Embed Size (px)
Citation preview
Catedra de Base de Datos
Facultad de Ciencias Exactas y Tecnología
Universidad Nacional de Tucumán
Ciclo Lectivo 2017
Unidad 7: Seguridad en bases de datos, Tipos. Amenazas. Supervivencias de las Bases de
datos. El rol del DBA. Protección de Accesos, Cuentas de usuarios y auditorías de bases de
datos, Mecanismos de seguridad y medidas para el control : Control de accesos: Acceso
Discrecional, obligatorio, basado en roles y basado en roles multinivel. Control de flujo:
Canales Ocultos. Cifrado de datos: Clave Pública, Firmas Digitales.
Programa Analítico de la Materia
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Seguridad
Gene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que: “El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de
cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él”
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Seguridad
Las bases de datos contienen información que pueden ser vitales para una organización y las consecuencias de vulnerarlas ya sea el objetivo del ataque obtener información o bien dejar interrumpido el sistema de información puede ser perjudiciales económicamente o drástica si la información que se está accediendo es de confidencialidad relacionada a la seguridad.
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Amenazas ✓Pérdida de integridad: Está referida a la protección contra las modificaciones de la información por el atacante. ✓Pérdida de disponibilidad: Tanto para un usuario como un programa se debe garantizar el acceso cuando se requiera. ✓Pérdida de confidencialidad: Relacionada con la protección al acceso no autorizado a los datos.
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Superviviencia
Un DBMS además de estar preparado contra un ataque y de poder detectarlo en caso de que suceda, debería ser capaz de realizar lo siguiente: ✓Aislamiento: Eliminar el acceso del atacante y aislar o contener el problema evitando que se extienda. ✓Evaluación de los daños: Determinar el alcance del problema. ✓Reconfiguración: Permitir que continúe el funcionamiento aún estando dañado mientras se lleva a cabo la recuperación.
✓Reparación: Tanto de los datos perdidos o corrompidos como de las funciones dañadas del sistema. ✓Tratamiento de los fallos: Identificar las debilidades que han sido aprovechadas por el ataque.
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – El Rol del DBA
El administrador de la base de datos es el responsable principal de la gestión de un sistema de bd por lo tanto es el encargado de: ✓Creación de cuentas. ✓ Concesión de privilegios. ✓Retirada de privilegios. ✓Asignación del nivel de seguridad.
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Protección de Accesos, Cuentas de usuarios y auditorías de bd
El DBA crea una cuenta de usuario con la contraseña respectiva para los privilegios correspondido a ese usuario.- El DBMS se encargará de validar al usuario que quiera tener acceso de acuerdo a los permisos que le sean concedidos. El DBMS puede seguir el rastro de cada cuenta y almacenar en un archivo denominado registro de sucesos del sistema, almacenando todas las transacciones que ha tenido un determinado usuario.
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Medidas de Control
Existen 3 medidas principales que se utilizan para proporcionar seguridad a los datos: ✓Control de Accesos ✓Control de Flujo ✓Cifrado de datos Control de Accesos Discrecional: Basado en concesión, revocación de privilegios y propagación de privilegios. La posesión de una cuenta no significa necesariamente que el propietario de la cuenta esté autorizado a toda la funcionalidad que permita el sistema. Nivel de cuenta: El DBA especifica los privilegios en particular que posee cada cuenta, independientemente de las relaciones existentes en la base de datos. Nivel de relación: El DBA puede controlar el privilegio de Acceso a cada relación en la base de datos. Existe la concesión de privilegios. (Grant Option)
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Control de accesos - Discrecional
Existen tres tipos de privilegios que se pueden conceder: Privilegio de Selección: Sólo podrá obtener información. (Select)
Privilegio de modificación: Podrá modificar túplas dentro de la relación. (Update, Delete, Insert)
Privilegio de referencia: Permite especificar restricciones de integridad. Comandos para concesión de privilegios: ✓Create Schema ejemplo Authorization A1 ; Concede privilegios al usuario A1 para crear tablas pero permitiéndole conceder a su vez privilegios; ✓Grant Insert, Delete On empleado, Departamento To A2; Concede privilegios al usuario A2 para insertar o eliminar tuplas en las relaciones empleado y Departamento pero no puede conceder privilegios.
