Seguridad en Base de Datos
22
SEGURIDAD EN BASE DE DATOS Base de Datos Avanzada
-
Upload
myriam-sarango -
Category
Education
-
view
15.456 -
download
0
description
seguridad en base de datos, amenazas ataques y contramedidas.
Transcript of Seguridad en Base de Datos
SEGURIDAD EN BASE DE DATOS
Base de Datos Avanzada
SEGURIDAD EN BASE DE DATOS
La seguridad en las base de datos es un mecanismo fundamental ya que todo de sistema informatizado esta expuesto a cualquier tipo de amenazas de daño, enormes y desastrosas como pequeñas y leves pero que de una manera u otra causan perdida de confidencialidad.
SEGURIDAD EN BASE DE DATOS
AMENAZASSe deben considerar las amenazas para cada tipo de
empresa donde se implementara el sistema de base de datos, ya que pueden haber amenazas particulares a las que se este mas expuesto.
ATAQUE A UNA BASE DE DATOS MYSQL CON INJECTION SQL
• Buscar una pagina vulnerable, para aplicar el ataque de «Injection Sql», esto lo podemos hacer ingresando en google y buscando «allinurl:noticias.php?id= »
• Abrimos la herramienta Sqli Helper y pegamos la Url de la pagina que queremos vulnerar en la parte del target, luego damos clic en Inject, para probar
• Posteriormente el programa comienza a chequear los datos de la página en donde podemos determinar que tipo y versión de base de datos tiene
• Luego damos click en «Get Database», seleccionamos unos de los elementos que nos aparecen en el cuadro de «Database Name», y luego damos click en la opción «Get Tables»
• Luego de dar click en «Get Tables», podemos observar que el programa nos obtiene el nombre de las tablas pertenecientes a la base seleccionada
• Señalamos una de las tablas y luego damos click en «Get Columns», y nos aparece un cuadro con los nombre de cada una de las columnas de esa tabla, en este caso hemos seleccionado la tabla user para obtener el login y pass del usuario
• Finalmente seleccionamos las columnas de las cuales queremos obtener los datos y damos click en «Dump Now», y así obtenemos el nombre de usuario y la contraseña para poder manipular la pagina a nuestro gusto
SEGURIDAD EN BASE DE DATOS
CONTRAMEDIDASLas contramedidas que se toman para enfrentar las
amenazas pueden ser físicas y administrativas
CONTROLES INFORMATIZADOS PARA ENTORNOS MULTIUSUARIOS
Autorización es como el poder administrativo que se necesita para acceder legítimamente a un sistema
La autenticación es la validación de identidad del usuario.
SEGURIDAD EN BASE DE DATOS• Controles de acceso• Existen dos tipos de controles: Control de accesos discrecional (DAC).-
emplea un mecanismo de SQL conocido con el nombre de control de accesos discrecional.
• Control de acceso obligatorio (MAC).- se basa en políticas de nivel de sistema que no pueden ser modificadas por usuarios individuales.
SEGURIDAD EN BASE DE DATOS• VistasEste mecanismo de vistas proporciona un sistema de
seguridad potente y flexible, al ocultar partes de la base de datos a ciertos usuarios.
Son relaciones virtuales que no existen en realidad en la base de datos
SEGURIDAD EN BASE DE DATOS• Copias de seguridadTener respaldos de la BD actualizados para cuando se produzcan
errores de perdida de datos, para garantizar la integridad física de los datos.
• Integridad La seguridad en un SGDB se trata de impedir la distorsión de la DB,
mediante esta se pretende proteger la base de datos contra operaciones que introduzcan inconsistencias en los datos
• CifradoEs ocultar los caracteres legibles de una clave
SEGURIDAD EN BASE DE DATOS
• Tecnología RAIDMatriz redundante de
discos independientesEs un tipo de tecnología
que se lo establece para que funcione redundantemente en los fallos que se vaya presentando
SEGURIDAD EN BASE DE DATOSSEGURIDAD EN SGBD DE MICROSOFT OFFICE ACCESSSe basa en la configuración de una contraseña general para los diferentes
usuarios y un permiso a nivel de privilegios para cada usuario
EN SGBD DE ORACLE• Entre los privilegios que pueden accederse en Oracle estarían los
derechos a:– Conectarse a la base de datos (crear una sesión)– Crear una tabla
SEGURIDAD EN BASE DE DATOS• Seguridad de un SGBD en entornos webDebemos incluir para este tipo de seguridad: los servidores proxy,
cortafuegos, algoritmos de compendio de mensajes y firmas digitales, certificados digitales, kerberos, Secure Sockets Layer (SSL) y secure HTTP (S-HTTP), secure electronic Transactions (SET), etc.
CONCLUSIONES
• La base de datos a hecho avances significativos en el manejo de la seguridad de las bases de datos• Varias de las aplicaciones que manejamos en nuestro diario vivir que requieren confidencialidad necesitan modelos mas sofisticados de seguridad: Entidades bancarias, medicas, departamentos gubernamentales, inteligencia militar, etc.• Aunque la implementación de seguridad mas sofisticada no es tarea fácil, debemos hacer el esfuerzo por lograr que nuestros datos estén completamente seguros
RECOMENDACIONES• Limitar el acceso a los usuarios y el numero de administradores de la base
de datos.• Respaldar la información de la base de datos eventualmente.• Implementar métodos de autenticación para no dar libre acceso a la
información.• Implementar seguridad a través de periféricos tanto a nivel de hardware
como a nivel de software • Conocer de los diferentes ataques que puede sufrir una base de datos y
tratar de prevenir estos con anticipación.• Mantener los servidores de datos bien protegidos en una sala de acceso
restringido en donde los administradores puedan acceder mediante acceso remoto
• Crear diversas normas y procedimientos que determinen exactamente quienes tienen acceso a la información a través de un marco jurídico
BIBLIOGRAFIA• SISTEMAS DE BASES DE DATOS, Thomas M. Connolly, 4ta
Edición, Capitulo 19 Seguridad.• http://es.kendincos.net/• http://foros.hackerss.com/index.php?showtopic=49• http://www.infor.uva.es/~jvegas/cursos/bd/oraseg/
oraseg.html#4• http://databaseandtech.wordpress.com/2008/03/15/como-
activar-la-auditoria-de-una-base-de-datos-oracle/• http://csaruman.blogspot.com/2009/10/virus-
informatico.html• http://mundopc.net/firewalls-politicas-de-seguridad-en-red/• http://www.iec.csic.es/criptonomicon/linux/introsegred.html
Autores:
Carlos Patricio MuñozPresidente de la Computer Society IEEE [email protected]
Alfredo David TorresProfesional en formación: Sistemas Informáticos y computación [email protected]
Myriam Elizabeth SarangoProfesional en formación: Sistemas Informáticos y computación [email protected]
Wilmer Fabricio Montaño Profesional en formación: Sistemas Informáticos y computación [email protected]
