Fase 2 - Conceptualizar la Seguridad de Bases de Datos 1

SEGURIDAD EN BASES DE DATOS

Grupo 233009_6
Fase 2 - Conceptualizar la Seguridad de Bases de Datos
Universidad Abierta y a Distancia UNAD

Integrantes

Wilson Surez Lizcano Fabio Arellano Montenegro

1075273452 87714303
wsuarezl@unad.edu.co fabioarellano@gmail.com
Skype: bypochito Skype: fabio_arellano
Hobo, (Huila) Pasto, (Nario)
CEAD Neiva CEAD Pasto

Mario Fernando Jurado Snchez Maribel Jaqueline Prez

1085266387 1087414445
mariojurado@hotmail.es jaquelineperez23@hotmail.com
Skype: mariojurado Skype: maribelsita23
Pasto, (Nario) Pasto, (Nario)
CEAD Pasto CEAD Pasto

Presentado a
Jos Hernando Pea
Tutor, Seguridad en Bases de Datos
14 de marzo de 2017
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 2

Introduccin

Las bases de datos se han convertido en uno de los sistemas ms importantes de

almacenamiento de informacin, y a su vez se les ha brindado la confianza de conservar
informacin confidencial y reservada, es por ello que la seguridad en las bases de datos es una
prioridad fundamental que tienen los diferentes motores de bases de datos, en donde da a da
se estudian todos los factores que influyen en la seguridad de los datos, desde los factores
digitales hasta los fsicos y de personal, actualizando e innovando constantemente diferentes
metodologas y protocolos que promueven la seguridad de la informacin.
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 3

Unidad 1. Fase 2 Conceptualizar la Seguridad de Bases de Datos

1. Seleccionar 5 diferentes motores de bases de datos relacionales y no relacionales

(NoSQL), para: describir los mecanismos de autenticacin para usuarios lgicos y de
hardware en las bases de datos.

Tabla 1.
Mecanismos de autenticacin de bases de datos relacionales
Mtodos SQL
Descripcin Postgres Oracle MariaDB MySQL
Autenticacin server
Este mtodo de
autenticacin, es por
defecto el que usan
Autenticacin
la mayora de base X X X X X
de confianza
de datos y no
contempla ningn
tipo de seguridad.
Este mtodo de
autenticacin,
consiste en un
servidor centralizado
el cual cifra la
conexin y
Kerberos X X X X X
centraliza la
informacin en las
empresas, evitando
que se usen muchas
contraseas para
cada sistema.
Este mtodo de
autenticacin
consiste en generar
una llave pblica en
PKI-Based la infraestructura, X X
esta llave puede ser
usada para cifrar la
conexin o el canal
de conexin.
Este mtodo
consiste en un
protocolo de
seguridad el cual
Radius X X X X
centraliza y gestiona
las autenticaciones
en las
organizaciones.
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 4

Este mtodo hace

uso de un directorio
activo, el cual
centraliza la
informacin dentro
de las
LDAP X X X X X
organizaciones,
ayudando que los
usuarios manejen
una sola contrasea
en todos los
sistemas.
Este mtodo de
autenticacin es
implementado por la
mayora, consiste en
el sistema
tradicional de
Usuario y
usuario y contrasea X X X X X
contrasea
donde el usuario
puede estar
almacenado en la
base de datos o en
algn archivo
externo.
Este no es
precisamente un
mtodo de
autenticacin, es un
marco de trabajo el
cual define una serie
SASL X X
de mtodos de
autenticacin las
bases de datos
pueden implementar
algunos de estos
mtodos.
Este mtodo
consiste en usar
sistemas de
autenticacin que
Biometra usan partes bilogas X X
de las personas
tales como iris, voz,
huellas, rostro entre
otros.
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 5

Este no es
precisamente un
mtodo de
autenticacin, hace
PAM referencia a diversos X X X X
mtodos exteriores
que pueden ser
instalados en las
bases de datos.
Este mtodo de
autenticacin hace
uso de los usuarios
del sistema
Peer operativo en que se
X
Authentication encuentra instalado
el motor de base de
datos y los autentica
mediante los
usuarios del sistema

Tabla 2
Mecanismos de autenticacin de bases de datos no relacionales
Mtodos Cassandra Couch
Descripcin Neo4j MongoDB Redis
Autenticacin DB DB
Este mtodo de
autenticacin, es por
defecto el que usan
Autenticacin
la mayora de base X X X X X
de confianza
de datos y no
contempla ningn
tipo de seguridad.
Este mtodo de
autenticacin,
consiste en un
servidor centralizado
el cual cifra la
conexin y
Kerberos X X
centraliza la
informacin en las
empresas, evitando
que se usen muchas
contraseas para
cada sistema.
PKI-Based Este mtodo de
autenticacin
consiste en generar
una llave pblica en
la infraestructura,
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 6

esta llave puede ser

usada para cifrar la
conexin o el canal
de conexin.
Este mtodo
consiste en un
protocolo de
seguridad el cual
Radius
centraliza y gestiona
las autenticaciones
en las
organizaciones.
Este mtodo hace
uso de un directorio
activo, el cual
centraliza la
informacin dentro
de las
LDAP X X X
organizaciones,
ayudando que los
usuarios manejen
una sola contrasea
en todos los
sistemas.
Este mtodo de
autenticacin es
implementado por la
mayora, consiste en
el sistema
tradicional de
Usuario y
usuario y contrasea X X X X X
contrasea
donde el usuario
puede estar
almacenado en la
base de datos o en
algn archivo
externo.
Este no es
precisamente un
mtodo de
autenticacin, es un
marco de trabajo el
cual define una serie
SASL X X
de mtodos de
autenticacin las
bases de datos
pueden implementar
algunos de estos
mtodos.
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 7

