Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Guadalajara, Jalisco, 19 de marzo de 2020 pág. 1 CENTRO UNIVERSITARIO DE CIENCIAS EXACTAS E INGENIERÍAS CARRERA: INGENIERÍA EN COMPUTACIÓN MATERIA: SEGURIDAD SECCIÓN: D05 RESUMEN DE LA UNIDAD 3. SEGURIDAD EN CPD, BASES DE DATOS Y COMUNICACIONES DE DATOS JOSE LUIS SERNA SERNA CÓDIGO: 218292327 Guadalajara, Jalisco, 19 de marzo de 2020 pág. 2 Índice INTRODUCCIÓN. .................................................................................................................. 3 ANTECEDENTES. ................................................................................................................ 4 SEGURIDAD EN CENTRO DE PROCESAMIENTO DE DATOS. .................................................. 5 ASPECTOS Y SERVICIOS QUE DEBE DE GARANTIZAR UN CPD. ........................................ 6 RIESGOS POTENCIALES Y ENFOQUE A LA SEGURIDAD COMPUTACIONAL. ........................ 7 CAPAS DE IMPLEMENTACIÓN DE SEGURIDAD. ............................................................... 11 SEGURIDAD EN BASES DE DATOS. .................................................................................... 14 VULNERABILIDADES Y AMENAZAS EN BASES DE DATOS. ............................................... 14 CARACTERÍSTICAS DE SEGURIDAD EN UNA BD. ............................................................ 19 SEGURIDAD EN COMUNICACIONES DE DATOS. .................................................................. 20 ATAQUES EN LAS COMUNICACIONES DE DATOS. ........................................................... 21 DELITOS QUE SE COMETEN CON ESTOS ATAQUES. ........................................................ 22 HERRAMIENTAS DE SEGURIDAD. ................................................................................... 22 CONCLUSIÓN. ................................................................................................................... 23 REFERENCIAS BIBLIOGRÁFICAS. ...................................................................................... 24 Guadalajara, Jalisco, 19 de marzo de 2020 pág. 3 INTRODUCCIÓN. La seguridad informática o seguridad de datos es uno de los tópicos más importantes en la actualidad, y que debido a que las TIC están presente de manera casi indispensable en nuestras vidas, a todos nos concierne y nos afecta. Con la llegada del Internet of Things(internet de las cosas) cada día son más los dispositivos tecnológicos a los que se les tiene que incluir en los temas de seguridad informática, cada vez están más presentes en nuestras vidas, ya sea en nuestra vida cotidiana y también a nivel empresarial, esto a su vez hace que existan vulnerabilidades y nuevas oportunidades para ataques, lo que representa nuevos retos para los expertos en seguridad informática. Uno de los aspectos y objetivos más importantes dentro de la seguridad de datos es la protección de los datos contra accesos no autorizados y la corrupción o destrucción de estos, para ello es necesario garantizar la protección de todos los medios por los cuales es posible acceder a dichos datos, ya sean de tipo físico o lógico. Los datos pueden estar contenidos en ordenadores, centros de datos, bases de datos y en la nube, o bien pueden estar viajando a través de la red, quiere decir que todos estos medios necesitan algún tipo de protección especial en cada caso, ya que no para todos aplica la misma protección y se debe identificar cual es la vulnerabilidad de cada medio y actuar en consecuencia. Existen varias medidas que se utilizan dentro de la seguridad de datos, tales como la encriptación, la gestión de claves, los controles de acceso, solo por mencionar algunas, todas estas se realizan en función de un solo objetivo, que es resguardar el activo más valioso dentro de la informática, que son los datos. Tanta es la importancia que tienen los datos hoy en día para las grandes empresas, que existen organizaciones de orden mundial que invierten grandes cantidades de dinero en el desarrollo de tecnologías relacionadas con la ciberseguridad, con lo cual buscan proteger su información crítica; como lo es la información de su marca, datos de sus clientes y su capital intelectual, entre otras cosas. