Seguridad y Competencias Profesionales Tema 7: Seguridad ... · Departamento de Ingeniería...

SCP T7

Ingenierıa enInformática(2◦ ciclo)

Preliminares

Autorizacióny control deacceso

Recuperaciónante fallos

Integridad

Auditorías

Amenazas

Conclusiones

Seguridad y Competencias ProfesionalesTema 7: Seguridad en bases de datos

Curso 2012–2013

Ingeniería en Informática (2◦ ciclo)

Departamento de Ingeniería InformáticaUniversidad de Cádiz

Cádiz, 19 noviembre 2012

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Índice

1 Preliminares

2 Autorización y control de acceso

3 Recuperación ante fallos

4 Integridad

5 Auditorías

6 Amenazas

7 Conclusiones

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Objetivos

ConocimientoReconocer la necesidad de tener una BD segura.Enumerar los aspectos fundamentales de la seguridad.Conocer los medios disponibles para tener una BD segura.

ComprensiónComparar las diferentes herramientas que tenemos paraasegurar una BD.Explicar los riegos existentes en BD sin auditar.

AplicaciónFormular métodos de seguridad para una BD.Utilizar las herramientas de las que dispone un DBA.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Bibliografía I

Abramson, I.; Abbey, M. & Corey, M.Oracle Database 10g. Guía de aprendizajeOsborne McGraw-Hill, 2005.

Castano, S.; Fugini, M.; Martella, G. & Samarati, P.Database SecurityAddison-Wesley, 1996.

Connolly, T. & Begg, C.Sistema de Bases de DatosAddison-Wesley, 4a edición, 2005.

Date, C.J. & Darwen, H.The SQL StandardAddison-Wesley, 3a ed., 1993.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Bibliografía II

Date, C.J.Introducción a los Sistemas de Bases de DatosPrentice Hall, 7a edición, 2001.

Earp, R. & Bagui, S.Learning SQL: A step by step guide using oracleAddison Wesley, 2003.

Elmasri, R. & Navathe, S.B.Fundamentos de sistemas de Bases de DatosAddison-Wesley, 5a edición, 2007.

Loney, K. & Bryla, B.Oracle Database 10g. Manual del administradorOsborne McGraw-Hill, 2005.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Bibliografía III

Piattini, M.G. & del Peso, E.Auditoría Informática. Un enfoque prácticoRa-Ma, 2a edición, 2001.

Silberschatz, A.; Korth, H. & Sudarshan, S.Fundamentos de Bases de DatosMcGraw-Hill, 5a edición, 2006.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Otros recursos

Sobre Oraclehttp://www.oracle.es

http://www.revista-ays.com

http://www.oracle.es

http://www.revista-ays.com

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Sistemas de Bases de Datos (SBD)

Concepto

Un sistema de BD (SBD) es un sistema de mantenimiento deregistros por ordenador, cuyo propósito general es registrar ymantener la información.

ElementosDatosSoftware: programas que mantienen y actualizan los datos(Sistema de Gestión de BD o SGBD)Hardware: componentes electrónicos sobre los que seejecutan los programas y se almacenan los datosUsuarios del SBDAdministradores del SBD

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Catálogo o Diccionario de Datos (DD)

ConceptoBase de datos que describe la estructura de los propiosdatos, y las diversas restricciones de integridad (RI) aimponerSu estructura viene impuesta por el SGBD escogido

Relación con seguridadEl DD contiene:

Restricciones para evitar la revelación, alteración odestrucción no autorizada de información (seguridad engeneral)Propiedades que deben cumplirse en todo momento sobredicha información (integridad en particular)

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Consideraciones generales

Aspectos legales, sociales y éticos: ¿el solicitante tienederecho a conocer ese dato? ¿La BD cumple la legislaciónvigente?

Política interna de la empresa: la empresa decide quién puedeacceder a los datos

Controles físicos: protección del cuarto de los ordenadores

Protección de operación: uso y mantenimiento de contraseñas

Controles de equipo: contraseñas para la protección de lasáreas de almacenamiento y ficheros de datos

Seguridad del SO: ¿borra el SO el contenido de las áreas dealmacenamiento y ficheros cuando ya no se necesitan?

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

¿La seguridad del SO es suficiente?

