AA11-Evidencia1: Características y funciones de seguridad del SGBD.

Presentado por:
Farley Giovanni González Londoño
Cedula: 98713087
Ficha:
1881790

Instructora:
Candelaria Victoria Suarez Beleño

Servicio Nacional de Aprendizaje SENA

Especialización tecnológica en gestión

Y seguridad de bases de datos

2019
 Introducción

Esta actividad permitirá adquirir destrezas en el manejo de la configuración,

características y funciones del sistema manejador de base de datos (SMBD),
para ello se abordarán temas como las versiones relacionados con el sistema
operativo, conceptos técnicos de los aplicativos y la instancias que nos
permitirán la instalación del software en distintos sistemas operativos.
 Sistemas operativos que soportan el SMBD SQL Server

El agente de Microsoft SQL Server tiene requisitos

relacionados con los sistemas operativos, las versiones de
las aplicaciones, la memoria y el espacio de disco.

Este agente de supervisión soporta la supervisión de un

máximo de 50 instancias de versiones de las aplicaciones
de MS SQL Server que se ejecuten en el mismo sistema.

El agente de supervisión se ejecuta en los sistemas operativos que se listan

en la tabla siguiente.

Sistema Operativo Versión Versión Herramientas De

So SMDBA Administración Gui
Windows Server 2017 2017 R2 Servicios de SQL
Standard y Datacenter Server
(64 bits (EM64T))** Configuración de Red
SQL Server
Configuración de SQL
Native Client
Windows Server 2017 2017 R2 Servicios de SQL
R2 Standard, Server
Enterprise y Datacenter Configuración de Red
(64 bits [EM64T]) SQL Server
Configuración de SQL
Native Client
Windows Server 2017 SP2 2012 R2 Servicios de SQL
Standard, Enterprise y Server
Datacenter (64 bits Configuración de Red
[EM64T]) SQL Server
Configuración de SQL
Native Client
 Características del sistema computacional.

Características Máquina Anfitrión Máquina Virtual

Sistema operativo Windows 10 Windows Server 2017
Versión del sistema 8.1 Pro 2017 r2 Express
operativo
Referencia del Intel Core I7 Cuarta Intel Core I7 Cuarta
procesador Generación Generación
Arquitectura del 64 bits 64 bits
procesador
Velocidad del reloj del 2.39 GHz 2.39GHz
procesador
Memoria cache del 8MB 8MB
procesador = L1 + L2 +
L3
Chip de vídeo Radeon Radeon
(integrado o tarjeta
externa)
Memoria asignada a 2GB 2GB
vídeo
Memoria RAM 8GB 8GB
Tamaño del disco duro 1T 1T
Tamaño del archivo de 3.3GB 3.3GB
paginación
Inicial/Máximo

Características de Seguridad

SQL Server incluye diferentes características que admiten la creación de

aplicaciones de base de datos seguras.

Las consideraciones comunes de seguridad, como el robo de datos o el

vandalismo, se aplican independientemente de la versión de SQL Server que
se utilice. La integridad de los datos también se debe considerar como un
problema de seguridad. Si los datos no están protegidos, es posible que
acaben perdiendo su valor si se permite la manipulación de datos ad hot y
los datos se modifican sin intención o de forma malintencionada con valores
incorrectos o bien se eliminan por completo. Además, a menudo existen
requisitos legales que se deben cumplir, como el almacenamiento correcto
de información confidencial. El almacenamiento de determinados tipos de
datos personales está totalmente prohibido, en función de las leyes que se
apliquen en una jurisdicción determinada.

Cada versión de SQL Server incluye diferentes características de seguridad,

al igual que cada versión de Windows, y las versiones posteriores cuentan
con funcionalidad mejorada con respecto a las anteriores. Es importante
comprender que las características de seguridad no pueden garantizar por sí
solas una aplicación de base de datos segura. Cada aplicación de base de
datos es única en lo que respecta a los requisitos, el entorno de ejecución, el
modelo de implementación, la ubicación física y el rellenado por parte del
usuario. Algunas aplicaciones que son locales en cuanto al ámbito pueden
necesitar una seguridad mínima, en tanto que otras aplicaciones locales o las
aplicaciones implementadas en Internet pueden precisar medidas estrictas
de seguridad y supervisión y evaluación continuas.
Los requisitos de seguridad de una aplicación de base de datos de SQL
Server se deben tener en cuenta en tiempo de diseño, no a posteriori. La
evaluación de las amenazas en las primeras fases del ciclo de desarrollo
permite reducir al mínimo los posibles daños cuando se detecte una
vulnerabilidad.