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 4 Hay principalmente tres aspectos que todas las organizaciones tienen que tomar en cuenta a la hora de aplicar sus medidas de seguridad informática; que son la tecnología, el personal y los procesos. Un Data Center o Centro de Procesamiento de Datos(CPD) es el ambiente tecnológico donde se llevan a cabo todas las operaciones informáticas de una empresa y por lo tanto es uno de los puntos clave para la protección de los datos, así como también lo son las bases de datos y las comunicaciones de datos por medio de la red, es necesario que estos medios se encuentren resguardados por varias medidas de protección, las cuales mencionare enseguida. ANTECEDENTES. El primer “centro de procesamiento de datos” surgió en 1946 con la construcción del proyecto ENIAC(Electronic Numerical Integrator And Computer), fue desarrollado por los estadounidenses John William Mauchly y John Presper Eckert, se creó con el propósito principal de resolver los problemas de balística del ejército de Estados Unidos, los procesos del ENIAC se realizaban de una manera completamente digital, en otras palabras, sus procesos y operaciones se ejecutaban mediante instrucciones máquina. Como todo centro de procesamientos de datos, el ENIAC necesitaba un cuarto especializado, un espacio de cómputo que cumpliera con ciertas condiciones para que su funcionamiento se pudiera dar de manera óptima, por ejemplo, tenía que cumplir con condiciones de seguridad, alimentación de energía, condiciones de climatización y otros más requisitos especiales. Con el tiempo y la experiencia se fueron optimizando los centros de procesamiento de datos a medida de las exigencias que fueron presentando las grandes empresas, se descubrió más adelante que el uso de bastidores o racks estándar eran muy útiles para la Guadalajara, Jalisco, 19 de marzo de 2020 pág. 5 optimización de espacio, esto permitía que los equipos se pudieran enfriar de mejor manera y más rápido, en otras palabras, esto creo las pautas para diseñar la forma en que se acomodan los equipos para permitir que rindan a su capacidad máxima. Mientras duraba el auge de las microcomputadoras y a raíz de la aparición de Linux, varios de estos computadores fueron utilizados como servidores web, gracias a su sistema operativo de tiempo compartido. En los 90’s fue cuando empezaron a surgir de manera formal de los centros de procesamiento de datos como los que existen ahora. Por el año 2000 aumento la necesidad y el uso de estos espacios para centro de datos, las grandes empresas requerían una conectividad veloz a internet, sin embargo, solo las empresas con más grande poder económico son las que lograron tener estos espacios a su disposición, en un principio se les llamaba Internet Data Centers, los cuales eran gigantescas instalaciones que iban incluyendo economías a escala, todo esto dio paso a los centros de procesamiento de datos actuales. SEGURIDAD EN CENTRO DE PROCESAMIENTO DE DATOS. Un Centro de Procesamiento de Datos(CPD) se define como un espacio destinado para albergar los equipos informáticos que se necesitan para almacenar y procesar los datos de la empresa dueña. El tamaño de un CPD puede ser desde una pequeña sala hasta algún conjunto de edificios, los más comunes suelen ser del tamaño de una gran sala o bien hasta un edificio completo. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 6 Dentro de un Centro de Procesamiento de Datos existe una gran cantidad de componentes electrónicos, con lo cual es posible realizar el procesamiento y almacenamiento de los datos.Debido a estas características es que un CPD requiere de una seguridad especial que garantice su integridad. El principal objetivo por el cual se construye un CPD es garantizar que el servicio pueda tener continuidad y además garantizar la integridad de la información crítica y gestionarla de manera eficiente. ASPECTOS Y SERVICIOS QUE DEBE DE GARANTIZAR UN CPD. Auditoria técnica. Una auditoria técnica consiste en realizar un estudio de una manera profunda y exhaustiva y llevando registro de todos los pormenores de todos los elementos del CPD, el estado en que se encuentran y de los errores que se hayan detectado en estos. Para ello es necesario estar realizando informes que puedan hacernos sentir más tranquilidad de que nuestro centro de datos se encuentra seguro y en un buen estado. Como hemos dicho antes, esto nos permitirá garantizar la continuidad y calidad de los servicios que desde allí se prestan. Limpieza Técnica La limpieza es un aspecto que a lo mejor no parece ser algo para preocuparse, y que a lo mejor se puede tomar a la ligera, sin embargo, si se llega a omitir o descuidar este aspecto, puede traer consecuencias lamentables a nuestro centro de datos. Es por eso por lo que estar realizando una limpieza técnica periódica es algo indispensable en un Centro de Procesamiento de Datos. Actualmente la normativa vigente hace esta recomendación; que al menos una vez cada año se recomienda realizar una medición de la suciedad y las partículas acumuladas. Una vez realizada esta medición, de acuerdo con los datos recopilados se debe valorar y juzgar si es que se necesita realizar una limpieza técnica o aun no es necesario. Debido al tipo de componentes que existen en un CPD y que existe un alto riesgo, este tipo de limpieza se debe llevar a cabo solamente por personal especializado y autorizado, en caso contrario, si no se llegara a realizar de esta