Este mtodo
consiste en usar
sistemas de
autenticacin que
Biometra usan partes bilogas
de las personas
tales como iris, voz,
huellas, rostro entre
otros.
Este no es
precisamente un
mtodo de
autenticacin, hace
PAM referencia a diversos X
mtodos exteriores
que pueden ser
instalados en las
bases de datos.
Este mtodo de
autenticacin hace
uso de los usuarios
del sistema
Peer operativo en que se
Authentication encuentra instalado
el motor de base de
datos y los autentica
mediante los
usuarios del sistema

2. Identificar las posibles causas que generan las fallas de seguridad en las bases de
datos seleccionadas en el punto 1.

Tabla 3
Fallas de seguridad en bases de datos relacionales y no relacionales
Bases de Datos Posibles Causas de Fallas
Relacionales (SQL)
MySQL Inyeccin SQL
Autenticacin remota
Credenciales por defecto
Cuentas de usuario sin auditar
Contraseas no seguras
Ataque DDoS
Microsoft SQL Server Mal configuracin de servicios y firewall
No se actualizan a sus ltimas versiones
Mal configuracin en los puertos de red
Procedimientos almacenados innecesarios
Cuentas de usuario sin auditar
Contraseas no seguras
Inyeccin SQL
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 8

PostgreSQL No se actualizan a sus ltimas versiones

Cuentas de usuario sin auditar
Contraseas no seguras
Inyeccin SQL
Oracle Mal configuracin de servicios y firewall
No se actualizan a sus ltimas versiones
Mal configuracin en los puertos de red.
Cuentas de usuario sin auditar
Contraseas no seguras.
Inyeccin SQL
Ataque DDoS
MariaDB Inyeccin SQL
Contraseas no seguras.
Credenciales por defecto
Bases de Datos No
relacionales Posibles Causas de Fallas
(NoSQL)
Cassandra No se actualizan a sus ltimas versiones
Cuentas de usuario sin auditar
Contraseas no seguras
Inyeccin SQL
Credenciales por defecto
MongoDB Credenciales por defecto
Cuentas de usuario sin auditar
Contraseas no seguras
Posibles inyecciones SQL
CouchDB Credenciales por defecto
Cuentas de usuario sin auditar
Contraseas no seguras
Neo4j Credenciales por defecto
Cuentas de usuario sin auditar
Contraseas no seguras
Redis Credenciales por defecto
Cuentas de usuario sin auditar
Contraseas no seguras

Inyeccin SQL
Es un mtodo de ejecucin de sentencias sql o cdigos ilcitos que vulnera la seguridad
del sistema, para realizar cambios en una base de datos.

Autenticacin Remota
Es cuando un hacker accede de forma ilegal a paneles administrativos como por ejemplo
PhpMyAdmin (MySQL).

Mal configuracin de servicios y firewall.

Es cuando no se hacen las configuraciones adecuadas a los servicios y directivas que
permiten el acceso al sistema, as como los mecanismos de prevencin antivirus y firewall.
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 9

No se actualizan a sus ltimas versiones

Las actualizaciones permiten mitigar las vulnerabilidades de seguridad en la base de
datos, el no actualizar puede aumentar los riesgos y vulnerabilidades en el sistema.

Mal configuracin en los puertos de red

La red es la principal causa y va de acceso para los atacantes, si los puertos de red
estndar estn abiertos a internet, esto favorecer a los atacantes.

Procedimientos almacenados innecesarios

Los procedimientos almacenados permiten realizar buenas prcticas en la transaccin de
datos, sin embargo algunos procedimientos almacenados no utilizados y habilitados pueden
permitir el acceso al sistema operativo y registros.

Cuentas de usuario sin auditar

Sucede cuando no se realizan los cambios de acceso respectivos a las cuentas de
usuario, cuando hay cambios en el personal administrativo.

Contraseas no seguras
La implementacin de contraseas sencillas, pueden ser fcilmente vulneradas por fuerza
bruta o diccionarios.

Credenciales por defecto

Es una de las peores prcticas de autenticidad en los motores de bases de datos, es
comn encontrarlas en las bases de datos no relaciones, donde incorporan credenciales por
defecto, o incluso sin autenticacin necesaria o deshabilitada.

Ataque DDoS
Significa ataque de denegacin de servicio distribuido, es uno de los ataques ms usual
y eficaz, donde se ataca al servidor principal desde muchos ordenadores generalmente a
travs de una red de bots, generando un gran flujo de informacin con el fin de inhabilitar al
servidor.

3. Describir los tipos y mecanismos de respaldo de las Bases de datos que ofrece
Oracle, PostgreSQL, Microsoft SQL server, Mysql, Cassandra DB, MongoDB. Se solicita
crear un plan de respaldo diario, semanal y mensual para las bases de datos, y presentar
otras estrategias que se puedan aplicar e implementar para mantener la disponibilidad
de los servicios de bases de datos 7x24 y a su vez cumplan con la contingencia y
continuidad del negocio para las bases de datos.

