Cuadro CheCHECK LIST ORACLEcklist
-
Upload
carlos-quinto -
Category
Documents
-
view
227 -
download
0
Transcript of Cuadro CheCHECK LIST ORACLEcklist
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
1/90
VICERRECTORADO DE INVESTIGACIN Y VINCULACINCON LA COLECTIVIDAD
MAESTRIA EN EVALUACIN Y AUDITORA DE SISTEMASTECNOLGICOS
II PROMOCIN
TESIS DE GRADO DE MAESTRIA EN EVALUACIN Y AUDITORA DESISTEMAS TECNOLGICOS
TEMA: ANLISIS DE SEGURIDAD EN BASE DE DATOS: APLICACINORACLE VERSIN 11G
AUTOR: GUILLERMO CIFUENTES GARZN
DIRECTOR: ING. NANCY VELSQUEZ
SANGOLQU, ENERO DEL 2014
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
2/90
ii
CERTIFICADO DE AUTENTICIDAD
Certifico que la presente tesis de grado fue realizado en su totalidad por el Sr.Guillermo Cifuentes Garzn, previa la obtencin del ttulo Magister en Evaluacin yauditoria de sistemas Informticos, dando cumplimientos a las disposiciones legalesy reglamentarias del Departamento de Postgrados de la Universidad de las FuerzasArmadas.
Sangolqu Enero 2014
________________________
Ing. Nancy Velsquez
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
3/90
iii
DECLARACIN DE RESPONSABILIDAD
Yo, Guillermo
Cifuentes Garzn
DECLARO QUE:
El proyecto de grado denominado: Anlisis de seguridad en base de
datos: Aplicacin Oracle versin 11g, ha sido desarrollado en base a una
investigacin exhaustiva, respetando derechos intelectuales de terceros y cuyas
fuentes se incorporan en la bibliografa; consecuentemente este trabajo es de mi
autora. En virtud de esta declaracin, me responsabilizo del contenido,
veracidad y alcance cientfico del proyecto de grado en mencin.
Sangolqu, Enero 2014
Ing. Guillermo Cifuentes
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
4/90
iv
AUTORIZACIN DE PUBLICACIN
Yo, Guillermo Cifuentes Garzn
Autorizo a la Universidad de las Fuerzas Armadas la publicacin, en
la biblioteca
virtual de la Institucin del trabajo Anlisis de seguridad en
base de datos: Aplicacin Oracle versin 11g, cuyo contenido, ideas y
criterios son de mi exclusiva responsabilidad y autora.
Sangolqu, Enero del 2014
Ing. Guillermo Cifuentes
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
5/90
v
AGRADECIMIENTO
Principalmente a Dios por otorgarme la
sabidura y la salud para la culminacin de este
trabajo y sobre todo por haber tenido la
oportunidad de intercambiar ideas con mi tutora
y compaeros de la maestra.
Gracias a mi familia que me apoyaron de
muchas formas y en especial a mi novia y su
especial colaboracin durante el desarrollo de
este trabajo.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
6/90
vi
DEDICATORIA
Dedico esta Tesis a mis Padres y mi
familia, porque sin ellos no hubiera llegado tan
lejos en la vida. Tambin dedico esta Tesis a una
persona muy especial que estuvo conmigoincondicionalmente y me ayud bastante para
lograr el objetivo; a la Dra. Sandy Guano.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
7/90
vii
NDICE GENERAL
CERTIFICADO DE AUTENTICIDAD ..............................................................................................ii
DECLARACIN DE RESPONSABILIDAD ...................................................................................... iii
AUTORIZACIN DE PUBLICACIN ............................................................................................ iv
AGRADECIMIENTO ....................................................................................................................v
DEDICATORIA ........................................................................................................................... vi
NDICE GENERAL............................................................................................................... vii
NDICE DE TABLAS .................................................................................................................... ix
NDICE DE FIGURAS ................................................................................................................... x
RESUMEN ................................................................................................................................. xi
ABSTRACT ................................................................................................................................ xii
CAPTULO I ............................................................................................................................... 1
Anlisis de seguridad en base de datos: Aplicacin Oracle versin 11g............................. 1
1.1. Justificacin e Importancia:..................................................................................... 3
1.2. Planteamiento del problema: .................................................................................. 4
1.3. Formulacin del problema: ...................................................................................... 4
1.4. Hiptesis: ................................................................................................................. 5
1.5. Objetivo general:...................................................................................................... 5
1.6. Objetivos especficos: .............................................................................................. 5
CAPTULO II .............................................................................................................................. 6
2.1. Marco terico ........................................................................................................... 6
2.1.1. Antecedentes del estado del arte .................................................................... 6
2.1.2. Seguridad ....................................................................................................... 10
2.1.3. Herramientas para comprobar seguridad en Base de Datos Oracle ............. 43
2.1.4. Seguridad en Oracle ....................................................................................... 44
CAPTULO III ........................................................................................................................... 53
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
8/90
viii
3.1. Introduccin: .......................................................................................................... 53
3.2. Evaluacin de Resultados y discusin .................................................................... 54
3.2.1. Definir la configuracin de seguridad de la base de datos ............................ 543.2.2. Secciones o clasificaciones de Seguridad ....................................................... 56
3.2.3. Estructura del Checklist (lista de verficacin) ............................................... 58
3.2.4. Niveles de seguridad y su aplicacin en el mercado ...................................... 60
3.2.5. Evaluacin de resultados del checklist y discusin ........................................ 67
3.2.6 Evaluacin de resultados en el laboratorio .......................................................... 71
CAPTULO IV ........................................................................................................................... 75
4.1 Conclusiones y Recomendaciones ......................................................................... 75
4.1.1 Conclusiones ......................................................................................................... 75
4.1.2 Recomendaciones ................................................................................................. 76
REFERENCIAS BIBLIOGRAFICAS .............................................................................................. 77
Bibliografa ............................................................................................................................. 77
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
9/90
ix
NDICE DE TABLAS
Tab. 1 - Lista de normas aprobadas y vigentes en el Ecuador.................................... 21
Tab. 2 Tabla de Gartner manejadores de Base de Datos......................................... 37
Tab. 3 - Oracle Database Vault (DBV) y Regulaciones................................................ 47Tab. 4 Tabla caractersticas del nivel bajo................................................................... 61
Tab. 5 Tabla de caractersticas del nivel medio .......................................................... 63Tab. 6 Tabla de caracteristicas del nivel alto .............................................................. 65Tab. 7 Check list seguridades en Oracle......................................................................... 67
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
10/90
x
NDICE DE FIGURAS
Fig. 1 Pirmide Seguridad de la Informacin................................................................ 9
Fig. 2 Familias ISO evolucin......................................................................................... 13Fig. 3 Familia ISO 27000................................................................................................ 14
Fig. 4 Pirmide de dominios........................................................................................... 23
Fig. 5 Modelo PDCA para un SGSI............................................................................... 24Fig. 6 - Resumen Tenable Nessus................................................................................... 31
Fig. 7 Nexpose Enterprise.............................................................................................. 31
Fig. 8 Web Saint............................................................................................................... 32Fig. 9 Evolucin de la seguridad en BDD Oracle........................................................... 34
Fig. 10 Database Magnament System Magic Cuadrant............................................ 36
Fig. 11 Seguridad Oracle................................................................................................ 44Fig. 12 Database/Firewall............................................................................................... 46
Fig. 13 Database Vault lgica interna.............................................................................. 48Fig. 14 Esquema de Seguridad Firewall & Audit Vault .............................................. 49
Fig. 15 Advance Security................................................................................................ 49
Fig. 16 Oracle Label Security......................................................................................... 50
Fig. 17 Oracle Data Masking.......................................................................................... 51
Fig. 18 Ciclo de seguridad y proteccin de Database Security................................ 52
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
11/90
xi
RESUMEN
El presente proyecto, comprende el anlisis de seguridades y estndares vigentes en
base de datos, para luego centralizar el estudio en las seguridades de la base de datos
Oracle 11g. El documento est dividido en cuatro captulos. En el Captulo 1, se
describe una pequea introduccin, en este captulo se definen el alcance a travs de
los objetivos y la hiptesis, tambin se plantea la problemtica y la importancia del
proyecto. En el Captulo 2, se describe el marco terico con toda la informacin
referente al proyecto y la teora analizada. El Captulo 3, se realiza el anlisis de
seguridad y el resultado del mismo que puede ser aplicado en las bases de datos
Oracle 11g.El Captulo 4, consta de las conclusiones y recomendaciones, resultado
de las lecciones aprendidas en el proceso de desarrollo del proyecto.
PALABRAS CLAVE
Seguridad
Base de datosConfidencialidad
Integridad
Oracle
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
12/90
xii
ABSTRACT
Information is an asset of organizations , it allows timely decision making at the
management level and therefore a high level of competitiveness in the
Business.Information tecnologies are determinant factor on information management
in Organizations whose has tecnology automatization dependency, therefore the
information is stored in databses and their security is important. Data security has
taken a leading place in the management information Technology ( IT ) , and has
become an essential element of any business strategy to achieve important goals in
the short, medium and long term in order to protect and secure the information ,
considering the properties that are the availability , integrity and confidentiality.
KEYWORDS
Scurity
Database
Confidenciality
Integrity
Oracle
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
13/90
1
CAPTULO I
1.
Anlisis de seguridad en base de datos: Aplicacin Oracle versin 11g
La informacin es un activo de las organizaciones, permite la toma de
decisiones oportunas a nivel gerencial y por consiguiente un alto nivel de
competitividad dentro del mercado.
