Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Grupo 233009_6
Fase 2 - Conceptualizar la Seguridad de Bases de Datos
Universidad Abierta y a Distancia UNAD
Integrantes
Presentado a
Jos Hernando Pea
Tutor, Seguridad en Bases de Datos
14 de marzo de 2017
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 2
Introduccin
Tabla 1.
Mecanismos de autenticacin de bases de datos relacionales
Mtodos SQL
Descripcin Postgres Oracle MariaDB MySQL
Autenticacin server
Este mtodo de
autenticacin, es por
defecto el que usan
Autenticacin
la mayora de base X X X X X
de confianza
de datos y no
contempla ningn
tipo de seguridad.
Este mtodo de
autenticacin,
consiste en un
servidor centralizado
el cual cifra la
conexin y
Kerberos X X X X X
centraliza la
informacin en las
empresas, evitando
que se usen muchas
contraseas para
cada sistema.
Este mtodo de
autenticacin
consiste en generar
una llave pblica en
PKI-Based la infraestructura, X X
esta llave puede ser
usada para cifrar la
conexin o el canal
de conexin.
Este mtodo
consiste en un
protocolo de
seguridad el cual
Radius X X X X
centraliza y gestiona
las autenticaciones
en las
organizaciones.
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 4
Este no es
precisamente un
mtodo de
autenticacin, hace
PAM referencia a diversos X X X X
mtodos exteriores
que pueden ser
instalados en las
bases de datos.
Este mtodo de
autenticacin hace
uso de los usuarios
del sistema
Peer operativo en que se
X
Authentication encuentra instalado
el motor de base de
datos y los autentica
mediante los
usuarios del sistema
Tabla 2
Mecanismos de autenticacin de bases de datos no relacionales
Mtodos Cassandra Couch
Descripcin Neo4j MongoDB Redis
Autenticacin DB DB
Este mtodo de
autenticacin, es por
defecto el que usan
Autenticacin
la mayora de base X X X X X
de confianza
de datos y no
contempla ningn
tipo de seguridad.
Este mtodo de
autenticacin,
consiste en un
servidor centralizado
el cual cifra la
conexin y
Kerberos X X
centraliza la
informacin en las
empresas, evitando
que se usen muchas
contraseas para
cada sistema.
PKI-Based Este mtodo de
autenticacin
consiste en generar
una llave pblica en
la infraestructura,
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 6
Este mtodo
consiste en usar
sistemas de
autenticacin que
Biometra usan partes bilogas
de las personas
tales como iris, voz,
huellas, rostro entre
otros.
Este no es
precisamente un
mtodo de
autenticacin, hace
PAM referencia a diversos X
mtodos exteriores
que pueden ser
instalados en las
bases de datos.
Este mtodo de
autenticacin hace
uso de los usuarios
del sistema
Peer operativo en que se
Authentication encuentra instalado
el motor de base de
datos y los autentica
mediante los
usuarios del sistema
2. Identificar las posibles causas que generan las fallas de seguridad en las bases de
datos seleccionadas en el punto 1.
Tabla 3
Fallas de seguridad en bases de datos relacionales y no relacionales
Bases de Datos Posibles Causas de Fallas
Relacionales (SQL)
MySQL Inyeccin SQL
Autenticacin remota
Credenciales por defecto
Cuentas de usuario sin auditar
Contraseas no seguras
Ataque DDoS
Microsoft SQL Server Mal configuracin de servicios y firewall
No se actualizan a sus ltimas versiones
Mal configuracin en los puertos de red
Procedimientos almacenados innecesarios
Cuentas de usuario sin auditar
Contraseas no seguras
Inyeccin SQL
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 8
Inyeccin SQL
Es un mtodo de ejecucin de sentencias sql o cdigos ilcitos que vulnera la seguridad
del sistema, para realizar cambios en una base de datos.
Autenticacin Remota
Es cuando un hacker accede de forma ilegal a paneles administrativos como por ejemplo
PhpMyAdmin (MySQL).
Contraseas no seguras
La implementacin de contraseas sencillas, pueden ser fcilmente vulneradas por fuerza
bruta o diccionarios.
Ataque DDoS
Significa ataque de denegacin de servicio distribuido, es uno de los ataques ms usual
y eficaz, donde se ataca al servidor principal desde muchos ordenadores generalmente a
travs de una red de bots, generando un gran flujo de informacin con el fin de inhabilitar al
servidor.
3. Describir los tipos y mecanismos de respaldo de las Bases de datos que ofrece
Oracle, PostgreSQL, Microsoft SQL server, Mysql, Cassandra DB, MongoDB. Se solicita
crear un plan de respaldo diario, semanal y mensual para las bases de datos, y presentar
otras estrategias que se puedan aplicar e implementar para mantener la disponibilidad
de los servicios de bases de datos 7x24 y a su vez cumplan con la contingencia y
continuidad del negocio para las bases de datos.
