Академический Документы
Профессиональный Документы
Культура Документы
Administración
i
de bases de datos
Maestría en Tecnologías de información
Sesión 4
Instructor:
MC. Michel García García
garcia.michel@gmail.com
1
¿Qué veremos hoy?
Unidad 4. Seguridad de bases de datos
Unidad 5. Sistemas de recuperación
Actividades
Recordatorio
Presentación de tareas
Exposición
Actividades
Tarea
2
Recordatorio-Tipos de registros
Registro lógico
Registro que ve el usuario
Registro físico
fí
Registro tal cual se almacena en la base de datos
3
Recordatorio- Tipos de usuarios
Se consideran 3 clases generales de
usuarios
i
Programador de aplicaciones
U
Usuario
i fifinall
Administrador de bases de datos
4
Ciclo de vida de las aplicaciones de bases de
datos
1. Planificación del proyecto
2. Definición del sistema
3. Recolección y análisis de los requisitos
4
4. Diseño de la base de datos
5. Selección del DBMS
6. Diseño de la aplicación
7. Prototipo
8. Implementación
9
9. Conversión y carga de datos
10. Prueba
11. Mantenimiento
5
Revisión de Tareas
Hacer di
H diseño
ñ fí
físico
i (i(implementación
l t ió en ell
SGBD de su preferencia)
6
Actividad
7
Las aplicaciones de las BD
Inventario Educación
Reservas Estadísticas
Compras Bancos
Seguimiento Adm. Clientes
Logística Bibliotecas
Transporte S
Sistemas
8
Receso
40 minutos
9
Unidad IV
IV. Seguridad de
bases de datos
Unidad 4
10
Introducción
¿Cuándo hay seguridad?
I t
Integridad
id d
Seguridad
Privacidad
Autenticidad
Seguridad en BD
En sistemas multiusuario el DBMS debe
proveer técnicas
té i que permitan
it a ciertos
i t
usuarios acceder solo a partes selectas de la
BD sin tener acceso al resto
BD,
Muy importante en grandes BD integradas
con muchos usuarios distintos
12
Seguridad en BD
La información confidencial, como los
salarios
l i d debe
b estar
t oculta
lt a lla mayor parte
t
de los usuarios
13
Seguridad en BD
Generalmente los DBMS cuentan con
sistemas
i t de
d seguridad
id d y autorización
t i ió dde lla
base de datos
14
Acceso a la BD sin protección
15
Acceso a la BD sin protección
16
Acceso a la BD sin protección
17
¿Existe un control de acceso?
¡No!
Informe en el archivo:
18
Control de acceso
Evitar que personas no autorizadas tengan
acceso all sistema
i t
Usar nombres de usuario y contraseñas
19
Contraseñas seguras
¿Cuándo se considera una clave segura?
Mínimo 8 caracteres y que incluya: letras,
números y caracteres especiales
20
Actividad - Contraseñas seguras
Descifrando las claves
Instalar el software Advanced PDF Password
Recovery Pro
Intentar descifrar el archivo
21
Cifrado de datos
Protege los datos que viajan por medio de
una redddde comunicaciones
i i
Provee protección adicional
Dificulta el descifrado para personas no
autorizadas
Los usuarios autorizados contarán con
claves y/o algoritmos de decodificación
22
Actividad - sniffer
Recolectando información
Instalar el software:
23
Seguridad y el DBA
Entre sus obligaciones:
Otorgar privilegios a los usuarios del sistema
O
Clasificar a los usuarios de acuerdo con las
políticas de la organización
24
Seguridad y el DBA
Cuenta con una cuenta privilegiada (similar al
roott o superusuario)
i )
Su cuenta le permite realizar:
Creación de cuentas
Concesión de privilegios
Revocación de privilegios
Asignación de niveles de seguridad
25
Seguridad y el DBA
El DBA es responsable:
Seguridad global del sistema de base de datos
S
Creación de nuevas cuentas
C
Cancelación
l ió d de cuentas
t existentes
i t t
Verificar la necesidad real de las nuevas cuentas
26
Seguridad y el DBMS
El DBMS debe:
Verificar
f que el nombre de usuario y clave sean
válidos
Permitir o denegar el acceso a la BD
Restringir el acceso a partes no autorizadas de la
BD
27
Bitácoras
Su función es llevar un control de las
actualizaciones
t li i aplicadas
li d a lla BDBD, y ell
usuario específico que las aplicó
D b iincluir
Debe l i una entrada
t d por cadad operaciónió
aplicada a la BD
P d requerirse
Puede i para lla recuperación
ió d de
una falla de transacción o una caída del
sistema
28
Bitácoras
Podemos expandir las entradas de la
bitá
bitácora d
de modod que iincluyan
l ttambién
bié ell
número de cuenta del usuario, identificación
de la terminal
terminal, etc
etc.
