Ad i i

Administración
i
de bases de datos
Maestría en Tecnologías de información

Sesión 4
Instructor:
MC. Michel García García
garcia.michel@gmail.com

1
¿Qué veremos hoy?
„ Unidad 4. Seguridad de bases de datos
„ Unidad 5. Sistemas de recuperación
„ Actividades
‰ Recordatorio
‰ Presentación de tareas
‰ Exposición
‰ Actividades
‰ Tarea

2
Recordatorio-Tipos de registros
„ Registro lógico
‰ Registro que ve el usuario

„ Registro físico
fí
‰ Registro tal cual se almacena en la base de datos

3
Recordatorio- Tipos de usuarios
„ Se consideran 3 clases generales de
usuarios
i
‰ Programador de aplicaciones
‰ U
Usuario
i fifinall
‰ Administrador de bases de datos

4
Ciclo de vida de las aplicaciones de bases de
datos
1. Planificación del proyecto
2. Definición del sistema
3. Recolección y análisis de los requisitos
4
4. Diseño de la base de datos
5. Selección del DBMS
6. Diseño de la aplicación
7. Prototipo
8. Implementación
9
9. Conversión y carga de datos
10. Prueba
11. Mantenimiento

5
Revisión de Tareas

„ Hacer di
H diseño
ñ fí
físico
i (i(implementación
l t ió en ell
SGBD de su preferencia)

„ Estimar el espacio requerido en disco duro

6
Actividad

„ En su proyecto por equipos, definir las

actividades que se deben realizar en cada
una de las etapas del ciclo de vida

„ Presentar sus resultados al grupo

g p

7
Las aplicaciones de las BD
„ Inventario „ Educación
„ Reservas „ Estadísticas
„ Compras „ Bancos
„ Seguimiento „ Adm. Clientes
„ Logística „ Bibliotecas
„ Transporte „ S
Sistemas

8
Receso

40 minutos

9
Unidad IV
IV. Seguridad de
bases de datos
Unidad 4

10
Introducción
„ ¿Cuándo hay seguridad?

I t
Integridad
id d
Seguridad

Privacidad
Autenticidad
Seguridad en BD
„ En sistemas multiusuario el DBMS debe
proveer técnicas
té i que permitan
it a ciertos
i t
usuarios acceder solo a partes selectas de la
BD sin tener acceso al resto
BD,
„ Muy importante en grandes BD integradas
con muchos usuarios distintos

12
Seguridad en BD
„ La información confidencial, como los
salarios
l i d debe
b estar
t oculta
lt a lla mayor parte
t
de los usuarios

13
Seguridad en BD
„ Generalmente los DBMS cuentan con
sistemas
i t de
d seguridad
id d y autorización
t i ió dde lla
base de datos

14
Acceso a la BD sin protección

15
Acceso a la BD sin protección

16
Acceso a la BD sin protección

17
¿Existe un control de acceso?
„ ¡No!

„ Informe en el archivo:

18
Control de acceso
„ Evitar que personas no autorizadas tengan
acceso all sistema
i t
„ Usar nombres de usuario y contraseñas

19
Contraseñas seguras
„ ¿Cuándo se considera una clave segura?
‰ Mínimo 8 caracteres y que incluya: letras,
números y caracteres especiales

„ Contraseñas grandes terminan siendo

olvidadas
l id d

20
Actividad - Contraseñas seguras
„ Descifrando las claves
„ Instalar el software Advanced PDF Password
Recovery Pro
„ Intentar descifrar el archivo

„ Intentar descifrar el archivo

21
Cifrado de datos
„ Protege los datos que viajan por medio de
una redddde comunicaciones
i i
„ Provee protección adicional
„ Dificulta el descifrado para personas no
autorizadas
„ Los usuarios autorizados contarán con
claves y/o algoritmos de decodificación

22
Actividad - sniffer
„ Recolectando información
„ Instalar el software:

„ Observar y analizar el tráfico de la red

inalámbrica
„ ¿La información se encuentra segura?

23
Seguridad y el DBA
„ Entre sus obligaciones:
‰ Otorgar privilegios a los usuarios del sistema
O
‰ Clasificar a los usuarios de acuerdo con las
políticas de la organización

24
Seguridad y el DBA
„ Cuenta con una cuenta privilegiada (similar al
roott o superusuario)
i )
„ Su cuenta le permite realizar:
‰ Creación de cuentas
‰ Concesión de privilegios
‰ Revocación de privilegios
‰ Asignación de niveles de seguridad

25
Seguridad y el DBA
„ El DBA es responsable:
‰ Seguridad global del sistema de base de datos
S
‰ Creación de nuevas cuentas
‰ C
Cancelación
l ió d de cuentas
t existentes
i t t
‰ Verificar la necesidad real de las nuevas cuentas

26
Seguridad y el DBMS
„ El DBMS debe:
‰ Verificar
f que el nombre de usuario y clave sean
válidos
‰ Permitir o denegar el acceso a la BD
‰ Restringir el acceso a partes no autorizadas de la
BD

27
Bitácoras
„ Su función es llevar un control de las
actualizaciones
t li i aplicadas
li d a lla BDBD, y ell
usuario específico que las aplicó
„ D b iincluir
Debe l i una entrada
t d por cadad operaciónió
aplicada a la BD
„ P d requerirse
Puede i para lla recuperación
ió d de
una falla de transacción o una caída del
sistema

28
Bitácoras
„ Podemos expandir las entradas de la
bitá
bitácora d
de modod que iincluyan
l ttambién
bié ell
número de cuenta del usuario, identificación
de la terminal
terminal, etc
etc.