Las tecnologas de la informacin constituyen otro factor determinante para el
manejo de la informacin en las empresas, cuyo mayor o menor grado de
automatizacin genera el nivel de dependencia de la organizacin con la tecnologa,siendo las bases de datos el medio en el cual se almacena y gestiona la informacin.
La Seguridad de la Informacin ha tomado un lugar determinante en la
gestin de la Tecnologa de la Informacin (TI), y se ha convertido en un elemento
fundamental para toda estrategia empresarial con miras a lograr metas importantes a
corto, mediano y largo plazo con el objetivo de proteger la informacin, manteniendo
su disponibilidad, integridad y confidencialidad.
En este entorno, la base de datos Oracle es una de las herramientas
tecnolgicas utilizada principalmente por empresas grandes para el manejo de la
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
14/90
2
informacin, desde la versin 9i ya incluye aspectos de seguridad como: Label
security (Oracle, 2007)y Fine grained Auditing.
La versin 10 incluy mejoras en varios aspectos de seguridad e incluy
nuevos conceptos como: Client identity Propagation, Secure configuration scanning,
entre otros. Con el paso del tiempo la importancia de la seguridad fue creciendo, por
lo que la versin 11g de Oracle comprende: Data Base Vault, Audit Vault, tambin
se protege el flujo de informacin con Data Masking as como tambin con Data
Encryption. Esta versin tambin tiene un complemento de seguridad que
implementa una barrera de firewall propio de Oracle. A pesar de contar con todos
estos complementos de seguridad, no define niveles de seguridad para la informacin
almacenada en la base de datos.
El presente proyecto busca definir configuraciones por niveles de seguridad
de acuerdo a los estndares y mejores prcticas, con la cual se podr evidenciar que
al aplicarlos se reducen los riesgos de seguridad de la informacin almacenada en la
base de datos. La Tesis es una gua para los administradores de Base de Datos que
requieran implementar niveles de seguridad en Oracle11g.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
15/90
3
1.1.Justificacin e Importancia:
La implementacin de seguridad de la informacin a nivel mundial ha crecido
exponencialmente; en nuestro pas en los ltimos aos se ha reconocido la
importancia de incorporarla a empresas tanto pblicas como privadas. Cada vez ms,
los procesos empresariales se ven estrechamente ligados a procesos informticos
automatizados. La dependencia que existe de las organizaciones y la tecnologa de la
informacin hace crtica la inversin en seguridad.
Las empresas han encaminado sus esfuerzos en materia de seguridad
contratando asesora y/o consultora especializada, o de manera puntual como
respuesta a incidentes de seguridad y tambin incorporando creando reas de
seguridad de la informacin e incorporando personal; a pesar de esto, an no se
implementa formalmente la seguridad de las bases de datos en la mayora de las
empresas. En los planes estratgicos de TI se determina como prioritario la
seguridad de la informacin contenida en las bases de datos. Considerando que la
base de datos contiene informacin de vital importancia, es primordial planificar e
implementar seguridades en los datos de la empresa.
Con este antecedente se evidencia la importancia de disponer de una
configuracin para la seguridad de la base datos, que establezca los parmetros a
configurar para lograr un nivel de seguridad ptimo, fundamentado por medio de la
implementacin de controles adecuados de seguridad en la base de datos que no
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
16/90
4
interfieran con la funcionalidad. Cabe resaltar que un factor de xito para
implementar seguridad es el balance con la funcionalidad.
1.2.Planteamiento del problema:
La seguridad de la informacin debe ser proactiva, se debe determinar el
nivel de riesgos e implementar controles para minimizar el impacto, previniendo y
anticipndose.
Actualmente los administradores de la base de datos configuran sus bases de
datos pensando en la funcionalidad pero no en la seguridad, incorporan sus
conocimientos, experiencia y las recomendaciones de los organismos de control,
pero no disponen de una gua adecuada para configurar las bases de datos con un
enfoque de seguridad, sobre todo que no afecte a la funcionalidad.
1.3.Formulacin del problema:
La falta de una configuracin de seguridad de la base de datos, representa un
riesgo de alto impacto para las organizaciones, considerando que en la base de datos
se concentra y almacena lo ms valioso y muchas veces invaluable, la informacin
de la organizacin y de los procesos denominados core del negocio. No disponer
de controles de seguridad de la informacin significa un alto riesgo de perder la
confidencialidad, integridad y disponibilidad de la informacin.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
17/90
5
1.4.Hiptesis:
Al configurar ciertos parmetros de la base de datos Oracle 11g de manera
segura sin afectar de manera significativa la funcionalidad se puede mejorar la
confidencialidad, disponibilidad e integridad de la informacin almacenada en la
base de datos.
1.5.Objetivo general:
Establecer la configuracin de seguridad para la base de datos Oracle 11g,
para mejorar la seguridad de la base de datos.
1.6.Objetivos especficos:
- Analizar y aplicar los estndares, buenas prcticas y normas en el mbito de
la seguridad de base de datos.
- Determinar las caractersticas de seguridad de la base de datos Oracle 11g.
- Determinar la configuracin de seguridad de la base de datos Oracle 11g sin
afectar la funcionalidad
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
18/90
6
CAPTULO II
2.
2.1.Marco terico
2.1.1. Antecedentes del estado del arte
Cada entorno informatizado es diferente, la funcionalidad y caractersticas
tcnicas de los componentes cambian segn el fabricante, manejan distintos tipos de
informacin y por ende, es distinta la forma en que se tratan los datos, por lo que las
especificaciones de seguridad asociadas a cada uno vara notablemente, dependiendo
de la tecnologa utilizada a nivel de plataforma, software base y dispositivos fsicos.
La informacin es un activo vital para el xito y la continuidad en el mercado
de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas
que la procesan es, por tanto, un objetivo de primer nivel para la organizacin.
Es necesario implantar un sistema que aborde esta tarea de una forma
metdica, documentada y basada en objetivos claros de seguridad y una evaluacin
de los riesgos a los que est sometida la informacin de la organizacin.
Hoy en da la amenaza ms comn en los ambientes informatizados se centra
en la eliminacin o disminucin de la disponibilidad de los recursos y servicios que
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
19/90
7
utiliza el usuario, que se materializan por medio de los incidentes de seguridad. Los
incidentes de seguridad son sucesos que no deberan ocurrir, la mayora son
inesperados, aunque en muchos casos se pueden prevenir.
Dentro de los incidentes ms comunes segn el estudio anual de CERT1
tenemos:
- Acceso no autorizado a la informacin;
- Descubrimiento de informacin;
- Modificacin no autorizada de datos;
- Invasin a la privacidad
- Denegacin de servicios
Las bases de datos (BD) son entidades en las cuales se pueden almacenar
datos de manera estructurada, con la menor redundancia posible.
2.1.1.1. Seguridad informtica y seguridad de la informacin
La seguridad informtica, es el rea de la informtica que se enfoca en la
proteccin de la infraestructura computacional y todo lo relacionado con sta;
incluyendo la informacin contenida. Para ello, existen una serie de estndares,
protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los
1
(Cert, 2013)
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
20/90
8
posibles riesgos a la infraestructura o a la informacin. (Jos Manuel Acosta, 2010,
Universidad Tecnolgica del sur de Sonora)
La seguridad informtica comprende controles para aplicaciones, software,
bases de datos, metadatos, archivos, que conforman la infraestructura informtica.
Toda organizacin tiene su propia infraestructura, y todo lo que la organizacin
valore se denomina activo y significa un riesgo si llegara a manos de otras personas,
debe estar resguardada y se deben tomar medidas de proteccin. La prdida de
informacin puede ocasionar un perjuicio no solo econmico sino tambin afectar a
la organizacin en el desarrollo, en el crecimiento y en la imagen.
La Seguridad de la Informacin tiene como fin la proteccin de la
informacin y de los sistemas de la informacin del acceso, uso, divulgacin,
interrupcin o destruccin no autorizada. (Asociacin Espaola Para la Calidad,
2013). La seguridad de la informacin es la preservacin de:
1. Confidencialidad: asegurar que la informacin es accesible solo para
aquellos autorizados de tener acceso.
2. Integridad:garanta de la exactitud y completitud de la informacin y de
sus mtodos de procesamiento.
3. Disponibilidad: asegurar que los usuarios autorizados tienen acceso
cuando lo requieran a la informacin y a sus activos asociados.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
21/90
9
Fig. 1 Pirmide Seguridad de la Informacin
El concepto deseguridad de la informacinno debe ser confundido con el de
seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio
informtico, pero la informacin puede encontrarse en diferentes medios o formas, y
no solo en medios informticos. La seguridad informtica es la disciplina que se
ocupa de disear las normas, procedimientos, mtodos y tcnicas destinados a
conseguir un sistema de informacin seguro y confiable. (Slideshare, Normas de
seguridad Informtica, Septiembre 2012)
Para el hombre como individuo, la seguridad de la informacin tiene un
efecto significativo respecto a su privacidad, la que puede cobrar distintas
dimensiones dependiendo de su cultura.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
22/90
10
El campo de la seguridad de la informacin ha crecido y evolucionado
considerablemente a partir de la Segunda Guerra Mundial, convirtindose en una
carrera acreditada a nivel mundial. Este campo ofrece muchas reas de
especializacin, como son el desarrollo de Sistemas de Gestin de Seguridad de la
Informacin (SGSI), auditora de SGSI, planificacin de la continuidad del negocio,
e incluye:
- Seguridad en sistemas operativos
- Seguridad en redes
- Seguridad en base de datos
- Seguridad en internet
- Seguridad en desarrollo de aplicaciones
2.1.2. Seguridad
El objetivo principal de la seguridad en la base de datos es proteger la
informacin almacenada para mantener la integridad, confidencialidad y
disponibilidad sin afectar la funcionalidad, mediante la implementacin de controles.
