CARACTERÍSTICAS Y FUNCIONES DE SEGURIDAD DEL SMBD SELECCIONADO

RAFAEL ENRIQUE MARTÍNEZ SANDOVAL

SERVICIO NACIONAL DE APRENDIZAJE “SENA”

ESPECIALIZACION TECNOLOGIA EN GESTION Y SEGURIDAD BASES DE

DATOS

FICHA 1881794

2019
1
 Introducción

El siguiente documento investigativo podemos decir que los sistemas de bases de

datos multiusuario, como por ejemplo ORACLE, incluyen características y funciones
de seguridad que controlan el acceso y el uso de una base de datos. Estos mecanismos de
seguridad se ocupan, entre otras cosas, de lo siguiente:

 Prevenir accesos no autorizados a la base de datos.

 Prevenir accesos no autorizados a objetos como son tablas, vistas,
índices, procedimientos, etc., pertenecientes a un usuario.
 Controlar el uso del disco.
 Controlar el uso de los recursos del sistema (el tiempo de CPU).
 Monitorear las acciones de los usuarios.

2
 1. Descripción de las características de seguridad del SMBD seleccionado

El SMBD Oracle enfoca la defensa de seguridad de los datos con un enfoque holístico,
por lo tanto se hace necesario tener en cuenta todo el ciclo de vida de los datos, donde
se encuentran, que aplicaciones y que usuarios tienen acceso a ellos. Además debemos
asegurarnos que los sistemas estén configurados adecuadamente, existen tres
elementos claves enfocados que conforman estas caracteriristicas y son las siguientes:
 Cifrado y enmascaramiento de datos. Son procesos para proteger los datos
fuera del perímetro de control de acceso de la base de datos, permitiendo
proteger los datos delicados contra el acceso no autorizado en el ámbito del
sistema operativo y contra el robo de hardware o medios de backup.
 Control de acceso. Son funciones para otorgar y revocar permisos respecto de
los objetos de base de datos para los distintos usuarios y role y realizar
controles en tiempo real de las actividades que se realizan sobre la base de
datos.
 Monitoreo. Es un componente clave en este SMBD, con una consola de
cambios de configuración, que permite reducir los costos y mitigar los riesgos
gracias a la automatización de la detección, la validación y la creación de
informes de cambios de configuración autorizados y no autorizados. Además
analiza la base de datos y el sistema de archivos en busca de parámetros de
configuración relacionados con la seguridad, como también consolidar los datos
de auditoría de varios servidores a fin de llevar un registro de la actividad de los
usuarios, y crea informes y alertas sobre actividades sospechosas.

Imagen. Características de seguridad.

3
 2. Opciones de configuración para acceder a las funciones

Como todo SMBD, Oracle presenta diferentes funciones de seguridad para la protección de
los datos de una organización, el cual son las siguientes.

 Cifrado y enmascaramiento
• Oracle Advanced Security. Modulo de función de cifrado transparente de los
datos almacenados y de los datos en tránsito.
• Oracle Secure Backup. Modulo de función de backup en cinta que cifra las
bases de datos y los datos del sistema de archivos.
• Oracle Data Masking. Modulo de función que des-identifica los datos de
producción antes de transferirlos a entornos de prueba o a socios.
 Control de acceso
• Oracle Database Vault. Modulo de función que ofrece control de acceso para
los usuarios administrativos y con privilegios, y controles en tiempo real de la
actividad de la base de datos.
• Oracle Label Security. Modulo de función que ofrece control de acceso según
la clasificación de los datos.
 Monitoreo
• Configuration Management de Oracle Enterprise Manager. Modulo para
analizar la base de datos y el sistema de archivos en busca de parámetros de
configuración relacionados con la seguridad.
• Oracle Audit Vault. Modulo que consolida los datos de auditoría de varios
servidores a fin de llevar un registro de la actividad de los usuarios, y crea
informes y alertas sobre actividades sospechosas.
• Oracle Total Recall. Modulo que ofrece un historial de los cambios realizados
sobre los datos delicados.