Tipos de copias de seguridad

Los tres principales tipos de copias de seguridad son:
Completo
Diferencial
Registro de Transacciones

Copia de Seguridad Completa

Es una copia maestra, incluye todos los objetos, tablas, registros e informacin de la
base de datos.

Ventaja:
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 10

Esto permite restaurar los datos en un tiempo mnimo, lo cual se mide en trminos de
objetivo de tiempo de recuperacin (RTO).

Desventaja:
El inconveniente es que lleva ms tiempo realizar un backup completo que de otros tipos
(a veces se multiplica por un factor 10 o ms), y requiere ms espacio de almacenamiento.

Copia de Seguridad Diferencial

Una operacin de backup diferencial es similar a un backup incremental la primera vez
que se lleva a cabo, pues copiar todos los datos que hayan cambiado desde el backup
anterior. Sin embargo, cada vez que se vuelva a ejecutar, seguir copiando todos los datos que
hayan cambiado desde el anterior completo. Por lo tanto, en las operaciones subsiguientes
almacenar ms datos que un backup incremental, aunque normalmente muchos menos que
un backup completo. Adems, la ejecucin de los backups diferenciales requiere ms espacio y
tiempo que la de los backups incrementales, pero menos que la de los backup completos..

Copia de Seguridad Incremental

Slo copia los datos a partir del ltimo backup de cualquier tipo, se puede ejecutar tantas
veces como se desee, pues slo guarda los cambios ms recientes. La ventaja de un backup
incremental es que copia una menor cantidad de datos que un backup completo. Por ello, esas
operaciones se realizan ms deprisa y exigen menos espacio para almacenar el backup.

Oracle
Soporta 2 tipos de copias de seguridad: offline y online, estas funcionan de la siguiente
manera:

Offline

Tenemos 2 mtodos para realizar backups offline de tipo User Managed.

a. Bajando la base de datos y hacer una copia de los files a nivel de sistema operativo.
b. Bajando la base de datos y subindola en modo MOUNT y hacer el backup con RMAN
o con comandos de sistema operativo.

Online

Est mtodo nos permite sacar backups en caliente a la base de datos es decir sin
generar indisponibilidad de servicios. Requisito principal: La base de datos debe estar en modo
archive.

Adicionalmente Oracle cuenta con RMAN una de las herramientas ms potentes para realizar
copias de seguridad.

RMAN

En RMAN podemos configurar 3 tipos de backups: Por nmero de copias, por tiempo y no
configurado por RMAN.
a. Por nmero de copias: Indicamos a Oracle que debe existir n copias de un backup
para considerarlo obsoleto el ms antiguo. Configure Retention Policy To Redundancy.
b. Por das de retencin: Indicamos a Oracle el nmero de das que debe tener un
backup para ser considerado vigente todava. Configure Retention Policy To Recovery Window
Of # Days; Si un backup no cumple el perodo de das de ser considerado vigente, pero es
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 11

necesario para tener un backup completo de la base de datos; Oracle no lo marcar como
obsoleto. Asimismo, siempre Oracle mantendr un backup completo de la base de datos. El
nmero de das de retencin no puede ser mayor al especificado en el parmetro
Control_File_Record_Keep_Time si no estamos utilizando catalogo.
c. Sin retencin: Indica que el backup nunca ser obsoleto, pero le da el derecho a la
herramienta de terceros que realiza el backup a hacerlo.

Postgres

Sql Dump

Este mtodo de copia de seguridad cosiste en sacar el respaldo de algunos componentes

de la base de datos, sin necesidad de detenerla, es una copia lgica la cual almacena los
comandos para realizar la restauracin mediante un archivo de texto plano.

File system level backup

Este mtodo de copia de seguridad es un mtodo alterno, el consiste en copiar los

archivos donde se encuentran almacenados las estructuras y base de datos de postgres, este
realiza una copia de seguridad fisica el inconveniente de realizarlo es que se necesita detener
la base de datos.

Archivado continuo y puntos de recuperacin (PITR)

Este mtodo permite restaurar ciertos cambios de informacin en la base de datos

mediante el uso de un log que hace las veces de un punto de restauracin.

Microsoft Sql Server

Copia de seguridad completa

Es posible en una base de datos maestra, la cual contiene base de datos, archivos y
grupos de archivos.

Copia de seguridad diferencial

Este mtodo est disponible para los grupos de archivos de solo lectura, contiene base
de datos, archivos y grupos de archivos.

Copia de seguridad registro de transacciones:

Este mtodo no est disponible para el modelo de recuperacin simple, contiene el

registro de transacciones.

Mysql

Mysqldum
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 12

Este mtodo de copia de seguridad consiste en realizar una copia lgica de la base de
datos, permitiendo realizar el copiado de algunas estructuras de la base de datos, este es ideal
cuando se desea recuperar cierta informacin particular de una base de datos, el inconveniente
de este mtodo es que se tiene que bloquear la base de datos al momento en que se realiza el
proceso, adems tiende a tomar bastante tiempo en base de datos que contengan gran
cantidad de informacin.

Snapshots de LVM

Este mtodo realiza la copia de seguridad fsica en caliente, esto quiere decir que no es
necesario detener la base de datos para realizar el proceso, minimizando el bloqueo de la base
de datos. Este mtodo realiza una copia de la base de datos completo, por ende es ms
complicado restaurar datos parciales de la informacin.