Hoy en da cuando los ataques evolucionan y las empresas tienen que
salvaguardar los datos que son la clave de sus actividades, es cuando se est dando la
debida importancia a la seguridad de la base de datos, como tal, muy aparte de las
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
23/90
11
otras capas de seguridad que se hayan implementado en las organizaciones. Siendo
as, la seguridad de la base de datos es la ltima barrera de defensa ante intrusiones.
En la seguridad de base de datos existen varios aspectos a considerarlos
cuales se describen a continuacin.
- Fsicas:controlar el acceso al equipo.
- Control de acceso:acceso slo del personal autorizado, perfiles de usuario y
restricciones de uso de vistas.
- Auditoria:configuracin de archivos histricos, pistas de auditora, control
de las operaciones crticas efectuadas en cada sesin de trabajo por cada
usuario, etc.
- Personal:proteccin frente a manipulacin por parte del administrador.
- Identificar y autorizar a los usuarios:uso de cdigos de acceso y palabras
claves, exmenes, impresiones digitales, reconocimiento de voz, barrido de la
retina, etc.
- Calendarizacin: usar derechos de acceso dados de acuerdo con un plan
establecido por la operacin que puede realizar o por la hora del da.
- Tcnicas de cifrado:para proteger claves, datos en base de datos distribuidas
o con acceso por red o internet.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
24/90
12
- Cuentas privilegiadas:en especial del administrador de la base de datos con
permisos para: creacin de cuentas, concesin y revocacin de privilegios y
asignacin de los niveles de seguridad.
- Discrecional: se usa para otorgar y revocar privilegios a los usuarios a
nivel de archivos, registros o campos en un modo determinado (consulta o
modificacin).
- Obligatoria: sirve para imponer seguridad de varios niveles tanto para los
usuarios como para los datos. (Annimo, Monografas 2013)
2.1.2.1. Normas de seguridad de la informacin
La Organizacin Internacional para la Estandarizacin (ISO) y la Comisin
Electrotcnica Internacional (IEC) han desarrollado una serie de normas
internacionales de amplsima difusin a nivel mundial en el mbito de seguridad de
la informacin es la Norma ISO/IEC 27000. Desde el 2005 la ISO ha venido
mejorando y reuniendo ms estndares, los cuales son reconocidos a nivel mundial.
En el siguiente grafico se evidencia el historial y las publicaciones ms destacadas de
esta gran familia de la ISO 27000.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
25/90
13
Fig. 2 Familias ISO evolucin
Como se puede apreciar en el grafico anterior, ISO ha tenido una evolucin
notoria de normas implantadas a nivel mundial, donde se destacan anualmente
diferentes versiones y sub familias que son utilizadas por una amplia gama de
usuarios.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
26/90
14
Se puede notar que del ao 2012 en adelante la ISO ha aumentado su nmero
de ediciones, que de acuerdo a la demanda de nuevas normas en el mundo han ido
adaptndose a las necesidades de normalizacin.
La norma internacional ISO/IEC 27000 se denomina familia, la misma que
agrupa a las siguientes normas:
Fig. 3 Famil ia ISO 27000
- ISO 27000: sistema de gestin de seguridad de la informacin- descripcin
general y vocabulario
- ISO 27001: sistema de gestin de seguridad de la informacin - requisitos
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
27/90
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
28/90
16
- British Standards Institute -BS
- Sarbanes Oxley - SOX
- Acuerdo de Basilea -Basilea II
- Health Insurance Portability and Accountability Act -HIPAA
- Payment Card Industry Standard -PCI
ISO.- Organizacin internacional de normalizacin, esta organizacin
propone ciertos estndares en diferentes reas, para la parte de seguridad
existe la familia ISO/IEC27000.
COBIT.- Es un conjunto de normas y objetivos de control relacionados con la
tecnologa de informacin, entre los objetivos de control existe la parte de
seguridad de la informacin y dentro de estos el relacionado con la base de
datos.
BS.-Son estndares fijados para la parte europea Britnica, estas normas son
compatibles con la ISO/IEC.
Sarbanes Oxley (SOX).-Conjunto de regulaciones creadas para instituciones
que cotizan en la bolsa. Fue creada luego de algunos escndalos corporativos
y actualmente es aplicada por la mayora de empresas en Estados Unidos.
https://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&ved=0CEcQFjAC&url=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FHealth_Insurance_Portability_and_Accountability_Act&ei=Se0zUoD3F4Su9AThxoGAAw&usg=AFQjCNF6zO26Ik209g1lN-cn-e80E2yZAQ&sig2=oNovdUi0XE5tWnyYbCJsmAhttps://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&ved=0CEcQFjAC&url=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FHealth_Insurance_Portability_and_Accountability_Act&ei=Se0zUoD3F4Su9AThxoGAAw&usg=AFQjCNF6zO26Ik209g1lN-cn-e80E2yZAQ&sig2=oNovdUi0XE5tWnyYbCJsmA -
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
29/90
17
Basilea II.-Consiste en recomendaciones sobre la legislacin y regulacin
bancaria, para prevenir riesgos operativos financieros.
HIPAA.- Regla de Privacidad, de acuerdo con la Ley de Portabilidad y
Contabilidad de Seguros de Salud, es una ley que protege la informacin de
salud de los individuos.
PCI.-Es un estndar que recoge requisitos y normas de seguridad que deben
seguir todas las compaas que trabajen con tarjetas de crdito.
BDSG.-Es la directiva 2002/58/EC del parlamento Europeo y concierne al
procesamiento de informacin personal y proteccin de la privacidad en el
sector de las comunicaciones electronicas. (Directive on privacy and
electronic communications)
Las opciones de seguridad de la base de datos Oracle, dan cumplimiento a un
amplio rango de regulaciones y normativas entre las que se destacan las siguientes:
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
30/90
18
CARACTERISTICAS Y CUMPLIMIENTOS REGULATORIOS DE ORACLE
(SOX, HIPAA, BDSG, EUROPEAN DIRECTIVE 2002/58/EC)
Component/Requeriment
OracleDB
VirtualPrivateDatabase
OracleLabelSecurity
OracleDatabaseVault
OracleAdvanceSecurity
OracleRecoveryManagmentSecure-Backup
OracleAuditVault
DataGuard
Content DB
Oracleidentifymanagement
OracleRealAplicationClusters
Oracle AS
Partitioning
EMconfiguratonmanagement
ASM
Regulation andSection
1 Data
clasification
X X X X X X SOX sec. 302,
404 DirectiveArt. 7, FDPA,9,14,19. HIPAA162, 308
2 Dataretention
X X X X SOX sec. 103;FDPA 6to, 10,36 DirectiveArt.8
3 Data Backup X X X HIPAA 184 310, HIPAA 164300, SOX sec.409; FDPA 9
4 Recovery X X X HIPAA 164 308
5 Integrity X X X X X X HIPAA 164 312SOX sec 109,303, 404 FDPA9,11,14,20,95
6 Encription X X X X HIPAA 164 312HIPAA 184 312SOX sec 302,404 . FDPA 9
7 Identification X X X HIPAA 164 312
SOX sec 302,404 DirectiveArt. 6,7,9. FDPA9
8 Autentication X X X X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 6,7,9. FDPA9
CONTIN A....
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
31/90
19
9 Autorization X X X X SOX 302, 404Directive Art.7,9. FDPA5,9,14
10
Accesscontrol
X X X X X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 6,7,9. FDPA9
11
Fine-grainedaccesscontrol
X X X HIPAA 164 312SOX sec 302,404.
12
User accountmanagment& review ofprivileges
X X X X HIPAA 164 302
13
Passwordmanagment
X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 6,7,9. FDPA14
14
Last privilegeprinciple
X X X X SOX sec 302,404Directive Art.6,7,9. FDPA 14
15
Segregationof duties
X X HIPAA 164 312HIPAA 184 312Directive Art. 9SOX sec 302,404 . FDPA 4g,
11, 42
CONTIN A....
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
32/90
20
16
Monitoringfor violation& securityactivity report(fine grainedauditing)
X X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 9. FDPA9,15
17
Securecomunication
X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 9. FDPA9,15
18 Audit trails X X X X HIPAA 164 312SOX sec 302,404 FDPA8,11,14,15,,30,35
19
Availability X X X X X HIPAA 164 312SOX sec 404FDPA 14, 36
20
Operationlogs
X X X SOX sec. 103,302, 404;FDPA 9,20,35
Tab. 1 Regulaciones de Oracle
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
33/90
21
2.1.2.3. Normas en Ecuador
En el Ecuador el Instituto Ecuatoriano de Normalizacin (INEN) es eje
principal del Sistema Ecuatoriano de la Calidad en el pas, competente en
Normalizacin, Reglamentacin Tcnica y Metrologa, que contribuye a garantizar el
cumplimiento de los derechos ciudadanos relacionados con la seguridad; la
proteccin de la vida y la salud humana, animal y vegetal; la preservacin del medio
ambiente; la proteccin del consumidor y la promocin de la cultura de la calidad y
el mejoramiento de la productividad y competitividad en la sociedad ecuatoriana.
(INENwww.inen.gob.ec)
Actualmente, INEN tiene aprobadas en el Ecuador varias normas y estndares
relacionados con la tecnologa, dentro de estos estn controles importantes para la
seguridad de la base de datos. A continuacin se muestra el listado oficial aprobado
por el gobierno de las normas ISO adoptadas en el pas.