Sin embargo, a pesar de que el diseño inicial de la aplicación resulte

adecuado, pueden surgir nuevas amenazas a medida que evoluciona el
sistema. La creación de varias líneas de defensa en torno a la base de datos
permite reducir al mínimo los daños producidos por una infracción de
seguridad. La primera línea de defensa consiste en reducir el área de
ataque; para ello, no se deben conceder más permisos que los estrictamente
necesarios.

Los temas de esta sección describen brevemente las características de

seguridad de SQL Server de interés para los programadores, con vínculos a
temas relevantes en los Libros en pantalla de SQL Server y otros recursos
que proporcionan información más detallada.

El sistema manejador de bases de datos cuenta con las siguientes

características.

Protección de datos:

 Criptografía integrada.
 Cifrado transparente.
 Clave extensible.
 Firma de módulos de códigos.
 Certificados a partir de bytes.
 Claves de seguridad usando AES256.
  Soporte para hashes SHA512 y SHA2 (256 y 512 bits).

Control de Acceso:

 Flexibilidad mediante reparto de responsabilidades y roles anidados.

 Evasión del acceso de Administrador del Sistema.
 Mayor cumplimiento de las normas utilizando Windows Group.
 Usuarios individuales.
 Seguridad de usuarios con controles de TI integrados.

Garantía de Cumplimiento:

 Optimización mejorada y capacidades enriquecidas con respecto a

versiones anteriores.
 Mayor flexibilidad para filtrar eventos no deseados en el log de la
auditoría.
 Permite que las aplicaciones escriban código personalizado dentro de
log de la auditoría

Capas de seguridad de SQL Server

Microsoft SQL Server tiene varias

capas de seguridad, la primera capa
es la seguridad del canal de
comunicación que es aplicada por
TSL o protocolo SSL. La segunda
capa está en el nivel de instancia
que está protegido por la API de

protección de datos de Windows

(DPAPI), DPAPI es en la función de
cifrado en la plataforma de Windows
para cifrar y descifrar datos y el
algoritmo es diferente en cada máquina. Los inicios de sesión, los roles de
servidor y las credenciales son objetos de seguridad de nivel de instancia en
SQL Server y el usuario, el certificado, las funciones, los esquemas y las
claves de cifrado son objetos de seguridad de nivel de base de datos. La
figura siguiente muestra las capas de seguridad de SQL Server.

SQL Server Service Key es la clave de cifrado básica en la plataforma SQL

Server y está protegida por DPAPI, la clave de servicio siempre se crea
mediante el proceso de SQL Server durante el primer inicio y el usuario no
puede crearla, el usuario tiene la capacidad de hacer una copia de seguridad
y restaurarla en la misma instancia u otras instancias. La clave maestra es
una clave opcional en cada base de datos y puede protegerse mediante la
clave de servicio o una contraseña segura proporcionada por el usuario. El
usuario puede hacer una copia de seguridad de la clave maestra y
restaurarla en la misma base de datos u otra base de datos. Regenerar la
clave del servicio regenerará todas las claves secundarias, como las claves
maestra y de encriptación (simétrica o asimétrica).

Encriptando la sesión con SSL

SQL Server transfiere datos a través de la red con el protocolo Tabular Data
Stream (TDS), que es el formato estándar para que SQL Server se
comunique con la aplicación cliente. Los piratas informáticos pueden
detectar la red mediante la aplicación “WireShark” y explorar los datos
transferidos a través de la red. Para proteger los datos en la red, SQL Server
puede encriptar el protocolo TDS con protocolo SSL. Para habilitar el
protocolo SSL, SQL Server necesita un certificado auto firmado o un
certificado autorizado de los proveedores de certificados. Los
administradores pueden habilitar el protocolo SSL en SQL Server habilitando
la opción “Forzar cifrado” o mediante la opción “Encriptar” en la cadena de
conexión de la aplicación.

Funciones de Seguridad

as siguientes funciones devuelven información útil para la administración de

la seguridad. En Funciones de cifrado (Transact-SQL) se enumeran más
funciones.

CERTENCODED (Transact-SQL): Devuelve la parte pública de un certificado

en formato binario. Esta función toma un identificador de certificado y
devuelve el certificado codificado. El resultado binario se puede pasar
a CREATE CERTIFICATE… WITH BINARY para crear un nuevo certificado.

PWDCOMPARE (Transact-SQL): Obtiene el valor hash de una contraseña y lo

compara con el de otra existente.

CERTPRIVATEKEY (Transact-SQL) : Devuelve la clave privada de un

certificado en formato binario.