forma recomendada, se puede correr el riesgo de contaminar el espacio del CPD o de dañar algún componente. Las partículas de suciedad acumuladas dentro del espacio destinado para el CPD, tales como polvo, pelusa, etc., puede llegar a provocar que los equipos y componentes se Guadalajara, Jalisco, 19 de marzo de 2020 pág. 7 sobrecalienten y por ende a que no tengan un buen funcionamiento, un ejemplo muy sencillo es que los filtros se vean obstruidos, dificultando así el flujo de aire. Mantenimiento El mantenimiento es uno de los aspectos más evidentes que se tienen que realizar, cualquier componente, objeto, dispositivo, etc. Que tenga un uso, debe dársele un mantenimiento respectivo, también es el caso de todas las instalaciones frágiles de una empresa, y con mucha más razón, el Centro de Procesamiento de Datos. Si se puede garantizar un óptimo funcionamiento de la infraestructura, una revisión y cuidado constante del equipo y componentes, así como su optimización, esto nos puede ayudar a prevenir o en otros casos a evitar posibles anomalías o siniestros. Siempre la prevención es una de las mejores técnicas que se pueden usar para garantizar la seguridad y protección de nuestro CPD, con más razón cuando dentro de este se tiene información crítica. Instalaciones Antivibraciones No es desconocido que todos los componentes electrónicos suelen sufrir daños y empeorar su rendimiento con las vibraciones. Existen muchos tipos de vibraciones, las más comunes y conocidas son las provocadas terremotos o sismos, pero también las de alguna maquinaria pesada trabajando en una obra cercana al lugar, las del paso del tren, las provocadas por automóviles, por equipos de refrigeración, entre otras, todo este tipo de vibraciones pueden traer perjuicios para los componentes y el sistema en general de un CPD. Con el fin de prevenir o evitar estos problemas es recomendable contar con alguna de las varias alternativas de soluciones antivibraciones que existen en el mercado. RIESGOS POTENCIALES Y ENFOQUE A LA SEGURIDAD COMPUTACIONAL. Daños por agua. Uno de los daños producidos por el agua más comunes son las inundaciones, estas pueden ser causadas por desastres naturales, por la ruptura de alguna tubería del edificio, por el sistema de aire acondicionado, alguna extinción de un incendio o bien por algún descuido humano. Esta de mas decir que los daños en los componentes provocados por el agua son irreparables. Incendios. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 8 Aun cuando el incendio sea de baja magnitud, puede causar grandes daños en un CPD, los gases corrosivos, el humo desprendido y la combustión misma pueden causar daños en el disco duro, destruir la sensibilidad del equipo y dañar el circuito electrónico, incluso a la hora de querer controlar un incendio se debe tener precaución, ya que no usar un extintor adecuado puede resultarle el mismo o peor daño a lo que queríamos salvar, por ejemplo si quisiéramos controlar un incendio usando agua dentro del CPD, ahora no hablamos de un incendio no controlado, eso sería pérdida total. Energía. Una falla en el suministro de energía eléctrica puede traer grandes consecuencias, más si es una empresa que genera mucho dinero con el uso de su CPD, esto podría significar perdidas millonarias en poco tiempo, por lo cual, lo mas recomendable es que las empresas tengan contratadas al mismo tiempo a al menos dos compañías de suministro de energía eléctrica distintas, y así reducir la probabilidad de que el suministro de energía se vea comprometido, adicionalmente se recomienda que la empresa cuente con su propia planta generadora de energía eléctrica para casos de emergencia. Aire acondicionado. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 9 Los equipos electrónicos tienden a dañarse cuando se exponen a temperaturas altas y nos están en condiciones de clima adecuadas. Lo ideal es que los equipos operen en una temperatura que este entre los 10 y 21 grados centígrados, por lo que lo recomendable es instalar un sistema de aire acondicionado que garantice que los equipos estén en una temperatura optima. Errores y omisiones. Esto tiene que ver con fallas en la planeación o la organización en el CPD, esto puede ser que se instale de manera incorrecta los soportes de almacenamiento de datos, que se filtre información confidencial de forma accidental, que se liberen ficheros caducados, en fin, engloba errores humanos que pueden comprometer el CPD. Copias de seguridad. Una copia de seguridad es una copia de la información original que se lleva a cabo con el propósito de contar con un medio que permita recuperar esa información en caso de que se llegue a perder por distintas razones. La información que generalmente se busca respaldar son archivos, máquinas virtuales, datos personales, bases de datos, etc. Las copias de seguridad