Tab. 1 - Lista de normas aprobadas y vigentes en el Ecuador
No. CODIGO TITULO A O PROCESOTI
1 NTE INEN ISO/IEC27000
Tecnologas de la Informacin -Tcnicas de seguridad -Sistema de gestin de seguridad de lainformacin Descripcin general yvocabulario
2011 SEGURIDAD
CONTINA....
2NTE INEN
ISO/IEC27001
Tecnologas de la Informacin.Tcnicas de Seguridad.Sistemas de Gestin de la Seguridad de laInformacin.Requisitos
2010
2NTEINEN: Norma Tcnica del instituto Ecuatoriano de Normalizacin.
http://www.inen.gob.ec/http://www.inen.gob.ec/http://www.inen.gob.ec/http://www.inen.gob.ec/ -
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
34/90
22
3NTE INEN
ISO/IEC27002
Tecnologas de la Informacin.
Tcnica de Seguridad.Cdigo dePrctica para la Gestin de la
Seguridad de la Informacin
2009
4 NTE INENISO/IEC27003
Tecnologa de la Informacin -
Tcnicas de seguridad Gestin del
riesgo en la seguridad de laInformacin
2011
5NTE INEN
ISO/IEC27004
Tecnologa de la Informacin Tcnicas de Seguridad Gestin dela Seguridad de la Informacin -Medicin
2011
6NTE INEN
ISO/IEC27005
Tecnologas de la Informacin Tcnicas de seguridad -Gestin del
riesgo en la seguridad de laInformacin
2011
7 NTE INENISO/IEC27006
Tecnologas de la Informacin -
Tcnicas de Seguridad Requisitos
para Organizaciones que Proveen
Auditora yCertificacin de Sistemas
de Gestin de la Seguridad de la
Informacin
2011
8NTE INEN
ISO/IEC27799
Informtica para la Salud. Gestin dela Seguridad de laInformacin parala Salud utilizando la NTE INEN-ISO/IEC 27002
2011
9NTE INEN
ISO/IEC27033-1
Tecnologas de la Informacin Tcnicas de seguridad Seguridadde redes. Parte 1. Visin General yConceptos.
2012
Como se puede apreciar, no existen normas, estndares, reglamentos o guas
en el Ecuador referente especficamente a la base de datos. Este podra significar un
problema para las empresas, ya que actualmente solo se est controlando a entidades
financieras a travs de las regulaciones emitidas por la superintendencia de Bancos.
Norma ISO 27000
La primera versin de esta norma data del ao 2000 y est basada en la norma
britnica BS 7799-1. La norma est organizada en 11 dominios, los cuales contiene
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
35/90
23
un total de 134 controles que abarcan desde los aspectos estratgicos de un SGSI
hasta los ms operativos.
Fig. 4 Pirmide de domin ios
2.1.2.3.1. Dominios de la norma UNIT-ISO/IEC 27002-27001
La norma ISO/IEC 27001 que en el Ecuador fue adoptada como UNIT-ISO
27001, Sistema de Gestin de la Seguridad de la Informacin-Requisitos publicada el
14 de octubre de 2005, es la norma que puede ser certificable. Esta norma utiliza el
modelo de proceso PDCA (Plan-Do-Check-Act) similar a los de gestin de calidad
ISO 9000, ISO 14000 de servicios, entre otros, (ver anexo A).
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
36/90
24
Est basada en la norma BS 7799-2, la cual viene siendo utilizada para
certificar en los ltimos siete aos aproximadamente.
Alrededor de 2000 organizaciones ya tienen la certificacin del SGSI, y se
espera que este nmero crezca en gran medida dada la importancia de esta norma
internacional.
Fig. 5 Modelo PDCA para un SGSI
La ISO 27002 es una herramienta muy til para los responsables de iniciar,
implantar o mantener la seguridad de una organizacin. En junio de 2005 se public
una nueva versin de la ISO/IEC 27002. Esta nueva versin integra los ltimos
desarrollos en el campo, para mantenerse como la norma internacional reconocida en
materia de buenas prcticas para la gestin de la seguridad de la informacin.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
37/90
25
ISO / IEC 27002:2005 comprende la norma ISO / IEC 17799:2005 e ISO /
IEC 17799:2005 / Cor.1: 2007. Su contenido tcnico es idntica a la de la norma ISO
/ IEC 17799:2005. ISO / IEC 17799:2005 / Cor.1: 2007 cambia el nmero de
referencia de la norma 17799-27002.
ISO / IEC 27002:2005 establece los lineamientos y principios generales para
iniciar, implementar, mantener y mejorar la gestin de seguridad de la informacin
en una organizacin. Los objetivos describen ofrecer orientaciones generales sobre
las metas comnmente aceptadas de gestin de seguridad de informacin. ISO / IEC
27002:2005 contiene las mejores prcticas de los objetivos de control y controles en
las siguientes reas de gestin de seguridad de la informacin:
- Dominio 5 Poltica de Seguridad
- Dominio 6 - Organizacin de la Seguridad
- Dominio 7 - Gestin de Activos
- Dominio 8 - Seguridad de los Recursos Humanos
- Dominio 9 - Seguridad Fsica
- Dominio 10 - Gestin de Comunicaciones y Operaciones
- Dominio 11 - Control del Acceso
- Dominio 12 - Adquisicin, desarrollo y mantenimiento de sistemas de
informacin
- Dominio 13 - Gestin de los incidentes de la seguridad de la informacin
- Dominio 14 - Gestin de la Continuidad del Negocio
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
38/90
26
- Dominio 15 - Cumplimiento
Los objetivos de control y controles de la norma ISO / IEC 27002:2005 estn
destinados a ser implementado para satisfacer las necesidades identificadas por la
evaluacin del riesgo. ISO / IEC 27002:2005 ha sido diseada como una base comn
y gua prctica para el desarrollo de estndares de seguridad de la organizacin y las
prcticas eficaces de gestin de la seguridad, y para ayudar a construir la confianza
en las actividades interinstitucionales.
2.1.2.4. Gestin de Riesgos
Introduccin de gestin de riesgos y ah si vienen esos conceptos
2.1.2.4.1. Riesgo
El riesgo se define como la combinacin de la probabilidad de que se
produzca un evento y sus consecuencias negativas. Los factores que lo componen
son la amenaza y la vulnerabilidad (CIIFEN, 2010).
2.1.2.4.2. Amenaza
Amenaza es un fenmeno, sustancia, actividad humana o condicin peligrosa
que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que
daos a la propiedad, la prdida de medios de sustento y de servicios, trastornos
sociales y econmicos, o daos ambientales. La amenaza se determina en funcin de
la intensidad y la frecuencia.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
39/90
27
2.1.2.4.3. Vulnerabilidad
Vulnerabilidad son las caractersticas y las circunstancias de una comunidad,
sistema o bien que los hacen susceptibles a los efectos dainos de una amenaza.
Con los factores mencionados se compone la siguiente frmula de riesgo.
RIESGO = AMENAZA * VULNERABILIDAD
Los factores que componen la vulnerabilidad son la exposicin,
susceptibilidad y resiliencia, expresando su relacin en la siguiente frmula.
(UNISDR, Terminologa sobre Reduccin de Riesgo de Desastres, 2012)
VULNERABILIDAD =
EXPOSICION * SUCEPTIBILIDAD
------------------------------------------------RESILIENCIA
Exposicines la condicin de desventaja debido a la ubicacin, posicin o
localizacin de un sujeto, objeto o sistema expuesto al riesgo.
Susceptibilidades el grado de fragilidad interna de un sujeto, objeto o sistema
para enfrentar una amenaza y recibir un posible impacto debido a la ocurrencia de un
evento adverso.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
40/90
28
Resilienciaes la capacidad de un sistema, comunidad o sociedad expuestos a
una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera
oportuna y eficaz, lo que incluye la preservacin y la restauracin de sus estructuras
y funciones bsicas.
2.1.2.4.4. Controles
El propsito del control de riesgo es analizar el funcionamiento, la efectividad
y el cumplimiento de las medidas de proteccin, para determinar y ajustar sus
deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo
institucional, donde se define los momentos de las intervenciones y los responsables
de ejecucin.
Medir el cumplimiento y la efectividad de las medidas de proteccin requiere
que levantemos constantemente registros sobre la ejecucin de las actividades, los
eventos de ataques y sus respectivos resultados, as como tambin las mejoras a
adoptar para el futuro. Toda esta informacin debe ser analizada frecuentemente para
toma de decisiones y aprobacin de controles a implementar. Dependiendo de la
gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren
sanciones institucionales para los funcionarios.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
41/90
29
En el proceso continuo de la Gestin de riesgo, las conclusiones que salen
como resultado del control de riesgo, nos sirven como fuente de informacin, cuando
se entra otra vez en el proceso de la Anlisis de riesgo.
2.1.2.5. Herramientas para comprobar seguridades en base de datos
Existen varias herramientas que hacen pruebas o evalan la seguridad de las
bases de datos, en esta gama de productos existen los licenciados y los no
licenciados, tambin denominados de software libre. Entre las ms usadas en el
mbito del software libre se encuentran:
- SQL Ninja._ Herramienta dedicada a explotar SQL Injection3 solo en
aplicaciones web que usan la base de datos SQL server. Si la herramienta
logra infiltrarse puede proporcionar acceso remoto al servidor de Base de
datos.
- SFX.SQLi._ Utiliza XML SQL Injection para extraer informacin de las
bases SQL Server de forma rpida.