Cassandra

nodetools snapshop

La copia de seguridad que se realiza en cassandra es mediante la adopcin de una

instantnea de todos los archivos que se encuentran almacenados en el directorio de datos,
para ejecutar o realizar esta instantnea se necesita el hacer uso de la herramienta nodetools
snapshop, el cual permite realizar la instantnea de los nodos que almacenan la informacin,
este comando tambin es usado para restaurar las copias.

MongoDB

mongodump

Mongodb es un motor de base de datos no relacionales orientado a los documentos, y

para realizar copias de seguridad hace uso del comando mongodump este comando realiza
copias de seguridad en caliente, de forma parcial o completa.

Plan de Respaldo
Para maximizar la seguridad de la informacin alojada en sistemas de bases de datos y
teniendo en cuenta el tamao de almacenamiento, se considera automatizar la creacin de
copias de seguridad de la siguiente manera.
Respaldo diario: realizar una copia de seguridad incremental.
Respaldo semanal: realizar una copia de seguridad diferencial durante un da fijado de
cada semana.
Respaldo mensual: realizar una copia de seguridad completa durante una fecha fijada
de cada mes.

Estrategias
Existen diferentes medios para salvaguardar la informacin, tanto con dispositivos fsicos
como programas en la nube, para realizar copias de seguridad. Cualquiera que sea el sistema
que utilicemos, se debe cuidar de hacer copias de respaldo teniendo en cuenta algunos
esenciales en la estrategia de seguridad informtica como las siguientes:
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 13

Qu ficheros debo incluir en mis copias de seguridad?

A veces las empresas slo guardan en las copias de seguridad los trabajos diarios de sus
clientes. Pero, tenemos copia de seguridad de nuestro sistema operativo? Hemos realizado
copias de seguridad de nuestros programas?

Y en cuanto a los archivos que estn en un servidor externo, sujeto a otras medidas de
seguridad, como nuestra pgina web, tenemos una copia nosotros en caso de que fallara la
empresa con la que trabajamos?

Cada cunto se va a hacer las copias de seguridad?

Otro detalle relevante que debes fijar en tu estrategia. Cada cunto tiempo deseas tener
copias de seguridad? Cada da? Cada semana? La respuesta a esta pregunta depende en
gran parte de la naturaleza de los ficheros.
No es necesario hacer una copia de seguridad de los archivos que no cambian
demasiado, pero s es muy importante que la ltima versin guardada de los ficheros muy
cambiantes (trabajo diario) sea lo ms actual posible, ya que si no perderemos parte de nuestro
esfuerzo.

Las copias sern automticas, o manuales?

En este aspecto hay que preguntarse por los riesgos de seguridad de la empresa.
Cuando se estropea un ordenador, sucede de improviso o con previo aviso? Verdad que
siempre sucede en el momento ms inoportuno?
Si nuestras copias son manuales, estamos sujetos a una tasa de incidencias mucho ms
elevada: errores humanos (al empleado se le olvid hoy hacer el backup) o por falta de
previsin en el tiempo (hice la copia de seguridad ayer, pero los trabajos del mircoles al
domingo se han borrado todos).

En caso de fallo de seguridad, cunto tiempo se tarda en recuperar los archivos

perdidos?
En las grandes organizaciones, esta pregunta se vuelve muy compleja. Sobre todo, en los
casos en los que se ha borrado una gran parte de los ficheros necesarios para el trabajo.
La empresa no puede estar das y das esperando a encontrar un archivo, que no
sabemos si estaba en el disco duro A o en el Z, ni en qu carpeta. Al igual que en cualquier
almacn, un fichero mal etiquetado o sin nombre es un fichero casi perdido.

Has asegurado tus copias de seguridad?

Hay empresas que no tienen en cuenta que estn en ocasiones guardando archivos
personales de particulares o empresas y por lo tanto son de carcter privado y tienen una
responsabilidad en caso de violacin de la privacidad. Tu negocio es el responsable en caso de
que se produjera cualquier fallo de seguridad y ste fichero cayera en malas manos.

Por tanto, no slo has de crear copias de respaldo, sino asegurarte de que ninguna
persona ajena a ti, que es con quien esa persona fsica o jurdica ha firmado el contrato, pueda
acceder o robar esos ficheros. Se impone crear ficheros encriptados si trabajamos con backup
en la nube y tambin disponer de un sistema de proteccin online actualizado.

Tambin se recomienda que adems de realizar las copias de seguridad completas de las
bases de datos, se debe crear una copia adicional en un medio de almacenamiento extrable y
que ste se conserve en una rea alejada del lugar donde se encuentran las copias de
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 14

seguridad tradicionales; ya que existen amenazas que pueden ser provocadas por el medio
ambiente y pueden afectar fsicamente al hardware y los activos del sistema de informacin.

Si fallaran las copias de respaldo, tengo otras?

Resulta que hay empresas, una gran parte de ellas, que slo trabajan con discos duros
externos. Pero, ay, un da el disco duro en el que guardbamos absolutamente todo, desde
inventarios hasta las facturas, se cae al suelo, se rompe y ya no se puede acceder; o lo
dejamos al sol sin darnos cuenta a la hora de comer y se queman sus componentes internos. O
el mismo virus que ha atacado a nuestro ordenador se ha colocado tambin en la unidad del
disco duro y ha daado los ficheros.

Qu pasa con todas las copias de seguridad que hemos hecho? A la basura! A menos
que tengas un plan B, un sistema de copias de seguridad en la nube que te permita recuperar
tus ficheros perdidos en poco tiempo.