29
Auditorias a la BD
Se realiza cuando se sospecha de una
alteración
lt ió en lla BD
Consiste en examinar en la bitácora todos los
accesos y operaciones
i aplicadas
li d a lla BD
durante cierto periodo
C
Cuandod se encuentra t una operaciónió ililegall o
no autorizada, el DBA puede determinar el
número de ccuenta
enta qque
e se usó
só para efect
efectuarar
dicha operación
30
Auditorias a la BD
Son muy importantes, sobre todo en BD
confidenciales
fid i l actualizadas
t li d por muchash
transacciones y usuarios
Ejemplo:
Ej l C Cuentas
t b bancarias,
i actualizadas
t li d por
muchos cajeros
Registro de intervenciones
Bitácora de BD que se usa para fines de
seguridad
31
Actividad - Scanners
Verificando errores en nuestros sistemas
Instalar el software:
32
Errores de acceso
33
Errores de acceso
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0
0 0#
" or 0=0 #
or 0=0 #
34
Errores de acceso
35
Con la misma técnica
36
Errores de acceso
37
Copiando información confidencial
38
Publicando información confidencial
Mostrar datos confidenciales sin restricciones
de acceso
39
Google, ¿enemigo?
40
Publicando información confidencial
41
Publicando información confidencial
42
Programas vulnerables
43
¿DBMS Seguros? – SQL Server
44
¿DBMS Seguros? – MySQL
45
¿DBMS Seguros? – Informix
46
Nada es 100% seguro
47
Perdiendo información confidencial
Se da principalmente por:
Versiones no actualizadas del software
f
Errores de programación
C fi
Configuraciones
i d
deficientes
fi i t
Descuidos de usuarios y/o administradores
48
Actividad
Explotando errores
49
Buscando el error
“M
“More iinfo
f about
b t MetaCart
M t C t Free”
F ”
50
Eligiendo un objetivo
51
Verificando error
htt //
http://www.fireomania.com.au/shop/database/metacart.mdb
fi i / h /d t b / t t db
52
Descargando BD
53
Con la misma técnica…
54
Con la misma técnica…
55
Con la misma técnica…
56
Con la misma técnica…
57
Con la misma técnica…
58
Con la misma técnica…
59
Con la misma técnica…
60
Con la misma técnica…
61
Bases de datos descargadas
62
¿Y la confidencialidad?
63
¿Y nuestro dinero?
64
Mas errores…
Passwords de Frontpage
“# -FrontPage-” inurl:service.pwd
Archivo de claves de DCForum’s y DCShop
allinurl:auth_user_file.txt
Archivos de configuración de PHP
intitle:"Index of" config.php
Claves en bases de datos
intitle:"Index of" pwd.db
Respaldos
"Index of /backup"
Claves WS-FTP
intitle:index.of ws_ftp.ini
ws ftp.ini
Cultura general - Google
Buscar musica:
intitle:index.off "mp3" +"artista a buscar" -htm -html
-php -asp "Last Modified“
Google Hacking
htt //j h
http://johnny.ihackstuff.com/
ih k t ff /
67
Como protegerse de Google
Políticas de seguridad
Proteger el servidor Web
Auditoria de hacking Google
Eliminar nuestro sitio de Google
http://www.google.com/remove.html
p g g
68
Como protegerse de Google
Bloqueo de buscadores mediante robots.txt
User-agent: googlebot
Disallow: /directorio/archivos
No indexar:
<META NAME="GOOGLEBOT" CONTENT="NOINDEX,
NOFOLLOW">
N almacenar
No l en caché:
hé
<META NAME=“GOOGLEBOT” CONTENT=“NOARCHIVE”>
<META
META NAME
NAME=“GOOGLEBOT”
GOOGLEBOT CONTENT
CONTENT=“NOSNIPPET”>
NOSNIPPET
69
Importancia del software
PHP desactualizado
Base datos en MySQL protegida y
actualizada
¿Buena combinación?
