Está en la página 1de 7

Publicado en Revista .Seguridad (http://revista.seguridad.unam.

mx)
Inicio > Firewall de bases de datos

Firewall de bases de datos


Por Angie Aguilar Domnguez

numero-18[1]apliciones web [2]bases de datos [3]escritorio [4]Firewall [5]seguridad en capas [6] servidor [7] Tweet [8] La mayora de las aplicaciones, tanto web como de escritorio, interactan con usuarios que proporcionan informacin para su almacenamiento y procesamiento. Generalmente, esta informacin se resguarda en una base de datos y puede ser informacin personal, registros mdicos, informacin financiera, entre otros.

Importancia de la informacin
La mayora de las aplicaciones, tanto web como de escritorio, interactan con usuarios que proporcionan informacin para su almacenamiento y procesamiento. Generalmente, esta informacin se resguarda en una base de datos y puede ser informacin personal, registros mdicos, informacin financiera, entre otros.

Consideremos el ejemplo de un banco que tiene una pgina de Internet en donde es posible realizar transacciones en lnea: El banco posee informacin sensible de cada uno de los usuarios que tiene. Los datos pueden ser personales (nombre, apellidos, beneficiarios de la cuenta), datos de contacto (direccin,

telfono) y, adicionalmente, los datos de la cuenta bancaria (saldo, movimientos, depsitos, retiros, cancelaciones). En la mayora de los casos, toda esta informacin se almacena en una base de datos que es operada por un Sistema Manejador de Bases de Datos (SMBD). As, cuando navegamos en el sitio en lnea del banco para consultar nuestro saldo, la aplicacin web enva nuestra peticin al SMBD, el cual nos proporciona acceso a la informacin contenida en la base de datos. Para entender mejor lo anterior, en la siguiente imagen se ilustra la interaccin del usuario con la aplicacin web que, a su vez, realiza las peticiones necesarias a la base de datos:

Imagen 1. Flujo de comunicacin entre el usuario, la aplicacin y la base de datos. Si las aplicaciones web no cuentan con la seguridad necesaria (la cual comienza a implementarse desde que se lleva a cabo el diseo), la informacin de los usuarios, informaci Un tipo de consultas provenientes de usuarios maliciosos hacia un manejador de base de datos es conocida como SQL Injection, que consiste en la inyeccin de consultas SQL al emplear las entradas proporcionadas por la aplicacin web para modificar u obtener informacin de la base [1] de datos . Por ejemplo, en un formulario de registro de usuarios, si el campo que solicita el nombre no es validado correctamente, entonces no se filtrar el conjunto de caracteres recibidos como entrada. En una situacin como esta puede suceder una inyeccin de SQL. Es por ello que, en el mbito de la seguridad informtica, es necesario contar con las herramientas adecuadas para combatir a los usuarios maliciosos que buscan tener acceso a la informacin almacenada en una base de datos. Por lo anterior, es conveniente pensar en la seguridad informtica como un conjunto de tcnicas, conocimientos, hardware y software colocado estratgicamente en capas, para proteger el elemento ms importante: la informacin.

Firewall para filtrar peticiones SQL maliciosas


Una de las diferentes opciones que existen actualmente para proteger la informacin almacenada consiste en la implementacin de un firewall de bases de datos.

software que permite filtrar, mediante un conjunto de reglas preestablecidas, las peticiones que llegan al manejador de bases de datos. Adicionalmente, al instalar una solucin orientada para proteger la base de datos, no solo se bloquean las peticiones maliciosas, si no que se puede llevar a cabo el monitoreo de las actividades, generando bitcoras y explotando la informacin que se almacena en ellas. Este punto es muy importante, ya que permite identificar de qu lugar provienen los atacantes (que pueden ser reincidentes, o bien, buscar datos especficos), el horario en que se registra mayor actividad y los ataques ms frecuentes que se presentan. De esta manera se pueden generar estadsticas que permitan visualizar el posible comportamiento de los atacantes y tomar las medidas de seguridad necesarias. El firewall de bases de datos se coloca entre la aplicacin web (que es visible para los usuarios) y el manejador de bases de datos (que interacta con la base de datos para guardar, modificar u obtener informacin) como se puede ver en la siguiente imagen:

Figura 2. Flujo de comunicacin entre el usuario, la aplicacin, el firewall de bases de datos y la base de datos. Cuando algn usuario malicioso intenta obtener acceso a la informacin almacenada, se cuenta con una capa adicional de proteccin proporcionada por el firewall de bases de datos que le impedir poder consultarla. El firewall solo permitir el paso a los usuarios o a consultas y accesos autorizados con anterioridad. A continuacin, se mencionan algunas de las soluciones existentes, as como sus caractersticas ms representativas.

GreenSQL

Es un software que se instala para fungir como un firewall de base de datos entre la aplicacin y el SMBD. Puede instalarse en varios sistemas operativos y configurarse de manera personalizada. Adicionalmente, intenta apegarse al Estndar de Seguridad de la Industria de las Tarjetas de Crdito (PCI DSS). Algunos de los manejadores de bases de datos que puede proteger son: MySQL, MariaDB, PostgreSQL, Microsoft SQL Server, Amazon RDS y la estructura de las bases de datos de Drupal. Las funcionalidades con las que cuenta son: Instalacin en varias modalidades. Modo de aprendizaje[2]. Separacin de tareas. Funcionamiento como IPS[3]/IDS[4]. Envo de notificaciones por correo en tiempo real. Generacin de reportes. Ayuda a optimizar el funcionamiento del manejador de bases de datos.