Disponibilidad 24/7

En la actualidad es sumamente importante disponer de un servicio constante en las

empresas, ya que se ha convertido en una necesidad obligada, es por eso que ha surgido el
tema de alta disponibilidad; dado que este trmino es relativamente nuevo y las bases de datos
relacionales son ms antiguas, su naturaleza hace que no fueran pensadas en prestar servicios
de almacenamiento de alta disponibilidad; sin embargo dada la necesidad han implementado
con el tiempo diferentes tcnicas de replicacin que les permita prestar servicios de alta
disponibilidad, pero el problema de estas soluciones es que han sido adaptadas en el camino y
son en muchas ocasiones difciles de implementar y mantener como es el caso de postgres,
mysql que usan sistemas de rplica esclavo- maestro el cual es difcil de mantener y escalar,
motores como Oracle han tratado de hacer una adaptacin de alta disponibilidad pero tiene
costos muy elevados. Es por eso que hoy en da han surgido nuevas formas de almacenar la
informacin como son las base de datos no relacionales las cuales fueron pensadas desde un
inicio con el fin de solucionarlos problemas presentados al atender una gran cantidad de
clientes o prestar diferentes servicios como lo son el cloud computing; este es el caso de
motores tales como cassandradb el cual es pensado como nodos los cuales guardan la
informacin y son capaces de soportar miles de clientes al tiempo.

Para mejorar la disponibilidad de la informacin y el buen funcionamiento del sistema de

bases de datos se deben tener encuentra los siguientes factores.

Ambiental: los dispositivos que operan las diferentes bases de datos, deben estar en
ambientes con temperaturas recomendadas para su correcto funcionamiento.

Hardware: un equipo que utiliza hardware de ltima tecnologa y con los requisitos
suficientes, puede hacer la diferencia a la hora de procesar la informacin transaccional de una
base de datos de una forma ms eficiente. As como adems de tener servidores espejos
pueden mejorar la disponibilidad de los servicios en caso de que uno presente problemas
tcnicos.

Software: la seleccin y configuracin adecuada del motor de base de datos, juegan un

papel indispensable en la eficiencia de los datos, ya que el tipo de motor de bases de datos
(relacional o no relacional) debe ser seleccionado dependiendo de la informacin que se
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 15

procesar; as mismo la buenas prcticas en la configuracin del motor de base de datos

puede mejorar considerablemente la disponibilidad de los servicios que ofrece.

Red: para mejorar las transacciones de la informacin entre un cliente y el servidor sea
el caso, se deben considerar una conexin de red muy estable y con un buen servicio de ancho
de banda.

Intervencin de usuario: es de saberse que un buen equipo administrativo que

supervise y cumpla los protocolos de seguridad administrativa, conservacin y preservacin de
los sistemas de informacin, pueden asegurar perpetuamente la disponibilidad de una base de
datos.

4. Seleccionar un motor de bases de datos relacional y otro no relacional (NoSQL) y

describir la arquitectura y las principales caractersticas de seguridad que tiene
implementada en la ltima versin.

Microsoft SQL Server 2016

En esta ltima versin lanzada por Microsoft, nos ofrece un producto que permite
almacenar y gestionar grandes cantidades de informacin de una manera ms rpida y segura.
Microsoft SQL Server utiliza Structured Query Language, un lenguaje que sirve para administrar
la base de datos, entre sus principales caractersticas se destacan:

Flexibilidad, rendimiento y disponibilidad para OLTP (Procesamiento de Transacciones

en Lnea).
Memoria ampliable hasta 12TB y 640 procesadores lgicos.
Con rendimiento mejorado en la memoria, realiza transacciones 30 veces ms rpido y
consultas 100 veces ms rpidos.
Realiza anlisis operacionales en tiempo real de los datos transaccionales.
Plataforma BI completa, que permite transformar datos complejos en conocimientos
prcticos.
Crea informes innovadores, de datos densos con varios tipos de grficos.
Permite acceder a KPIs (Indicadores Claves de Rendimiento), informes mviles y
paginados.
Always Encrypted, protege los datos almacenados en la memoria y cifra los datos de
los usuarios sin mayores inversiones.
Dynamic Data Masking (DDM) y Row Level Security (RLS), herramientas que reducen
los ataques externos, limitan el acceso y protegen los datos de los usuarios.
AlwaysOn, permite recuperar informacin ante un fallo de conectividad.
Stretch Database, permite que los usuarios accedan desde sus equipos.
Compatibilidad y flexibilidad con usuarios Linux, con mejoras en su rendimiento y
sistema de seguridad.

MongoDB 3.4.2
MongoDB utiliza una arquitectura llamada Nexus, una nica base de datos que se centra
en la combinacin de las capacidades crticas de las bases de datos relacionales y aplicando al
mismo tiempo las innovaciones de las tecnologas NoSQL. Algunas de las caractersticas de
esta arquitectura son:
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 16

Expresivo en lenguajes de consulta y escrutinios secundarios, permite a los usuarios

acceder y manipular la informacin de formas sofisticadas, para apoyar tanto a las
aplicaciones operativas como analticas.
Consistencia fuerte, permite a las aplicaciones leer inmediatamente lo que se ha
escrito en una base de datos.
Gestin empresarial e integraciones, se adopta a las nuevas infraestructuras TI de las
empresas, permite asegurar, monitorizar, automatizar e integrarse con la
infraestructura existente en las tecnologas, procesos y del personal.
Modelo de datos flexible, modelos que permiten adaptarse fcilmente a los requisitos
de las aplicaciones modernas, permitiendo almacenar y combinar datos de cualquier
estructura.
Escalabilidad y rendimiento, permite la distribucin de datos a travs de mltiples
maquinas (Sharding), mejorando el rendimiento y crecimiento casi ilimitado de los
datos.
Implementaciones globales, ofrecen una experiencia de calidad consistente para todos
los usuarios del mundo, trabajando desde muchos nodos, incluyendo la replicacin y
sincronizacin automtica de los datos de diferentes servidores y centros de datos.

