Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 TÉCNICAS DE TRANSPARENCIA Y ENCRIPTACIÓN DE INFORMACIÓN ANDRES JULIAN SAENZ LANDAZABAL UNIVERSIDAD LIBRE FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA DE SISTEMAS BOGOTÁ 2015 2 TÉCNICAS DE TRANSPARENCIA Y ENCRIPTACIÓN DE INFORMACIÓN ANDRES JULIAN SAENZ LANDAZABAL Proyecto De Grado Presentado Como Requisito Para Obtener El Título Profesional De Ingeniero De Sistemas Director Néstor Espitia Ingeniero De Sistemas UNIVERSIDAD LIBRE FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA DE SISTEMAS BOGOTÁ 2015 3 Nota de Aceptación ______________________________ ______________________________ ______________________________ ______________________________ Director Programa de Ingeniería Ing. Juan Fernando Velásquez ______________________________ Ing. Néstor Espitia D Presidente de Jurado ______________________________ JURADO ______________________________ JURADO Bogotá D.C 12 de Junio de 2015 4 AGRADECIMIENTOS Agradezco a mis maestros los cuales me guiaron durante esta etapa de mis estudios contribuyendo con mi desarrollo intelectual, instruyéndome con su conocimiento, Especial agradecimiento a mis maestros por impulsar el deseo de lucha y perseverancia en alcanzar las metas trazadas en la vida, por estar en el momento oportuno, infinitas gracias Agradezco también a todas y cada una de las personas que de alguna u otra manera, contribuyeron a que lograra esta meta que me propuse en la vida, y que me ha permitido crecer intelectualmente como persona y como ser humano. Andrés Sáenz 5 DEDICATORIA Este proyecto lo dedico a mis padres y familiares quienes me han apoyado en el trascurso de mi carrera y durante la realización de este proyecto, apoyándome moral, emocional y sicológicamente, ayudándome en los momentos difíciles. Motivándome a continuar por más adversas que pareciera la situación. También dedico este proyecto a mis hermanos los cuales depositaron su entera confianza en cada reto que se me presentaba sin dudar ni un solo momento en mi inteligencia y capacidad. Andrés Sáenz 6 CONTENIDO PAGINA Listado de figuras 8 Listado de tablas 9 Listado de anexosglosario 10 Abstract 13 Introduccion 14 1. MARCO OPERACIONAL DE DESARROLLO 15 1.1 IDENTIFICACIÓN DEL TRABAJO 15 1.2 PRESENTACIÓN DEL PROBLEMA DE ESTUDIO 15 1.2.1 Descripción Del Problema 15 1.2.2 Formulación Del Problema 16 1.3 DEFINICIÓN DE OBJETIVOS 16 1.3.1 Objetivo General 16 1.3.2 Objetivos Específicos 16 1.4 JUSTIFICACIÓN 16 1.5 MARCO DESCRIPTIVO INVESTIGATIVO 17 1.5.1 Tipo De Investigación 17 1.5.2 Metodología 17 2. FUNDAMENTACIÓN Y CONTEXTUALIZACIÓN TEÓRICA 18 2.1 Contexto De La Seguridad Computacional 18 2.2 Criptografía 21 2.2.1 Parametrizacion Criptografía 25 2.2.2 Cifrado De Datos En Disco 28 2.3 Ataques A La Información 29 2.4 Espacio Geográfico De Acción 30 2.5 Factores Paramétricos De La seguridad 33 2.6 Acciones de control 37 2.7 Formalizar de la seguridad 38 3. DISEÑO Y CONSTRUCCIÓN INGENIERIL 48 3.1 principios básicos de la implementación 48 7 PAGINA 3.2 Factores De Análisis Y Diseño Físico 52 3.3 Métodos de Acceso 55 3.4 Reorganización 59 3.5 Plataforma operacional de seguridad 67 3.6 Patronato de hackeo logico 70 4. Conclusiones 8 LISTADO DE FIGURAS PAGINA Figura 1: Eje instrumental de la seguridad…………………………………………………………………………….19 Figura 2: tipología de agresiones…………………………………………………………………………………………..20 Figura 3: circuito de implementación de criptografía…………………………………………………………… 21 Figura 4: proceso de criptografía…………………………………………………………………………………………..23 Figura 5: proceso bitlocker…………………………………………………………………………………………………….28 Figura 6: acceso a bitlocker …………………………………………………………………………………………………..29 Figura 7: espacio geográfico de acción………………………………………………………………………………….30 Figura 8: herramientas para análisis de vulnerabilidad……………………………………………………….. 31 Figura 9: plataforma integral Oracle de seguridad………………………………………………………………..35 Figura 10: tipología software dañino…………………………………………………………………………………….36 Figura 12: Análisis de las conexiones y puerto……………………................................................... 40 Figura 13: Análisis de estadísticas de Ethernet…………………….................................................. 