Beruflich Dokumente
Kultur Dokumente
12 de noviembre de 2010
Módulo 9. Seguridad en Bases de Datos
Agenda
2 Criptografı́a
2 Criptografı́a
2 Criptografı́a
¿Qué es seguridad?
¿Qué es seguro?
¿Qué es riesgo?
Definición
Seguridad de la Información tiene como fin la protección de la
información y de los sistemas de información del acceso, uso,
divulgación, interrupción o destrucción no autorizada.1
1
http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Definición
2
http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Definición
Seguridad en Cómputo
Definición
La seguridad en cómputo son los mecanismos tecnológicos que
protegen los sistemas de cómputo y todo lo asociado con ellos
(edificios, impresoras, cableado, diskettes, etc.).
Entonces:
La seguridad en cómputo: Esta enfocado a sistemas de
cómputo y redes de datos.
La seguridad de la información: Esta enfocado al
tratamiento y uso de la información, involucrando sistemas de
cómputo, redes de datos, gente y procesos.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Definición
Objetivos
Lograr adquirir, almacenar, procesar
y transmitir información, preservando
los servicios de:
Confidencialidad (que la
información sólo la conozcan
quienes tienen derecho a ello)
Integridad (que la información
no sea alterada sin autorización)
Disponibilidad (que los
usuarios legı́timos puedan usar
la información cuando lo
requieran)
http:
//en.wikipedia.org/wiki/Information_security
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Definición
Metodologı́a
Seguridad en Profundidad
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Definición
Errores comunes I
Errores comunes II
De nada sirve tener la filosofı́a de los M&M “duro por fuera y
blando por dentro”.
“Nuestras redes ası́ están, como los M&M”.
4 Adopción de medios sociales sin protección adecuada.
Web 2.0 ha traı́do una nueva interacción de los usuarios a un
nivel totalmente diferente. Facebook, Twitter y otras
plataformas sociales permiten colaboración, interacción e
intercambios de ideas de una manera múltiple-a-múltiple.
Todos los usuarios piensan que los demás están compartiendo
información sana y limpia.
5 Permitir que Apple & Google sean su departamento de
calidad. Depositamos la confianza en aplicativos que son
impactados en el corazón del negocio.
Los PDFs son de los documentos más riesgosos y se usan dı́a a
dı́a.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Definición
2 Criptografı́a
http://personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/atlas/more_isp_maps.html
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Problemática
http://www.cheswick.com/ches/map/gallery/index.html
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Historia
2 Criptografı́a
Ataques famosos
Ataques famosos
http://en.wikipedia.org/wiki/Clifford_Stoll
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Historia
El gusano de Internet
04/05/90
$10,000 multa
3 años de libertad provisional
400 horas servicio comunitario.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Historia
Casos en México
http://www.noticias.com/articulo/18-09-1998/redaccion/x-plot-grupo-hackers-mexicanos-16fa.html
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Historia
http://www.accessmylibrary.com/coms2/summary_0286-31913234_ITM
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Historia
Problemática Actual
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Conceptos básicos
2 Criptografı́a
Sistema de Cómputo
Sistema de Cómputo
Conjunto formado por la colección de hardware, software, medios
de almacenamiento, datos o información y personas involucradas
en el conjunto.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Conceptos básicos
Controles de Seguridad
Controles Administrativos
Administración de responsabilidades necesarias para proteger
los activos.
Controles Suaves. (Polı́ticas, procedimientos, guı́as, estándares)
Controles Técnicos.
Mecanismos lógicos de protección.
Software o Hardware
Controles Fı́sicos
Destinados a proteger las instalaciones y recursos internos.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Conceptos básicos
Controles de Seguridad II
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Conceptos básicos
Vulnerabilidad y Amenaza
Vulnerabilidad
Amenaza
Compromiso de Seguridad
Cualquier forma posible de pérdida o daño en un sistema de
cómputo.