4
 3. Estructuras de privilegios y cuentas de usuarios disponibles en SMBD

En el SMBD Oracle, cada base de datos tiene asignada una lista de nombres de usuarios y de
esta forma acceder a la base de datos, el cual es validada con un nombre de usuario y una
contraseña y además tienen un conjunto de propiedades que determinan factores como:

• Acciones (privilegios y roles) disponibles para el usuario.

• Límites de espacio en el Tablespace para los usuarios.
• Límites de utilización de los recursos del sistema para los usuarios.

Los privilegios son permiso para ejecutar un tipo particular de sentencias SQL. Los
privilegios de una base de datos ORACLE pueden ser divididos en dos categorías:

 Privilegios del sistema; Los Privilegios de sistema permiten a los usuarios desempeñar
una acción particular dentro del sistema o una acción particular sobre un tipo
determinado de objeto. Por ejemplo, el privilegio para crear un tablespace o para
borrar filas de una tabla en la base de datos son privilegios de sistema. Muchos
privilegios de sistema están disponibles solamente para administradores y
desarrolladores de aplicaciones porque estos privilegios son muy poderosos.

En la siguiente tabla algunos de los privilegios de sistema más importantes

Privilegio Significado
CREATE SESSION Permite al usuario conectar con la base de datos
Permite al usuario establecer sesión con la base de datos en caso de
que la base de datos esté en modo restringido mediante la instrucción:
RESTRICTED SESSION ALTER SYSTEM ENABLE RESTRICTED SESSION
Sólo los usuarios con este privilegio pueden conectar con la base de
datos si ésta se encuentra en este modo.
ALTER DATABASE Permite modificar la estructura de la base de datos
ALTER SYSTEM Permite modificar los parámetros y variables del sistema
CREATE TABLE Permite crear tablas. Incluye la posibilidad de borrarlas.
GRANT ANY OBJECT Permite conceder privilegios sobre objetos que no son del usuario
PRIVILEGE (pertenecen a otros usuarios) a terceros usuarios.
CREATE ANY TABLE Permite crear tablas en otros esquemas de usuario
DROP ANY TABLE Permite borrar tablas de otros usuarios
SELECT ANY TABLE Permite seleccionar datos en tablas de otros usuarios
INSERT ANY TABLE Permite añadir datos en tablas de otros usuarios
UPDATE ANY TABLE Permite eliminar datos en tablas de otros usuarios
DELETE ANY TABLE Permite eliminar datos en tablas de otros usuarios

5
  Privilegios de objetos: Los privilegios de objetos permiten a los usuarios desempeñar
acciones sobre un esquema específico. Por ejemplo, el privilegio para borrar filas de
una tabla específica es un privilegio de objetos. Los privilegios de objetos son
asignados a usuarios finales, entonces ellos pueden usar una aplicación de la base de
datos para llevar a cabo tareas específicas.

En Oracle existen 3 usuarios, que se crean automáticamente durante la instalación. Los dos
poseen rol DBA (DataBase Administrator), es decir son administradores.

 SYS. Esta cuenta puede realizar todas las funciones administrativas. Todas las tablas base
(subyacentes) y las vistas del diccionario de datos de base de datos se almacenan en el
esquema SYS. Estas tablas base y vistas son fundamentales para el funcionamiento de
Oracle Database. Para mantener la integridad del diccionario de datos, las tablas del
esquema SYS solo son manipuladas por la base de datos. Nunca deben ser modificadas
por ningún usuario o administrador de base de datos. No se debe crear ninguna tabla en el
esquema SYS. Al usuario SYS se le concede el privilegio SYSDBA, que permite al
usuario realizar tareas administrativas de alto nivel, como copia de seguridad y
recuperación.
 SYSTEM. Esta cuenta puede realizar todas las funciones administrativas excepto las
siguientes:
• Copia de seguridad y recuperación.
• Actualización de la base de datos.

Si bien esta cuenta puede utilizarse para realizar tareas administrativas diarias, Oracle
recomienda encarecidamente la creación de cuentas de usuarios con nombre para
administrar la base de datos Oracle para permitir el seguimiento de la actividad de la base
de datos.

 DBSMNP. Usuario que tiene permisos para monitorizar Enterprise Manager.