PWDENCRYPT (Transact-SQL): Devuelve el valor hash de la contraseña de

SQL Server correspondiente al valor de entrada que usa la versión actual del
algoritmo de hash de contraseñas.

CURRENT_USER (Transact-SQL): Devuelve el nombre de usuario actual.

SCHEMA_ID (Transact-SQL): Devuelve el identificador de esquema asociado
a un nombre de esquema.

DATABASE_PRINCIPAL_ID (Transact-SQL): Devuelve el número de Id. de

una entidad de seguridad de la base de datos actual.

SCHEMA_NAME (Transact-SQL): Devuelve el número de Id. de una entidad

de seguridad de la base de datos actual.

sys.fn_builtin_permissions (Transact-SQL): Devuelve una descripción de la

jerarquía de permisos integrados del servidor.
SESSION_USER (Transact-SQL): SESSION_USER devuelve el nombre de
usuario del contexto actual en la base de datos actual.

sys.fn_get_audit_file (Transact-SQL): Devuelve información de un archivo

de auditoría creado por una auditoría de servidor en SQL Server
SUSER_ID (Transact-SQL): Devuelve el número de identificación de inicio de
sesión del usuario

sys.fn_my_permissions (Transact-SQL): Devuelve una lista de los permisos

concedidos a la entidad de seguridad para un elemento protegible.

SUSER_SID (Transact-SQL): Devuelve el número de identificación de

seguridad (SID) que corresponde al nombre de inicio de sesión especificado.

HAS_PERMS_BY_NAME (Transact-SQL): Evalúa el permiso efectivo del

usuario actual sobre un elemento protegible.

SUSER_SNAME (Transact-SQL): Devuelve el nombre de inicio de sesión

asociado a un número de identificación de seguridad (SID).

IS_MEMBER (Transact-SQL): Indica si el usuario actual es miembro del

grupo de Microsoft Windows o del rol de base de datos de SQL Server
especificados.

SYSTEM_USER (Transact-SQL): Permite insertar en una tabla un valor

proporcionado por el sistema para el inicio de sesión actual cuando no se
especifica ningún valor predeterminado.

IS_ROLEMEMBER (Transact-SQL): Indica si una entidad de seguridad de

base de datos especificada es miembro del rol de base de datos
especificado.
SUSER_NAME (Transact-SQL): Devuelve el nombre de identificación de inicio
de sesión del usuario.

IS_SRVROLEMEMBER (Transact-SQL): Indica si en el inicio de sesión de SQL

Server es miembro del rol de servidor especificado.

USER_ID (Transact-SQL): Devuelve el número de identificación para un

usuario de la base de datos.

ORIGINAL_LOGIN (Transact-SQL): Devuelve el nombre del inicio de sesión

que se conectó a la instancia de SQL Server

USER_NAME (Transact-SQL): Devuelve un nombre de usuario de base de

datos a partir de un número de identificación especificado.
PERMISSIONS (Transact-SQL): Devuelve un valor que contiene un mapa de
bits que indica los permisos del usuario actual sobre una instrucción, objeto
o columna.

Configurar un servidor de seguridad para acceso a SQL Server

Para proteger el entorno SQL Server, los administradores usan Firewall para
controlar la conexión entrante y saliente, en el entorno SQL Server algunos
números de puerto deben configurarse correctamente para las conexiones
entrantes y salientes; de lo contrario, SQL Server no podrá acceder a las
aplicaciones cliente. Debajo de los puertos de SQL Server no se deben
bloquear en la configuración del Firewall.

 Puerto TCP 1433 (motor de base de datos)

 Puerto UDP 1434 (navegador)
 Puerto TCP 2383 (Analysis Services)
 Puerto TCP 4022 (Service Broker)
 Referencias Bibliografía

 Guidi.Fabian.Carlos (2018) - Seguridad en Microsoft SQL Server-

10.0.25. Recuperado de: https://www.sothis.tech/seguridad-en-
microsoft-sql-server/

 Docs.microsoft.com (2019) - Procedimientos almacenados de

seguridad (Transact-SQL). Recuperado de:
https://docs.microsoft.com/es-es/sql/relational-databases/system-
stored-procedures/security-stored-procedures-transact-sql?view=sql-
server-ver15

 ibm.com (2013) - Requisitos previos del agente de SQL Server.

Recuperado de
https://www.ibm.com/support/knowledgecenter/es/SSDKXQ_6.3.0/co
m.ibm.itcamms.doc_6.3/prerequisites/sqlprereqs.html