Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI

Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad

Informática
Curso: Seguridad en Bases de Datos Código: 233009

Desarrollo Fase 2

Integrante No. 1
Leonardo Montilla Malaver

Universidad Nacional Abierta y a Distancia.

Especialización en Seguridad Informática
Seguridad en Bases de Datos
Pereira, 1 mayo de 2019
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

TABLA DE CONTENIDO

INTRODUCCION ..................................................................................................................................................3
1. AUTENTICACION EN BASES DE DATOS ..........................................................................................4
2. CIFRADO DE CONEXIONES Y DE INFORMACION EN BASES DE DATOS ..............................5
3. PRINCIPALES CAUSAS QUE GENERAN FALLAS DE SEGURIDAD EN LAS BASES DE
DATOS ....................................................................................................................................................................6
4. MECANISMOS DE RESPALDO DE LAS BASES DE DATOS Y PLAN DE RESPALDO ..............7
5. ARQUITECTURA DE UN MOTOR DE BASE DE DATOS ................................................................8
6. RESPONSABILIDADES EN LA PROTECCION DE LA INFORMACION ......................................9
6.1. Responsabilidades de los Administradores de Bases de Datos ...........................................................9
6.2. Responsabilidades de los Desarrolladores de Aplicaciones ................................................................9
CONCLUSIONES ................................................................................................................................................10
BIBLIOGRAFIA ..................................................................................................................................................11
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

INTRODUCCION

Las bases de datos se han convertido en herramientas claves especialmente en el entorno empresarial. Es así que
cualquier empresa utiliza un sistema de gestor de bases de datos.

Adicionalmente se encuentran descripciones de las metodologías que implementan algunos motores de bases de
datos para el gestor de la información, l igual que los factores de fallos que se han presentado, de ahí se parte para
también realizar ciertos estudios de casos para proponer situaciones en las que se implementen y mejoren los
sistemas de seguridad que hasta ahora se han planteado

Conocer los conceptos básicos sobre Seguridad en Bases de Datos es muy importante en el campo de la seguridad
informática, ya que mediante ella se pueden evitar desastres al nivel de las organizaciones
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

1. AUTENTICACION EN BASES DE DATOS

A continuación, el estudiante estudia 2 motores de bases de datos (1 relacional y 1 NoSQL) identificando los
mecanismos de autenticación de tipo lógico y basados en hardware que cuenta para asegurar y garantizar el acceso
a la información almacenada.

Tipo de Base Base de Mecanismos de Autenticación

de Datos Datos Lógicos Hardware
SQL Server tiene dos modos de La autenticación por Windows es la
autenticación lógicos: modo de mejor opción en las siguientes
autenticación de Windows y modo situaciones:
mixto.
 Se tiene controlador de dominio.
El modo de autenticación de
Windows es el modo predeterminado  La aplicación y la base de datos están
y permite la autenticación en SQL en el mismo equipo.
Server mediante los usuarios y grupos
creados en el sistema operativo y  Se usa la instancia Express o
desactiva la autenticación de SQL LocalDB.
SQL Server.
Relacionales
Server La autenticación mediante SQL Server
El modo de autenticación mixto generalmente se usa en los siguientes
permite la autenticación de Windows casos:
y la SQL Server (mediante usuarios y
contraseñas almacenados en SQL  Se usa red con grupo de trabajo.
Server).
 Los usuarios se conectan desde
diferentes dominios que no son de
confianza.

 Aplicaciones implementadas en
como ASP.NET.
Por defecto MongoDB viene con la En MongoDB se debe configurar el
autenticación desactivada. Al servidor de base de datos para poder
activarla MongoDB posee soporte recibir conexiones desde fuera, ya que
para: por defecto solo permite conexiones
Mongo locales.
NoSQL DB
 Manejo de autenticación
mediante usuario y contraseña.

 Manejo de autorización
mediante el uso de roles.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

2. CIFRADO DE CONEXIONES Y DE INFORMACION EN BASES DE DATOS

A continuación, el estudiante con los 2 motores de bases de datos seleccionados en el punto No. 1, investiga sobre
cómo se cifran las conexiones y como se cifra la información en las bases de datos seleccionadas.

Tipo de Base Base de Datos Cifrado

de Datos Conexiones Información
Para cifrar las conexiones, se debe Para cifrar una de base de datos
utilizar SSL para conectar a una SQL Server se utiliza
instancia de base de datos SQL Transparent Data Encryption
Server: Esto se puede realizar de (TDE), esta característica se
dos maneras: encuentra disponible en las
versiones 2008, 2008 R2, 2012,
 Aplicar SSL a todas las 2014 y 2016, pero sólo en las
conexiones, lo cual es ediciones ENTERPRISE
transparente para el cliente, el (también Datacenter de 2008 R2
cual no tiene que hacer nada o Developers que no son para
para usar SSL. producción).