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Control de accesos - Discrecional Comandos para concesión de privilegios: ✓Grant Select On empleado, Departamento To A3 With Grant Option : Concede privilegios al usuario A3 ver datos de las tablas y a su vez este usuario puede conceder privilegio. ✓Revoke Select On Empleado From A3 : Elimina el privilegio tanto para A3 como para los Usuarios que les fueron concedidos por A3; ✓Grant Update On Empleado(sueldo) To A4: Concede privilegios al usuario A4 modificar únicamente el campo sueldo de la tabla Empleado.
El control de acceso obligatorio apunta a clasificar la información contenida dentro de la bases de datos en distintos niveles, por ej: Ultra Secreto – Secreto – Confidencial – No clasificado Supone una mayor seguridad con respecto a la discrecional No lo implementa el DBMS
Seguridad – Control de accesos - Obligatorio
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Control de Flujo
El control de flujo regula distribución o flujo de información entre objetos accesibles. Cuando un programa lee valores en X y escribe valores en Y Una política de flujo sencilla especifica dos clases de información Confidencial y No confidencial permitiendo todos los flujos excepto aquellos que fluyen de C a N. ✓Canales Ocultos permiten el flujo de la información entre Objetos de mayor privilegio a otro de menor privilegio.
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Cifrado de datos El cifrado se utiliza para el caso en que el atacante tenga acceso a la lectura de los datos, estos vayan desvirtuados de tal forma que el atacante no pueda descifrarlo. ✓Cifrado con clave pública:
• Cada Usuario genera un par de claves a utilizar • Cada Usuario coloca una clave en algún lugar público • El emisor cifra el mensaje con la clave pública del receptor • El receptor descifra el mensaje con su clave privada
Ana redacta un mensaje Ana cifra el mensaje con la clave pública de David Ana envía el mensaje cifrado a David a través de internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio David recibe el mensaje cifrado y lo descifra con su clave privada David ya puede leer el mensaje original que le mandó Ana
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Cifrado de datos
✓Firmas Digitales: Sirve para autenticar el usuario que generó El mensaje, utilizados por ejemplo en el comercio electrónico, deben ser: Únicas: Las firmas deben poder ser generadas solamente por el firmante y por lo tanto infalsificable. Por tanto la firma debe depender del firmante. Infalsificables: Para falsificar una firma digital el atacante tiene que resolver problemas matemáticos de una complejidad muy elevada, es decir, las firmas han de ser computacionalmente seguras. Verificables: Las firmas deben ser fácilmente verificables por los receptores de las mismas y, si ello es necesario, también por los jueces o autoridades competentes. Innegables: El firmante no debe ser capaz de negar su propia firma. Viables: Las firmas han de ser fáciles de generar por parte del firmante.
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad – Cifrado de datos
David redacta un mensaje David firma digitalmente el mensaje con su clave privada David envía el mensaje firmado digitalmente a Ana a través de internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio Ana recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la clave pública de David Ana ya puede leer el mensaje con total seguridad de que ha sido David el remitente
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Seguridad
“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores”
Kevin Mitnick "Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños“
Chris Pirillo
Gene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que:
“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien
armados. Aún así, yo no apostaría mi vida por él”
Fundamentos de bases de datos / Abraham Silberschatz, Henry F. Korth /y/ S. Sudarshan.—(Tra. Fernándo Sáenz Pérez, Antonio García Cordero /y/ Jesús Correas Fernández.-- Rev. Tca. Luis Grau Fernández). McGraw Hill. Madrid /c.2008/5a. Edic.
Introducción al SQL para Usuarios y Programadores / Cornelio et al / THOMSON / 2003 / 2da. Edic
Fundamentos de sistemas de bases de datos / Ramez Elmasri /y/ Shamkant B. Navathe.—(Tra. Verónica Canivell Castillo, Beatriz Galán Espiga /y/ Gloria Zaballa Pérez.--Rev. Tca. Alfredo Goñi Sarriguren , Arturo Jaime Elizondo /y/ Tomás A. Pérez Fernández) Pearson Educación. Madrid /c.2002/3a. ed.
Bibliográficas Principal
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Bibliografía
• Paper “A relational model for a large shared data banks”, E. F. Codd. ” – ACM – 1970.
• “Procesamiento de bases de datos. fundamentos, diseño e implementación” - David M. Kroenke — (Tra.
Ana Elizabeth García Hernández.--Rev. Tca. Juan Raúl Esparza Martínez). Pearson Educación – México -
c.2003 – 8ª Edic.
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
Sitio Web de la Cátedra http://catedras.facet.unt.edu.ar/bd
BASES DE DATOS
Bases de Datos Ing. Franco D. Menendez