6
Podemos modificar la contraseña del usuario SYSTEM desde SQLPLUS de la siguiente
forma:

SQLPLUS / AS SYSDBA

ALTER USER SYSTEM IDENTIFIED BY "SYSTEM";

 Privilegios administrativos

Oracle posee dos privilegios de sistema asociados a tareas administrativas, las cuales son las
siguientes:

• SYSDBA. Con capacidad de parar e iniciar

(instrucciones SHUTDOWN y STARTUP) la instancia de base de datos;
modificar la base de datos (ALTER DATABASE), crear y borrar bases de datos
(CREATE y DROP DATABASE), Crear el archivo de parámetros (CREATE
SPFILE), cambiar el modo de archivado de la base de datos, recuperar la base de
datos y además incluye el privilegio de sistema RESTRICTED SESSION. En la
práctica sus capacidades son las asociadas al usuario SYS.
• SYSOPER. Permite lo mismo que el anterior salvo: crear y borrar la base de
datos y recuperar en todas las formas la base de datos (hay modos de recuperación
que requieren el privilegio anterior).

La vista V$PWFILE_USERS nos permite examinar a los usuarios administrativos.

4. Descripción de los mecanismos de autenticación que posee el SMBD

En el SMBD Oracle, cuando los usuarios desean conectarse a la base de datos para realizar
sus funciones, esta se asegura de que están autorizados a acceder, por medio del proceso de
autenticación. La autenticación puede ser realizada de varias maneras, podemos definir el
usuario en la base de datos y autenticarlo, o definirlo en otro lugar, como por el ejemplo el
sistema operativo, y pasarle las credenciales como validas a la base de datos.

7
  Autentificación por el sistema operativo

Se permite el uso sólo en usuarios con privilegios administrativos. En el sistema operativo

en el que se instale Oracle se crean dos grupos de usuarios relacionados con los dos
privilegios de sistema SYDBA y SYSOPER. En Windows se
llaman ORA_DBA y ORA_OPER respectivamente, en Linux normalmente
son dba y oper. Los usuarios de esos grupos conectarían mediante CONNECT / AS
SYSDBA o CONNECT / AS SYSOPER.

Otra posibilidad es conectar con:

CONNECT / @SServidorRed AS SYSDBA

En este caso usamos los privilegios del sistema operativo para conectar con una base de datos
remota cuyo nombre de servicio de red se indique. Esta forma sólo vale para máquinas dentro
de un mismo dominio Windows.

 Autentificación por archivo de contraseñas

Se usa también para usuarios administrativos, especialmente cuando no se confía la

autentificación vista en el apartado anterior. Para usar esta forma de autentificación los
usuarios de tipo SYSDBA o SYSOPER indican su nombre de usuario y contraseña al
conectar (opcionalmente indican el host y/o nombre de servicio al que se desean conectar)
esos datos se contrastarán con los del archivo de contraseñas utilizado. Esta forma (y la
anterior) permite conectar la base de datos aunque no esté montada todavía la base de
datos.

La utilidad ORAPWD permite crear, si no existe, el archivo de contraseñas:

ORAPED FILE=ruta [ENTRIES=][FORCE=y | n [IGNORECASE=y | n ] ] ]

8
Funcionamiento:

• FILE. Permite indicar el nombre del archivo de contraseñas

• ENTRIES. Indica el máximo número de contraseñas que admitirá el archivo
• FORCE. En caso de darle el valor y (de yes, sí) sobrescribe las contraseñas cuando
asignemos una nueva a un usuario administrativo
• IGNORECASE. No tiene en cuenta mayúscula ni minúscula en las contraseñas.

Por otra lado el parámetro de sistema REMOTE_LOGIN_PASSWORDFILE (modificable

con el comando ALTER SYSTEM SET…) permite indicar la forma en la que funciona el
archivo de contraseñas. Valores posibles:

• NONE. No permite usar el archivo de contraseñas, las conexiones de usuarios con

privilegios administrativos tendrán que usar otros métodos.
• EXCLUSIVE. El archivo de contraseñas se usa sólo en la instancia actual.
• SHARED: Se comparte el archivo de contraseñas entre varias instancias de tipo Real
Application Cluster de Oracle (para bases de datos distribuidas). En este caso no se
pueden cambiar las contraseñas de los usuarios administrativos.