Sistema operativo: primer bastiónIdentifica y autentica a los usuarios de la máquina

Diferencias entre seguridad SO y BDUna BD tiene más objetos a proteger y son más complejosLos objetos de una BD viven más tiempoSe requiere control de acceso más fino a múltiples niveles(interno, conceptual, externo)

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

ConclusiónEl SGBD implementa lo que el SO no tiene

VentajasNo hay necesidad de que todos los SO tengan losmecanismos que requiere cada SGBD.Conoce las características de los objetos a proteger.Lleva control del uso de objetos por parte de los usuarios.Son transportables.

NotaNos centraremos en Oracle (versión 10).

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Seguridad en un SGBD

Subsistemas presentesControl Previene fallosDetección Detecta fallos cuando se producenRecuperación Corrige fallos tras detectarse

Aspectos a protegerConfidencialidad Evitar fugas de información y asegurar la

privacidadDisponibilidad Mantener la información accesibleIntegridad Datos no falseados y consistentes entre sí

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Mecanismos disponibles

Prevención: privilegiosA distinta granularidad: BD, tablas, columnas, tuplas, etc.Según tipo de operación (DDL, DCL, DML)Según horarioSegún situación (permisos manuales impuestos por DBA)Combinables de diversas formas

DetecciónAuditoría a varios niveles de granularidad y de detalle.

RecuperaciónCopias de seguridadIntegrados en el SGBD

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Seguridad de los datos

Objetivo en una BDDatos sólo accesibles de la forma autorizada por personasautorizadas.

Conceptos relacionadosSeguridad Protección de los datos contra acceso accidental o

intencionado por parte de personas no autorizadas ycontra su destrucción o alteración.

Reserva Derecho a determinar cuándo, cómo y en quémedida y circunstancia se permitirá la comunicaciónde la información a terceras personas.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Principios generales

Asignación mínima de privilegiosCada usuario sólo tendrá los permisos estrictamente necesarios.

Tareas del DBALimitar vías de acceso a las permitidas.Controlar el acceso a ellos según acción y usuario.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Problemas

Conflicto de interesesQueremos un SGBD cómodo, potente, flexible y rápidoPero esto dificulta el control de los accesos

Otros problemasExtracción de datos personales por inferencias en BDestadísticasDefinir los niveles de seguridad en BD muy grandes

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Autenticación del usuarioAntes de limitar al usuario, hemos de saber quién es

Acceso en líneaAutenticamos a un humanoLo identificamos:

Algo que sabe (contraseñas)Algo que tiene (tarjetas magnéticas, p.ej.)Algo que es (biometría)

Acceso en segundo planoAutenticamos a un programa, no a un humanoIdentificación no personal

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Sistemas de gestión de privilegios

Tipos de SBD según permisos por omisiónAbiertos Permiten todo, y el DBA ha de quitar lo

innecesarioCerrados No permiten nada, y el DBA ha de dar lo

necesario

Tipos de usuariosHacen programas: el usuario sólo debe poder acceder adatos permitidos, a través de esquemas externosUsan programas: el usuario sólo debe poder ejecutar losprogramas que necesita

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Operaciones a controlar

Conectarse a la BDConsultar ciertos datosActualizar ciertos datosCrear o actualizar objetos (DDL)Ejecutar procedimientos almacenadosCrear estructuras adicionales:

ÍndicesAgrupamientosFunciones de dispersión

Conceder privilegios sobre objetos o el sistema

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Concesión de privilegios

Posibles accionesUn usuario puede dar privilegios (GRANT) y revocarlos(REVOKE) a otro usuario o a un rolPuede permitirse también administrar dicho privilegio(WITH ADMIN OPTION)Estos últimos privilegios pueden revocarse en cascada sison concedidos sobre objetos de algún esquema, y no sobreel sistemaSi un privilegio viene de varias cadenas de GRANT, sólo sepierde cuando se revocan todas

RolesReúnen una serie de privilegios en un solo sitioPueden activarse y desactivarse a voluntad

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Restricción de acceso a una parte de una tablaPermitimos que el usuario acceda a una vista o “ventana” de la tabla original

Uso del nivel externoNivel superior de la arquitectura ANSI/SPARCContiene subesquemas para usuarios y aplicacionesCada subesquema contiene vistas, consultas con nombreque pueden tratarse como tablas, con ciertas condiciones

UtilidadPodemos permitir únicamente acceder a una vista, y no ala tabla originalEsto nos permite, por ejemplo, limitar las filas visiblessegún los valores de sus camposEn un futuro podremos cambiar la tabla original con mayorfacilidad (independencia lógica)

