seguridad de bd

SEGURIDAD

INTRODUCCIÓN

En la mayoría de las organizaciones y empresas públicas y

privadas, se tiene la idea de que la Seguridad de la

Información, es un obstáculo que impide la agilidad y el

dinamismo necesarios para abarcar nuevos retos, evolucionar

y expandir la compañía. Sin embargo, mantener la seguridad

de la información facilitará tomar decisiones futuras o

responder frente a incidentes e imprevistos.

Medidas básicas de seguridad en

un SMBD

• Mantener información de los  usuarios,  su tipo y los accesos y operaciones permitidas a éstos.

• Los SGBD tienen opciones que permiten manejar la seguridad, tal como GRANT, REVOKE, etc. También tienen un archivo de auditoria en donde se registran las operaciones que realizan los usuarios.

• Medidas físicas: Controlar el acceso al equipo. Tarjetas de acceso, etc.

• Medidas del personal: Acceso sólo del personal autorizado. Evitar sobornos, etc.

• SO: Seguridad a nivel de SO.

• SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc.

• Un  SMBD  cuenta  con  un  subsistema  de  seguridad  y autorización  que  se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado.

• Identificar y  autorizar  a los usuarios: uso de códigos de acceso y palabras claves, exámenes, impresiones  digitales,  reconocimiento  de  voz,  barrido de la retina, etc.

• Uso de técnicas de cifrado: para proteger datos en Base de Datos distribuidas o con acceso por red o internet.

• Diferentes tipos de cuentas:  en especial del DBA  con   permisos  para:  creación de cuentas,   concesión  y  revocación   de  privilegios y  asignación  de   los niveles de seguridad.

• Manejo de la tabla de usuarios con código y contraseña, control de las operaciones efectuadas en cada sesión de trabajo por cada usuario y anotadas en la bitácora, lo cual facilita la auditoría de la Base de Datos.

• Los mecanismos de protección deben ser simples, uniformes y construidos en las capas más básicas del sistema.

• Evitar pérdidas de datos por fallos hardware o software (fallo disco, etc.). Normalmente suelen ser fallos de disco o pérdida de memoria RAM

LAS TRES PRINCIPALES CARACTERÍSTICAS DE LA SEGURIDAD

• Confidencialidad :

No mostrar datos a usuarios no autorizados.

• Accesibilidad :

Que la información se encuentre disponible.

• Integridad :

Permite asegurar que los datos no se han falseado.

Políticas de la empresa

• Contar con unas políticas de seguridad de la información. Las políticas deben ser claras e incluir lo necesario para garantizar la clasificación de la información y el manejo que se le debe dar desde su creación, clasificación, almacenamiento y destrucción.

• Que los parches estén instalados, el antivirus esté funcionando correctamente.

• Toda la compañía debe tener conciencia de cómo manejar su información. Desde los puestos más modestos hasta los directivos de primer nivel.

• Hacer respaldos periódicos de la información sensible. prevenir que la información crítica y estratégica para la organización caiga en malas manos o sea usada en contra de la propia empresa, además de prevenir el fraude interno o externo, utilizando para ello, metodologías forenses y preventivas.

Firewall de bases de datos• El firewall de bases de datos es una aplicación de

software que permite filtrar, mediante un conjunto de reglas preestablecidas, las peticiones que llegan al manejador de bases de datos.

Al instalar una solución orientada para proteger la base de datos, no solo se bloquean las peticiones maliciosas, si no que se puede llevar a cabo el monitoreo de las actividades, generando bitácoras y explotando la información que se almacena en ellas.

Cuando algún usuario malicioso intenta obtener acceso a la información almacenada, se cuenta con una capa adicional de protección proporcionada por el firewall de bases de datos que le impedirá poder consultarla. El firewall solo permitirá el paso a los usuarios o a consultas y accesos autorizados con anterioridad.

Es un software que se instala para fungir como un firewall de base de datos entre la aplicación y el SMBD. Puede instalarse en varios sistemas operativos y configurarse de manera personalizada. Adicionalmente, intenta apegarse al Estándar de Seguridad de la Industria de las Tarjetas de Crédito (PCI DSS).

Algunos de los manejadores de bases de datos que puede proteger son: MySQL, MariaDB, PostgreSQL, Microsoft SQL Server, Amazon RDS y la estructura de las bases de datos de Drupal.