o respaldo son de gran utilidad para hacer frente a diversos casos y usos, como por ejemplo: ante la necesidad de recuperar los sistemas informáticos y la información a causa de un desastre de tipo informático, ya sea por causas naturales o por algún ataque intencional; hacer una restauración de cierta cantidad de archivos que de alguna manera pudieran haberse borrado accidentalmente, que se hayan corrompido o bien que se hayan infectado por algún Malware entre otras causas; resguardar información valiosa por medio de alguna alternativa tales como las cintas magnéticas o los discos duros y que además permita el traslado a ubicaciones distintas a donde se Guadalajara, Jalisco, 19 de marzo de 2020 pág. 10 encuentran la información original, todo esto para que en caso de necesitarse se pueda recuperar y restaurar esa información y permitir que el Centro de Procesamiento de Datos vuelva a funcionar con normalidad. Protección de activos informáticos. Un punto que sin duda es primordial tener siempre en cuenta referente a la seguridad dentro deuna instalación de un Centro de Procesamiento de Datos, es el acceso físico no autorizado, ya que, si alguna persona no autorizada llegara a tener acceso a la instalación, esta misma puede llegar a encontrarse comprometida y gravemente vulnerada para algún tipo de ataque. Todo centro de datos tiene que tomar en cuenta ciertas medidas que ayuden a prevenir estos sucesos, como por ejemplo el control de acceso, para esto se puede llevar un registro de las entradas y salidas al centro, se pueden usar sistemas biométricos, sistemas de videovigilancia, vigilancia por parte de personal de seguridad, entre otras medidas. También es importante que los controles de acceso estén centralizados en el Centro de Señalización y Control. Protección del software. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 11 Para proteger el software contra ataques maliciosos, se pueden tomar las siguientes medidas, esto en caso de no querer utilizar software o hardware adicional. • Realizar copias de seguridad que permita recuperar información en caso de que se llegue a perder por distintas razones. • Utilizar sistemas de antivirus especializados y mantenerlos actualizados • Proteger los discos de los programas contra escritura • Modificar los archivos ejecutables para que sean de “solo lectura”, cabe mencionar que esto no te los protege de algunos virus que se ejecutan usando las funciones de las BIOS • Capacitación del personal ante la forma de operación de los atacantes • Utilizar programas de monitorización de enlaces y comportamiento de la red CAPAS DE IMPLEMENTACIÓN DE SEGURIDAD. Para que la seguridad de un Centro de Procesamiento de Datos se considere buena, debe implementarse por medio de una estructura en capas, desde la externa que tiene que ver con la seguridad física perimetral hasta la seguridad lógica interna. Las capas son las siguientes: o Seguridad física perimetral o Seguridad de las instalaciones o Seguridad del SITE o Seguridad a nivel de Racks o Seguridad lógica Seguridad física perimetral. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 12 Esta es la primera capa de seguridad de un CPD, se basa en la regla de las tres D’s, que significan Detectar, Demorar y Detener. Hay múltiples ejemplos de barreras físicas perimetrales que se pueden usar para protección del CPD, desde las más básicas como cercas altas electrificadas hasta otras de un nivel superior de seguridad como fosas con cocodrilos en el perímetro del CPD. Entre mas grande sea el riesgo de pérdidas económicas de las empresas mayor será la complejidad de la seguridad física perimetral, como ejemplo de estas empresas se encuentran las empresas que prestan su CPD a terceros y también las instituciones bancarias. Seguridad de las instalaciones. Esta capa de protección centra su objetivo en restringir el acceso al CPD en caso de que alguien haya podido burlar la seguridad perimetral. Los elementos principales que debe tener esta capa de seguridad deben ser los controles de acceso, los sistemas de videovigilancia, sistemas de identificación y verificación, y vigilancia en los interiores, se trata de evitar que alguien no autorizado este dentro de las instalaciones. Seguridad del SITE. Esta capa de seguridad física centra su objetivo en restringir el acceso al CPD por medio del uso de métodos de autentificación, verificación, estar monitorizando los accesos autorizados. El acceso a los servidores de un CPD tiene que estar restringido solo a determinado grupo de personas, es necesario que estas se identifiquen y se autentifiquen. La autentificación es utilizada para verificar que algo o alguien que pretende identificarse en realidad coincide con dicha identidad de quien dice ser, es decir, si alguien pretende ingresar a un sistema, con la intención de realizar