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Conceptos importantes en recuperación de fallos

Ficheros de recuperación (redo logs)

Oracle va registrando los cambios en estos ficheros antesde llevarlos a los ficheros de datos de la BDPueden llenarse, por lo que suelen rotarse varios juegosPueden multiplexarse a varios soportes de almacenamientoPueden archivarse, para tener mayor alcance

Puntos de comprobación (checkpoints)

Marcan un momento en que todos los cambios anteriores a élconfirmados se han guardado en los ficheros de datos

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Fallos de soportes de almacenamiento

Requisitos del mecanismoTener una copia de seguridad recienteDisponer de registros de recuperación en un soportedistinto al que falló (se recomienda multiplexar)

Pasos a ejecutar1 Recuperar la base de datos a partir de la copia de seguridad2 Repetir lo hecho desde la copia de seguridad:

Se hacen los cambios de las transacciones completadas ysin completarSe deshacen los cambios de las transacciones sin completar

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Fallo del usuario

CasosDROP TABLE o DROP TABLESPACE lanzado porerrorFallo en un programa que manipulaba automáticamenteuna tabla

Técnica: tablespace point-in-time recovery1 Retirar los espacios de tablas afectados2 Recuperar en una BD aparte los espacios en un instante

específico de tiempo a partir de copias de seguridad3 Mover los espacios recuperados a la BD original

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Fallo de una instancia

CasosPérdida de fluido eléctricoCierre de la instancia no limpio

Acciones1 A partir del último punto de comprobación, se repiten

todos los cambios que había en el registro de recuperación2 Se cancelan todas las transacciones que hubiera abiertas

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Otros fallos

Sentencia SQLEjemplo: INSERT con el disco llenoSe informa del fallo y se cancelan sus cambiosPosiblemente se cancela la transacción

Proceso de la instanciaUn proceso monitor se ocupa de lanzarlos de nuevo.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Integridad

Recordatorio del conceptoProtección de los datos contra operaciones que introduzcaninconsistencia en los datos, manteniendo su corrección, validezy precisión.

Riesgos contra la integridadOperaciones semánticamente inconsistentesInterferencias debido a accesos concurrentes

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Restricciones semánticas o de integridad

TipoEstáticas Violación sobre definición de dominio de un dato

Dinámicas El sueldo de un empleado no puede disminuir

Formas de describirlas en el SGBDDescritas dentro de los objetos del esquema (DD): tipos delos atributos, valor nulo aceptado/rechazado, longitudesmáximas, claves foráneas, etc.Descritas utilizando disparadores y procedimientosalmacenados

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

¿Restricciones en el DD o con código?

VentajasLas RI son más sencillas de entender y de cambiar,facilitando su mantenimiento.Se detectan mejor las inconsistencias.Se protege mejor la integridad. No se puede escribir unprograma que las viole llevando a la BD a un estadoinconsistente.

Desventaja principalSon mucho menos expresivas.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Problemas por concurrencia

SituaciónMúltiples usuarios escriben y leen en una BDconcurrentemente, posiblemente sobre los mismos objetosCada usuario debe poder llevar sus transacciones(secuencias de operaciones ejecutadas de forma atómica)sobre un estado consistente de la BD

Protecciones contra concurrenciaUn acceso de A a X puede requerir un cerrojo:

Exclusivo: hay que esperar a que todos los demás sueltensus cerrojos sobre XCompartido: hay que esperar a que todos los demás tengancomo mucho cerrojos compartidos sobre X

Al actualizar filas, las transacciones echan cerrojosexclusivos sobre ellas, forzando un orden sobre las escrituras

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Problemas al aislar transacciones

Tipos de lecturas problemáticasSucias Hay datos modificados por una transacción no

confirmadaNo repetibles Al volver a ejecutar una consulta, hay datos

cambiados o borrados por una transacciónconfirmada

Fantasma Al volver a ejecutar una consulta con unacondición, hay datos añadidos por unatransacción confirmada

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Tipos de niveles de aislamiento

Lectura de datos confirmadosLas sentencias (no las transacciones) sólo leen datos queestaban confirmados en el momento de su inicio. Es el nivel poromisión.

SerializableLa transacción sólo ve los datos que estaban confirmados a suinicio, y puede operar sobre ellos. Puede tener que serreintentada por el cliente varias veces.