- - SQLMap._ Herramienta desarrollada en Python utiliza SQL Injection
automtica que explota todas las vulnerabilidades posibles en las bases de
datos.
3SQL Injection: Tcnica de infiltracin en la seguridad de una base de datos.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
42/90
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
43/90
31
Figura 6 Herramienta Nessus
NeXpose Entreprise.- Es una solucin inteligente de riesgos de seguridad,
est diseada para organizaciones con redes extensas. Esta herramienta es proactiva
soporta todo el ciclo de vida de gestin de vulnerabilidades como por ejemplo;
descubrimiento, deteccin, clasificacin de riesgo, verificacin, anlisis de impacto,reportes y migracin.
Fig. 7 Nexpose Enterprise
Fig. 6 - Resumen Tenable Nessus
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
44/90
32
Websaint.-Herramienta de la empresa SAAS. Es una solucin en la nube que
incluye, escaneo de vulnerabilidades, test de penetracin y escaneo web. Lo
interesante de esta herramienta es que no requiere instalar algn software localmente,
y tambin es que enva las notificaciones o reportes va correo electrnico.
Fig. 8 Web Saint
2.1.2.6. Seguridad en base de datos Oracle
Durante los ltimos diez aos, han surgido varias regulaciones que imponen
estrictos controles internos y la proteccin de informacin personalmente
identificable que sus siglas son (PII)4, esta informacin personal est en la mayora
de sitios web donde se requiere crear una cuenta o registrarse. Para proteger esta
4
PII: Informacin Personal Identificable
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
45/90
33
informacin personal, se han creado normas y regulaciones que fijan un estndar a
adoptar. Algunos ejemplos de dichas regulaciones incluyen entre las ms
importantes:
- Sarbanes-Oxley (SOX).- Monitoriza empresas que cotizan en la bolsa.
- PCI (Data Security Standard).- Conjunto de normas de seguridad.
- HIPAA (Health Insurance Portability and Accountability Act).- Reglas de
proteccin de la informacin confidencial de la salud de los individuos.
- Basilea II.- Gestin del riesgo operacional.
- Directiva de la UE sobre Privacidad y Comunicaciones Electrnicas en
Europa
El continuo surgimiento de nuevas regulaciones en todo el mundo junto con
la naturaleza cada vez ms sofisticada del robo de informacin requiere una estricta
seguridad de datos. Por estas razones Oracle sigue implementando cada vez controles
ms estrictos en sus productos de seguridad que se rigen a las regulaciones
mencionadas anteriormente.
Los estudios sobre Seguridad y Delitos Informticos de CSI/FBI5 2005 han
documentado que ms del 70% de los ataques y la prdida de datos de los sistemas
de informacin han sido cometidos por integrantes de la organizacin, es decir, por
aquellas personas por lo menos con autorizacin en algn nivel de acceso al sistema
y sus datos. Las soluciones transparentes de seguridad son crticas en la actual
5 CSI/FBI Computer Crime and Security Survey con la participacin de San Francisco Federal Bureau de
Investigaciones. Pgina oficial www.gocsi.com
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
46/90
34
economa global de negocios. Oracle Database tiene entre sus objetivos principales el
brindar seguridad en el entorno de base de datos, con soluciones de seguridad que
funcionan de manera transparente con las aplicaciones existentes, mientras se cumple
con los requerimientos obligatorios de las regulaciones. Desde sus inicios la
seguridad de Oracle ha ido evolucionando a travs del tiempo y las versiones que se
han lanzado, en cada nueva versin o complemento de seguridad se han ido
reforzando cada vez ms las brechas de seguridad que cada vez son mas complejas
de encontrar. A continuacin en la figura se describe la evolucin de Oracle y sus
complementos de seguridad a travs de sus versiones.
Fig. 9 Evolucin de la seguridad en BDD Oracle
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
47/90
35
Con el paso del tiempo, Oracle ha mejorado la seguridad de la base de datos,
ya sea con complementos adicionales as como con mejoras a las versiones que van
evolucionando. Como se puede apreciar en los aos anteriores no existan tantos
complementos y herramientas de seguridad, ya que ao tras ao han crecido los
ataques, las formas de infiltracin y en si la expansin del internet. Por esta razn
surgen nuevos complementos que contrarrestan las nuevas formas de robo de
informacin as como infiltracin.
La versin de Oracle 11gl contiene todas las mejoras y uniones de los
complementos anteriores que hoy en da la hacen una de las mejores a nivel mundial,
as lo muestra Gartner en su estudio anual.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
48/90
36
Fig. 10 Database Magnament System Magic Cuadrant
As como tambin el ms reconocido entre los principales vendedores de
soluciones de software.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
49/90
37
Tab. 2 Tabla de Gartner manejadores de Base de Datos
Enfoques de Seguridad:
Las caractersticas de seguridad son crticas porque histricamente la
mayora de las aplicaciones ha dependido de la seguridad en el nivel de aplicaciones
para restringir el acceso a los datos sensibles. Los conceptos de seguridad como
privilegio mnimo y necesidad de conocimiento fueron considerados menos
importantes que la escalabilidad y la rpida implementacin de nuevas aplicaciones.
Internet aceler el desarrollo de nuevas aplicaciones para todos los aspectos del
procesamiento de negocios, dando como resultado una mejor accesibilidad, grandes
ahorros de costo y aumentos de productividad. No obstante, las regulaciones
mundiales ahora requieren controles ms estrictos sobre informacin financiera
sensible y relacionada con la privacidad.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
50/90
38
La versin de Oracle 11gl contiene muchas mejoras y ha juntado muchos
aspectos de seguridad de los cuales se obtiene enfoques principales de seguridad.
La seguridad de la base de datos Oracle tiene varios enfoques los cuales son:
Seguridad en Aplicaciones.- Las aplicaciones es una de las capas ms
importantes en el ambiente de la tecnologa de la informacin pero
desafortunadamente muy ignorada desde la perspectiva de la seguridad. Es decir,
sobre todo, a las aplicaciones transaccionales donde realmente se hace el proceso y
que residen en el back-end de la infraestructura y no a las que hoy da en el mercado
se les pone mayor atencin que son las basadas en Web.
Actualmente la referencia que se tiene con respecto a la seguridad en
aplicaciones es el control de acceso y ste en definitiva es un punto importantsimo
pero no suficiente. Oracle ha simplificado algunos aspectos de seguridad vinculado a
aplicaciones, despus de aos de investigacin con el complemento de seguridad
Oracle Database Security.
Seguridad en Base de Datos.- Con respecto a la seguridad dirigida a base de
datos, Oracle ofrece potente actividad de base de datos con control y bloqueo, control
de acceso con mltiples factores y privilegios de usuario, clasificacin de datos,
encriptacin de datos transparente, auditora e informes consolidados, administracin
de configuracin segura y enmascaramiento de datos, para que los clientes puedan
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
51/90
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
52/90
40
millones de dlares invertidos en 2011 en productos de seguridad se destinaron a la
salvaguarda de los centros de datos.
Entre las ms reconocidas empresas especializadas en seguridad a nivel
mundial segn el Instituto SANS se encuentran:
- Imperva
- Guardium
- Sentrigo
- Tizor
- Secerno
Imperva cuenta con ms de 2200 clientes a nivel mundial, en ms de 60
pases y cientos de organizaciones. La compaa tiene presencia en la mayora de
empresas lderes a nivel mundial de la siguiente forma:
- 8 de las Top 10 global de empresas de Telecomunicaciones del mundo
- 5 de los Top 10 mejores bancos de Estados Unidos
- 3 de los Top 5 global de las Empresas de servicios financieros para el
consumidor.
- 4 del Top 5 global de las compaas de Hardware
- Ms de 200 agencias gubernamentales en todo el mundo
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
53/90
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
54/90
42
- Exposicin de los medios de almacenamiento para backup. stos estn a
menudo desprotegidos, por lo que numerosas violaciones de seguridad han
conllevado el robo de discos y de cintas. Adems, el no auditar y monitorizar las
actividades de acceso de bajo nivel por parte de los administradores sobre la
informacin confidencial puede poner en riesgo los datos.
- Explotacin de vulnerabilidades y bases de datos mal configuradas. Los
atacantes saben cmo explotar estas vulnerabilidades para lanzar ataques contra
las empresas.
- Datos sensibles mal gestionados. Los datos sensibles en las bases de datos
estarn expuestos a amenazas si no se aplican los controles y permisos
necesarios.
- Denegacin de servicio (DoS). En este tipo de ataque se le niega el acceso a las
aplicaciones de red o datos a los usuarios previstos. Las motivaciones suelen ser
fraudes de extorsin en el que un atacante remoto repetidamente atacar los
servidores hasta que la vctima cumpla con sus exigencias.
- Limitado conocimiento y experiencia en seguridad y educacin. Muchas
firmas estn mal equipadas para lidiar con una brecha de seguridad por la falta de
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
55/90
43
conocimientos tcnicos para poner en prctica controles de seguridad, polticas y
capacitacin.
2.1.3. Herramientas para comprobar seguridad en Base de Datos Oracle
En la actualidad existen varias herramientas de comprobacin de seguridades
en las bases de datos, muchas de estas utilizan el principio de SQL inyection, otras en
cambio tratan de buscar alguna puerta abierta. Las herramientas existentes pueden
ser de pago o gratis, las ms completas son las de pago pero existen buenas
alternativas de software libre, entre las cuales se tomaron varias importantes, a
continuacin se listan las herramientas que pueden ser aplicadas para evaluar las
seguridades de una base de datos Oracle.