Preocupaciones o Contramedidas
Contramedida
Ejemplos:
Contraseñas robustas.
Mecanismos de control de acceso.
Antivirus
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Conceptos básicos
Atacante
Atacante
Cualquier cualquier entidad que realiza un ataque. Puede ser:
Persona.
Proceso.
Dispositivo.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Conceptos básicos
Intruso (hacker)
sustantivo.
1 Se dice de quien goza averiguando los detalles de sistemas de
cómputo y cómo llevarlos a su lı́mite, en contraposición a la
mayorı́a de los usuarios que prefieren sólo aprender lo
necesario.
2 Se dice de quien escribe programas en forma entusiasta o
goza programando en lugar de pensar en cómo programar.
2 Criptografı́a
Interrupción
Definición
Un activo del sistema se pierde, se hace no disponible o inutilizable.
Ejemplos:
Destrucción maliciosa de un dispositivo.
Borrado de un programa o de un archivo de datos.
Malfuncionamiento del manejador de archivos del sistema
operativo que trajera como consecuencia que no se pueda
hallar un archivo particular en el disco duro.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Activos y Tipos de amenaza
Ejemplo Interrupción:
Example
while :
do
sudo nemesis arp -D 192.168.1.65
-S 192.168.1.254
-H 00:01:02:03:04:05
done
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Activos y Tipos de amenaza
Intercepción
Definición
Alguna parte no autorizada logra acceso a un activo del sistema.
Ejemplos:
Copiado ilı́cito de programas o archivos de datos.
La intervención del canal para obtener datos sobre la red.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Activos y Tipos de amenaza
Modificación
Definición
Cuando una parte no autorizada logra acceso al activo del sistema
y puede manipular ese activo.
Ejemplos:
Cambiar datos en una base de datos.
Alterar un programa para que realice alguna computación
adicional o distinta a la que realiza
Modificar datos en una comunicación, entre otras acciones.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Activos y Tipos de amenaza
Ejemplo: Fabricación
Definición
Una parte no autorizada puede fabricar objetos falsos en un
sistema.
Ejemplos:
Inserción de transacciones espurias en un sistema de
comunicación en red.
Agregar registros a una base datos ya existente.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Activos y Tipos de amenaza
Ejemplo: Fabricación
$ telnet gsmtp183.google.com 25
HELO gmail.com
MAIL FROM:<>
RCPT TO:<paco.medina@gmail.com>
DATA
Date: 16 Jun 08 13:31:33
From: Informes Centro Coapa
<info@servidor.coapa.unam.mx>
To: paco.medina@gmail.com
Subject: Aviso IMPORTANTE
Ejemplo: Fabricación
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Activos y Tipos de amenaza
Amenazas
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Activos y Tipos de amenaza
2 Criptografı́a
http://www.gocsi.com/
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
http://www.gocsi.com/
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
http://www.gocsi.com/
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
http://www.gocsi.com/
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
Tendencia al 2009
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
1 Spam
2 Bugs
3 Negación de servicio
4 Código malicioso
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
Spam
Definición
Mensajes no solicitados, habitualmente de tipo publicitario,
enviados en grandes cantidades (incluso masivas) que perjudican
de alguna o varias maneras al receptor.
Spam (II)
http://www.google.com/postini/threat_network.html
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
Bugs
Definición
Es el resultado de un fallo o deficiencia durante el proceso de
creación de programas (software).
http://es.wikipedia.org/wiki/Error_de_software
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
Negación de Servicio
Definición
Ataque a un sistema de computadoras o red que causa que un
servicio o recurso sea inaccesible a los usuarios legı́timos.
Normalmente provoca la pérdida de la conectividad de la red por el
consumo del ancho de banda de la red de la vı́ctima o sobrecarga
de los recursos computacionales del sistema de la vı́ctima.