70
Receso
15 minutos
71
Control de acceso discrecional
Se usa para otorgar privilegios a los usuarios
Capacidad para tener acceso a archivos, registros
C
o campos de datos específicos
Modos de lectura
lectura, escritura o actualización
72
Control de acceso obligatorio
Imponen seguridad de múltiples niveles
Clasifican los datos y los usuarios en varias
clases (niveles) de seguridad
Posteriormente se implementa la política de
seguridad apropiada a la organización
Ejemplo:
Permitir a los usuarios de cierto nivel de
clasificación ver solo los elementos de
información clasificados en el mismo nivel que el
usuario (o un nivel inferior)
73
Cifrado de datos - Conceptos básicos
Algoritmo de Cifrado
Proceso que convierte un texto plano en un
texto cifrado mediante la aplicación de varias
operaciones y una clave. El algoritmo es
reversible
ibl
Algoritmo
Al it de
d Descifrado
D if d
Proceso que convierte un texto cifrado en
texto plano mediante varias operaciones
inversas y una clave
Cifrado de datos
Sirve para proteger datos confidenciales que
se transmiten
t it por algún
l ú medio
di d de
comunicación
P
Provee protección
t ió adicional
di i l a secciones
i
confidenciales a una base de datos
75
Criptografía
La criptografía es la técnica que permite codificar un
objeto
j de manera q que su significado
g no sea obvio
Es necesario q
que se p
pueda descifrar el mensaje
j cifrado
Recomendaciones finales
Instalación de un firewall y antivirus
Instalación de versiones actualizadas
Claves difíciles de adivinar y/o encontrar
Evitar tener activados los accesos remotos
Encriptar
p la información q que viaja
j ppor un
medio de comunicación
Establecer políticas de seguridad
77
Unidad V
V. Sistemas de
recuperación
Unidad 5
78
Transacción
Ejecución de un programa que lee o modifica
ell contenido
t id d de lla BD
79
Fallos en las transacciones
Recuperación inconsistente
80
Fallos en las transacciones
V W
a.extrae(100); $100
total=a.obtenBalance(); $100
total=total+b.obtenBalance(); $300
total=total+c.obtenBalance();
bd
b.deposita(100);
it (100) $300
Recuperación inconsistente:
81
Recuperación de fallos en la BD
La recuperación de fallos en las
t
transacciones,
i casii siempre
i equivale
i l a una
restauración de la BD a un estado anterior
S busca
Se b reconstruir
t i un estado
t d correcto
t
(cercano al momento del fallo)
S hace
Se h uso d
de llas bitá
bitácoras
82
Estrategia de recuperación
Si hay daños considerables en la BD por
algún
l ú ffallo
ll crítico
íti (destrucción
(d t ió ddell di
disco d
duro))
Solución:
Restaurar una copia anterior de la BD respaldada
en un almacenamiento secundario y reconstruir
con la versión mas actualizada
Aplicar o rehacer las operaciones de las
transacciones confirmadas asentadas en la
bitácora hasta el momento del fallo
83
Estrategia de recuperación
Si la BD no presenta daños físicos, pero se ha
vuelto inconsistente debido a fallos no críticos
Solución:
Invertir los cambios que provocaron la
inconsistencia, deshaciendo algunas operaciones
Si es necesario
necesario, rehacer algunas operaciones a
fin de regresar a un estado consistente de la BD
En este caso no es necesaria una copia
p completa
p
de la BD, durante la recuperación sólo se
consultan las entradas asentadas en la bitácora
84
Propuesta examen
Sábado 31
Unidades 1,2,3,4 y parte de la unidad 5
85
Tarea para el 21 de abril
Hacer un escáner a su base de datos y
verificar
ifi posibles
ibl errores
Manual de procedimientos respaldos
Manual procedimiento para recuperarse de
una caída de la BD
Presentarlos a la clase
Grupo Yahoo
http://espanol.groups.yahoo.com/group/bdd_unid/
87
Unidad V
V. Sistemas de
p
recuperación
88
Referencias consultadas
Sistemas de bases de datos, conceptos y fundamentos,
Elmasri/ Navathe,, segunda
g edición,, edit. Addison Wesleyy
89
Preguntas y comentarios
90
¡Hasta la próxima!
91