- Scuba. Ligera herramienta de la reconocida empresa Imperva, analiza
vulnerabilidades en el entorno de base de datos de diferentes plataformas,
entre las cuales estn: SQL, Oracle, Mysql, entre otras. Esta herramienta es
gratuita, aunque la empresa tambin ofrece otras alternativas ms complejas
que son licenciadas.
- Inguma. Herramienta de ambiente Linux para escaneo de puertos y
vulnerabilidades orientado a Oracle. Esta herramienta es gratis y de desarrollo
colectivo.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
56/90
44
2.1.4. Seguridad en Oracle
Oracle tiene tecnologa avanzada en base de datos para proteger la
informacin almacenada, proporciona algunas soluciones de seguridad para
garantizar la privacidad de la informacin, protegerse contra las amenazas internas y
facilitar el cumplimiento normativo.
Entre estas soluciones las ms importantes estn:
- DatabaseVault y Firewall de Oracle
- Oracle Advanced Security (Encriptacin)
- Oracle Label Security
- Oracle Data Masking (Enmascaramiento de datos)
Fig. 11 Seguridad Oracle
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
57/90
45
Al momento no se dispone de una gua o manual que contenga diferentes
niveles de seguridad con configuraciones que nos permitan estandarizar y garantizar
un nivel de seguridad para las organizaciones.
2.1.4.1. Database Vault y Firewall de Oracle
El firewall de Oracle provee la primera lnea de defensa para la base de datos,
previene accesos ilegales, detiene SQL Injection, adicionalmente hace cumplir las
polticas de seguridad con precisin.
Esta primera lnea de defensa es independiente de la configuracin de base de
datos y operacin, es un blindaje independiente que ayuda a reducir el riesgo de
prdida de datos e infiltraciones y ayuda a las empresas a manejar cualquier cambio
en el ambiente de regulacin. Tambin brinda un monitoreo en tiempo real con
whitelist6, blacklist7, y exeptionlist8.
6Whitelist: Denominada Lista Blanca es una lista o registro de entidades que, por una razn u otra,pueden obtener algn privilegio particular, servicio, movilidad, acceso o reconocimiento.7Blacklist: Denominada Lista Negra, al contrario de la lista blanca es la compilacin que identifica a
quienes sern denegados, no reconocidos u obstaculizados.8Exceptionlist: Denominada Lista de Excepciones, es una lista especial complementaria, la cual
aade ciertas excepciones a las listas ya definidas.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
58/90
46
Fig. 12 Database/Firewall
Oracle Database Vault permite controlar quin, cundo, y dnde acceder a
los datos y aplicaciones, protegiendo sus empresas frente a las preocupaciones ms
comunes de seguridad: amenazas que provienen de malas intenciones, negligencia, o
simples descuidos. Al imponer la separacin de tareas, incluso entre los
administradores. Fue el primer producto de su clase en salir, Oracle Database Vault
presenta una gran cantidad de nuevas y avanzadas caractersticas de seguridad para
restringir el acceso a la base de datos, incluso por parte de usuarios con roles o
privilegios importantes. Estas caractersticas pueden utilizarse de manera flexible y
adaptable para cumplir con los requerimientos de autorizacin, sin que se requieran
cambios en las aplicaciones existentes.
Oracle Database Vault mejora la capacidad para satisfacer los requerimientos
de cumplimiento, como los de Sarbanes-Oxley y otras regulaciones que rigen el
control de acceso y entrega de informacin sensible; controla el acceso a la
informacin de la base de datos y las aplicaciones, incluso por usuarios con los ms
altos privilegios; impone la autorizacin de mltiples factores por medio de reglas
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
59/90
47
comerciales flexibles; muestra quin tiene acceso, cundo y a qu tipo de
informacin utilizando informes listos para usar. A continuacin se detallan las
regulaciones que cumple este complemento:
Tab. 3 - Oracle Database Vault (DBV) y Regulaciones
Oracle Database Vault (DBV) y Regulaciones
Regulacin RequisitoDBV mitiga este
riesgo?
Sarbanes-Oxley Artculo302
Cambios no autorizados en losDatos S
Sarbanes-Oxley Artculo 404Modificacin a datos, acceso no autorizado
S
Sarbanes-Oxley Artculo 409 Negacin de servicio, acceso no autorizado S
Gramm-Leach-BlileyAcceso no autorizado, modificacin y/o
revelacinS
HIPAA 164.306 Acceso no autorizado a los datos S
HIPAA 164.312Acceso no autorizado a los datos S
Basilea II Administracin deRiesgos Internos
Acceso no autorizado a los datos S
CFR Seccin 11 Acceso no autorizado a los datos S
Ley de Privacidad de Japn Acceso no autorizado a los datos S
CONTINA....
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
60/90
48
PCI Requisito 7Restringir el acceso a datos de titulares de
tarjeta por necesidadde conocimiento de la empresa
S
PCI Requisito 8.5.6Activar cuentas utilizadas por
proveedores para el mantenimiento remotosolo durante el tiempo necesario
S
Fig. 13 Database Vault lgica interna
Como complemento, DatabaseVault al concentrar las alertas de seguridad
como de infraestructura se gestiona de mejor manera los incidentes de seguridad y a
la vez los que puedan afectar al correcto funcionamiento del sistema.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
61/90
49
Fig. 14 Esquema de Seguridad Firewall & Audit Vault
2.1.4.2. Oracle Advanced Security
Oracle Advanced Security es un complemento de seguridad que ayuda con la
privacidad de direcciones, para esto utiliza un sub-complemento llamado Transparent
Data Encryption, el cual encripta datos sensibles y confidenciales.
Fig. 15 Advance Security
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
62/90
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
63/90
51
normas estn s Sarbanes-Oxley, PCI DSS, HIPAA. Del mismo modo, utiliza un
proceso irreversible para reemplazar los datos sensibles con datos que parecen reales
pero que estn cancelados sobre la base de reglas de enmascaramiento, y garantiza
que los datos originales no puedan ser recuperados ni restaurados. Otra ventaja es la
ayuda que brinda para mantenerla integridad de la aplicacin mientras enmascara los
datos.
Fig. 17 Oracle Data Masking
Oracle Database Security brinda soluciones transparentes para la seguridad de
aplicaciones en las reas crticas de administracin de usuarios, control de acceso,
proteccin de datos y monitoreo.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
64/90
52
Fig. 18 Ciclo de seguridad y proteccin de Database Security
Como se puede observar en la figura Oracle database security contempla un
ciclo de seguridad en el cual estn los principales complementos de seguridad antes
mencionados y las reas de enfoque en el mbito de la seguridad.
Los complementos mencionados anteriormente son los ms relevantes en el
mbito de la seguridad que tiene Oracle para la versin 11g.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
65/90
53
CAPTULO III
3.
3.1.Introduccin:
Si a la fecha Internet ha venido acelerando el desarrollo de nuevas
aplicaciones para todos los aspectos del procesamiento de negocios, tambin las
bases de datos tienen que desarrollar nuevas formas de proteger la informacin
sensible, las regulaciones ahora requieren controles mucho ms estrictos para la
informacin delicada, tanto financiera como relacionada con la privacidad. Se
requieren soluciones de seguridad transparentes para implementar los controles ms
estrictos porque la mayora de las aplicaciones se basan en la seguridad a nivel de
aplicacin para restringir el acceso a datos delicados.
Los conceptos de seguridad en un sistema antes no tenan la priorizacin
necesaria, estaban incluso por debajo de la escalabilidad y disponibilidad.
Actualmente la seguridad va a la par de estas y otras caractersticas. Los productos de
Oracle en seguridad de datos complementan la seguridad a nivel de aplicacin
permitiendo a las organizaciones minimizar los costos asociados con el
cumplimiento de las regulaciones y la implementacin de los estrictos controles
internos.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
66/90
54
3.2.Evaluacin de Resultados y discusin
3.2.1. Definir la configuracin de seguridad de la base de datos
Existen numerosos criterios de diferentes administradores de base de datos
Oracle de las configuraciones bsicas que se debe aplicar a la base de datos de una
organizacin para hacerla segura, estos criterios pueden basarse en algn estndar o
simplemente por buenas practicas. El presente proyecto recopila y analiza varias de
estas configuraciones y le asigna un nivel de seguridad, es decir una priorizacin
dependiendo del grado de seguridad que se quiera obtener, que recursos se tengan o
dispongan para poder implementar estos controles y que tipo de informacin se
almacene.
El resultado de este anlisis es un checklist o tambin conocido como lista de
verificacin, esta lista se genera a partir de parmetros de seguridad que pueden ser
ajustados para mejorar el entorno de seguridad de la base de datos, tambin se basa
en estndares, normas y buenas prcticas en el mbito general de la seguridad y
explota las bondades y ventajas que tiene la base de datos Oracle para generar
registros de auditoria que pueden ser revisados para dar un valor agregado y
complementario a la seguridad. De acuerdo a estas caractersticas, el anlisis para
escoger la norma relacionada a la configuracin de seguridad y a una clasificacin de
acuerdo a la rama de la seguridad se obtiene el siguiente Checklist:
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
67/90
55
Los niveles de seguridad definidos para la lista de verificacin del proyecto,
son los siguientes:
Bajo (1)
Medio (2)
Alto (3)
Estos niveles son determinados de acuerdo al siguiente criterio:
Nivel 1 (Bajo).- El nivel bajo es considerado el nivel ms bsico de
configuraciones de seguridad que deben estar implementadas en un ambiente de base
de datos Oracle. Muchas de estas configuraciones bsicas vienen activadas por
defecto y dependiendo del enfoque de la organizacin se refuerzan o desactivan.