Tipos:
TCP
SYN
ACK
NULL
ICMP
UDP
Randomized SRC IP:
Full 32 bits
Subnet /24
Examples: trinoo, tfn2k, stacheldraht, mstream, etc.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
Código Malicioso
Definición
Es un software que tiene como objetivo infiltrarse en el sistema y
dañar la computadora sin el conocimiento de su dueño, con
finalidades muy diversas, ya que en esta categorı́a encontramos
desde un troyano a un spyware.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
Tipos de Malware
VIRUS
MACROVIRUS
BOMBAS LÓGICAS
TROYANOS
BACKDOORS
POLIMORFISMO/METAMORFISMO
VIRUS DE BOOTSECTOR
WORMS (I-worms, p2p, @mm)
OCTOPUS / RABBITS
COMPANION HYDRAS
TSR
SCRIPT
PLATAFORMAS EXTRAÑAS
Programas peligrosos
ROOTKITS
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
Worm
Definición
Agente infeccioso capaz de autoduplicarse de manera autónoma,
capaz de buscar nuevos sistemas e infectarlos a través de la red.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
http://www.caida.org/publications/papers/2003/sapphire/sapphire.html
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
http://www.caida.org/publications/papers/2003/sapphire/sapphire.html
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
Vulnerability-Exploit Cycle
1 Vulnerability birth
2 Vulnerability discovery
3 Vulnerability disclosure
4 Vulnerability Correction / Release of a fix
5 Exploit Creation and Publication
6 Manual Exploit Use in the Wild
7 Exploit Scripting and Automation
8 Exploit Death
9 Automated Propagation Mitigation
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
Top 10 Malware
http://www.sophos.com/security/top-10/
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
http://stopbadware.org/home/badwebs
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Ataques comunes
http://mediaproducts.gartner.com/reprints/microsoft/vol8/article3and4/article3and4.html
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Estándares de seguridad
2 Criptografı́a
Definición
El objetivo de la norma ISO 17799 es proporcionar una base
común para desarrollar normas de seguridad dentro de las
organizaciones y ser una práctica eficaz de la administración de la
seguridad.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Estándares de seguridad
Antecedentes
En 1995 el British Standard Institute publica la norma
BS7799, un código de buenas prácticas para la administración
de la seguridad de la información.
En 1998, también el BSI publica la norma BS7799-2,
especificaciones para los sistemas de administración de la
seguridad de la información; se revisa en 2002.
Tras una revisión de ambas partes de BS7799(1999), la
primera es adoptada como norma ISO en 2000 y denominada
ISO/IEC 17799:
Conjunto completo de controles que conforman las buenas
prácticas de seguridad de la información.
Aplicable por toda organización, con independencia de su
tamaño.
Flexible e independiente de cualquier solución de seguridad
concreta: recomendaciones neutrales con respecto a la
tecnologı́a.
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Estándares de seguridad
Tipos de seguridad
La norma UNE-ISO/IEC 17799 establece diez dominios de
control que cubren por completo la Administración de la
Seguridad de la Información:
Módulo 9. Seguridad en Bases de Datos
Introducción a la Seguridad de la Información
Estándares de seguridad
RFC2196
Cobit, de la ISACA
GAO/AIMD-12.19.6
GASSP
SP 800-14
ISO 15408
OSSTMM
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
2 Criptografı́a
Introducción
Criptografı́a Simétrica
Criptografı́a Asimétrica
Funciones Hash
Aplicaciones Criptográficas
Seguridad en Internet
Programas criptográficos
2 Criptografı́a
Introducción
Criptografı́a Simétrica
Criptografı́a Asimétrica
Funciones Hash
Aplicaciones Criptográficas
Seguridad en Internet
Programas criptográficos
Criptologı́a
Definición
Ciencia encargada de ocultar información
1 Criptografı́a
Transforma la información legible en información ilegible, vı́a
un elemento único conocido como llave de tal modo que nadie,
excepto el poseedor de la llave, puede leerla.
2 Criptoanálisis
Trata de conocer la información original sin conocer la llave.
