Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

Oracle Database Vault

CONTENIDO
1.

Fabricante.......................................................................................................2

2.

Resumen Ejecutivo.........................................................................................2

3.

HARDWARE Y SOFTWARE REQUERIDO...........................................................2

3.1.

Hardware.................................................................................................2

3.2.

Software...................................................................................................2

4.

Qu es Oracle Database Vault?.................................................................2

5.

Beneficios.......................................................................................................3

6.

Conociendo Oracle Database Vault a fondo................................................4

5.1.

Controles para cuentas de alto privilegio................................................4

5.2.

Controles para la configuracin de la base de datos...............................4

5.3.

Recomendaciones de Configuracin para Database Vault...................5

5.4.

Configuracin del Oracle Database Vault.............................................5

5.5.

Habilitar la opcin Database Vault...........................................................6

5.6.

Separacin de Tareas en Database Vault.................................................8

7.

Conclusiones...................................................................................................9

8.

Bibliografa.....................................................................................................9

Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

1. FABRICANTE
Oracle 1995-2016.

2. RESUMEN EJECUTIVO
Las medidas de seguridad que se desean ser implementadas en una empresa
deben considerarse a nivel de base de datos de igual manera que a nivel de
Hardware, Red y Operacin. Generalmente, las empresas piensan que pueden
resolver su problema de seguridad con solo adquirir un Firewall, con el mismo
es posible tomar medidas de seguridad contra ataques externos, sin embargo,
no es suficiente cuando se trata de ataques internos. No se tiene proteccin
sobre el servidor donde opera la base de datos. Tambin hay que tener en
cuenta que los usuarios, con permisos de DBA sobre la base de datos, tienen
acceso completo a las mismas sin importar desde donde se puedan conectar.
Esto es considerado una brecha de seguridad muy importante ya que ponen en
riesgo la informacin de la aplicacin. Oracle Database Vault es una solucin
de seguridad para base de datos Oracle que se recomienda para poder resolver
este tipo de brechas de seguridad.

3. HARDWARE Y SOFTWARE REQUERIDO

3.1. Hardware

3.2.

Memoria mnima: 1 GB
Memoria recomendada:2 GB
Espacio libre mnimo: 500 MB
Espacio libre recomendado:1 GB

Software
Se requiere tener instalado Oracle 11g R2 el cual podemos
obtener de la pgina oficial para la versin de 32 bits o 64 bits, ya

sea para Windows u otros sistemas operativos.

J2SE 5.0
Java SE 6

4. QU ES ORACLE DATABASE VAULT?

Oracle Database Vault una poderosa herramienta de control de acceso que
ayuda a proteger la informacin en la base de datos contra accesos no
autorizados. Los controles de seguridad tienen como funcin bloquear el acceso
a la informacin a cuentas privilegiadas y controlar operaciones sensibles
dentro de la base de datos utilizando autorizacin multi-factor. La seguridad de
las aplicaciones puede mejorar a travs del anlisis de privilegios y roles.
Oracle Database Vault protege los entornos de base de datos Oracle de
manera transparente, eliminando costosos cambios de seguridad en las
2

Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

aplicaciones. Permite generar controles de comunicacin dinmicos y flexibles

sobre seguridad, mediante informes ya generados en la base de datos. Debido
a que la configuracin de seguridad se aplica a nivel del Kernel de la base de
datos, es mucho ms eficiente que medidas de seguridad a travs de PL/SQL.
Oracle Database Vault puede ser exitosamente desplegado y configurado en
una base de datos Single-Instance o en arquitectura RAC. En ambas
arquitecturas evita los accesos, a los administradores de bases de datos, a la
informacin crtica de la aplicacin (tarjetas de crdito, informacin personal de
clientes, detalle de cuentas, informacin personal de salario, clculos, gastos y
detalle de conversaciones).

5. BENEFICIOS

Previene cambios no autorizados en la base de datos.

Permite agregar, alterar o rastrear un controlador temporal en tiempo

real.
Es sencillo de crear, configurar y administrar. Adems, el rendimiento

del sistema casi no se ve afectado.

Database Vault es parte de la base de datos, por lo que hace sencilla la
configuracin. Se maneja mediante secciones de dominio o Realms,

conjunto de reglas de comando, factores e informes.

Asegura una completa y segura configuracin

informacin de las aplicaciones.