5. Qu responsabilidades deben tener los desarrolladores de aplicaciones y los

administradores de bases de datos para proteger la informacin?

Hoy en da las aplicaciones son usabas con ms constancia y a su vez se les confa
informacin personal y confidencial. Es por ello que la responsabilidad que tienen los
desarrolladores y administradores para asegurar la informacin que es suministrada en una
base de datos, es de suma importancia. Para realizar buenas prcticas y mejorar la seguridad
de la informacin, se debe tener en cuenta los siguientes aspectos y responsabilidades.

Tabla 4
Responsabilidades de los desarrolladores de aplicaciones y administradores
Desarrollador
No ejecutar aplicaciones desconocidas
o de desconfianza
Establecer permisos de los recursos
requeridos por la aplicacin y utilizar
configuracin menos permisiva.
Configurar la aplicacin de tal manera
que no muestre mensajes de errores
detallados que pueden ser
aprovechados por delincuentes.
Utilizar diferentes tipos de cifrados
seguros para la transaccin de datos
Controlar la informacin que se
almacena en las cookies
Utilizar mecanismos de autenticacin
difciles de eludir
Identificar y gestionar cuidadosamente los datos sensibles
Administrador
Realizar copias de seguridad
Mantener los equipos del servidor en
un lugar fsico asegurado, donde se
evite el ingreso a personal no
autorizado.
Mantener los equipos en sitios con
temperaturas recomendadas
Ejecutar programas seguros que
supervise el trfico de datos
Definir roles que permitan facilitar la
administracin y responsabilidades de
cada usuario
Considerar cambios futuros de activos
y actores.
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 17

Utilizar productos en sus ltimas versiones para maximizar la seguridad de la

informacin
Cerrar puertos que no se utilicen y desactivar los servicios no usados

Los desarrolladores juegan un papel importante, dado que ellos son los que realizan los
sistemas informticos que estn soportados por los diferentes motores de bases de datos y
estos deben cumplir con algunos cuidados tales como.

Proteger las consultas realizadas a la base de datos de ataques de inyeccin sql o de

inyeccin no sql, dependiendo de tipo de gestor de base de datos usado.
Proteger el acceso de la informacin de los usuarios del sistema informticos mediante
polticas tales como el uso de contraseas seguras entre otros.
Proteger el acceso a la informacin mediante anlisis de spamers o malwares.
Proteger el servicio y la cantidad de conexiones realizadas a la base de datos para
evitar ataques de DDos que involucren la base de datos.
Utilizar capas de acceso a datos que aseguren los tipos de datos almacenados en la
base de datos para evitar ataques de diferentes tipos.
Cifrar la conexin mediante el uso de certificados SSL.

Los administradores de bases de datos tienen an ms responsabilidades dado que son

estos los que configuran e interactan directamente con la base de datos. Las
responsabilidades de los administradores de bases de datos son.

Configurar la seguridad de la base de datos evitando dejar la configuracin por defecto.

Usar claves seguras para evitar conexiones indebidas por el uso de ataques de fuerza
bruta.
Usar y configurar polticas de seguridad sobre la base de datos.
Mantener el motor de base de datos actualizado.
Cambiar o cerrar los puertos por defecto del gestor de base de datos.
Implementar DMZ que eviten conexiones indebidas que puedan resultar en ataques.
Monitorear permanentemente la base de datos para evitar y prevenir ataques tales
como DDos.
Cifrar las conexiones que se realizan a la base de datos mediante los mtodos
disponibles.
Usar diferentes usuarios para cada actividad, dejan as permisos indebidos a usuarios
inadecuados.
Realizar copias de seguridad de forma peridica que eviten perdida de informacin en
caso de fallos.

6. Documentar como se cifra las conexiones y la totalidad de cada Base de Datos, para
Oracle 12 C (tanto en versin Express como en versin Enterprise), MYSQL, Microsoft
SQL server y Casandra en sus ltimas versiones.

Tabla 5
Cifrados de conexiones de bases de datos
Base de datos Enterprise Express
Oracle TDE Data Encryption Toolkit
MySQL AES, SSL/TLS, SSH
Microsoft SQL Server TDE, PKI Seguridad Avanzada
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 18

Cassandra SSL/TLS

TDE (Cifrado de Datos Transparente)

Es una tecnologa de cifrado usado por bases de datos, protege tanto los archivos de
datos, como los archivos de registro, datos en reposo, copias de seguridad y es fcil de
implementar.

Data Encryption Toolkit

Protege datos vitales y provee una capa adicional de proteccin para los datos en medios
de almacenamiento.

AES (Estndar de Cifrado Avanzado)

Es un esquema de cifrado estndar por bloques, de los algoritmos ms famosos usados
en criptografa simtrica.