Nivel 2 (Medio).-El nivel medio es un ajuste personalizado a parmetros de
seguridad especficos en la base de datos con el que se refuerza la seguridad de la
misma y convierte a la base de datos en un elemento seguro.
Nivel 3 (Alto).-El nivel alto como su nombre lo indica es un nivel superior de
seguridad, en el que no solo se refuerzan las caractersticas de seguridad sino que se
monitorea las actividades en la base de datos para poder encontrar cualquier
anomala, acceso no autorizado e intrusin en la base de datos. Este nivel al ser el
ms complejo y abarcar a los otros dos es a menudo usado por entidades financieras,
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
68/90
56
gubernamentales, y cualquier otra que quiera invertir en la seguridad de su
informacin.
3.2.2. Secciones o clasificaciones de Seguridad
El instituto SANS es uno de las entidades mas reconocidas en el mbito de la
seguridad, se mantiene siempre a la vanguardia y tiene entre sus conocimientos la
incorporacin de seguridad en la base de datos como tal. Tomando como referencia
al reconocido instituto SANS9se ha adoptado las siguientes reas o secciones crticas
a las que se har referencia en este proyecto.Las he denominado secciones ya que
contienen caractersticas similares asociadas a un rea en particular que va ligado a la
seguridad.
Planeacin y evaluacin de riesgos
Sistema operativo y aspectos de seguridad
Autenticacin
Controles de Acceso
Red
Disponibilidad, Backup y Recovery
- Planeacin y evaluacin de riegos
9SANS (SysAdmin Audit, Networking and Security Institute)
http://www.sans.org/score/incidentforms/
http://www.sans.org/score/incidentforms/http://www.sans.org/score/incidentforms/http://www.sans.org/score/incidentforms/ -
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
69/90
57
Esta seccin abarca todo lo que se pueda prevenir para mejorar la seguridad
de la base de datos o su entorno, como por ejemplo la gestin de los parches,
versiones, backups automatizados sea de la base o la configuracin de la misma.
- Sistema operativo y aspectos de seguridad
Esta seccin incluye caractersticas importantes de seguridad que se puede
aadir en el sistema operativo, tales como permisos en directorios clave, usuarios por
defecto, y roles.
- Autenticacin
Como su nombre lo indica esta seccin contiene caractersticas de seguridad
relacionadas con todos quienes se hayan autenticado en la base de datos, tambin
incluye revisiones sobre logs de aplicaciones.
- Control de acceso
Esta seccin es la que ms parmetros de seguridad contiene ya que los
controles o precauciones que se pueden tener en esta rama de la seguridad son
extensos. En forma resumida esta seccin contiene temas de permisos, roles, revisin
de objetos que puedan contener accesos no autorizados etc.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
70/90
58
- Red
En la seccin de Red estn caractersticas de seguridad que se pueden mejorar
para reforzar las defensas contra intrusiones y programas que buscan puertos o
entradas a la base de datos.
- Disponibilidad Backup y recovery
Esta seccin abarca caractersticas de seguridad relacionadas con la
disponibilidad y el salvaguardo de la informacin de backup que es igual de
importante como la informacin en produccin, ya que sin esta en medio de
algn contingente no se puede volver a levantar la base de datos.
3.2.3. Estructura del Checklist (lista de verficacin)
La estructura principal del checklist es la siguiente:
DescripcinNivel de
seguridadO/S Observacin/Configuracin
Seccin 1
Caractersticas de Seguridad..
1,2,3
Seccin 2
Caractersticas de Seguridad..
1,2,3
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
71/90
59
Descripcin.- Se refiere al parmetro de seguridad que puede ser ajustado o a la
caracterstica de seguridad que se puede usar o explotar.
Nivel de Seguridad.- Se refiere a los niveles de seguridad fijados para la
clasificacin por niveles de los parmetros. Estos niveles se refieren a:
- Bajo (1)
- Medio (2)
- Alto (3)
O/S (Sistema Operativo).-Esta columna muestra en que sistema operativo puede ser
aplicada esa caracterstica de seguridad.
Existen varios sistemas operativos en el mundo, pero la compatibilidad o en
cul de ellos se puede aplicar estas revisiones de seguridad depende de la
compatibilidad de la base de datos Oracle como tal. Oracle abarca la mayora de
sistemas operativos entre los cuales los ms conocidos son:
- Windows
- Linux
- Oracle Linux
- Unix
En su mayor parte los comandos que recomienda esta lista de seguridad
pueden ser aplicados de igual forma en cualquier sistema operativo, excepto los que
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
72/90
60
son comandos del sistema operativo como tal. En el listado especifica estos casos
especiales apuntando a que sistema operativo de la lista est dirigido.
Configuracin.-Se refiere a la sugerencia de comando que se puede aplicar para la
caracterstica de seguridad a la que hace referencia, este es un campo adicional en el
checklist que puede sugerir algn comando a aplicar as como una referencia de
donde revisar y poder ajustar el parmetro de seguridad.
3.2.4. Niveles de seguridad y su aplicacin en el mercado
Anteriormente ya fueron definidos los niveles de seguridad y las mtricas de
los mismos. Ahora falta saber cmo se pueden aplicar o como decidir qu nivel de
seguridad aplicar en la organizacin. A continuacin se describe cada nivel de
seguridad y que garantas o que ventajas se obtiene estando en cada uno de estos.
- Nivel Bajo
El nivel bajo es considerado como el ms esencial, es decir la mayora de
estas configuraciones vienen por defecto en una instalacin de base de datos, claro
que es importante revisar que estas caractersticas tengan el valor correcto. Las
caractersticas de seguridad en este nivel son:
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
73/90
61
Tab. 4 Tabla caractersticas del n ivel bajo
Descripcin Nivel deseguridad
O/S Observacin/Configuracin
PLANEACIN Y EVALUACINDE RIESGOS
Configurar Backupsperidicos de la base dedatos
1 Todos
Sistema operativo y aspectosde seguridad
Bloquear la cuenta pordefecto del software deOracle
1 Todos SQL> alter user oracle accountblock;
Revisar permisos de los Datafiles
1 Linux,Unix
$ ls l
Asegurarse que ningnusuario tenga privilegios deALTER SESSION y ALTERSYSTEM
1 Todos SQL> select * from dba_sys_privswhere privilege =`ALTER SESSION';
SQL> revoke alter session to ;
CONTROLES DE ACCESO
Revisar que el parmetroos_authent_prefix este enNULL
1 Todos SQL> alter system setos_authent_prefix='' scope=spfile
sid='*';
Revisar el parmetroO7_dictionary_accessibilityeste desactivado
1 Todos SQL> show parameterO7_dictionary_accessibility;
Revisar que el parmetroremote_listenereste enNULL
1 Todos SQL> alter system setremote_listener='';
Revisar que no existausuarios o roles con todos losprivilegios asignados
1 Todos
Revisar usuarios con elprivilegio BECOME_USER
1 Todos
Revocar el privilegiopublicexecuteen el archivo utl_file
1 Todos SQL> revoke execute on utl_filefrom public;
CONTINA....
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
74/90
62
Revocar el privilegiopublicexecuteen el archivo utl_tcp
1 Todos SQL> revoke execute on utl_tcpfrom public;
Revocar el privilegiopublicexecuteen el archivo utl_http
1 Todos SQL> revoke execute on utl_httpfrom public;
DISPONIBILIDAD BACKUP YRECOVERY
Revisar los backupsregularmente
1 Todos
La seguridad que ofrece este nivel es la primera capa que regula lo que son
permisos sobre las carpetas de la base de datos y los roles principales, as como
proteccin bsica en la red local.
Este nivel lo tienen la mayora de organizaciones que usan Oracle en la
versin 11g, aunque el nivel de proteccin no es el adecuado si hablamos de
entidades financieras o que posean informacin personal de terceras personas.
- Nivel Medio
Los administradores de base de datos que se empiezan a preocupar por la
seguridad, estn empezando o completando este nivel de seguridad. Ya que en este
nivel si se requiere ms anlisis y personalizacin de parmetros de acuerdo al core
del negocio y al giro del negocio. Las configuraciones definidas en este nivel son:
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
75/90
63
Tab. 5 Tabla de caractersticas del nivel medio
DescripcinNivel de
seguridadO/S Observacin/Configuracin
PLANEACIN YEVALUACIN DE RIESGOS
Revisar las versiones ygestionar los parches deOracle
2 Todos SQL> select * from v$version;
Revisar Polticas yprocedimientos de la Basede datos
2 Todos
Sistema operativo yaspectos de seguridad
Revisar los permisos delpropietario de la carpeta$ORACLE_HOME/bin
2Linux,Unix
$ ls l
Revisar permisos delarchivo de trace
2Linux,Unix
$ ls l
Guardar los logs en unservidor distinto
2 Todos
AUTENTICACIN
CONTROLES DE ACCESO
Asegurar la vista ALL_USERS 2 TodosSQL> select * from
all_tab_privs_made;
Crear un rol para gestionarlas cuentas de usuario
2 Todos
Revisar que el parmetrolog_archive_start esteactivado
2 Todos SQL> alter system archive log start;
Revisar usuarios que tengan
el privilegio de dba2 Todos SQL> select * from DBA_ROLES;
Revisar los accesos directosotorgados a objetos otablas
2 Todos
Setear el tiempo de vida delas contraseas a 60 das
2 Todos
SQL> create profile all_users limitPASSWORD_LIFE_TIME 60;
CONTINA....