Permite restringir el acceso a usuarios autorizados (con el permiso

para

proteger

la

SELECT ANY TABLE). Inclusive puede restringir accesos a usuarios con el

rol DBA, a pesar de ser un rol tan poderoso.

Cualquier cambio sobre los objetos de la base de datos (alter, drop,
truncate, etc) o sobre la data (insert, update, delete,etc) puede ser
restringido. Es necesario determinar cmo, cundo y porque motivo se

debe restringir.
Protege el entorno de la base de datos. Puede proteger la base de datos

de ataques no deseados.
Puede tomar la separacin de tareas como un principio de seguridad.

6. CONOCIENDO ORACLE DATABASE

VAULT A FONDO
3

Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

5.1. Controles para cuentas de alto

privilegio

Las cuentas de alto privilegio son las vas de acceso ms comunes a la

informacin sensible dentro de la base de datos. Si bien los accesos amplios y
sin restricciones facilitan el mantenimiento de la base de datos, estos accesos
facilitan ataques hacia gran cantidad de informacin. Oracle Database Vault
Realms se establecen sobre los esquemas de aplicaciones, tablas, unidades de
programas y ms. Estos representan controles para prevenir que las cuentas
privilegiadas sean utilizadas por hackers o personal interno para acceder a
informacin de las aplicaciones.

Imagen 01

5.2. Controles para la configuracin de la

base de datos

Entre los hallazgos de auditoria ms comunes podemos encontrar cambios no

autorizados sobre accesos a la base de datos, incluyendo accesos al role DBA,
creacin de nuevos usuarios y creacin de objetos.
El prevenir cambios no autorizados en un ambiente de produccin es
importante, no solo por temas de seguridad, sino porque tambin disminuye la
posibilidad de posibles ataques de Hackers violando la privacidad de la
informacin e cumplimiento de regulaciones.

Oracle Database Vault SQL

Command Control permite a los clientes controlar las operaciones dentro de la

base de datos, comandos tales como CreateTable, TruncateTable, Create user,
etc. Muchos factores fuera de la base de datos como Direccin IP, Mtodos de
Autenticacin y Nombre de Programas ayudan a implementar autorizaciones
Multi-factor, de esta manera podemos controlar ataques por contraseas
robadas.

Estos

controles

previenen

tambin

cambios

accidentales

de

configuracin, ataques de Hackers y manipulaciones de la aplicacin por parte

de personal interno.

Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

5.3. Recomendaciones de Configuracin

para Database Vault
Recomendacin 1: Es necesario tener definido el $ORACLE_HOME en el
archivo /var/opt/oracle/oratab. De lo contrario el botn de Opciones no se
activara cuando se ejecute el DBCA.
Recomendacin 2:

El PASSWORD_VERIFY_FUNCTION en el Profile por defecto

debe de ser NULL. Caso contrario aparecer el error ORA-29504. Revisar la

nota ID 1509963.1
Recomendacin 3:

El error ORA-29504 podra aparecer muchas veces en la

configuracin con el DBCA. Para la versin 11g, este error no debe de ser
tomado en cuenta. Para la versin 12c est solucionado.

5.4. Configuracin del Oracle Database

Vault
Nos conectamos a la base de datos a travs de sqlplus como sysdba.
Connected to: Oracle Database 11g Enterprise Edition Release
11.2.0.3.0 - 64bit Production
En el texto inicial se observa que la opcin Database Vault no se encuentra
configurada.

Cuando est configurada, podemos observar el texto Oracle

Label Security, Oracle Database Vault

Tambin podemos revisar la vista V$OPTION para observar si el Database Vault
se encuentra configurado
SELECT * FROM

V$OPTION WHERE PARAMETER = 'Oracle Database

Vault';
Oracle Database Vault ----- FALSE (No esta deshabilitado)
Ejemplo:

Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

Imagen 02

5.5.

Habilitar la opcin Database Vault

PASO 1- Cerramos la base de datos

SQL>shutdown immediate

PASO 2- Bajamos la consola Enterprise Manager, si estuviera arriba.

$ emctl stop dbconsole

PASO 3- Bajamos el Listener.

lsnrctl stop listener

PASO 4- Habilitamos la opcin Database Vault con los siguientes

comandos:
cd $ORACLE_HOME/rdbms/lib
make -f ins_rdbms.mk dv_onlbac_onioracle

NOTA: Cuando una opcin es habilitada en los binarios del motor de base de
datos; Es posible utilizar el comando chopt en lugar del Make f.