Esteganografı́a
Definición
Oculta información secreta en el mismo texto en claro
Steghide (I)
Definición
Programa de esteganografı́a que permite ocultar datos en varios
tipos de imagen y archivos de audio.
Steghide (II)
STools4
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Introducción
Criptografı́a
Definición
Método que convierte un texto en claro (normal), M , en un texto
secreto (cifrado), C.
Criptografı́a
Historia
Historia (II)
En el pasado:
Primordialmente usada para garantizar confidencialidad
Protegı́a información sensible, principalmente durante la
transmición
En el presente:
Sigue siendo usada para garantizar confidencialidad
Pero tambien para garantizar
Integridad de datos
Autenticación de origen
No repudio
Criptosistema
Definición
Sistema o implementación de un algoritmo de cifrado.
Proceso de cifrado
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Introducción
Proceso de descifrado
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Introducción
Llave
Cadena larga formada por caracteres aleatorios
Algoritmo
Ecuación matemáticas que pueden ser usadas en el proceso cifado,
descifrado
En combinación
La llave es usada por el algoritmo para indicar que ecuación
usar, en que orden y con que valores.
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Introducción
Espacio de llaves
Definición
Todas los posibles valores que pueden ser usados para generar la
llave.
¿Por qué una llave de 128-bits es más segura que una de 64-bits?
Fortaleza de un criptosistema
La fortaleza de un criptosistema depende de:
Un desarrollo adecuado
Secrecia y protección de la llave
Longitud de la llave
Inicialización de vectores
La forma en que todas estas piezas son implementadas y
funcionan juntas
Puede basarse en el secreto de su algoritmo (batante común
pero inseguro)
Actualmente el ataque más exitoso sobre la criptografı́a es en
contra del factor humano en la criptografı́a
Una mala implementación y/o mal manejo llaves
Criptografı́a Clásica
Atbash: Hebreos
ABCDEFGHIJKLMNOPQRSTUVWXYZ
ZYXWVUTSRQPONMLKJIHFGEDCBA
Escı́tala: Espartános
Cifrado Cesar: Romanos
Cifrado Vigenère:
Franceses
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Introducción
Tabla Vigenère
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Introducción
Notación Criptográfica
Ek (M ) = C
Dk (C) = M
Nótese que,
Dk (Ek (M )) = M algoritmos de llave simétrica
Dk1 (Ek2 (M )) = M algoritmos de llave asimétrica
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Criptografı́a Simétrica
2 Criptografı́a
Introducción
Criptografı́a Simétrica
Criptografı́a Asimétrica
Funciones Hash
Aplicaciones Criptográficas
Seguridad en Internet
Programas criptográficos
Caracterı́sticas
DES
3DES
3DES (II)
AES
2 Criptografı́a
Introducción
Criptografı́a Simétrica
Criptografı́a Asimétrica
Funciones Hash
Aplicaciones Criptográficas
Seguridad en Internet
Programas criptográficos
Caracterı́sticas
Caracterı́sticas (II)
RSA
Elliptic Curve Cryptosystem (ECC)
Diffie-Hellman
El Gamal
Knapsack
DSA
4
http://csrc.nist.gov/groups/ST/toolkit/digital_signatures.html
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Criptografı́a Asimétrica
Diffie-Hellman
Definición
Protocolo para el intercambio de llaves entre partes que no han
tenido contacto previo utilizando un canal inseguro, y de manera
anónima (no autenticada).
Diffie-Hellman (II)
DSA
ElGamal
RSA
RSA (II)
Requerimientos propuestos:
pub priv
1 Fácil para B generar (KB , KB )
pub
2 Fácil para A, conociendo KB , y M, generar C
pub
3 Fácil para B descifrar C, usando KB , recuperar M
priv pub
4 Inviable determinar KB a partir de conocer KB
pub
5 Inviable recuperar M a partir de conocer KB yC
6 Cifrado y descifrado pueden aplicarse en cualquier orden
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Criptografı́a Asimétrica
RSA (III)
Caracterı́sticas RSA:
Algoritmo de llave pública: significa que existen dos llaves,
una pública y una privada.