41 Figura 14: Nombres FQDN y direcciones externas…………………………………………………………………43 Figura 15: Numero de puerto y direcciones activos……………………………………………………………...44 Figura 16 Contenido de tablas de rutas………………………………………………………………………………..44 Figura 17: Esquema de asociación lógica…………………………………………………………………………… 46 Figura 18: Esquema lógico de trabajo……………………………………………………………………………………48 Figura 19 estructura función hashing…………………………………………………………………………………….54 Figura 20: función hashing…………………………………………………………………………………………………….55 Figura 21: Procesos de reorganización…………………………………………………………………………………56 Figura 22: Función del Middleware……………………………………………………………………………………….58 Figura 23: base operacional de seguridad……………………………………………………………………………..59 Figura 24: componentes de seguridad ADF…………………………………………………...........................61 9 LISTADO DE TABLAS Tabla 1: Ejemplificación de interpretación de claves ............................................. 22 10 GLOSARIO AMENAZA: Delito o falta en derecho. ATAQUE: método por el cual un individuo, mediante un sistema informático intenta tomar el control, desestabilizar o dañar otro sistema informático. AUDITORIA: consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema informático. AUTENTICACIÓN: servicio que trata de asegurar que una comunicación sea auténtica, es decir, verificar que el origen de los datos es el correcto. BDA: administra las tecnologías de la información y la comunicación. BIT LOCKER: Está diseñado para proteger los datos al proporcionar cifrado para volúmenes enteros. CIFRADO: procedimiento que utiliza un algoritmo de cifrado con cierta clave. CRACKING: conducta delictivaen donde un individuo denominado cracker altera, modifica, elimina, borra los datos de un programa informático. DBMS: Sistema de administración de bases de datos. Software que controla la organización, almacenamiento, recuperación, seguridad e integridad de los datos en una base de datos. ESCANEO: es un periférico que se utiliza para convertir, mediante el uso de la luz, imágenes impresas o documentos a formato digital. EXPLOIT: fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad. FIREWALL: parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado. HACKER: alguien que descubre las debilidades de un computador o de una red informática, con un conocimiento avanzado de computadoras y de redes informáticas. IESG: El Grupo de Ingeniería de Internet Directivo (IESG) es un órgano compuesto por los Internet Engineering Task Force (IETF) y área directores. 11 IETF: Grupo de Trabajo de Ingeniería de Internet. IP: es una etiqueta numérica que identifica, de manera lógica y jerárquica. PROXY: Cuando un equipo de la red desea acceder a una información o recurso. RFC2828: Es un sistema de Autoridades de certificación que realiza algún. conjunto de que maneja cierto tipo de certificaciones de seguridad computacional. SAM: proporciona funcionalidad de gestión de identidades y accesos, permitiendo a los usuarios para acceder a sus aplicaciones y datos de forma segura. SQL INJECTION: es un método de infiltración de código intruso que se vale de una vulnerabilidad informática. SYSKEY: para proteger la base de datos del Administrador de cuentas de seguridad de Windows. TCP: Protocolo de Control de Transmisión, es uno de los protocolos fundamentales en Internet. VULNERABILIDAD: puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. X.509: es un estándar UIT-T para infraestructuras de claves públicas. X.800: características básicas que deben ser consideradas cuando se quiere conectar una computadora con otras. 12 RESUMEN La plataforma se seguridad requerida para el intercambio transaccional de valores informáticos, regularmente es afecta por los ataques y amenazas generadas por los hackers y piratas de la información, que mediante el análisis de vulnerabilidad construyen y desarrollan los vectores de ataque. Oracle, como infraestructura lógica robusta para la administración de bases de datos, dispones de un conjunto de recursos con los cuales define su OPSS(Oracle platform security system) y de esta manera disponible con integridad para el usuario desarrollador o final, soportes especializados como ORAC, OASM, OEDM, contrarrestando así, los procesos externos que afectan lo confiabilidad e integridad de la información. La normativa existente y expresa en referentes especializados como el rfc2828, x.800 y x.509 permite valorar los mecanismos y servicios con los cuales se define y configura el eje de seguridad requerido para el acceso e intercambio de valores informáticos en el proceso de base de datos Palabras claves: DBA ,DBMS, RFC2828, ORAC, OPPS 13 ABSTRACT The platform security required for the exchange of computerized transaction values, is regularly affected by attacks and threats from hackers and pirates of the information, which by analyzing vulnerability build and develop the attack vectors. Oracle, as a logical robust infrastructure for managing databases, offers on a set of resources with which to define his opponents (Oracle platform security system) and thus available with integrity to the developer or the end user, specialized media as orac , oasm, oedm, countering well, external processes that affect the reliability and integrity of information. And expresses the existing regulations concerning specialized as RFC2828, X.800 and X.509 allows assessment mechanisms and services with which it defines and configures the axis of security required to access and exchange of computer values in the process base data Keywords: DBA, DBMS, RFC2828, ORAC, OPPS 14 INTRODUCCION La penetración de sistemas, el análisis y detección de vulnerabilidad y la recopilación de la información del objetivo, con ayuda de herramientas especializadas, hacen posible que los procesos de reconocimiento, escaneo acceso y borrado de huellas, se puedan ejecutar de manera sencilla pero con efectividad Oracle como DBMS de alta confiabilidad, posee su propio cinturón para filtrado de ataques, gracias a su OPSS, tanto los desarrollos básicos, como los procesos de reorganización y migración a la nube, se realizan con total confiabilidad. El establecimiento de una sólida y robusta plataforma de control para definir los mecanismos y servicios, requiere que el ingeniero pueda operar con objetividad, los con figurantes relacionados con la criptografía, el flujo IP, la estructura de intercambio en la web y con la administración del soporte orientado al intercambio de valores informáticos. Este trabajo, presenta una estructura descriptiva desarrollada en tres capítulos en el primero se nuestra el marco operacional, de desarrollo, según normatividad fijada por el programa de ingeniería de sistemas de la universidad libre, el capítulo dos, describe la fundamentación teórica requerida, para permitir el desarrollo básico y central del objeto presupuestado de estudio en el tercer capítulo. 15 1 MARCO OPERACIONAL DE DESARROLLO Se presentan en este capítulo, los elementos normativos que definen y estructuran el desarrollo del proyecto, según disposición establecida por el programa de ingeniería de sistemas de la universidad libre 1.1 IDENTIFICACIÓN DEL TRABAJO Técnicas de transparencia y encriptación de información 1.2 PRESENTACIÓN DEL PROBLEMA DE ESTUDIO La criptografía como técnica para proteger la información durante el cambio transaccional, permite a los usuarios de un sistema computacional o teleinformática, trabajar con solvencia e integridad el intercambio de valores informáticos 1.2.1 Descripción Del Problema La encriptación es un componente clave del principio defensa en profundidad y es importante para proteger los en tránsito y en reposo. Oracle primero introdujo las API para encriptación de base de datos Oracle8i. Actualmente, las API para encriptación de base de datos son utilizadas por muchos clientes para encriptar los datos de aplicaciones sensibles. Lograr la transparencia y utilizar una API de encriptación requiere la incorporación de llamadas de función dentro de la propia aplicación o el uso de triggers de base de datos previamente insertados. También se pueden necesitar visualizaciones de las aplicaciones para decodificar los datos antes de que lleguen a la aplicación Oracle advanced security transparente data encryption (TDE), primero introducción en Oracle database 10g versión 2, es la solución más avanzada del sector para la encriptación. TDE ofrece administración clave y transparencia completa de encriptación de datos de aplicaciones sensibles. El proceso de encriptación de base de datos es activo mediante el uso de comandos DDL, eliminado por el completo la necesidad de cambios en las aplicaciones 16 1.2.2 Formulación Del Problema ¿La operación y actualización de grandes conjuntos de información puede protegerse integralmente por la aplicación de mecanismos de seguridad cuya base criptográfica elimine el riesgo producto de un ataque o amenaza? 