29
Auditorias a la BD
„ Se realiza cuando se sospecha de una
alteración
lt ió en lla BD
„ Consiste en examinar en la bitácora todos los
accesos y operaciones
i aplicadas
li d a lla BD
durante cierto periodo
„ C
Cuandod se encuentra t una operaciónió ililegall o
no autorizada, el DBA puede determinar el
número de ccuenta
enta qque
e se usó
só para efect
efectuarar
dicha operación

30
Auditorias a la BD
„ Son muy importantes, sobre todo en BD
confidenciales
fid i l actualizadas
t li d por muchash
transacciones y usuarios
‰ Ejemplo:
Ej l C Cuentas
t b bancarias,
i actualizadas
t li d por
muchos cajeros
„ Registro de intervenciones
‰ Bitácora de BD que se usa para fines de
seguridad

31
Actividad - Scanners
„ Verificando errores en nuestros sistemas
„ Instalar el software:

„ Analizar la PC de alguno de sus compañeros

„ Con los datos observados
observados, analizar y
proponer soluciones

32
Errores de acceso

33
Errores de acceso

' or 0=0 --

" or 0=0 --

or 0=0 --

' or 0=0
0 0#

" or 0=0 #

or 0=0 #

34
Errores de acceso

35
Con la misma técnica

36
Errores de acceso

37
Copiando información confidencial

38
Publicando información confidencial
„ Mostrar datos confidenciales sin restricciones
de acceso

39
Google, ¿enemigo?

40
Publicando información confidencial

41
Publicando información confidencial

42
Programas vulnerables

43
¿DBMS Seguros? – SQL Server

44
¿DBMS Seguros? – MySQL

45
¿DBMS Seguros? – Informix

46
Nada es 100% seguro

47
Perdiendo información confidencial
„ Se da principalmente por:
‰ Versiones no actualizadas del software
f
‰ Errores de programación
‰ C fi
Configuraciones
i d
deficientes
fi i t
‰ Descuidos de usuarios y/o administradores

48
Actividad
„ Explotando errores

49
Buscando el error

“M
“More iinfo
f about
b t MetaCart
M t C t Free”
F ”
50
Eligiendo un objetivo

51
Verificando error

htt //
http://www.fireomania.com.au/shop/database/metacart.mdb
fi i / h /d t b / t t db
52
Descargando BD

53
Con la misma técnica…

54
Con la misma técnica…

55
Con la misma técnica…

56
Con la misma técnica…

57
Con la misma técnica…

58
Con la misma técnica…

59
Con la misma técnica…

60
Con la misma técnica…

61
Bases de datos descargadas

62
¿Y la confidencialidad?

63
¿Y nuestro dinero?

64
Mas errores…
„ Passwords de Frontpage
‰ “# -FrontPage-” inurl:service.pwd
„ Archivo de claves de DCForum’s y DCShop
‰ allinurl:auth_user_file.txt
„ Archivos de configuración de PHP
‰ intitle:"Index of" config.php
„ Claves en bases de datos
‰ intitle:"Index of" pwd.db
„ Respaldos
‰ "Index of /backup"
„ Claves WS-FTP
‰ intitle:index.of ws_ftp.ini
ws ftp.ini
Cultura general - Google
„ Buscar musica:
‰ intitle:index.off "mp3" +"artista a buscar" -htm -html
-php -asp "Last Modified“
Google Hacking

„ htt //j h
http://johnny.ihackstuff.com/
ih k t ff /

67
Como protegerse de Google
„ Políticas de seguridad
„ Proteger el servidor Web
„ Auditoria de hacking Google
„ Eliminar nuestro sitio de Google
„ http://www.google.com/remove.html
p g g

68
 Como protegerse de Google
„ Bloqueo de buscadores mediante robots.txt
‰ User-agent: googlebot

‰ Disallow: /directorio/archivos

„ No indexar:
‰ <META NAME="GOOGLEBOT" CONTENT="NOINDEX,
NOFOLLOW">
„ N almacenar
No l en caché:
hé
‰ <META NAME=“GOOGLEBOT” CONTENT=“NOARCHIVE”>

‰ <META
META NAME
NAME=“GOOGLEBOT”
GOOGLEBOT CONTENT
CONTENT=“NOSNIPPET”>
NOSNIPPET

69
Importancia del software
„ PHP desactualizado
„ Base datos en MySQL protegida y
actualizada

„ ¿Buena combinación?

