo para las claves
primarias columnas de tipo 'identity', que tienen la habilidad
de autoincrementar por defecto el valor del campo de clave.
Mejoras en los valores por defecto de las columnas
Hay bastantes nuevas formas de definir valores por defecto
para una columna. Ahora se pueden utilizar las funciones
NextVal y CurrVal de las secuencias. Tambin se pueden
especificar valores por defecto para Nulos explcitos
proporcionados en sentencias Insert para asegurarse de que

determinadas columnas siempre contienen un valor.


Tambin ahora se pueden definir valores por defecto de slo
metadatos para campos de columna tanto opcionales como
obligatorios.
Opciones para limitar filas
Las nuevas clusulas de limitacin de filas, Offset y Fetch,
permiten crear consultas de tipo Top N sin saber
absolutamente nada de las funciones analticas. Adems
estas clusulas permiten paginar a travs de los datos para
selecionar ciertos subconjuntos de datos.
Tipos de datos extendidos
Los tamaos mximos de Varchar2 y NVarchar2 se han
incrementado de 4K a 32K. El tamao del tipo de dato
RAW tambin se ha ampliado de 2K a hasta 32K. Todos
estos tamaos estn disponibles con la opcin Extended
Data Types que puede activarse por medio de un parmetro
de inicializacin y ejecutando un script.
Encriptacin mejorada
La encriptacin mejorada permite la creacin y gestin de
'wallets' por SQL, en lugar de hacerlo a travs utilidades de
linea de comandos. Tambin permite la gestin remota de
una manera sencilla.
Separacin de Tareas
SYSDBA Super usuario
SYSOPER Menos privilegios que SYSDBA, pero con
bastante poder.
SYSBACKUP Puede utilizarse especficamente para
realizar operaciones de backup y restauracin.
SYSDG Disponible para administracin de data guard.
SYSKM Habilitado para realizar tareas bsicas de
mantenimiento.
Caractersticas de Oracle 12c no soportadas en Bases de
datos contenedoras
Estas son algunas de las caractersticas de bases de datos
Oracle 12c que no estn soportadas en la base de datos
contenedora de una arquitectura multitenant:
Continuous Query Notification
Flashback Data Archive
Heat Maps
Automatic Data Optimization
b) Qu responsabilidades deben tener los
desarrolladores
de
aplicaciones
y
los
Administradores de bases de datos para proteger la
informacin?
El DBA es responsable primordialmente de:
Administrar la estructura de la Base de Datos
Administrar la actividad de los datos
Administrar el Sistema Manejador de Base de
Datos
Establecer el Diccionario de Datos
Asegurar la confiabilidad de la Base de Datos

Confirmar la seguridad de la Base de Datos


III.

redseguridad.com (Abril de 2013).


Imperva identifica las 10 amenazas
principales de las bases de datos. 7 de
septiembre
de
2014,
de

REFERENCIAS

Microsoft (2015). Autenticacin


https://msdn.microsoft.com/eses/library/bb669066(v=vs.110).aspx

en

SQL

Server.

Bases de Datos (Abril de 2009). Seguridad, Mecanismos de


Seguridad, Concurrencia, Mtodos de Control. 7 de
septiembre
de
2014
http://unefabasededatos2009.blogspot.com/2009/04/segurid
ad-mecanismos-de-seguridad.html
Dataprix. Base de datos Oracle 12c: mejoras. 12 de mayo de
2014 http://www.dataprix.com/blog-it/bases-datos/oracle12c-las-mejoras#
Judumare Ferrer (Noviembre de 2010). Principales
manejadores de bases de datos. 7 de septiembre de 2014, de
http://www.buenastareas.com/ensayos/PrincipalesManejadores-De-Bases-De-Datos/1085968.html
MySQL Blog (Mayo de 2012). Ventajas y Desventajas. 7 de
septiembre
de
2014,
de
http://mysqldaniel.wordpress.com/ventajas-y-desventajas/
Hans kinderman
(Noviembre de 2011). Ventajas y
Desventajas. 7 de septiembre de 2014, de http://postgressqladsi.blogspot.com/2011/11/ampliamente-popular-idealpara.html
Conocimientos Informticos. Ventajas y desventajas de
Microsoft SQL. 7 de septiembre de 2014, de
http://ordenador.wingwit.com/software/databasesoftware/115436.html#.VA4HA_l5N1Y
Oracle DBMS Blog. Ventajas y Desventajas. 7 de
septiembre
de
2014,
de
http://oraclebddepn.blogspot.com/2013/05/ventajas-ydesventajas.html

http://www.redseguridad.com/actualidad/info-tic/impervaidentifica-las-10-amenazas-principales-de-las-bases-dedatos
Maulini, M. (2010). Artculo Las diez (10)
Vulnerabilidades ms comunes en bases de datos
Recuperado de http://www.e-securing.com/novedad.aspx?
id=58

IV.

BIOGRAFA

Claudia Lizeth Aguilera Daz. Naci el 5 de noviembre de


1989, en Acacias Meta; Culmino sus estudios de
bachillerato en el Colegio Departamental de Bachillerato
Juan Rozo, el 2 de diciembre de 2005 y aprob estudios de
Ingeniera de Sistemas en la Universidad Cooperativa de
Colombia sede Villavicencio el 26 de Agosto de 2011, ha
trabajado como gestor Tic en la Universidad Nacional
Abierta y a Distancia Unad ZAO, se ha desempeado como
Registrador Auxiliar en la Registradura Nacional del estado
Civil en Acacias en las elecciones de Senado, cmara y
parlamento andino, en la primera y segunda vuelta
presidencial del ao 2014, tambin se desempe como
Ingeniera Administrativa en SDT Ingeniera realizando
funciones en el proyecto Reaica con la alcalda de Acacias,
en la actualidad labora en Sed Meta como docente
encargada de la Tcnica Mantenimiento de Computadores
en articulacin con el SENA en el municipio El Castillo y
adelanta estudios de Especializacin en Seguridad
Informtica, en la Universidad Nacional Abierta y a
Distancia UNAD.

Você também pode gostar