1.3 DEFINICIÓN DE OBJETIVOS 1.3.1 Objetivo General Construir el documento de referencia que describe el proceso de encriptacion como mecanismo de protección de una base de datos 1.3.2 Objetivos Específicos Validar los diferentes métodos de criptografía,con los cuales se implementa estrategia de seguridad para operar con las bases de datos Conocer las normativos y recomendaciones de seguridad proporcionadas por la IAB, IESG Y la IETF Evaluar y dimensionar estructuralmente los procesos, servicios y mecanismos de seguridad definidos en el entorno web, plataforma IP y el escenario propio de correo electrónico, cuando se opera con base de datos 1.4 JUSTIFICACIÓN El ingeniero de sistemas, debe familiarizarse con los mecanismos y servicios de seguridad con el fin con de eliminar el riesgo producido por un ataque sobre grandes conjuntos de información estructurados sobre una base de datos explorando así las características ofrecidas por Oracle en lo pertinente a: Administración incorporada de claves Encriptación transparente de columnas de aplicaciones sensibles Encriptación transparente de espacios de tabla Encriptación transparente de secure files/LOBS Integración con el módulo de seguridad de hardware (HSM) 17 1. MARCO DESCRIPTIVO INVESTIGATIVO 1.4.1 Tipo De Investigación Dadas las características relacionadas con el manejo y tratamiento de la información almacenada en una base de datos y de los cuantificados operacionales que contempla el entorno de la seguridad computacional, el marco de acción investigativa, se encuentra definido dentro de la investigación tecnológica aplicada 1.4.2 Metodología La carta técnica para la especificación funcional y la formulación descriptiva de los elementos de referencia, con los que se determina la implementación de la encriptación transparente dentro de una base de datos operada mediante Oracle 11 g, se presenta seguidamente, considerado para ello las fases identes a todo proyecto de tecnología blanda: Fase 0 : contextualización de información Se procede a reunir la información de base tecnológica determinada para enfrentar los problemas de seguridad al interactuar con base de datos Fase 1 : análisis y clasificación de información Habiéndose reunido el material de sustento económico, se coteja con los aspectos formaliza dos durante el diplomado de ORACLE cursado, para establecer el óptimo escenario de desarrollo Fase 2 : prototificacion de la solución Se estandariza la infraestructura logística requerida para implementar los procedimientos de seguridad juntos lo servicios y mecanismos acorde con las características de encriptación transparente determinados por Oracle Fase 3: construcción del entregable Se elabora los refertes, validando su confiabilidad y documentando sus procedimientos para así entregar el resultado esperado 18 2. FUNDAMENTACIÓN Y CONTEXTUALIZACIÓN TEÓRICA En este capítulo, se describe lo pertinente a los fundamentos de seguridad, a la arquitectura de seguridad OSI y al marco formal de criptografía denotando su aplicación en sus diferentes escenarios que involucra el manejo y tratamiento de gigantes volúmenes de información, con los cuales un DBMS (sistema administrativo base de datos) como Oracle 11g, estructura y parametriza su integridad operacional y funcional. Cada uno de estos objetos de estudio se describe a continuación: 2.1 Contexto De La Seguridad Computacional La seguridad, según lo establece la arquitectura de seguridad OSI, en su norma X.800, se define como la unidad lógica orientada a la conservación de la confiabilidad y integridad de una estructura computacional, ante presencia de una amenaza o ataque [Stallings, 2010]. la seguridad computacional, recurre ala información proporcionada por conjunto siguiente de normas o especificaciones a saber: X.8001 RFC 2828 RFC 1510 RFC 2026 RFC 2045 RFC 2571 RFC 3156 RFC 3174 FIPS-186 FIPS-197 SP-800 X.509 Gráficamente, con la ayuda de la figura 1, se despliega el eje instrumental de la seguridad 1 X.800 es una sugerencia sobre las particularidades que deben ser tomadas en cuenta cuando se quiere poner en contacto una computadora con otras, ya sea conectarse aInternet o a una Red de área local, de forma segura. http://www.itu.int/rec/T-REC-X.800-199103-I/e 19 Figura 1: eje instrumental de la seguridad Fuente: aporte realizador Los servicio de seguridad, contemplan: [Stallings, 2010] Autenticación Control de acceso Confidencialidad No repudio Mientras que los mecanismo de seguridad integran (PFLEZGER, 2007): Cifrado Firma digital Control