SSL (Capa de Puertos Seguros)

Es un protocolo criptogrfico que permite conexiones seguras por una red o internet.
Utiliza certificados X.509, criptografa asimtrica para autenticar a la contraparte que se est
comunicando.

TLS (Seguridad de la Capa de Transporte)

Es una versin actualizada y ms segura de SSL.

Seguridad Avanzada
Es una estructura de seguridad estndar que generalmente implementan las versiones
bsicas de motores de datos.

SSH
Utiliza tcnicas de cifrado que permite que la informacin que viaja por el medio de
comunicacin se transporte de tal manera que no sea legible.

PKI
Significa Infraestructura de Clave Pblica. La tecnologa PKI permite a los usuarios
autenticarse con otros usuarios y usar la informacin de los certificados de identidad para cifrar
y descifrar mensajes, firmar digitalmente informacin, garantizar el no repudio de un envo, y
otros usos. Este mtodo suele ser un poco ms costoso de implementar dentro de las
organizaciones.
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 19

Referencias

Alvarez, E. (26 de Enero de 2015). fullCod Vulnerabilidades MongoDB. Recuperado de

https://ingedwinesneyder.wordpress.com/2015/01/26/vulnerabilidades-mongodb/

Avanttic Blog (100 % ORACLE). (28 de Agosto de 2015). Recuperado de

https://blog.avanttic.com/2015/08/28/transparent-data-encryption-cifrar-por-columna-o-
tablespace/

Borghello, C. (2017). Segu-Info. Recuperado de

http://blog.segu-info.com.ar/2017/01/oracle-corrige-270-vulnerabilidades-en.html

CAPACITY. (s.f.). CAPACITY Informacion TEcnologia Acedemia. Recuperado de

http://blog.capacityacademy.com/2013/02/18/cuales-son-las-funciones-de-un-
administrador-de-base-de-datos-parte-1-de-2

CARDENAS, J. E. (2014). ANLISIS COMPARATIVO DE DOS BASES DE DATOS SQL Y DOS

BASES DE DATOS NOSQL. Pereira, Colombia.

CN-CER. (2017). DEFENSA FRENTE A LAS CIBERAMENAZAS. Recuperado de

https://www.ccn-cert.cni.es/component/vulnerabilidades/view/3903.html

COLCERT. (2017). - GRUPO DE REPUESTAS A EMERGENCIAS CIBERNETICAS DE

COLOMBIA. Recuperado de
http://www.colcert.gov.co/?q=blog/m%C3%BAltiples-vulnerabilidades-en-postgresql

DB, A. C. (2017). Recuperado de

https://apachefoundation.wikispaces.com/Apache+Couch+DB

Autenticacin en SQL Server. Recuperado de

https://msdn.microsoft.com/es-es/library/bb669066(v=vs.110).aspx

Jess Lucas Flores. Seguridad en Oracle y Autenticacin de Usuarios. Recuperado de

http://informatica.gonzalonazareno.org/plataforma/pluginfile.php/268/mod_resource/conte
nt/0/Proyectos/JesusLucas-AutenticacionORACLE.pdf

Configurando al Firebird. Recuperado de

https://firebird21.wordpress.com/2013/06/14/configurando-al-firebird/

Big Data NoSQL. Recuperado de

http://bigdatanosql.blogspot.com.co/p/introduccion-cassandra.html

MongoDB desde Cero: Seguridad. Recuperado de

http://codehero.co/mongodb-desde-cero-seguridad/

Matriz de amenazas y vulnerabilidad (motor de base de datos). Recuperado de

https://technet.microsoft.com/es-es/library/bb895180(v=sql.105).aspx

Alta disponibilidad para bases de datos. Recuperado de

 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 20

https://www.ibm.com/support/knowledgecenter/es/SSANHD_7.6.0/com.ibm.mbs.doc/gp_h
ighavail/c_ctr_ha_for_databases.html

Tipos de copias de seguridad Cul elegimos? Recuperado de

https://www.tecnozero.com/blog/tipos-de-copias-de-seguridad-cual-elegimos/

Tipos de copias de seguridad en SQL. Recuperado de

http://www.ehowenespanol.com/tipos-copias-seguridad-sql-sobre_500642/

MongoDB Architecture. Recuperado de

https://www.mongodb.com/mongodb-architecture

Transport Layer Security. Recuperado de

https://es.wikipedia.org/wiki/Transport_Layer_Security

Transparent Data Encryption. Recuperado de

https://en.wikipedia.org/wiki/Transparent_Data_Encryption

El Cifrado Web (SSL/TLS). Recuperado de

http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls

E., A. A. (02 de Junio de 2013). Recuperado de

https://alexanderae.com/mongodb-autenticacion-autorizacion.html

Fellows, R. (s.f.). TechTarget. Recuperado de

http://searchdatacenter.techtarget.com/es/cronica/Copia-de-seguridad-completa-
incremental-o-diferencial-como-elegir-el-tipo-adecuado

Lopez, A. (03 de Febrero de 2015). CERTSI_. Recuperado de

https://www.certsi.es/blog/bases-de-datos-nosql

Manual, M. 5. (2017). Oracle Corporation and/or its affiliates. Recuperado de

https://dev.mysql.com/doc/refman/5.7/en/plugin-types.html#authentication-plugin-type

Martnes, J. I. (16 de Octubre de 2015). Recuperado de

https://blog.jorgeivanmeza.com/2008/05/autenticacion-local-y-conexiones-de-red-de-
postgresql-en-freebsd/