Ventaja:
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 10
Esto permite restaurar los datos en un tiempo mnimo, lo cual se mide en trminos de
objetivo de tiempo de recuperacin (RTO).
Desventaja:
El inconveniente es que lleva ms tiempo realizar un backup completo que de otros tipos
(a veces se multiplica por un factor 10 o ms), y requiere ms espacio de almacenamiento.
Oracle
Soporta 2 tipos de copias de seguridad: offline y online, estas funcionan de la siguiente
manera:
Offline
Online
Est mtodo nos permite sacar backups en caliente a la base de datos es decir sin
generar indisponibilidad de servicios. Requisito principal: La base de datos debe estar en modo
archive.
Adicionalmente Oracle cuenta con RMAN una de las herramientas ms potentes para realizar
copias de seguridad.
RMAN
En RMAN podemos configurar 3 tipos de backups: Por nmero de copias, por tiempo y no
configurado por RMAN.
a. Por nmero de copias: Indicamos a Oracle que debe existir n copias de un backup
para considerarlo obsoleto el ms antiguo. Configure Retention Policy To Redundancy.
b. Por das de retencin: Indicamos a Oracle el nmero de das que debe tener un
backup para ser considerado vigente todava. Configure Retention Policy To Recovery Window
Of # Days; Si un backup no cumple el perodo de das de ser considerado vigente, pero es
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 11
necesario para tener un backup completo de la base de datos; Oracle no lo marcar como
obsoleto. Asimismo, siempre Oracle mantendr un backup completo de la base de datos. El
nmero de das de retencin no puede ser mayor al especificado en el parmetro
Control_File_Record_Keep_Time si no estamos utilizando catalogo.
c. Sin retencin: Indica que el backup nunca ser obsoleto, pero le da el derecho a la
herramienta de terceros que realiza el backup a hacerlo.
Postgres
Sql Dump
Es posible en una base de datos maestra, la cual contiene base de datos, archivos y
grupos de archivos.
Este mtodo est disponible para los grupos de archivos de solo lectura, contiene base
de datos, archivos y grupos de archivos.
Mysql
Mysqldum
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 12
Este mtodo de copia de seguridad consiste en realizar una copia lgica de la base de
datos, permitiendo realizar el copiado de algunas estructuras de la base de datos, este es ideal
cuando se desea recuperar cierta informacin particular de una base de datos, el inconveniente
de este mtodo es que se tiene que bloquear la base de datos al momento en que se realiza el
proceso, adems tiende a tomar bastante tiempo en base de datos que contengan gran
cantidad de informacin.
Snapshots de LVM
Este mtodo realiza la copia de seguridad fsica en caliente, esto quiere decir que no es
necesario detener la base de datos para realizar el proceso, minimizando el bloqueo de la base
de datos. Este mtodo realiza una copia de la base de datos completo, por ende es ms
complicado restaurar datos parciales de la informacin.
Cassandra
nodetools snapshop
MongoDB
mongodump
Plan de Respaldo
Para maximizar la seguridad de la informacin alojada en sistemas de bases de datos y
teniendo en cuenta el tamao de almacenamiento, se considera automatizar la creacin de
copias de seguridad de la siguiente manera.
Respaldo diario: realizar una copia de seguridad incremental.
Respaldo semanal: realizar una copia de seguridad diferencial durante un da fijado de
cada semana.
Respaldo mensual: realizar una copia de seguridad completa durante una fecha fijada
de cada mes.
Estrategias
Existen diferentes medios para salvaguardar la informacin, tanto con dispositivos fsicos
como programas en la nube, para realizar copias de seguridad. Cualquiera que sea el sistema
que utilicemos, se debe cuidar de hacer copias de respaldo teniendo en cuenta algunos
esenciales en la estrategia de seguridad informtica como las siguientes:
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 13
Y en cuanto a los archivos que estn en un servidor externo, sujeto a otras medidas de
seguridad, como nuestra pgina web, tenemos una copia nosotros en caso de que fallara la
empresa con la que trabajamos?
Por tanto, no slo has de crear copias de respaldo, sino asegurarte de que ninguna
persona ajena a ti, que es con quien esa persona fsica o jurdica ha firmado el contrato, pueda
acceder o robar esos ficheros. Se impone crear ficheros encriptados si trabajamos con backup
en la nube y tambin disponer de un sistema de proteccin online actualizado.