Oracle Database Firewall


Es un firewall que opera sobre bases de datos que se encuentran en Oracle, as como IBM DB2, Sybase, Microsoft SQL Server y MySQL. Busca apegarse a las siguientes legislaciones: Acta Sarbanes-Oxley (SOX), Estndar de Seguridad de la Industria de las Tarjetas de Crdito (PCI DSS) y al Acta de la Ley de Portabilidad y Responsabilidad del Seguro Mdico (HIPAA).

Las funcionalidades con las que cuenta son: Auditora del manejador de bases de datos, sistema operativo, directorios y otros servicios. Instalacin en varias modalidades. Generacin de bitcoras para su posterior anlisis. Arquitectura escalable. Personalizacin de los reportes. Funcionar en modo bloqueo o monitoreo. Permite configuraciones para alta disponibilidad.

ModSecurity
Es un mdulo del servidor de aplicaciones web Apache, cuyo funcionamiento principal se orienta a la proteccin de aplicaciones web mediante su funcionamiento como firewall[5]. Sin embargo, tambin cuenta con una serie de reglas que pueden emplearse para proteger las peticiones realizadas al manejador de bases de datos.

Adicionalmente, se puede integrar con otros servidores de aplicaciones web como Nginx, IIS y Java. Siempre es importante considerar la seguridad de las aplicaciones web. Una forma sencilla de hacerlo es pensar la seguridad en capas. La implementacin de un firewall de bases de datos permite agregar una capa adicional de seguridad, sin embargo, es importante notar que es una medida adicional de seguridad, la cual debe iniciar desde el diseo e implementacin de la base de datos. Asimismo, antes de implementar un firewall de bases de datos, es necesario profundizar un poco ms en el tema y tener presente que habr una etapa de adecuacin antes del funcionamiento ptimo. Finalmente, antes de instalar y comenzar a configurar, es recomendable hacerlo en un entorno de pruebas, para su posterior implementacin en un ambiente real. Primero hay que conocer su comportamiento para ver si es una herramienta que asegura nuestra base de datos.

Referencias Sitio de GreenSQL: http://www.greensql.com [10] Sitio de Oracle Database Firewall: http://www.oracle.com/us/products/database/security/auditvault-database-firewall/overview/index.html [11] Referencia tcnica sobre Oracle Database Firewall: http://www.oracle.com/technetwork/products/database-firewall/database-firewall-ds-161826.pdf [12] Sitio de ModSecurity: http://www.modsecurity.org/ [13]

[1] [14] Ver https://www.owasp.org/index.php/SQL_Injection [15] [2] Etapa de calibracin del firewall para evitar bloquear una peticin autntica por parte de la aplicacin. [3] IPS. Sistema de Prevencin de Intrusos. [4] [16] IDS. Sistema de Deteccin de Intrusos. [5] [17] Ver Revista .Seguridad Nmero 16. http://revista.seguridad.unam.mx/numero-16/firewallde-aplicaci%C3%B3n-web-parte-i [18] Angie Aguilar Domnguez [19] numero-18 apliciones web bases de datos escritorio Firewall seguridad en capas servidor Universidad Nacional Autnoma de Mxico Universidad Nacional Autnoma de Mxico Directorio Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin SSI / UNAMCERT SSI / UNAMCERT

[ CONTACTO ] Se prohbe la reproduccin total o parcial de los artculos sin la autorizacin por escrito de los autores
URL del envo: http://revista.seguridad.unam.mx/numero-18/firewall-de-bases-de-datos Enlaces: [1] http://revista.seguridad.unam.mx/category/revistas/numero-18 [2] http://revista.seguridad.unam.mx/category/tipo-de-articulo/apliciones-web [3] http://revista.seguridad.unam.mx/category/tipo-de-articulo/bases-de-datos [4] http://revista.seguridad.unam.mx/category/tipo-de-articulo/escritorio [5] http://revista.seguridad.unam.mx/category/tipo-de-articulo/firewall [6] http://revista.seguridad.unam.mx/category/tipo-de-articulo/seguridad-en-capas [7] http://revista.seguridad.unam.mx/category/tipo-de-articulo/servidor [8] http://twitter.com/share [9] http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num18_RevistaSeguridad_0.pdf [10] http://www.greensql.com/ [11] http://www.oracle.com/us/products/database/security/audit-vault-database-firewall/overview/index.html [12] http://www.oracle.com/technetwork/products/database-firewall/database-firewall-ds-161826.pdf [13] http://www.modsecurity.org/ [14] file:///M:/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2018/Finales/3Angie%20Aguilar_Firewall%20de%20bases%20de%20datos_FINAL.docx#_ftnref1 [15] https://www.owasp.org/index.php/SQL_Injection [16] file:///M:/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2018/Finales/3Angie%20Aguilar_Firewall%20de%20bases%20de%20datos_FINAL.docx#_ftnref4 [17] file:///M:/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2018/Finales/3Angie%20Aguilar_Firewall%20de%20bases%20de%20datos_FINAL.docx#_ftnref5 [18] http://revista.seguridad.unam.mx/numero-16/firewall-de-aplicaci%C3%B3n-web-parte-i [19] http://revista.seguridad.unam.mx/autores/angie-aguilar-dom%C3%ADnguez