cambios en este, o bien con la finalidad de acceder a información del sistema, tiene que probar primero que su identidad cuenta con los permisos necesarios para realizar dichas acciones, de lo contrario se le negará el acceso al sistema Las medidas principales de autentificación pueden ser verificadas a través de algo que es sabido, por lo general un código único que tienen que memorizar (contraseña, numero personal de identificación, etc.), algo con lo que se cuenta (una tarjeta, pasaporte, CURP, Guadalajara, Jalisco, 19 de marzo de 2020 pág. 13 etc.), o verificar que si es la persona (la huella digital, la voz, la retina, la imagen del rostro, geometría de la mano, etc.). Seguridad a nivel de Racks. Esta capa centra su objetivo en minimizar las amenazas internas, una gran mayoría de CPD se centran en atender primordialmente las anteriores capas de seguridad, sin embargo, no contar con un eficiente control de seguridad en los Racks puede causar perdidas de información causadas por gente no esperada. Las principales recomendaciones son: • Usar sistemas de bloqueo electrónico de los Racks • Utilizar sistemas biométricos para acceder a los Racks • Utilizar sistemas de videovigilancia IP que permitan capturar videos o imágenes donde quede registro de la actividad de las personas dentro de los Racks Seguridad lógica. La seguridad lógica consiste en el conjunto de medidas y mecanismos destinados a la protección de datos, procesos y aplicaciones informáticas. Esta capa trata de evitar robo de equipo informático, de datos, de información, evitar que alguien intercepte la transmisión de datos, el sabotaje, protección contra virus informáticos, así como a garantizar que el acceso a la información se permita únicamente a las personas autorizadas. En otras palabras, se puede decir que esta capa centra su objetivo en la protección de la información contra robo, destrucción, copia y distribución haciendo uso de mecanismos como la encriptación, firma digital, y limitaciones de acceso a los usuarios. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 14 Las principales medidas de protección lógica son: • Control de accesos • Firma digital • Cifrado • Certificados digitales • Autenticación de usuarios • Sistemas biométricos SEGURIDAD EN BASES DE DATOS. Un sistema gestor de base de datos es un conjunto de programas relacionados entre si que permiten el almacenar, modificar y consultar información dentro de una base de datos. Por lo mismo que las bases de datos contienen mucha información relevante y que de cierta manera su manejo es relativamente sencillo por medio de los sistemas gestores de bases de datos, existen muchas maneras en que esta información pudiera ser interferida para robo o modificación de esta, es por eso por lo que las bases de datos requieren una seguridad especial. VULNERABILIDADES Y AMENAZAS EN BASES DE DATOS. Las principales vulnerabilidades que presentan los sistemas gestores de bases de datos son: o Contraseñas por defecto o contraseñas débiles o Inyecciones SQL o Opciones habilitadas innecesariamente en la base de datos o Privilegios otorgados de manera excesiva a usuarios o Ataques a la configuración o Escalada de privilegios o Desbordamiento de Buffer Guadalajara, Jalisco, 19 de marzo de 2020 pág. 15 o Datos almacenados no protegidos o en tránsito o Ataques de denegación de servicio Contraseñas por defecto o contraseñas débiles. Cuando recién se empieza a usar una base de datos o alguna aplicación, por lo regular están traen consigo un usuario y contraseña por defecto, esto viene así para facilitar las cosas y no causar tanta confusión en el usuario, sin embargo, ese usuario y contraseña por defecto es necesario que se cambie, ya que regularmente esos datos suelen ser de dominio publico y con esto nos volvemos presa fácil de algún atacante. Las contraseñas deben de ser fuertes, de preferencia de nueve caracteres en adelante, y tratar de usar letras, números y caracteres especiales, tambiénes muy recomendable que se estén cambiando periódicamente, esto reducirá la probabilidad de que alguien pueda obtener nuestras credenciales, también se recomienda que de manera frecuente se estén revisando los accesos a las bases de datos, para saber quien ha tenido actividad recientemente y así detectar actividades sospechosas. Inyecciones SQL. Las inyecciones SQL es una de las cuestiones que mas deben preocupar, ya que por medio de estas el atacante puede realizar gran cantidad de acciones peligrosas para el sistema de bases de datos. Las principales acciones que se pueden realizar son: • Ataques de inyección SQL. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 16 El atacante puede mediante esto permitir que un usuario pueda realizar modificaciones a las consultas y tener acceso a algunos registros a los cuales al principio no contaba con dicho acceso, ya sea porque su nivel de privilegios se lo impedía o porque no contaba con una cuenta de usuario. • Elevación de privilegios. Un atacante puede acceder a la identificación de usuarios que tengan privilegios dentro de la base de datos y puede cambiar esas credenciales a su conveniencia, por eso es peligroso que los sistemas de autenticación usen credenciales que estén almacenadas en algún gestor de bases de datos. • Denegación de servicio. Un atacante puede realizar modificaciones de comandos SQL con el fin de ejecutar distintos actos perjudiciales como borrar datos, parar los servicios mediante comandos de arranque y parada de sistemas, adicionalmente pueden realizar inyecciones de comandos que estén generando muchas peticiones al motor de base de datos que provoque que el servicio se ralentice o no responda en el tiempo que debe. • Suplantación de usuarios. Dado que el atacante puede ingresar al sistema, este puede tomar las credenciales de otro usuario y suplantarlo para realizar acciones indebidas o perjudiciales. Al combinar en las sentencias SQL palabras clave con datos, es posible que se puedan alterar las estructuras de control y por ende el significado que tiene esta sentencia, esto sin duda resulta muy peligroso. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 17 Opciones habilitadas innecesariamente en la base de datos. A veces existen opciones que no tienen ningún oficio ni beneficio en el sistema, es mejor que esas opciones se inhabiliten y así se podrá reducir el área de vulnerabilidades que pudieran ser aprovechadas por los atacantes. Privilegios otorgados de manera excesiva a usuarios. Hay que evitar que usuarios tengan excesivos privilegios, ya que, si un atacante puede acceder a sus credenciales, el área de vulnerabilidad será mayor, es por eso por lo que se necesita tener una eficiente gestión de autorizaciones, la más común, la asignación de roles de usuario. La mayoría de las veces otorgar permisos o privilegios por defecto suele ser muy peligroso para el sistema gestor de base de datos, es recomendable estar revisando constantemente la matriz de autorización y tener muy en cuenta con que privilegios cuenta cada usuario del sistema de base de datos. Ataques a la configuración. Siempre se debe conocer en medida de lo posible todas las opciones de configuración respecto a la gestión de los usuarios, el espacio de almacenamiento, los puertos, los módulos, entre otros, y con mayor razón, las opciones que se refieren a la seguridad del sistema. Por lo regular los fabricantes proporcionan guías de configuración de seguridad, o bien se pueden consultar de estándares que sean reconocidos. También existe la opción de consultar herramientas de auditoria que pueden comprobar el estado se seguridad en el que se encuentra la configuración del sistema de gestión de base de datos, por ejemplo, existen empresas fabricantes como SCUBA, RORASCANER, lo importante es que el sistema tenga la configuración más segura posible. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 18 Escalada de privilegios. Esta vulnerabilidad consiste en que un usuario con pocos privilegios pueda ir burlando los permisos y escalando poco a poco hasta convertirse en algo de mas alto nivel como por ejemplo administrador de la base de datos. Para evitar esta vulnerabilidad es necesario que la matriz de autorizaciones del sistema tenga una buena gestión, y así detectar cualquier anomalía en los permisos que tiene cada usuario del sistema, y efectivamente comprobar que cada uno tiene los privilegios que le corresponden. Desbordamiento de Buffer Si no hay una correcta gestión del almacenamiento en memoria de la base de datos se puede provocar que se ejecute código arbitrario causando daños muy grandes. Datos almacenados no protegidos o en tránsito. Con el fin de que se pueda garantizar que los datos almacenados en la base de datos conserven su integridad, confidencialidad y disponibilidad, es necesario implementar mecanismos de seguridad como los son la firma digital y el cifrado. El caso de los datos que se encuentran en transito en la red, en necesario utilizar alguno de los protocolos de criptografía que existen, como por ejemplo el TLS. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 19 Ataques de denegación de servicio. Estos ataques suelen ser de los que mas perjudican a un sistema gestor de base de datos, ya que el principal objetivo de un sistema de gestión de base de datos es generar consultas rápidas, y cuando reciben un ataque como este por completo fallan en este objetivo, ya que provocan lentitud en el servicio o en el peor de los casos que el sistema falle. Este ataque por lo regular se realiza mediante el uso de Botnet’s. Algunas formas de protegerse son la configuración segura de los servidores, firewalls de aplicaciones web, protección de defensa perimetral por medio de IDS-IPS y anti DDOS para diferenciar el tráfico legal y el no legal. CARACTERÍSTICAS DE SEGURIDAD EN UNA BD. Confidencialidad. Se debe garantizar la confidencialidad de los datos dentro del sistema de gestión de base de datos, ya sea los almacenados y también los que están en tránsito. El sistema de gestión de base de datos debe garantizar: • Que los datos, los procedimientos y las funciones se puedan cifrar • Que se puedan cifrar las comunicaciones en la red • Que los datos estén protegidos de usuarios no autorizados • Que los archivos de datos, los registros de auditoria, las configuraciones y transacciones estén protegidos Integridad. Se debe garantizar que los datos no serán modificados por usuarios que no estén autorizados para realizar estas acciones, también se debe garantizar el no repudio de las acciones realizadas por cualquier usuario. El sistema de gestión de base de datos debe garantizar: • Que la integridad referencial que existe entre las relaciones de las entidades de la base de datos no se vea comprometida • Que los datos puedan ser recuperados a un estado confiables al producirse interrupciones en el sistema • Que los cambios realizados a los datos queden registrados y que los accesos de diferentes usuarios a los datos tengan un control confiable Guadalajara, Jalisco, 19 de marzo de 2020 pág. 20 Auditoría. Realizar un monitoreo y registro continuo de las acciones que realizan los usuarios en el sistema gestor de base de datos resulta ser un aspecto muy importante y fundamental, ya que por medio de estas auditorias se puede detectar cualquier irregularidad. Las principales acciones que se pueden auditar son: • Las conexiones realizadas a la base de datos • Las actualizaciones y eliminaciones de datos • Las acciones realizadas con privilegios • Los accesos a datos críticos Replicación de datos-bases de datos distribuidas. El mecanismo de replicación de datos se usa para mantener copias remotas de bases de datos en un lugar distinto al original, en las bases de datos distribuidas se usala replicación de nodos lo cual permite elevar el nivel de disponibilidad de los datos. Se debe tener cuidado en los siguientes aspectos: • Debe haber una configuración de conexión segura en las bases de datos remotas • Corroborar a los usuarios que se conectan en las bases de datos remotas • Realizar auditorias a todas las conexiones • Corroborar los privilegios que se asignan en las bases de datos remotas Respaldo y recuperación. Es importante tener en cuenta: • Realizar la configuración de los planes y los procedimientos de respaldo y recuperación • Estar atentos cuando ocurren incidentes con el fin de preservar la integridad a la hora de la recuperación de los datos • Estar comprobando los procedimientos constantemente • Dar protección a los medios de respaldo SEGURIDAD EN COMUNICACIONES DE DATOS. La comunicación de datos esta fundamentada en dispositivos de entrada y salida del dispositivo en la red, su principal objetivo es la compartición de mensajes virtuales o Guadalajara, Jalisco, 19 de marzo de 2020 pág. 21 información representada electrónicamente entre localidades distantes entre sí, esta información tiene distintos formatos, pueden ser texto, voz, fotografía, video etc. La seguridad en la comunicación de datos son mecanismos destinados a la protección de dispositivos informáticos que se conectan a una red contra ataques intencionales o daños accidentales, entre los cuales se encuentran acceso no autorizado, perdida de datos y daño en el hardware. El proceso de comunicación involucra: o Emisor. El que envía la información o Medio de transmisión. El canal por el cual viajara la información o Receptor. El que recibe la información ATAQUES EN LAS COMUNICACIONES DE DATOS. Los ataques se pueden clasificar algunas de estas categorías: o Interrupción o Interceptación o Modificación o Generación Interrupción. Este ataque se puede detectar de forma inmediata, su principal característica es que deja de funcionar el sistema, algunos ejemplos son el borrado de datos, corte en la línea de comunicación y negación de servicio, entre otros. Interceptación. Este ataque consiste en que personas no autorizadas pretender acceder a la información, muchas veces haciendo uso de privilegios adquiridos de forma ilícita. Algunos ejemplos de estos ataques son espionaje en línea y adquirir copias ilegales de programas. Modificación. Este ataque consiste en que los atacantes buscan realizar modificaciones a la información para su propio beneficio y sacar ventaja de ello. Algunos ejemplos de estos ataques son Guadalajara, Jalisco, 19 de marzo de 2020 pág. 22 la modificación de información de bases de datos y modificación de mensajes que se transmiten por la red. Generación. El principal objetivo de este ataque es la creación de objetos nuevos dentro