Tambin se recomienda que adems de realizar las copias de seguridad completas de las
bases de datos, se debe crear una copia adicional en un medio de almacenamiento extrable y
que ste se conserve en una rea alejada del lugar donde se encuentran las copias de
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 14
seguridad tradicionales; ya que existen amenazas que pueden ser provocadas por el medio
ambiente y pueden afectar fsicamente al hardware y los activos del sistema de informacin.
Qu pasa con todas las copias de seguridad que hemos hecho? A la basura! A menos
que tengas un plan B, un sistema de copias de seguridad en la nube que te permita recuperar
tus ficheros perdidos en poco tiempo.
Disponibilidad 24/7
Ambiental: los dispositivos que operan las diferentes bases de datos, deben estar en
ambientes con temperaturas recomendadas para su correcto funcionamiento.
Hardware: un equipo que utiliza hardware de ltima tecnologa y con los requisitos
suficientes, puede hacer la diferencia a la hora de procesar la informacin transaccional de una
base de datos de una forma ms eficiente. As como adems de tener servidores espejos
pueden mejorar la disponibilidad de los servicios en caso de que uno presente problemas
tcnicos.
Red: para mejorar las transacciones de la informacin entre un cliente y el servidor sea
el caso, se deben considerar una conexin de red muy estable y con un buen servicio de ancho
de banda.
MongoDB 3.4.2
MongoDB utiliza una arquitectura llamada Nexus, una nica base de datos que se centra
en la combinacin de las capacidades crticas de las bases de datos relacionales y aplicando al
mismo tiempo las innovaciones de las tecnologas NoSQL. Algunas de las caractersticas de
esta arquitectura son:
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 16
Hoy en da las aplicaciones son usabas con ms constancia y a su vez se les confa
informacin personal y confidencial. Es por ello que la responsabilidad que tienen los
desarrolladores y administradores para asegurar la informacin que es suministrada en una
base de datos, es de suma importancia. Para realizar buenas prcticas y mejorar la seguridad
de la informacin, se debe tener en cuenta los siguientes aspectos y responsabilidades.
Tabla 4
Responsabilidades de los desarrolladores de aplicaciones y administradores
Desarrollador Administrador
No ejecutar aplicaciones desconocidas Realizar copias de seguridad
o de desconfianza
Establecer permisos de los recursos Mantener los equipos del servidor en
requeridos por la aplicacin y utilizar un lugar fsico asegurado, donde se
configuracin menos permisiva. evite el ingreso a personal no
autorizado.
Configurar la aplicacin de tal manera Mantener los equipos en sitios con
que no muestre mensajes de errores temperaturas recomendadas
detallados que pueden ser
aprovechados por delincuentes.
Utilizar diferentes tipos de cifrados Ejecutar programas seguros que
seguros para la transaccin de datos supervise el trfico de datos
Controlar la informacin que se Definir roles que permitan facilitar la
almacena en las cookies administracin y responsabilidades de
cada usuario
Utilizar mecanismos de autenticacin Considerar cambios futuros de activos
difciles de eludir y actores.
Identificar y gestionar cuidadosamente los datos sensibles
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 17
Los desarrolladores juegan un papel importante, dado que ellos son los que realizan los
sistemas informticos que estn soportados por los diferentes motores de bases de datos y
estos deben cumplir con algunos cuidados tales como.
6. Documentar como se cifra las conexiones y la totalidad de cada Base de Datos, para
Oracle 12 C (tanto en versin Express como en versin Enterprise), MYSQL, Microsoft
SQL server y Casandra en sus ltimas versiones.
Tabla 5
Cifrados de conexiones de bases de datos
Base de datos Enterprise Express
Oracle TDE Data Encryption Toolkit
MySQL AES, SSL/TLS, SSH
Microsoft SQL Server TDE, PKI Seguridad Avanzada
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 18
Cassandra SSL/TLS
Seguridad Avanzada
Es una estructura de seguridad estndar que generalmente implementan las versiones
bsicas de motores de datos.
SSH
Utiliza tcnicas de cifrado que permite que la informacin que viaja por el medio de
comunicacin se transporte de tal manera que no sea legible.
PKI
Significa Infraestructura de Clave Pblica. La tecnologa PKI permite a los usuarios
autenticarse con otros usuarios y usar la informacin de los certificados de identidad para cifrar
y descifrar mensajes, firmar digitalmente informacin, garantizar el no repudio de un envo, y
otros usos. Este mtodo suele ser un poco ms costoso de implementar dentro de las
organizaciones.
Fase 2 - Conceptualizar la Seguridad de Bases de Datos 19
Referencias
https://www.ibm.com/support/knowledgecenter/es/SSANHD_7.6.0/com.ibm.mbs.doc/gp_h
ighavail/c_ctr_ha_for_databases.html
http://www.mongodbspain.com/es/2014/08/17/mongodb-characteristics-future/
Conclusiones
Biografas