La

configuracin se puede revisar en el siguiente Link

Ejemplo:
chopt enable lbac
Writing to
/u01/app/oracle/product/11.2.0/dbhome_2/install/enable_lbac.log...
/usr/bin/make -f
/u01/app/oracle/product/11.2.0/dbhome_2/rdbms/lib/ins_rdbms.mk
lbac_on
ORACLE_HOME=/u01/app/oracle/product/11.2.0/dbhome_2
/usr/bin/make -f
/u01/app/oracle/product/11.2.0/dbhome_2/rdbms/lib/ins_rdbms.mk
ioracle
6

Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

ORACLE_HOME=/u01/app/oracle/product/11.2.0/dbhome_2
chopt enable dv
Writing to
/u01/app/oracle/product/11.2.0/dbhome_2/install/enable_dv.log...
/usr/bin/make -f
/u01/app/oracle/product/11.2.0/dbhome_2/rdbms/lib/ins_rdbms.mk
dv_on
ORACLE_HOME=/u01/app/oracle/product/11.2.0/dbhome_2
/usr/bin/make -f
/u01/app/oracle/product/11.2.0/dbhome_2/rdbms/lib/ins_rdbms.mk
ioracle
ORACLE_HOME=/u01/app/oracle/product/11.2.0/dbhome_2

PASO 5- Levantamos la base de datos y el listener. Luego Revisamos si el

Database Vault ha sido habilitado correctamente.
Sqlplus> startup;
SELECT * FROM V$OPTION WHERE PARAMETER = 'Oracle
Database Vault'; Oracle Database
Vault -- TRUE (Esta Habilitado)

Cuando volvamos a conectarnos por sqlplus podemos observar que las opciones
de Database Vault han sido habilitadas.
Ejemplo:

Imagen 03
A partir de ahora la opcin Oracle Database Vault se mostrar como un
componente a configurar durante la creacin de una nueva Instancia.

Si se

desea activar la opcin Database Vaulten bases de datos ya creadas, es

necesario realizarlo mediante el DBCA.

Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

Imagen 04
Cuando se configure el Database Vault, debemos de definir el nombre de
usuario y password para el Database Vault Owner y la cuenta Administradora
(Account Manager).

Imagen 05
Una vez finalizada la configuracin, podemos ingresar a la
ruta https://<hostname/ip>:<puerto> e ingresaremos a la pgina de inicio del Oracle
Database Vault

Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

Imagen 06

5.6.

Separacin de Tareas en Database

Vault
Para la funcionalidad de separacin de Tareas, Oracle Database Vault crea 3
diferentes cuentas responsables: Administrador de seguridad, Administrador de
cuentas y Administrador propio de la base de datos.
El Administrador de seguridad es la persona responsable de la seguridad
mediante el Database Vault.

l se responsabiliza por las operaciones de

seguridad en la base de datos. Administra los Dominios (Realms), las reglas de

comando, los factores y puede generar reportes. A pesar de su rol no tiene
accesos a la informacin de las aplicaciones.
El Administrador de cuentas es el encargado de crear, modificar y eliminar
cuentas

de

usuario.

El Administrador de base de datos tiene las funciones tpicas de un DBA como

backup/restore, aplicacin de parches, Tunning de base de datos, etc.

7. CONCLUSIONES
Oracle Database Vault en lneas generales es un producto enormemente
verstil y escalable. Que permite aumentar significativamente la seguridad de
los datos, ayudando a las empresas cumplir con la confiabilidad que estas
requieren, para ellas mismas como pasa sus clientes.
Oracle Database Vault es una extensin del mismo Oracle es por esto que el
rendimiento de la BD no se ver afectado en lo ms mnimo asegurando una
performance nica en este mercado tan complicado como lo es el de la
seguridad informtica.

Auditoria de Sistemas de Informacin

4131
Laboratorio 10: Software para proteger una base de datos

Lavado Valles, Bryan Fabrizzio

000072764
18/10/16

8. BIBLIOGRAFA
Oracle. (2006). Oracle Database Vault - Datasheet. Obtenido de
http://www.oracle.com/technetwork/es/documentation/317450-esa.pdf
Oracle. (2007). Oracle Database Vault - Datasheet. Obtenido de
http://www.oracle.com/technetwork/es/documentation/317467-esa.pdf
Oracle. (2013). Oracle Database Vault. Obtenido de
http://www.oracle.com/technetwork

10