 Autentificación por contraseña en el diccionario de datos

Es la forma habitual de autentificarse de los usuarios normales (los que no son

administradores). En este caso los usuarios son autentificados mediante una contraseña que se
contrastará en el diccionario de datos, que es donde se almacenan estas contraseñas. Está
configuración requiere la base de datos montada y abierta (al tener que usar el diccionario de
datos). La contraseña se pasa encriptada desde el ordenador cliente al servidor mediante el
algoritmo AES.

 Autentificación externa

Oracle delega la autentificación a un servicio externo que se asociará a Oracle. Ejemplos de

servicios externos son Kerberos o RADIUS, este último sólo disponible en Windows.
Requiere el uso de las mejoras de seguridad avanzada de Oracle.

9
  Autentificación global

Se trata de utilizar un servicio LDAP para realizar la autentificación. Oracle dispone de un

servicio LDAP global integrado en Oracle Applications (plataforma de Oracle para le
creación de aplicaciones) que se llama Oracle Internet Directory. Si los usuarios sólo están
dados de alta en el directorio externo, usarán todos la misma cuenta de Oracle; para
independizarles se requiere darles de alta en ambos servicios (Oracle y el Oracle
Internet Directory).

5. Funciones asociadas a la integridad de los datos

En el SMBD Oracle es importante, al diseñar una base de datos y las tablas que contiene,
tener en cuenta la integridad de los datos, esto significa que la información almacenada en las
tablas debe ser válida, coherente y exacta. Debemos controlado y restringir la entrada de
valores a un campo mediante el tipo de dato que le definamos (cadena, numéricos, etc.), la
aceptación o no de valores nulos, el valor por defecto. También debemos asegurar que cada
registro de una tabla sea único definiendo una clave primaria y empleando secuencias.

Oracle ofrece más alternativas para restringir y validar los datos, las veremos ordenadamente
y al finalizar haremos un resumen de las mismas.

• Restricciones. Las restricciones (constraints) son un método para mantener la

integridad de los datos, asegurando que los valores ingresados sean válidos y que las
relaciones entre las tablas se mantenga.
Las restricciones pueden establecerse a nivel de campo o de tabla. Pueden definirse al
crear la tabla ("create table") o agregarse a una tabla existente (empleando "alter
table") y se pueden aplicar a un campo o a varios. También es posible habilitarlas y
deshabilitarlas.

Oracle ofrece varios tipos de restricciones:

• not null: a nivel de campo.

• primary key: a nivel de tabla. Es un campo o varios que identifican cada registro de
una tabla.

10
 • foreign key: a nivel de tabla. Establece que un campo (o varios) relacione una clave
primaria de una tabla con otra.
• check: a nivel de tabla. Restringe los valores que pueden ingresarse en un campo
específico.
• unique: a nivel de tabla.

Se pueden crear, modificar y eliminar las restricciones sin eliminar la tabla y volver a crearla.
Para obtener información de las restricciones podemos consultar los catálogos "all_objects",
"all_constraints" y "all_cons_columns".

El catálogo "all_constraints" retorna varias columnas, entre ellas: OWNER (propietario),

CONSTRAINT_NAME (nombre de la restricción), CONSTRAINT_TYPE (tipo de
restricción, si es primary key (P), foreign key (), unique (U), etc.), TABLE_NAME (nombre
de la tabla), SEARCH_CONDITION (en caso de ser Check u otra), DELETE_RULE (),
STATUS (estado), DEFERRABLE (), DEFERRED (), VALIDATED (), GENERATED (),
INDEX_OWNER (), INDEX_NAME ().

El catálogo "all_cons_columnas" retorna las siguientes columnas: OWNER (propietario),

CONSTRAINT_NAME (nombre), TABLE_NAME (nombre de la tabla), COLUMN_NAME
(campo), POSITION (posición).

11
 Bibliografía

https://jorgesanchez.net/manuales/abd/control-usuarios-oracle.html#

https://docs.oracle.com/cd/E24842_01/html/E23286/prbac-2.html

http://www.tutorialesprogramacionya.com/oracleya/temarios/descripcion.php?cod=195&punto=1&
inicio=

https://www.monografias.com/trabajos908/oracle/oracle2.shtml#copia

Seguridad-y-cumplimiento-normativo-2247283-esa

12