 Cifrar algunas conexiones TDE consiste en cifrar los datos

Relacionales SQL Server específicas, para esto se debe
configurar la conexión SSL
desde el equipo cliente,
también se deben realizar
algunos cambios en el cliente
para cifrar las conexiones.
dentro de los archivos físicos de
la base de datos mediante un
certificado y clave maestra; sin
este certificado y clave maestra,
aunque se roben los archivos, los
datos no son accesibles.

Con Microsoft SQL Server 2016

Service Pack 1 aparece la
característica Always Encrypted
más ventajosa y soportada en
todas las ediciones: Standard y
Enterprise, esta será tratada en
otra entrada específica.
MongoDB ofrece un motor de
almacenamiento cifrado, por lo
cual no es necesario utilizar API
de terceros para cifrar sus datos
Se deben configurar conexiones antes de la inserción o cifrar todo
cifradas mediante TLS/SSL en las el disco.
NoSQL MongoDB instancias de MongoDB, para lo
cual se deben utilizar bibliotecas Funciona con el motor de
de OpenSSL. almacenamiento WiredTiger,
que ha sido incluido como una
alternativa al motor de
almacenamiento MMAPv1
predeterminado desde 3.0.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

3. PRINCIPALES CAUSAS QUE GENERAN FALLAS DE SEGURIDAD EN LAS BASES DE DATOS

A continuación, el estudiante analiza los 2 motores de bases de datos seleccionados en el punto anterior (1
relacional y 1 NoSQL) identificando las causas que generan fallas de seguridad en las bases de datos seleccionadas.

Tipo de Base Base de Datos Causas que generan fallas de seguridad

de Datos
Demasiados usuarios con accesos tipos sa (superadminsitrador) o
sysadmin (administrador del sistema)
Conexiones sin encriptar.
Relacionales SQL Server
Motores de la base de datos desactualizados
Desbordamiento de buffer en la parte de SQL Server que administra
la autenticación de usuarios y la encriptación de las contraseñas.
Conexiones no encriptadas mediante SSL.

En las bases de datos NoSQ como MongoDBL, se realizan peticiones

mediante API correspondiente formateada mediante JSOn o XML,
NoSQL MongoDB por tanto, una incorrecta verificación de los parámetros de entrada
puede permitir la ejecución de comandos al evaluarse y tratarse en la
llamada a la API correspondiente, aumentando las posibilidades de
inyección y los riesgos, al utilizarse una API con lenguaje de
programación procedimental.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

4. MECANISMOS DE RESPALDO DE LAS BASES DE DATOS Y PLAN DE RESPALDO

A continuación, El estudiante selecciona uno de los motores de base de datos propuestos e investiga los tipos de
respaldo y mecanismo que cuenta para respaldar la información contenida.

Motor SQL Server

1. Respaldo completo: se puede utilizar con bases de datos pequeñas o poco críticas.
Su restauración es sencilla ya que generalmente es un único archivo. Su principal
inconveniente necesita es el gran espacio en disco que necesita y solo se puede
volver a aquel preciso instante de cuando realizamos la copia.
2. Respaldo completo + diferencial: Utilizado para grandes bases de datos o con
poca cantidad de transacciones donde cierta pérdida de datos es aceptable. Ocupa
menos espacio en disco que la completa, se necesitan dos archivos (datos y
Tipos de Respaldo
diferencial) para la restauración y solo se puede volver a aquel preciso instante de
cuando realizamos la copia.
3. Respaldo Completa + Diferencial + Log de Transacciones: Se utiliza para bases
de datos con gran cantidad de transacciones o donde no es aceptable ninguna
pérdida de datos. El proceso de restauración es tan preciso como que se puede
restaurar a cualquier instante dentro del período de la copia, aunque el tamaño de
la copia es mayor y se necesitan archivos logs.
1. SSMS (SQL Server Management Studio): Es una interfaz gráfica propia de SQL
Server utilizada para manejar, configurar, desplegar, actualizar y administrar una
Mecanismos y/o instancia SQL Server.
herramientas para 2. T-SQL (Transact SQL): Extensión de SQL de Microsoft y Sybase, la cual agrega
respaldo funcionalidades al SQL original, permite realizar casi cualquier tarea sobre la base
de datos
3.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

5. ARQUITECTURA DE UN MOTOR DE BASE DE DATOS

A continuación, cada estudiante investiga sobre la arquitectura de un motor de base de datos, identificando las
principales características de seguridad.

Motor Versión del Motor:

Características:

 Soporte de transacciones.
 Escalabilidad, estabilidad y seguridad.
 Soporta procedimientos almacenados.
 Incluye también un potente entorno gráfico de administración, que permite el uso de comandos
DDL y DML gráficamente.
 Permite trabajar en modo cliente-servidor, donde la información y datos se alojan en el servidor y
las terminales o clientes de la red sólo acceden a la información.
 Además, permite administrar información de otros servidores de datos.
 Implementación nativa de Business Intelligence
 Servicios de Machine Learning

Características de seguridad:

 Enfoque basado en múltiples capas de protección

 Tecnología Always Encrypted
 Seguridad de nivel de fila
 Enmascaramiento dinámico de datos
 Cifrado de datos transparente (TDE)
Auditorías eficaces.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

6. RESPONSABILIDADES EN LA PROTECCION DE LA INFORMACION

A continuación, Los estudiantes describen las responsabilidades de los desarrolladores de aplicaciones y los
administradores de base de datos.