Mxico, U. N. (16 de Enero de 2013). Apache CouchDB. Recuperado de

http://www.seguridad.unam.mx/noticia/?noti=740

Microsoft. (s.f.). Recuperado de

https://msdn.microsoft.com/es-es/library/bb964742.aspx

Microsoft. (2017). Recuperado de

https://msdn.microsoft.com/es-es/library/bb669066(v=vs.110).aspx

Microsoft SQL Server. (s.f.). Recuperado de

http://analistaprogramador.biz/sql01/01_intro.htm

MongoDB Spain. (s.f.). Recuperado de

 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 21

http://www.mongodbspain.com/es/2014/08/17/mongodb-characteristics-future/

MYSQL. (13 de Septiembre de 2016). Recuperado de

https://www.redeszone.net/2016/09/13/dos-vulnerabilidades-zero-day-mysql-exponen-
las-bases-datos/?utm_source=related_posts&utm_medium=widget

Neo4j. (2017). Recuperado de

https://neo4j.com/docs/developer-manual/current/http-api/authentication/

NETWEB, G. (s.f.). GADAE NETWEB. Recuperado de

http://www.gadae.com/blog/como-hacer-una-estrategia-de-copias-de-seguridad-para-tu-
empresa/

ORACLE. (2011). Gua de administracin del sistema: servicios de seguridad. Recuperado de

https://docs.oracle.com/cd/E24842_01/html/E23286/secov-5.html

Perez, D. (27 de Abril de 2016). WELIVESEGURITY. Recuperado de

http://www.welivesecurity.com/la-es/2016/04/27/cifrado-bases-de-datos-mysql/

Reference, F. 2. (2000-2016). Firebird. Recuperado de

http://www.firebirdsql.org/file/documentation/reference_manuals/fblangref25-
en/Firebird_Language_Reference_25EN.pdf

SECURYTYBYDEFAUL.COM, S. (12 de Juio de 2012). Recuperado de

http://www.securitybydefault.com/2012/06/vulnerabilidad-grave-en-mysqlmariadb.html

TechNet, M. (2017). Recuperado de

https://technet.microsoft.com/es-es/library/bb895180(v=sql.105).aspx
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 22

Conclusiones

El mtodo ms utilizado de autenticacin en los motores de bases de datos es el usuario

y contrasea.
Una de las mayores causas que generan fallas de seguridad en las bases de datos es el
uso de contraseas no seguras y la inyeccin SQL.
Las copias de seguridad de tipo completo brindan una mayor seguridad y complejidad al
restablecimiento de la informacin.
Las copias de seguridad de tipo diferencial ayudan de una forma ms sencilla y cmoda a
la seguridad de los datos.
Las copias de seguridad de tipo completo no se deben realizar en tiempos muy
consecutivos ya que pueden ocupar grandes cantidades de espacio de almacenamiento
Las bases de datos relacionales y no relacionales son cada muy indispensables para la
sistematizacin de datos dependiendo del tamao de los datos que se almacenarn
El administrador y desarrollador son dos perfiles sumamente importantes para mejorar la
disponibilidad, integridad y confidencialidad de la informacin.
Los cifrados ms utilizados por los motores de bases de datos son TDE y SSL/TLS.
 Fase 2 - Conceptualizar la Seguridad de Bases de Datos 23

Biografas

Wilson Surez Lizcano, naci en Colombia Algeciras, el 01 de septiembre

de 1993. Se gradu de la Universidad CORHUILA (Neiva), en Ingeniera de
Sistemas, y estudia en la universidad UNAD la especializacin en Seguridad
Informtica.

Su experiencia profesional est enfocada en la programacin, seguridad

informtica e implementacin de las TIC en las administraciones pblicas.
Actualmente trabaja en la alcalda municipal de Hobo (Huila) y E.S.E. Hospital Hobo, fue
contratado por ser destacado en innovar el buen uso de las tecnologas y la informtica en las
empresas, ha sido delegado como enlace de las TIC del municipio de Hobo, el cual se
encuentra laborando desde hace ms de un ao dentro de la administracin municipal.

Maribel Jaqueline Prez, naci el 23 de abril de 1990, Tuquerres-Nario. Se

gradu de ingeniera de sistemas en la Universidad Nario.

Actualmente trabaja como administradora de sistemas en ferretera argentina de la

ciudad de Pasto, en febrero de 2017 inici sus estudi de especializacin de
seguridad informtica en la Universidad Nacional Abierta y a Distancia
UNAD.

Fabio Arellano Montenegro, naci en Cuaspud Carlosama (Nario), el 16 de

agosto de 1973. Es Ingeniero de Sistemas de la Universidad Mariana y estudia
en la universidad UNAD la especializacin en Seguridad Informtica.
Su experiencia profesional est enfocada en la programacin, Redes y de Control
Interno. Actualmente trabaja en la EPS EMSSANAR de la Ciudad de Pasto
(Nario).

Mario Jurado, naci en Colombia Pasto, el 24 de junio de 1988. Se gradu

de la Universidad Nario., en ingeniera de Sistemas.

Su experiencia laboral est enfocada en el desarrollo de software mediante

tecnologas como Spring, Android, Angular en plataformas java,
Javascriprt, experiencia en control de versiones mediante subversin y git
conocimientos en patrones de diseo. Con ms de 2 aos de experiencia
desarrollando software y un ao como lder de desarrollo.