seguridad de datos

Universid

ad Peruana Los

Andes

Comercio

Electrónico

Facultad de

Ingeniería

de Sistemas

y Com

putación

Integrantes:

Quispe Huamán, Christian Percy Orellana Muñico, Jinno Rubén Orellana Lozano, Edna Ailen

SEGURIDAD DE DATOS EN LA WEB

Docente: Ing. Magno Baldeón Tovar

COMERCIO ELECTRONICO

Contenido

Introducción

Tipos de usuarios

Medidas de seguridad

La seguridad (fiabilidad) del sistema

Donde están los intrusos

Diferentes tipos de ataques

Metodología

Servicios de seguridad

Identificación y autentificación

Mecanismos de autenticación

Identificación física

Ejemplo Aplicativo: Pretty Good Privacy

Página 2 de 16


SEGURIDAD DE DATOS EN LA WEB

Introducción

El objetivo principal es proteger la base de datos de ataques maliciosos, sean estos internos o

externos.

Gran parte de los errores en cuanto a la seguridad en base de datos aun con el avance

tecnológico suele producirse por la falta de preocupación de los procedimientos sencillos que a

la larga se convierten en graves inconvenientes que afecta en lo concerniente a la seguridad,

todo tiene que quedar de acuerdo con lo planeado sin ninguna omisión por más mínima que

sea, así como en la instalación en el diseño o en el desarrollo, cualquier punto que se deje sin

la preocupación debida que no pude afectar en nada puede ser la entrada para los atacantes.

Otro punto que se tendrá que tomar en cuenta es la persona encargada del manejo del sistema

ya que por más elevado que sea un sistema de seguridad no podrá hacer nada ante los errores

cometidos por el factor humano.

Un ejemplo se pude dar en el caso de que un administrador de sistemas o redes no se

preocupe por técnicas de seguridad porque asume que el desarrollador de la aplicación web ya

se ha encargado de este proceso y a su vez el desarrollador piensa lo mismo por parte del

administrador de sistemas. En cambio el administrador de base de datos estará más

preocupado por el correcto funcionamiento del servicio de la base de datos.

En conclusión este problema se produce principalmente por la falta de preocupación en primer

lugar de la empresa, luego la ausencia de comunicación entre los encargados de cada proceso

y por último la falta de capacitación o conocimiento sobre la técnicas de seguridad.

Tipos de usuarios

DBA, son los encargados de establecer usuarios conceder permisos, puede crear borrar

modificar objetos creados por ellos, según el caso que se presente, también puede dar

permisos a otros usuarios sobre estos objetos creados.

Medidas de seguridad

Pueden ser:

Físicas: Comprende el control de quienes acceden al equipo.

Personal: Determinación del personal que tiene el acceso autorizado.

SO: Técnicas que se establecen para proteger la seguridad del Sistema Operativo

SGBD: Utilización de las herramientas que facilita el SGBD

Subsistemas de Seguridad:

Página 3 de 16


Identificar y autorizar a los usuarios: Comprende los códigos de acceso y el uso de

palabras claves.

Autorización: Comprende los datos ya permitidos para el acceso.

Uso de técnicas de cifrado: Utilizada en bases de datos distribuidas o con acceso a la

red o Internet, para la protección de datos

Diferentes tipos de cuentas

Manejo de la tabla de usuario con código y contraseña: Para controlar el manejo de la

información de cada una de las tablas y determinar el responsable facilitando así el

control de auditorías.

Un factor de importancia en la seguridad de base de datos es el control de la información, que

suele perderse por distintos motivos ya sean errores de hardware, software o por fallas

cometidas por los usuarios por lo que es recomendable tener un respaldo de toda la

información.

La seguridad (fiabilidad) del sistema

Se lo puede medir en los siguientes aspectos:

Es necesario proteger a los sistemas de los ataques externos. Controlar los fallos o caídas del software o equipo. Controlar el manejo del administrador frente a errores que se pueden cometer.

Ya que todos los sistemas de base de datos están expuestos a múltiples ataques es necesario

cumplir estos aspectos contemplados aquí a fin de poder reducir en grado de vulnerabilidad.

También es necesario establecer los protocolos que se deben cumplir para su correcta

aplicación.

Donde están los intrusos

Existen ataques externos que son detectados y controlados por el firewall, pero aquí no

termina el problema, de igual forma existen ataques internos, donde se le permite al usuario

acceder libremente a la base de datos sin ningún tipo de protección suponiendo que el usuario

no actuara con malas intenciones sobre el contenido almacenado y de esta forma comienzan

un laberinto de problemas.