Lo que se cifra con la llave pública sólo puede ser descifrado
por la llave privada, y viceversa
Algoritmo considerablemente más seguro que DES; pero es
considerablemente más lento que éste
Se utiliza principalmente para la autentificación de
mensajes y el intercambio de llaves secretas.
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Funciones Hash
2 Criptografı́a
Introducción
Criptografı́a Simétrica
Criptografı́a Asimétrica
Funciones Hash
Aplicaciones Criptográficas
Seguridad en Internet
Programas criptográficos
Caracterı́sticas
5
http://csrc.nist.gov/groups/ST/toolkit/secure_hashing.html
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Aplicaciones Criptográficas
2 Criptografı́a
Introducción
Criptografı́a Simétrica
Criptografı́a Asimétrica
Funciones Hash
Aplicaciones Criptográficas
Seguridad en Internet
Programas criptográficos
Firmas Digital
Definición
Transformación por medio de una función de firma que relaciona
de forma única:
El documento
La función de firma
Y una llave de firma (elemeno propio de la identidad del
firmante; esta llave debe ser privada)
Definición
Acrónimo de Message authentication code en español Código de
Autenticación de Mensajes. Se usa usa para garantizar
autenticidad. El contenido de los mensajes no se mantiene
confidencial, pero sı́ se asegura su integridad.
Criptografı́a simétrica
MAC = hash + llave simétrica
Criptografı́a asimétrica
Firma digital = hash + llave asimétrica
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Aplicaciones Criptográficas
PKI
Combinación de hardware y software, polı́ticas y procedimientos de
seguridad que permiten la ejecución con garantı́as de operaciones
criptográficas como el cifrado, la firma digital o el no repudio de
transacciones electrónicas.
Componentes
CA (Certificate Authorities)
RA (Registration Authority)
Repositorio de certificados
Sistema de revocación de certificados
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Aplicaciones Criptográficas
Certificados Digitales
Definición
Documento digital mediante el cual un tercero confiable (una
autoridad certificadora) garantiza la relación entre la identidad de
un sujeto o entidad y su clave pública.
Caracterı́sticas
Estándar actual X.509 version 46
Vinclua la llave pública con el propietario
Firmado digitalmente por la CA
6
http://www.ietf.org/rfc/rfc3280.txt
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Aplicaciones Criptográficas
Estructura de un certificado
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Seguridad en Internet
2 Criptografı́a
Introducción
Criptografı́a Simétrica
Criptografı́a Asimétrica
Funciones Hash
Aplicaciones Criptográficas
Seguridad en Internet
Programas criptográficos
Protocolos seguros
2 Criptografı́a
Introducción
Criptografı́a Simétrica
Criptografı́a Asimétrica
Funciones Hash
Aplicaciones Criptográficas
Seguridad en Internet
Programas criptográficos
Algunos ejemplos:
GnuPG
TrueCrypt
KeePass
Husmail.com
Putty
Módulo 9. Seguridad en Bases de Datos
Criptografı́a
Conclusiones
Conclusiones
2 Criptografı́a
2 Criptografı́a
El concepto de red
Definición
Conjunto de nodos (computadoras y/o dispositivos) conectados
entre sı́ por medio de cables, señales, ondas o cualquier otro
método de transporte de datos, que comparten:
información (archivos),
recursos (CD-ROM, impresoras, etc.),
servicios (acceso a internet, e-mail, chat, juegos), etc.