70
Receso

15 minutos

71
Control de acceso discrecional
„ Se usa para otorgar privilegios a los usuarios
‰ Capacidad para tener acceso a archivos, registros
C
o campos de datos específicos
‰ Modos de lectura
lectura, escritura o actualización

72
Control de acceso obligatorio
„ Imponen seguridad de múltiples niveles
„ Clasifican los datos y los usuarios en varias
clases (niveles) de seguridad
„ Posteriormente se implementa la política de
seguridad apropiada a la organización
„ Ejemplo:
‰ Permitir a los usuarios de cierto nivel de
clasificación ver solo los elementos de
información clasificados en el mismo nivel que el
usuario (o un nivel inferior)

73
Cifrado de datos - Conceptos básicos
„ Algoritmo de Cifrado
‰ Proceso que convierte un texto plano en un
texto cifrado mediante la aplicación de varias
operaciones y una clave. El algoritmo es
reversible
ibl

„ Algoritmo
Al it de
d Descifrado
D if d
‰ Proceso que convierte un texto cifrado en
texto plano mediante varias operaciones
inversas y una clave
Cifrado de datos
„ Sirve para proteger datos confidenciales que
se transmiten
t it por algún
l ú medio
di d de
comunicación
„ P
Provee protección
t ió adicional
di i l a secciones
i
confidenciales a una base de datos

75
Criptografía
„ La criptografía es la técnica que permite codificar un
objeto
j de manera q que su significado
g no sea obvio

„ Es un medio para mantener datos seguros en un

entorno inseguro

„ Es necesario q
que se p
pueda descifrar el mensaje
j cifrado
Recomendaciones finales
„ Instalación de un firewall y antivirus
„ Instalación de versiones actualizadas
„ Claves difíciles de adivinar y/o encontrar
„ Evitar tener activados los accesos remotos
„ Encriptar
p la información q que viaja
j ppor un
medio de comunicación
„ Establecer políticas de seguridad

77
Unidad V
V. Sistemas de
recuperación
Unidad 5

78
Transacción
„ Ejecución de un programa que lee o modifica
ell contenido
t id d de lla BD

79
Fallos en las transacciones
Recuperación inconsistente

„ Supongamos que la transacción V transfiere una suma

desde la cuenta A hasta la B y la transacción W invoca
el método totalSucursal para obtener la suma de los
balances de todas las cuentas del banco.

„ Los balances iniciales de las cuentas A y B son ambos

$200

80
Fallos en las transacciones
V W
a.extrae(100); $100
total=a.obtenBalance(); $100
total=total+b.obtenBalance(); $300
total=total+c.obtenBalance();
bd
b.deposita(100);
it (100) $300

Recuperación inconsistente:

• El resultado de total incluyen a suma de A y

B como 300,, que
q es incorrecto

81
Recuperación de fallos en la BD
„ La recuperación de fallos en las
t
transacciones,
i casii siempre
i equivale
i l a una
restauración de la BD a un estado anterior
„ S busca
Se b reconstruir
t i un estado
t d correcto
t
(cercano al momento del fallo)
„ S hace
Se h uso d
de llas bitá
bitácoras

82
Estrategia de recuperación
„ Si hay daños considerables en la BD por
algún
l ú ffallo
ll crítico
íti (destrucción
(d t ió ddell di
disco d
duro))
„ Solución:
‰ Restaurar una copia anterior de la BD respaldada
en un almacenamiento secundario y reconstruir
con la versión mas actualizada
‰ Aplicar o rehacer las operaciones de las
transacciones confirmadas asentadas en la
bitácora hasta el momento del fallo

83
Estrategia de recuperación
„ Si la BD no presenta daños físicos, pero se ha
vuelto inconsistente debido a fallos no críticos
„ Solución:
‰ Invertir los cambios que provocaron la
inconsistencia, deshaciendo algunas operaciones
‰ Si es necesario
necesario, rehacer algunas operaciones a
fin de regresar a un estado consistente de la BD
‰ En este caso no es necesaria una copia
p completa
p
de la BD, durante la recuperación sólo se
consultan las entradas asentadas en la bitácora

84
Propuesta examen
„ Sábado 31
‰ Unidades 1,2,3,4 y parte de la unidad 5

85
Tarea para el 21 de abril
„ Hacer un escáner a su base de datos y
verificar
ifi posibles
ibl errores
„ Manual de procedimientos respaldos
„ Manual procedimiento para recuperarse de
una caída de la BD
„ Presentarlos a la clase
Grupo Yahoo
„ http://espanol.groups.yahoo.com/group/bdd_unid/

87
Unidad V
V. Sistemas de
p
recuperación

88
Referencias consultadas
„ Sistemas de bases de datos, conceptos y fundamentos,
Elmasri/ Navathe,, segunda
g edición,, edit. Addison Wesleyy

„ Apuntes de archivos y bases de datos, Mercedes Marqués,

universidad
i id d JJaume I

„ Sistemas de bases de datos diseño,, implementación

p y
administración, Rob, P., coronel, C., Edit. Thomson, 2004

„ Curso de Bases de datos

datos, Carlos Proal
Proal, Universidad de las
americas

89
Preguntas y comentarios

90
¡Hasta la próxima!
91