Diferentes tipos de ataques

Se los pude clasificar como:

Ataques que no requieren autenticación Ataques que requieren autenticación

ATAQUES QUE NO REQUIEREN AUTENTICACION: Son los más comunes ya que no se

necesita de ninguna contraseña o clave, aquí tenemos las explotaciones de buffer overflow

como las más presentes.

Página 4 de 16


Otra técnica que se encuentra en este misma clasificación es la que se pretende obtener una

clave de acceso al sistema adivinando y los ataques de fuerza fruta o diccionario.

ATAQUES QUE REQUIEREN AUTENTICACION: Este tipo de ataques son lanzados por

personas que tienes las claves de acceso obtenidas de formas generalmente ilícitas, este tipo

de ataque suele tener un grado mayor de riesgo ya que se tiene mas acceso, un ejemplo de

este tipo de ataques es el de la explotación de los buffer overflows en procedimientos

almacenados.

Metodología

Puntos que se deben tomar en cuenta al momento que se requiere realizar un test de

penetración a un servidor de base de datos:

Adquisición Fingerprinting/Sondeo/Descubrimiento Obtención de acceso Estalación de privilegios Compromiso total del host

Tareas que se deben tomar en cuenta al realizar una auditoria detallada:

Seguridad física Políticas y procedimiento Seguridad a nivel de file system Seguridad de entorno Stored procedures Passwords

Los servidores de base de datos ofrecen servicios de conexión los cuales deben ser

controlados, pues son un punto de ataque. Los puertos en Oracle son 1521/tcp, Sql Server

utiliza puertos 1433/tcp y 1434/udp.

En el año 2003 fue detectado uno de los gusanos llamado Sapphire, este era uno de los virus

infecciosos mas rapidos que atacaba a versiones no parchadas de Sql Server.

Entre los factores que contribuyeron a la infección tenemos: los administradores no aplicaban

parques correspondientes, cierta incapacidad por parte de Microsoft en servicios automáticos

update y la falta de control en el port 1434/udp.

El puerto 1434/udp viene habilitado por defecto en toda instalación Sql server 2000 que se lo

utiliza para diferentes actividades, y simplemente el hecho de bloquearlo hubiera sido necesario

para controlar un ataque infeccioso. Una de las causas es que se cree que al no estar

habilitado este puerto no funcionara bien el servicio de Sql Server, relativamente esto es falso

ya que se puede trabajar normalmente si se bloquea este tipo de puerto.

Servicios de seguridad

Página 5 de 16


Autenticación: Abarca la información referente a la interfaz Security Support Provider Interface

(SSPI) para acceder a los servicios de seguridad del sistema operativo. Ejemplo: el protocolo

Kerberos en Windows 2000 para la autenticación de red.

Sistema de archivos encriptado: (Encrypted File System − EFS) Permite la encriptación de

archivos que luego serán almacenados en el disco.

Seguridad IP: (Windows IP Securitry) se lo utiliza para la defensa y protección de las redes.

Servicios de seguridad Windows 2000: Tiene como función examinar los procedimiento de

gestión de cuentas, autenticación de red.

Tarjetas inteligentes: Utilizadas para examinar los procesos de autenticación

Tecnología de claves públicas: Consiste en revisar la infraestructura de la clave incluida en

los sistemas operativos de Microsoft y además nos proporciona información concerniente a

criptografía.

Identificación y autentificación

Aquí describiremos algunas de las formas de identificación y autentificación :

Código y contraseña. Identificación por hardware. Características bioantropométricas. Conocimiento, aptitudes y hábitos del usuario. Información predefinida(Aficiones, cultura)

Es necesario que se especifique las actividades que podrá realizar el usuario sobre la base de

datos.

Crear Modificar Eliminar Borrar Ejecutar procedimientos almacenados

Mecanismos de autenticación

Claves: Se utiliza este tipo de autentificación para elevar el nivel de seguridad, son fáciles de

comprender y utilizar. Utiliza 7 caracteres en el que el propósito es crear una clave difícil de

descifrar por parte de extraños difícilmente esto se aplica ya que los usuarios generalmente

suelen utilizar claves de fácil acceso y esto es aprovechado por quienes desean accedes al

sistema de manera ilícita.

Identificación física

Página 6 de 16


En este tipo de autentificación se contemplan el uso de elementos físicos como tarjetas de

identificación adicionalmente se acompañan de códigos. Existen otros tipos que añaden

características humanas como el tono de voz, huella dactilar entre otros.

EJEMPLO PRÁCTICO: Pretty Good Privacy

Página 7 de 16


Página 8 de 16


Página 9 de 16


Página 10 de 16


Vista General de la Aplicación

Página 11 de 16


Página 12 de 16


Página 13 de 16


Página 14 de 16


Página 15 de 16


Página 16 de 16

seguridad de datos

Documents