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Introducción a las Redes de Computadoras
Topologı́as de Red
2 Criptografı́a
Nivel Fı́sico
Capa 1
Se encarga de las conexiones fı́sicas de la computadora hacia la
red, tanto en lo que se refiere al medio fı́sico como a la forma en
la que se transmite la información
Medio fı́sico:
Formas en que se transmite
Medios guiados: cable
la información:
coaxial, cable de par
trenzado, fibra óptica codificación de señal,
(conexión cableada) niveles de
tensión/intensidad de
Medios no guiados:
corriente eléctrica,
radio, infrarrojos,
modulación, tasa binaria,
microondas, láser y otras
etc.
redes inalámbricas)
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Modelo OSI
Capa 2
Responsable de la transferencia confiable de información a
través de un circuito de transmisión de datos. Recibe peticiones del
nivel de red y utiliza los servicios del nivel fı́sico.
Protocolos:
Ethernet o IEEE 802.3,
IEEE 802.11 o Wi-Fi,
IEEE 802.16 o WiMAX.
PPP (Point to point protocol o protocolo punto a punto)
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Modelo OSI
Nivel de Red
Capa 3
Proporciona conectividad y selección de ruta entre dos sistemas de
hosts que pueden estar ubicados en redes geográficamente
distintas. Consigue que los datos lleguen desde el origen al destino.
Orientación de conexión:
Datagramas: Cada paquete se encamina
independientemente, sin que el origen y el destino tengan que
pasar por un establecimiento de comunicación previo.
Circuitos virtuales: los dos equipos que quieran comunicarse
tienen que empezar por establecer una conexión.
Protocolos de la capa de red: IP (IPv4, IPv6, IPsec), OSPF,
IS-IS, BGP, ARP, RARP, RIP, ICMP, ICMPv6, IGMP, DHCP
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Modelo OSI
Nivel de Transporte
Capa 4
Encargado de la transferencia libre de errores de los datos entre el
emisor y el receptor, aunque no estén directamente conectados,
ası́ como de mantener el flujo de la red.
Nivel de Sesión
Capa 5
Proporciona los mecanismos para controlar el diálogo entre las
aplicaciones de los sistemas finales.
Nivel de Presentación
Capa 6
Esta capa se encarga de la representación de la información, de
manera que aunque distintos equipos puedan tener diferentes
representaciones internas de caracteres (ASCII, Unicode, EBCDIC),
números (little-endian tipo Intel, big-endian tipo Motorola), sonido
o imágenes, los datos lleguen de manera reconocible.
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Modelo OSI
Nivel de Aplicación
Capa 7
Ofrece a las aplicaciones (de usuario o no) la posibilidad de
acceder a los servicios de las demás capas y define los protocolos
que utilizan las aplicaciones para intercambiar datos.
2 Criptografı́a
nmap
VisualRoute
http://www.visualroute.com/
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Enumeración
2 Criptografı́a
httprecon
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Enumeración
httprecon
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Análisis de Vulnerabilidades
2 Criptografı́a
2 Criptografı́a
Definción
Cualquier error de programación o mala configuración que
puede permitir a un atacante obtener acceso no autorizado.
Ejemplos:
Contraseña débil en un ruteador,
Sistema operativo no actualizado.
Definición
Proceso que identifica y reporta vulnerabilidades.
Tipos de Análisis
Host Assessments
Análisis de vulnerabilidades a nivel sistema.Primeras herramientas
de seguridad proactivas.
Caracterı́sticas
Requiere ser instaladas en cada uno de los servidores a evaluar.
Diferente por cada sistema operativo y aplicaciones.
Acceso administrativo.
Proceso de Análisis
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Análisis de Vulnerabilidades
Riesgos:
Consumo de ancho de banda.
Generación excesiva de mensajes en las bitácoras.
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Análisis de Vulnerabilidades
Enfoque Administrativo
Análisis de Vulnerabilidades que se lleva a cabo desde la
perspectiva de un usuario con privilegios de administrador.
Enfoque Externo
Análisis de Vulnerabilidades que se lleva a cabo desde el punto de
vista del atacante real.
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Análisis de Vulnerabilidades
Introducción
7
http://www.portalciencia.net/mitocentauro.html
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
¿Qué es Nessus?
