Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Seguridad en Base de Datos

33,798 views

Published on

seguridad en base de datos, amenazas ataques y contramedidas.

Published in: Education

Seguridad en Base de Datos

  1. 1. SEGURIDAD EN BASE DE DATOS<br />Base de Datos Avanzada<br />
  2. 2. SEGURIDAD EN BASE DE DATOS<br />La seguridad en las base de datos es un mecanismo fundamental ya que todo de sistema informatizado esta expuesto a cualquier tipo de amenazas de daño, enormes y desastrosas como pequeñas y leves pero que de una manera u otra causan perdida de confidencialidad. <br />
  3. 3. SEGURIDAD EN BASE DE DATOS<br />AMENAZAS<br />Se deben considerar las amenazas para cada tipo de empresa donde se implementara el sistema de base de datos, ya que pueden haber amenazas particulares a las que se este mas expuesto.<br />
  4. 4. ATAQUE A UNA BASE DE DATOS MYSQL CON INJECTION SQL<br />
  5. 5. <ul><li>Buscar una pagina vulnerable, para aplicar el ataque de «InjectionSql», esto lo podemos hacer ingresando en google y buscando «allinurl:noticias.php?id= »
  6. 6. Abrimos la herramienta SqliHelper y pegamos la Url de la pagina que queremos vulnerar en la parte del target, luego damos clic en Inject, para probar</li></li></ul><li><ul><li>Posteriormente el programa comienza a chequear los datos de la página en donde podemos determinar que tipo y versión de base de datos tiene</li></li></ul><li><ul><li>Luego damos click en «Get Database», seleccionamos unos de los elementos que nos aparecen en el cuadro de «DatabaseName», y luego damos click en la opción «Get Tables»</li></li></ul><li><ul><li>Luego de dar click en «Get Tables», podemos observar que el programa nos obtiene el nombre de las tablas pertenecientes a la base seleccionada</li></li></ul><li><ul><li>Señalamos una de las tablas y luego damos click en «Get Columns», y nos aparece un cuadro con los nombre de cada una de las columnas de esa tabla, en este caso hemos seleccionado la tabla user para obtener el login y pass del usuario</li></li></ul><li><ul><li>Finalmente seleccionamos las columnas de las cuales queremos obtener los datos y damos click en «DumpNow», y así obtenemos el nombre de usuario y la contraseña para poder manipular la pagina a nuestro gusto</li></li></ul><li>SEGURIDAD EN BASE DE DATOS<br />CONTRAMEDIDAS<br />Las contramedidas que se toman para enfrentar las amenazas pueden ser físicas y administrativas<br />
  7. 7. CONTROLES INFORMATIZADOS PARA ENTORNOS MULTIUSUARIOS<br />Autorización es como el poder administrativo que se necesita para acceder legítimamente a un sistema<br />La autenticación es la validación de identidad del usuario.<br />
  8. 8. SEGURIDAD EN BASE DE DATOS<br />Controles de acceso<br />Existen dos tipos de controles: Control de accesos discrecional (DAC).- emplea un mecanismo de SQL conocido con el nombre de control de accesos discrecional.<br />Control de acceso obligatorio (MAC).- se basa en políticas de nivel de sistema que no pueden ser modificadas por usuarios individuales.<br />
  9. 9. SEGURIDAD EN BASE DE DATOS<br />Vistas<br />Este mecanismo de vistas proporciona un sistema de seguridad potente y flexible, al ocultar partes de la base de datos a ciertos usuarios. <br />Son relaciones virtuales que no existen en realidad en la base de datos<br />
  10. 10. SEGURIDAD EN BASE DE DATOS<br />Copias de seguridad<br />Tener respaldos de la BD actualizados para cuando se produzcan errores de perdida de datos,  para garantizar la integridad física de los datos.<br />Integridad<br />La seguridad en un SGDB se trata de impedir la distorsión de la DB, mediante esta se pretende proteger la base de datos contra operaciones que introduzcan inconsistencias en los datos<br />Cifrado<br />Es ocultar los caracteres legibles de una clave<br />
  11. 11. SEGURIDAD EN BASE DE DATOS<br />Tecnología RAID<br />Matriz redundante de discos independientes<br />Es un tipo de tecnología que se lo establece para que funcione redundantemente en los fallos que se vaya presentando<br />
  12. 12. SEGURIDAD EN BASE DE DATOS<br />SEGURIDAD EN SGBD DE MICROSOFT OFFICE ACCESS<br />Se basa en la configuración de una contraseña general para los diferentes usuarios y un permiso a nivel de privilegios para cada usuario<br />EN SGBD DE ORACLE<br />Entre los privilegios que pueden accederse en Oracle estarían los derechos a:<br />Conectarse a la base de datos (crear una sesión)<br />Crear una tabla<br />
  13. 13. SEGURIDAD EN BASE DE DATOS<br />Seguridad de un SGBD en entornos web<br />Debemos incluir para este tipo de seguridad: los servidores proxy, cortafuegos, algoritmos de compendio de mensajes y firmas digitales, certificados digitales, kerberos, Secure Sockets Layer (SSL) y secure HTTP (S-HTTP), secureelectronicTransactions (SET), etc.<br />
  14. 14. CONCLUSIONES<br /> La base de datos a hecho avances significativos en el manejo de la seguridad de las bases de datos<br /> Varias de las aplicaciones que manejamos en nuestro diario vivir que requieren confidencialidad necesitan modelos mas sofisticados de seguridad: Entidades bancarias, medicas, departamentos gubernamentales, inteligencia militar, etc.<br /> Aunque la implementación de seguridad mas sofisticada no es tarea fácil, debemos hacer el esfuerzo por lograr que nuestros datos estén completamente seguros<br />
  15. 15. RECOMENDACIONES<br />Limitar el acceso a los usuarios y el numero de administradores de la base de datos.<br />Respaldar la información de la base de datos eventualmente.<br />Implementar métodos de autenticación para no dar libre acceso a la información.<br />Implementar seguridad a través de periféricos tanto a nivel de hardware como a nivel de software <br />Conocer de los diferentes ataques que puede sufrir una base de datos y tratar de prevenir estos con anticipación.<br />Mantener los servidores de datos bien protegidos en una sala de acceso restringido en donde los administradores puedan acceder mediante acceso remoto<br />Crear diversas normas y procedimientos que determinen exactamente quienes tienen acceso a la información a través de un marco jurídico<br />
  16. 16. BIBLIOGRAFIA<br />SISTEMAS DE BASES DE DATOS, Thomas M. Connolly, 4ta Edición, Capitulo 19 Seguridad.<br />http://es.kendincos.net/<br />http://foros.hackerss.com/index.php?showtopic=49<br />http://www.infor.uva.es/~jvegas/cursos/bd/oraseg/oraseg.html#4<br />http://databaseandtech.wordpress.com/2008/03/15/como-activar-la-auditoria-de-una-base-de-datos-oracle/<br />http://csaruman.blogspot.com/2009/10/virus-informatico.html<br />http://mundopc.net/firewalls-politicas-de-seguridad-en-red/<br />http://www.iec.csic.es/criptonomicon/linux/introsegred.html<br />
  17. 17. Autores:<br />

×