6.1. Responsabilidades de los Administradores de Bases de Datos

1. Manejo General de Base de Datos: Debe tener conocimientos sobre bases de datos relaciones y nosql,
según sea el caso de la empresa y saber comunicarlos al interior de la organización.

2. Modelado de Datos y Diseño de Base de Datos: El DBA debe tener conocimientos sobre recopilación
y análisis sobre los requerimientos del usuario para crear modelos de datos, utilizando las diferentes
etapas de la normalización.

3. Auditoria: El DBD debe determinar los usuarios y sus niveles de acceso para insertar, actualizar o
eliminar datos, y debe realizar auditoría sobre la base de datos.

4. Integración con aplicaciones: Debe tener el conocimiento adecuado para involucrarse en las tareas
de integración de las aplicaciones existentes en la organización con las bases datos que administra.

5. Resguardo y recuperación de datos: Debe crear y responder por la realización periódica de las copias
de seguridad, así como también diseñar e implementar un plan de recuperación para aquellos casos
que se presentes problemas con las bases de datos y están puedan ser restauradas con prontitud.

6. Inteligencia de negocios y almacenamiento de datos: Debe tener conocimiento Inteligencia de

Negocios (BI) y almacenamiento de datos, ya que con ello ayuda en la toma de mejores decisiones
de negocios.

7. Planeación de la capacidad las bases de datos: debido al tamaño creciente de las bases de datos debe
gestionar los mecanismos adecuados incluyendo la gestión del hardware necesario.

6.2. Responsabilidades de los Desarrolladores de Aplicaciones

1. Identificar los requerimientos de software tanto del cliente como para el usuario final.

2. Modelar y depurar para el diseño creado para la funcionalidad a implementar.

3. Aplicar POO con el fin de diseñar y adecuar clases o partes de software.

4. Aplicar pruebas al código desarrollado para verificar el cumplimiento de lo requerido.

5. Conocimiento de nuevas tecnologías para el desarrollo de aplicaciones.

Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

CONCLUSIONES

SQL Server en su última versión 2017, presenta grandes novedades como la integración nativa de la inteligencia
de negocios con PowerBI, lo cual se convierte en una herramienta muy importante para la alta gerencia para la
toma de decisiones.

Es importante encriptar el tráfico hacia y desde las bases de datos mediante el uso de SSL.

La implementación de un plan de respaldo y aplicación es un componente importante del plan de continuidad del
servicio que se tenga.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Bases de Datos Código: 233009

BIBLIOGRAFIA

Autenticación en SQL Server, https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/authentication-

in-sql-server

Activar y Configurar autenticación en MongoDB, https://salvatorelab.com/2014/02/activar-y-configurar-

autenticacion-en-mongodb/

MongoDB: Autenticación y Autorización, https://alexanderae.com/mongodb-autenticacion-autorizacion.html

Añade autenticación a tu servidor MongoDB, http://www.natanverdes.com/blog/2016/06/05/configura-

autenticacion-usuarios-mongodb/

Uso de SSL con una instancia de base de datos de Microsoft SQL Server,
https://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.ht
ml

Cifrado de base de datos SQL Server con TDE, https://www.jmsolanes.net/es/cifrado-base-datos-sql-server-tde/

MongoDB y el Soporte de Conexiones Seguras mediante SSL, https://bitacoratl.blogspot.com/2016/10/mongodb-

y-el-soporte-de-conexiones.html

Cifrado de base de datos MongoDB, https://stackoverrun.com/es/q/2287836

Bases de datos NoSQL. Rendimiento y ... ¿seguridad?, https://www.incibe-cert.es/blog/bases-de-datos-nosql

Tipos de backup en SQL Server, https://jose-gaitan.blogspot.com/2012/12/tipos-de-backup-en-sql-server.html

Matriz de amenazas y vulnerabilidad (motor de base de datos), https://docs.microsoft.com/es-es/previous-

versions/sql/sql-server-2008-r2/bb895180(v=sql.105)

Realizar copias de seguridad y restaurar bases de datos de SQL Server, https://docs.microsoft.com/es-

es/sql/relational-databases/backup-restore/back-up-and-restore-of-sql-server-databases?view=sql-server-2014

Realizar copias de seguridad y restaurar bases de datos de SQL Server, https://docs.microsoft.com/es-

es/sql/relational-databases/backup-restore/back-up-and-restore-of-sql-server-databases?view=sql-server-2017

Características de SQL Server 2017, https://www.microsoft.com/es-es/sql-server/sql-server-2017-features

¿Cuáles son las funciones de un administrador de base de datos?,

http://blog.capacityacademy.com/2013/02/18/cuales-son-las-funciones-de-un-administrador-de-base-de-datos-
parte-1-de-2/

Administrador de Base de datos, https://es.wikipedia.org/wiki/Administrador_de_base_de_datos