2 Criptografı́a
Sniffer
Módulo 9. Seguridad en Bases de Datos
Herramientas de Apoyo a la Seguridad
Detectores de Intrusos
2 Criptografı́a
2 Criptografı́a
2 Criptografı́a
Definición
Nivel en el cual los datos estan completamente protegidos contra
intentos y/o accesos no autorizados
Sistemas de Información
Decisiones inteligentes
requieren:
información precisa y
en tiempo
integridad en la
información
Sistema de información:
comprende todos los
componentes necesarios
para producir y generar
información precisa.
Clasificación de acuerdo a
su uso.
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Introducción
Datos
Procedimientos
Hardware
Software
Red
Personas
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Introducción
Cliente-Servidor
Basado en un modelo de negocio
Puede ser implementado por niveless: un nivel; dos niveles; n
niveles
Formado por tres capas (layer)
Capa: Plataforma fı́sica o lógica
Sistema manejador de bases de datos (DBMS): Conjunto de
programas que administran bases de datos
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Introducción
Componentes de un DBMS
Datos
Procedimientos
Hardware
Software
Red
Procedimientos
Servidores de bases
de datos
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Introducción
Seguridad de la información
Triángulo C.I.A.
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Introducción
Confidencialidad
Integridad
Datos inválidos
Datos redundantes
Datos inconsistentes
Datos anómalos
Lectura de datos inconsistente
Datos no concurrentes
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Introducción
Disponibilidad
Polı́ticas y procedimientos
Seguridad del personal y administradores
Equipos de detección de intrusos
Programas de seguridad
Equipo de monitoreo
Aplicaciones de monitoreo
Procedimientos y herramientas de auditoria
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Introducción
2 Criptografı́a
2 Criptografı́a
Control de Acceso
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Secreca y confidencialidad
Limitacin de Recursos
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Secreca y confidencialidad
Auditora
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Precisin, integridad y autenticidad de la informacin
2 Criptografı́a
Integridad Referencial
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Precisin, integridad y autenticidad de la informacin
Autenticidad
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Precisin, integridad y autenticidad de la informacin
2 Criptografı́a
Respaldo
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Disponibilidad y recuperabilidad
Espejeo de dispositivos
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Disponibilidad y recuperabilidad
Espejeo de servidores
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Disponibilidad y recuperabilidad
Recomendaciones I
Recomendaciones II
No permitir que las aplicaciones consulten o manipulen
directamente la base de datos mediante instrucciones
SELECT, INSERT, UPDATE o DELETE. Usar procedimientos
almacenados en su lugar.
En las aplicaciones, restringir la ejecucin de instrucciones de
SQL dinmico.
Impedir que las aplicaciones acepten instrucciones de SQL de
los usuarios y las ejecuten sobre la base de datos.
Hacer que los usuarios consulten los datos mediante vistas en
lugar de otorgarles acceso a las tablas base.
Habilitar la auditora de acceso al sistema operativo y al
servidor de base de datos. Revisar el registro de auditora
buscando los eventos fallidos de acceso y buscar tendencias
con la finalidad de detectar posibles intrusos.
Módulo 9. Seguridad en Bases de Datos
Seguridad en Bases de Datos
Buenas prcticas
Recomendaciones III
Recomendaciones IV
Referencias bibliográficas I
C. Wilson.
Computer Attack and Cyberterrorism: Vulnerabilities and
Policy Issues for Congress.
CRS Report for Congress, 2005.
E. Spafford.
Seguridad Práctica en Unix e Internet.
W. Preston
Backup & Recovery.
O’Reilly, 2006.
Seguridad Práctica en Unix e Internet.
Módulo 9. Seguridad en Bases de Datos
Referencias bibliográficas
Referencias bibliográficas II
K. O’Shea
Examining the RPC DCOM Vulnerability: Developing a
Vulnerability-Exploit Cycle.
SANS.
S Harris.
CISSP Certification All-in-One Exam Guide, Fourth Edition.
McGraw-Hill Osborne Media; 4 edition (November 9, 2007).