Sólo lecturaLa transacción sólo ve los datos que estaban confirmados a suinicio, y no puede operar sobre ellos.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Auditoría

TiposA nivel de área de un departamentoA nivel de aplicación informática

Metodología de auditoría de BDTradicional con una lista de controlPor riesgos evaluados, en base a los cuales se fija un objetivo

de control y se indica cómo van a reducirse dichosriesgos.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Riesgos

Debidos a dependencia en la BDReunir más datos en la BD implica más poder para el DBAPersonal más difícil de reemplazar en caso de que se vayaFallos de diseño y de implementación pueden causar granimpacto (p.ej. disparadores mal escritos o maliciosos)

Debidos a complejidadMás errores en datos y programas que en un Sistema deGestión de FicherosPosible incompatibilidad entre sistemas de seguridad delSGBD y del SO

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Uso de un objetivo de control

EjemploSGBD deberá preservar la confidencialidad de la BD.

Técnicas de controlTipos de usuariosPerfilesPrivilegios

Mecanismos asociadosPreventivas: controlar el acceso.Detectivas: monitorizar los accesos.Correctivas: copias de seguridad.

Si existen controles se diseñan pruebas de cumplimiento.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Pruebas sobre los mecanismos

De cumplimientoListar los privilegios y perfiles existentes en el SGBD. Si hayinconsistencias en los controles o no existen, diseñar pruebassustantivas.

SustantivasSe analiza si dicho riesgo podría usarse para atacar la integridaddel sistema, a través de una serie de transacciones. Losresultados se recogerán en un informe, con:

Situación.Riesgo existente.Deficiencia a solucionar y posibles soluciones

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Amenazas a la seguridad

Elementos a protegerMetadatos:

Estructura general de la BD guardada en el DDSu borrado afecta a la disponibilidad de los datos

Datos o información:Almacenada en los ficheros baseConfidenciales

Tipos de amenazasLas amenazas pueden ser:

Accidentales: fallos de software y/o hardware, o erroreshumanosIntencionadas

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Amenazas intencionadas

Ataques directosInciden sobre la confidencialidad, integridad ydisponibilidad de la BD:

Revelación,Alteración yDestrucción de datos

Prevenimos controlando los medios de acceso a la BD yaplicando políticas administrativas oportunas.Inferencias estadísticas: tratan de descubrir datosindividuales de los datos estadísticos.

Ataques indirectosCaballos de Troya, rootkits, o cualquier otro malware

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Definición de la política

Aspectos administrativosControl centralizado o descentralizado.Distinción entre propietario y administrador.

Mecanismos de control de accesoDe menor privilegio.Según objeto, parte del objeto y contexto.Según la historia del objeto, del usuario, etc.Sistemas abiertos o cerrados.Derechos de acceso.

Control de flujo de informaciónAplicación del reserva, respeto de la LOPD, etc.

SCP T7


Preliminares



Integridad

Auditorías

Amenazas

Conclusiones

Conclusiones

La seguridad de la BD está formada por mecanismos queprotegen a la BD frente a amenazas intencionadas oaccidentales.Los controles de seguridad incluye:

mecanismos de autorización,controles de acceso,esquemas externos,copias de seguridad y de recuperación,mecanismos de integridad,sistemas de cifrado y tecnología RAID.

La carencia, la deficiencia o el mal diseño de medidas deseguridad en una BD puede no cumplir las leyes.

SCP T7


Tareas

1 Podemos decir que un SBD está compuesto por:SoftwareHardwareDatosUsuario

indicar las medidas de seguridad que se deben tomar paraproteger cada uno de estos tipos de elementos.

2 Cada grupo buscará información sobre una de lassiguientes BD NoSQL (Not SQL): Cassandra,Hadoop/HBase, CouchDB o MongoDB.

Introducción a NoSQL: características y comparativa conSQL (resaltar aspectos sobre seguridad).Descripción de BD NoSQL escogida.Enumerar algún proyecto/empresa que la utilice.Referencias bibliográficas (para más informaciónconsúltese: http://nosql-database.org/).

3 Realizar los ejercicios propuestos bajo Oracle 10g.

http://nosql-database.org/

Seguridad y Competencias Profesionales Tema 7: Seguridad ... · Departamento de Ingeniería...

Documents

Transcript of Seguridad y Competencias Profesionales Tema 7: Seguridad ... · Departamento de Ingeniería...