Академический Документы
Профессиональный Документы
Культура Документы
REFERENCIAS:
http://www.hospedajeydominios.com/mambo/documentacion-
manual_php-pagina-security_database.html
http://www.hernanracciatti.com.ar/articles/HPP26_Seguridad_en_
Base_de_Datos.pdf
http://pdf.rincondelvago.com/seguridad-en-bases-de-datos.html
http://www.als-
es.com/home.php?location=recursos/articulos/seguridad-en-
bases-de-datos
WILLIAM SUAREZ
Introducción
El objetivo principal es proteger la base de datos de ataques maliciosos, sean estos internos o
externos.
Gran parte de los errores en cuanto a la seguridad en base de datos aun con el avance tecnológico
suele producirse por la falta de preocupación de los procedimientos sencillos que a la larga se
convierten en graves inconvenientes que afecta en lo concerniente a la seguridad, todo tiene que
quedar de acuerdo con lo planeado sin ninguna omisión por mas mínima que sea, así como en la
instalación en el diseño o en el desarrollo, cualquier punto que se deje sin la preocupación debida
que no pude afectar en nada puede ser la entrada para los atacantes.
Otro punto que se tendrá que tomar en cuenta es la persona encargada del manejo del sistema ya
que por mas elevado que sea un sistema de seguridad no podrá hacer nada ante los errores
cometidos por el factor humano.
Tipos de usuarios
DBA, son los encargados de establecer usuarios conceder permisos, puede crear borrar modificar
objetos creados por ellos, según el caso que se presente, también puede dar permisos a otros
usuarios sobre estos objetos creados.
Medidas de seguridad
Pueden ser:
Subsistemas de Seguridad:
Uso de técnicas de cifrado: Utilizada en bases de datos distribuidas o con acceso a la red
o Internet, para la protección de datos
Diferentes tipos de cuentas
Manejo de la tabla de usuario con código y contraseña: Para controlar el manejo de la
información de cada una de las tablas y determinar el responsable facilitando así el
control de auditorias.
Ya que todos los sistemas de base de datos están expuestos a múltiples ataques es necesario
cumplir estos aspectos contemplados aquí a fin de poder reducir en grado de vulnerabilidad.
También es necesario establecer los protocolos que se deben cumplir para su correcta aplicación.
Existen ataques externos que son detectados y controlados por el firewall, pero aquí no termina
el problema, de igual forma existen ataques internos, donde se le permite al usuario acceder
libremente a la base de datos sin ningún tipo de protección suponiendo que el usuario no actuara
con malas intenciones sobre el contenido almacenado y de esta forma comienzan un laberinto de
problemas.
ATAQUES QUE NO REQUIEREN AUTENTICACION: Son los más comunes ya que no se necesita
de ninguna contraseña o clave, aquí tenemos las explotaciones de buffer overflow como las más
presentes.
Otra técnica que se encuentra en este misma clasificación es la que se pretende obtener una clave
de acceso al sistema adivinando y los ataques de fuerza fruta o diccionario.
ATAQUES QUE REQUIEREN AUTENTICACION: Este tipo de ataques son lanzados por personas
que tienes las claves de acceso obtenidas de formas generalmente ilícitas, este tipo de ataque
suele tener un grado mayor de riesgo ya que se tiene mas acceso, un ejemplo de este tipo de
ataques es el de la explotación de los buffer overflows en procedimientos almacenados.
WILLIAM SUAREZ
Metodología
Puntos que se deben tomar en cuenta al momento que se requiere realizar un test de penetración
a un servidor de base de datos:
Adquisición
Fingerprinting/Sondeo/Descubrimiento
Obtención de acceso
Estalación de privilegios
Compromiso total del host
Seguridad física
Políticas y procedimiento
Seguridad a nivel de file system
Seguridad de entorno
Stored procedures
Passwords
Los servidores de base de datos ofrecen servicios de conexión los cuales deben ser controlados,
pues son un punto de ataque. Los puertos en Oracle son 1521/tcp, Sql Server utiliza puertos
1433/tcp y 1434/udp.
En el año 2003 fue detectado uno de los gusanos llamado Sapphire, este era uno de los virus
infecciosos mas rapidos que atacaba a versiones no parchadas de Sql Server.
Entre los factores que contribuyeron a la infección tenemos: los administradores no aplicaban
parques correspondientes, cierta incapacidad por parte de Microsoft en servicios automáticos
update y la falta de control en el port 1434/udp.
El puerto 1434/udp viene habilitado por defecto en toda instalación Sql server 2000 que se lo utiliza
para diferentes actividades, y simplemente el hecho de bloquearlo hubiera sido necesario para
controlar un ataque infeccioso. Una de las causas es que se cree que al no estar habilitado este
puerto no funcionara bien el servicio de Sql Server, relativamente esto es falso ya que se puede
trabajar normalmente si se bloquea este tipo de puerto.
Servicios de seguridad
Seguridad IP: (Windows IP Securitry) se lo utiliza para la defensa y protección de las redes.
Servicios de seguridad Windows 2000: Tiene como función examinar los procedimiento de
gestión de cuentas, autenticación de red.
Identificación y autentificación
Código y contraseña.
Identificación por hardware.
Características bioantropométricas.
Conocimiento, aptitudes y hábitos del usuario.
Información predefinida(Aficiones, cultura)
Es necesario que se especifique las actividades que podrá realizar el usuario sobre la base de
datos.
Crear
Modificar
Eliminar
Borrar
Ejecutar procedimientos almacenados
Mecanismos de autenticación
Claves: Se utiliza este tipo de autentificación para elevar el nivel de seguridad, son fáciles de
comprender y utilizar. Utiliza 7 caracteres en el que el propósito es crear una clave difícil de
descifrar por parte de extraños difícilmente esto se aplica ya que los usuarios generalmente suelen
utilizar claves de fácil acceso y esto es aprovechado por quienes desean accedes al sistema de
manera ilícita.
Identificación física