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
76/90
64
Setear el intento de login a5
2 Todos
SQL> alter profile all_users setfailed_login_attempts = 5;
Auditar los triggers de losusuarios
2 Todos
RED
No usar los puertos dellistener por defecto 15211526
2 Todos Modificar el listener.ora
No usar nombres deservicio conocidos Ej; ORCL
2 Todos
DISPONIBILIDAD BACKUP YRECOVERY
Asegurarse que la base esteen modoARCHIVE LOG
2 Todos SQL>alter database ARCHIVELOG;
Las empresas que deberan aplicar este nivel de seguridad son todas aquellas
que piensen que su informacin es valiosa como por ejemplo: Hospitales,
constructoras, medios, etc.
Pese a que es ya una segunda capa ms compleja de seguridad aun no es
suficiente para entidades reguladas a las cuales se les exige un alto grado de
seguridad. En el Ecuador la superintendencia de bancos exige a las entidades
bancarias tener un alto grado de seguridad en su informacin.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
77/90
65
- Nivel Alto
De acuerdo al anlisis que se ha realizado en este proyecto, quien logre
ponerse en este nivel de seguridad cuenta con tres capas de seguridad bastante
confiables y que resguardan la informacin que contiene la base de datos.
Este nivel si requiere un poco ms de recursos para implementarlo y
monitorearlo, ya sean recursos de horas hombre como de inversin en complementos
de seguridad y auditoria. Las caractersticas de seguridad en este nivel son:
Tab. 6 Tabla de caracteris ticas del nivel alto
PLANEACIN Y EVALUACINDE RIESGOS
Guardar el archivo SPFILE yCONTROLFILE en un lugarseguro y respaldar una copiade los mismos
3 TodosRMAN> CONFIGURECONTROLFILE AUTOBACKUP ON;
Sistema operativo y aspectosde seguridad
Auditar scripts que contenganusuarios y contraseas
3 Todos
Auditar los archivos deconfiguracin de los clientesque contengan usuarios ycontraseas
3 Todos
AUTENTICACIN
Auditar actividades deusuarios
3 Todos
Auditar logins de la base dedatos de aplicacin.
3 TodosSQL> ALTER SYSTEM SETaudit_trail = "DB SCOPE=SPFILE;
Auditar las contraseas de losusuarios de la base de datos
3 Todos
CONTINA....
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
78/90
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
79/90
67
Los criterios a considerar junto con la inversin que tomara implementar este
nivel van ligados al grado de confidencialidad y privacidad de la informacin de la
base de datos. Este nivel es el adecuado para entidades financieras, del gobierno, y
que manejen informacin personal de individuos, la cual es protegida por las leyes y
las autoridades de control, y cabe destacar que garantiza su funcionalidad solamente
si ya fueron aplicados los dos anteriores niveles.
3.2.5. Evaluacin de resultados del checklist y discusin
Tab. 7 Check l ist seguridades en Oracle
DescripcinNivel de
seguridadO/S Observacin/Configuracin
PLANEACIN Y EVALUACIN DE
RIESGOS
Revisar las versiones y gestionar losparches de Oracle
2 Todos SQL> select * from v$version;
Configurar Backups peridicos de labase de datos
1 Todos
Guardar el archivo SPFILE yCONTROLFILE en un lugar seguro yrespaldar una copia de los mismos
3 TodosRMAN> CONFIGURECONTROLFILE AUTOBACKUPON;
Revisar Polticas y procedimientosde la Base de datos
2 Todos
Sistema operativo y aspectos deseguridad
Revisar los permisos del propietariode la carpeta $ORACLE_HOME/bin
2Linux,Unix
$ ls l
CONTINA....
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
80/90
68
Bloquear la cuenta por defecto delsoftware de Oracle
1 TodosSQL> alter user oracle accountblock;
Revisar permisos del archivo detrace
2 Linux,Unix
$ ls l
Revisar permisos de los Data files1
Linux,Unix
$ ls l
Auditar scripts que contenganusuarios y contraseas
3 Todos
Auditar los archivos deconfiguracin de los clientes quecontengan usuarios y contraseas
3 Todos
Guardar los logs en un servidordistinto 2 Todos
Asegurarse que ningn usuariotenga privilegios de ALTER SESSIONy ALTER SYSTEM
1 Todos
SQL> select * fromdba_sys_privs where privilege=`ALTER SESSION';
SQL> revoke alter session to;
AUTENTICACIN
Auditar actividades de usuarios 3 Todos
Auditar logins de la base de datosde aplicacin.
3 TodosSQL> ALTER SYSTEM SETaudit_trail = "DBSCOPE=SPFILE;
Auditar las contraseas de losusuarios de la base de datos
3 Todos
CONTROLES DE ACCESO
Asegurar la vista ALL_USERS 2 TodosSQL> select * fromall_tab_privs_made;
Asegurar acceso al catlogo deroles
3 TodosPermisos en la vistarole_role_privs
Asegurar acceso a las vistas del roldba
3 Todos
Crear un rol para gestionar lascuentas de usuario
2Todos
CONTINA....
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
81/90
69
Revisar que el parmetrolog_archive_start este activado
2 TodosSQL> alter system archive logstart;
Revisar que el parmetroos_authent_prefix este en NULL
1 TodosSQL> alter system setos_authent_prefix=''scope=spfile sid='*';
Revisar el parmetroO7_dictionary_accessibility estedesactivado
1 TodosSQL> show parameterO7_dictionary_accessibility;
Revisar el parmetroremote_os_authentestedesactivado
3 TodosSQL> show parameterremote_os_authent;
Revisar que el parmetroremote_listener este en NULL
1 TodosSQL> alter system setremote_listener='';
Revisar usuarios que tengan elprivilegio de dba
2 TodosSQL> select * fromDBA_ROLES;
Revisar que no exista usuarios oroles con todos los privilegiosasignados
1 Todos
Revisar los accesos directosotorgados a objetos o tablas
2 Todos
Revisar usuarios con el privilegioBECOME_USER
1 Todos
Revocar el privilegiopublic executeen el archivo utl_file
1 TodosSQL> revoke execute onutl_file from public;
Revocar el privilegiopublic executeen el archivo utl_tcp
1 TodosSQL> revoke execute onutl_tcp from public;
Revocar el privilegiopublic executeen el archivo utl_http
1 TodosSQL> revoke execute onutl_http from public;
Revocar todos los permisos nonecesarios del rol PUBLIC
3 TodosSQL> revoke create view fromPUBLIC;
CONTINA....
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
82/90
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
83/90
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
84/90
72
Realizamos un escaneo de puertos
Puertos TCP
Sin la configuracin adecuada se puede acceder a la consola de sqlplus con un
simple comando y acceder a la base de datos.
i nguma> por t scan
Por t scan resul t s
- - - - - - - - - - - - - - - -
Por t 80/ www i s opened at uberser ver . com
Por t 7777 i s opened at uber ser ver . com
Por t 8080/ webcache i s opened at uberserver . com
Por t 21/ f t p i s opened at uber ser ver . com
Por t 9090 i s opened at uber ser ver . com
i nguma> t cpscan
Scanni ng por t 17004 ( 418/ 418)
Open Por t s
- - - - - - - - - -
Por t 1521 i s open
Por t 135/ l oc- sr v i s open
Por t 3306/ mysql i s open
Por t 139/ net bi os- ssn i s open
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
85/90
73
Para poder asegurar esta entrada se debe aplicar la caracterstica de nivel medio donde se
quita el prefijo del sistema operativo en la autenticacin de Oracle.
[oracle@srvoracle ~]$ sqlplus / as sysdba
SQL*Plus: Release 11.2.0.3.0 Production on Sat Nov 30 09:22:18 2013
Copyright (c) 1982, 2011, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing
options
SQL>
[oracle@srvoracle ~]$ sqlplus / as sysdba
SQL*Plus: Release 11.2.0.3.0 Production on Sat Nov 30 09:22:18 2013
Copyright (c) 1982, 2011, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing
options
SQL>alter system set os_authent_prefix='' scope=spfile sid='';
System altered.
SQL>
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
86/90
74
Al intentar nuevamente conectarse luego de aplicar esta configuracin resulta
lo siguiente:
[oracle@srvoracle ~]$ sqlplus / as sysdba
ERROR:
ORA-01031: insufficient privileges
SQL>
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
87/90
75
CAPTULO IV
4.1 Conclusiones y Recomendaciones
4.1.1 Conclusiones
- Debido a varias estafas y fraudes hoy en da existen normas y estndares
que se exigen a ciertas organizaciones, Oracle dentro de su manejador de
base de datos cumple con varias de estas regulaciones para facilitar a las
empresas que usan esta base de datos el cumplimiento regulatorio.
- El anlisis de la informacin obtenida acerca de las normas o estndares
de base de datos nos muestra que no existe una gua especializada en
seguridad de base de datos Oracle con parmetros especficos.
- Los niveles de seguridad obtenidos en este proyecto sirven como
referencia para administradores de base de datos Oracle que quieran
implementar o mejorar sus seguridades.
- En el mundo globalizado la complejidad de la tecnologa va aumentando
por lo que si se quiere proteger la informacin, se debe tener personal
capacitado lo cual debe ser tomado en cuenta en el presupuesto del rea
de tecnologa.
-
8/10/2019 Cuadro CheCHECK LIST ORACLEcklist
88/90
76
- Los complementos de seguridad para la base de datos Oracle pueden ser
un problema por su costo, pero dependiendo de la planificacin en el
presupuesto, la importancia que se le de a resguardar la informacin y al
costo beneficio que se obtenga al darle valor a la informacin puede
justificarse la inversin en seguridad.
4.1.2 Recomendaciones
- Se recomienda a las empresas incluir en su planificacin el mejoramiento,