del sistema, algunos ejemplos de este ataque son el de añadir registros en un base de datos y también introducir mensajes falsificados en la red. DELITOS QUE SE COMETEN CON ESTOS ATAQUES. Fraude. Se basa en obtener beneficios económicos a costa de perjudicar a una persona o a una empresa por medio de la manipulación de la información o datos obligándolos a pagar una cantidad de dinero. Sabotaje. Se basa en entorpecer y perjudicar de manera intencional la marcha normal de una empresa, para ello trata de averiar los equipos, programas, etc. Chantaje. Se basa en que el atacante pone condiciones y exige alguna cantidad de dinero a cambio de no revelar información comprometedora de una empresa, dicha información es sustraída previamente por el atacante y por lo regular esta seguro que esa información puede afectar gravemente a la empresa. Suplantación. Se trata de que el atacante utiliza alguna clave o identificación que no le pertenece, pero logra ingresar al sistema suplantando dicha identidad, lo riesgoso de esto es que el atacante puede realizar acciones perjudiciales en nombre de la identidad que está suplantando. HERRAMIENTAS DE SEGURIDAD. Filtros de paquetes. Consiste en realizar una configuración de los servidores con determinados filtros para que rechacen paquetes de ciertas direcciones específicas, la configuración puede ser; aceptar paquetes de direcciones especificas y rechazar todo lo demás o viceversa. Guadalajara, Jalisco, 19 de marzo de 2020 pág. 23 Firewalls. Se trata de un sistema que tiene ciertas normas de seguridad en la frontera entre dos o más redes, el sistema está diseñado para bloquear el acceso no autorizado. Virtual LAN. Este método tiene la particularidad de permitir crear redes lógicamente independientes aun cuando se encuentren en una misma red física, gracias a esto el usuario puede tener varias Virtual LAN dentro de un mismo ruteador, reduciendo el riesgo de que se pueda interceptar información en la red. Sistema de detección de intrusos(IDS). Es un programa cuya función es detectar accesos no autorizados a una computadora o a una red, a diferencia del IPS no detiene lo ataques, solo los detecta. Sistema de prevención de intrusos(IPS). Es un programa que controla el acceso en una red informática con el fin de dar protección a los sistemas computacionales contra ataques y/o abusos, analiza el ataque en el momento que se esta realizando y toma acciones para detenerlo. CONCLUSIÓN. El objetivo de la seguridad informática en los CPD, bases de datos y comunicaciones de datos es proteger el principal activo de los sistemas informáticos; la información, para lograr este objetivo hace uso de todas las herramientas y mecanismos que están a su alcance, haciendo uso tanto de la tecnología como del razonamiento lógico. Para poder proteger la información, es necesario tomar en cuenta dos tipos de medidas de protección; las medidas físicas y lógicas (las medidas físicas y lógicas aplican con más razón en los Centros de Procesamiento de Datos, en las bases de datos y comunicaciones de datos aplican más las medidas de protección lógica), las medidas de protección físicas serán las que se encarguen de proteger toda la estructura física y el hardware donde se encuentra almacenada la información, las medidas de protección lógica por su parte serán las que se encarguen de proteger el software y aplicaciones, los procesos y los datos. En conclusión, como se pudo observar las medidas de protección varían dependiendo del medio que se esté protegiendo, el Centro de Procesamiento de datos requiere capas de seguridad que van desde lo físico hasta lo lógico, las bases de datos y comunicaciones de datos requieren otros mecanismos lógicos de seguridad, cada Guadalajara, Jalisco, 19 de marzo de 2020 pág. 24 uno atendiendo a sus vulnerabilidades, pero al final todo esto tiene un solo objetivo, el cual es proteger los datos y la información que se almacena y transita por los sistemas informáticos, ya que es el activo que le da todo ese valor a estos y sin el cual no tendrían razón de existir. REFERENCIAS BIBLIOGRÁFICAS. Roa Buendía Jose Fabián. (2013). Seguridad Informática. Aravaca, Madrid: Mcgraw-Hill. Martha Irene Romero Castro, Grace Liliana Figueroa Morán Denisse Soraya Vera Navarrete, José Efraín Álava Cruzatty Galo Roberto Parrales Anzúles, Christian José Álava Mero, Ángel Leonardo Murillo Quimiz, Miriam Adriana Castillo Merino. (2018). INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Y EL ANÁLISIS DE VULNERABILIDADES . ALICANTE: ÁREA DE INNOVACIÓN Y DESARROLLO, S.L.. Desconocido. (2018). ¿Que es un CPD?. 18/03/2020, de UNITEL Sitio web: https://unitel- tc.com/que-es-cpd-centro-proceso-datos-data-center/ https://unitel-tc.com/que-es-cpd-centro-proceso-datos-data-center/ https://unitel-tc.com/que-es-cpd-centro-proceso-datos-data-center/
Compartir