GreenSQL

Oracle Database Firewall

Es un firewall que opera sobre bases de datos que se encuentran en Oracle, así como IBM DB2, Sybase, Microsoft SQL Server y MySQL. Busca apegarse a las siguientes legislaciones: Acta Sarbanes-Oxley (SOX), Estándar de Seguridad de la Industria de las Tarjetas de Crédito (PCI DSS) y al Acta de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

ModSecurity

Es un módulo del servidor de aplicaciones web Apache, cuyo funcionamiento principal se orienta a la protección de aplicaciones web mediante su funcionamiento como firewall. Sin embargo, también cuenta con una serie de reglas que pueden emplearse para proteger las peticiones realizadas al manejador de bases de datos.

Adicionalmente, se puede integrar con otros servidores de aplicaciones web como Nginx, IIS y Java.

Medidas básicas de seguridad en

un servidor

• Deshabilitar los usuarios de invitado (guest): a estos usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.

• Limitar el número de cuentas en el servidor: eliminar cualquier usuario innecesario, audita tus usuarios regularmente.

• Limitar los accesos de la cuenta de administración: el administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales.

• Renombrar la cuenta de administración: el nombre del usuario no debe indicar sus privilegios.

• Crear una cuenta “tonta” de administrador: crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres.

• Cuidado con los privilegios por omisión para los grupos de usuarios: existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas.

• Coloca las particiones con NTFS: Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad.

• Configura políticas de seguridad en su servidor y su red: seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc.

• Apagar servicios innecesarios en el servidor: algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para el equipo.

• Cerrar el acceso a puertos que no se están utilizando: Configurar los puertos vía la consola de seguridad TCP/IP ubicada en el panel de control accesos de red.

• Habilitar la auditoría en el servidor: como mínimo considerar habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema.

• Colocar protección a los archivos de registros de eventos: es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores.

• Desactivar la opción del último usuario para desplegarse en la pantalla de inicio o bloqueo del sistema: este parámetro de configuración puede modificarse en las plantillas de CD de instalación o en las políticas de seguridad.

• Verificar los parches de seguridad que libera Microsoft mensualmente.

• Deshabilitar la opción de creación del archivo dump: aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones.

• Deshabilita las carpetas compartidas que no son necesarias.

• Protocolos: cualquier protocolo que no se necesite debe inhabilitado o removido. 

• Cortafuegos: Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos.

MEDIDAS PREVENTIVAS

CONTRA ATAQUES

INFORMÁTICOS

Pruebas de penetración

• Realizar pruebas de penetración involucra un proceso en donde se realizan distintos tipos de tareas que identifican, en una infraestructura objetivo, las vulnerabilidades que podrían explotarse y los daños que podría causar un atacante. Es decir, se realiza un proceso de hacking ético para identificar qué incidentes podrían ocurrir antes de que sucedan y, posteriormente, reparar o mejorar el sistema, de tal forma que se eviten estos ataques.

HERRAMIENTAS UTILIZADAS

PARA PRUEBAS DE

PENETRACIÓN

NMAPEs una herramienta de escaneo de redes que permite identificar qué servicios se están ejecutando en un dispositivo remoto, así como la identificación de equipos activos, sistemas operativos en el equipo remoto, existencia de filtros o firewalls, entre otros.

Cuando se va a atacar un servidor o dispositivo, el atacante podrá realizar distintas arremetidas en función del servicio.

NESSUS

Es una herramienta que cuenta con una extensa base de datos de vulnerabilidades conocidas en distintos servicios y, por cada una de éstas, posee plugins que se ejecutan para identificar si la vulnerabilidad existe (o no) en determinado equipo objetivo.

Metasploit FrameworkMetasploit posee una base de datos de exploits, es decir, explotación de las vulnerabilidades. Lo que hace es que en lugar de revisar si hay una vulnerabilidad en un equipo remoto, directamente se intenta la ejecución de un exploit y se simulan las consecuencias posteriores, en caso de que éste se ejecutara con éxito.

Si se logra explotar la vulnerabilidad, podría comprobarse y dimensionar cuál podría ser el daño hacia la organización, en función de la información o sistemas que estuvieran “detrás” de dicha vulnerabilidad.

DVL-DVWA

Para probar las tres herramientas anteriores, es necesario definir un sistema objetivo, un sistema en el que se harán las pruebas.

Para ello, existen dos herramientas excelentes: Damn Vulnerable Linuxy (DVL) y Damn Vulnerable Web Application (DVWA). Se trata de un sistema operativo y una aplicación web que poseen todo tipo de vulnerabilidades, de tal forma que, la persona que los utiliza, puede intentar explotarlas y experimentar.

Kali Linux (Backtrack)

Kali (antes conocida como Backtrack) es una distribución de Linux que posee todo tipo de herramientas preinstaladas que sirven para realizar Penetration Testing.

El orden de las herramientas antes mencionadas, es lo recomendable para comenzar a experimentar. Primero hay que probarlas de forma aislada y luego, abocarse completamente a Kali Linux.