de acceso Relleno de trafico Control de enrutamiento Notarización 20 En la figura 1, se mostró como la, IETF, cubría en toda su extensión del eje operacional de seguridad, con el fin de evitar cualquier tipo de agresión señalado de la figura 2; la IETF, regula lo pertinente: aplicación, gestión, enrutamiento, transporte e interacción, en escenarios web, IP y de correo electrónico [Tanebaum 2013]. Una agresión, se interpreta como el proceso que modifica o altera convencionalmente la operación e intercambio de información transaccional de un valor informático, siendo la esencia de la seguridad computacional la eliminación de esta agresión. Figura 2: Tipología de agresiones DTE A DTE B DTE A DTB B DTE A DTE B DTE C DTE A DTE B DTE C DTE A DTE B DTE C FLUJO NORMAL INTERRUPCION INTERCEPCION MODIFICACION ESTACION AISLADA FABRICACION DTE: Equipo terminal de control (Data Terminal Equippnent) Fuente: aporte realizador 21 2.2 Criptografía la criptografía, es definida como la técnica protege el dato al modificar su código de representación, por ejemplo la A en código ASCII, tiene el valor hexadecimal de 41, cuando esta se convierte el número 5 es decir se criptografía ahora su valor hexadecimal es 35; en la figura 3, se presenta el circuito lógico, que internamente el computador utiliza para implementar ese proceso [Tanenbaum 2013]. Figura 3: Circuito de implementación de criptografía Fuente: aporte realizador Normalmente se implementa dos técnicas de criptografía, para realizar el cifrado simétrico y cifrado por bloques (STEINSON,2002), siendo sus principales referentes u objeto operacionales los listados a continuación: Cifrado simétrico o DES (data encryption standard) 0 AES (advanced encryption standard) Cifrado por bloques o CBC (cipher block chainine) o CFB (cipher feed back) 22 Para la implementación de la criptografía con grandes volúmenes de información, se utiliza la normativa X.509 del KERBEROS, dado que formalmente se emplea como mecanismo de control los llamados certificados digitales, en los cuales se identifican los siguientes campos o valores lógicos a saber: [Farber, 1996]. Versión Número de secuencia Algoritmo de firma Identificador del emisor Periodo de validez Información clave pública Parámetro de control Clave reguladora Firma digital La criptografía como disciplina de soporte para conservación de la integridad de todo valor informático, se preocupa por hacer que un hacker se le entorne complicado el proceso de desciframiento de claves, por ejemplo en la tabla 1, se presentan los tiempos requeridos de interpretación de claves, tomando como guía, un procesador de 3.2 GHz [Stallings, 2010]. Tabla 1: Ejemplificación de interpretación de claves Longitud De La Clave Numero De Claves Posibles Clave De Cifrado Tiempo Requerido t=1/3.2 ghz =0.3125 Ns 32 bits 232=429496729 6 231=2147483648 231 x 0.3125=671088640 Ns 56 bits 256= 7205759403792 7936 255= 36028797018963968 255 x 0.3125= 11258999068426240Ns 128 bits 2128= 3,40282366920 9384634633746 0743177e+38 2127= 1,70141183460469231 73168730371588e+38 2127 x 0.3125= 5,31691198313966349 16152282411214e+37 Ns 168 bits 2168= 3,74144419156 7111470601433 1717537e+50 2167= 1,87072209578355573 53007165858768e+502167 x 0.3125= 5,84600654932361167 28147393308651e+49 Ns Fuente: Stallings William. Seguridad en redes 23 El entorno de la criptografía computacional se visualiza de manera sencilla con el siguiente programa C++, que admite una cadena con una clave criptográfica definida por el usuario, muestra en pantalla el nuevo valor informático obtenido. (ver figura 4) Figura 4: Proceso De Criptografía Fuente: aporte realizador 24 Codigo Fuente: #include <stdio.h> #include <stdlib.h> #include <conio.h> #include <windows.h> #include <string.h> main() { char texto[80], salida[80]; int k; system("cls"); printf ("\n\n\t digite un texto \n\n"); printf ("\t\t"); gets (texto); system ("cls"); for (k=0; k< strlen("texto"); k++) salida [k]= texto [k]^53; printf ("\n\t texto original=%s\n", texto); printf ("\n\\n\t texto criptografiado =%s\n", salida); getch(); return(0); } Como se observa con el ejemplo anterior, el proceso criptográfico, está asociado con un algoritmo, por ejemplo, en los esquemas compleméntales, para cifrado en bloques, se hace común utilizar un generador de números primos, de fácil implementación como lenguaje C++ cuyo código se muestra a continuación #include <conio.h> #include <stdio.h> #include <stdlib.h> #include <windows.h> #include <time.h> main() { int x; System("cls"); 25 printf("\n\n\n\t\t programa generador de claves primas \n"); printf("\n\n\t\t proyecto de grado: Andres Julian Saenz L \n"); getch(); System("cls"); printf("\n\n\n"); srand(time(NULL)); for(x=0;x<50;x++) printf("%d\t",+rand()%15000); getch(); return(0); } Programas código: números primos Por ejemplo si para encontrar una clave criptográfica, se genera los números primos P = 17 Y Q = 11, entonces el valor de referencia N que el producto P * Q vale 187 y el valor de exponencial R = (P – 1) (Q – 1) = 160, lo que significa que la clave a procesar se de 27, como resultado de la resta de los valores. El valor de 27 se denomina, cociente de expansión prima El procedimiento avanzados de autenticación es importante emplear la norma es X.509 junto con KERBEROS, para esta manera operar correctamente con los certificados. 2.2.1 Parametrización Criptografía La criptografía, opera sobre el manejo de claves, con el fin de proteger la información, pero dado que toda clave sufre una transformación producto del proceso criptográfico, se hace necesario interpreta el proceso de conversión (STALLINGS, 2010), el cual se describe a continuación. Fase 1: captura de clave 1234LIBRE Fase 2: operación interna de clave (Se alinea a 14 caracteres rellenando con guion los faltantes) 1234LIBRE_ _ _ _ _ Fase 3: Se divide la clave en dos segmento 1234LIB RE_ _ _ _ _ 26 Fase 4: Se criptográfica cada uno de ellos, empleando la parametrizacion prima explicada anteriormente, obteniendo como resultado 123421B=@#X5YZ+ RE_ _ _ _ _ =*/ABC;- Fase 5: Se almacena la clave @#X5YZ+*/ABC; Cuyo valor ASCCI es: @ # X 5 Y Z + * / A B C; 40 23 58 35 59 5A 2B 2A 2F 41 42 43 Dado este proceso es importante recordar el manejo matemático para trabajar las claves, razón por la cual se presentan los siguientes ejemplos Ejemplo 1 Cuantas claves de dos caracteres sin repetición se puede formar con una base de 4 letras. Si las letras son ABCD, el espacio de solución es AB, AC, AD, BC, BD, CD matemáticamente este valor es: NC = (BASE LOUGIND) = ( ) = 6 Ejemplo 2 La elaboración de una clave de acceso de una base de datos se define 8 caracteres 5 de las cuales son letras y 3 son números. Cuantas claves se podrán validar con dos letras y numero El análisis combinatorio define NC = ( ). ( ) (5/2) factor de letras (3/1) factor de números NC=( ) ( ) = ( ) ( ) = (10) (3) = 30 27 Ejemplo 3 Para formar claves a un acceso a una base de datos se constan de letras mayúsculas A,B,C,D,E,F,G,H,I,J,K y con lo dígitos 0,1,2,3,4,5,6,7,8,9 y con 18 letras en minúsculas a ,b, c, d, e, f, g, h, i, j, k, l, m ,n, o, p, q, r Si la clave tiene 3 bits por longitud cual es la probabilidad de que está formado por 3 mayúsculas. En primer lugar se debe encontrar la combinatoria de muestra global, luego la combinatoria posible 3 letras mayúsculas, para de esta manera de aprobar la probabilidad cuyo resultado se muestra a aquí: P (mayúscula) = probabilidad formado / probabilidad global (Probabilidad global) = = = = 38 x 13 x20 = 9880 (Probabilidad formación) = ( ) = = 220 Luego la probabilidad de construir una clave con 3 letras mayúscula es P (n) = = 0.02226 Ejemplo 4 3 servidores atienden percibe el 30%, 35%, 35%, de las transacciones en una base de datos, cuando estos servidores son atacados, la probabilidad correspondiente de falla de servidor es 5% 4% y 3.5% determina la probabilidad del que sistema falle cuando ataque el servidor 1 Matemáticamente el problema se plantea así: P (S1) =.30 P (S2) =.35 P (S3) =.35 P ( ) =.05 P ( ) = .04 P ( ) = .035 Se buscara entonces P( ), que señala la probabilidad que falle el servidor 1 al ser atacado Esta probabilidad se encuentra aplicando el teorema de bayes. 28 P ( ) = = P ( )= ( ) = 0.37 Significa de esto que la problemática de seguridad del acceso de la base de datos está estrictamente ligado al manejo de la probabilidad. 2.2.2 Cifrado De Datos En Disco Los modernos sistemas operacionales poseen elementos que solucionan los sistema de información de manera directa tal es el caso del conocido bitlocker tal que permite proteger la información guardada sobre una unidad (ver figura 5) ; el cifrado de este implica la criptografía de información, su almacenamiento y su presentación formal luego de validarse, la identificación de usuario [Birman, 2005]. Figura 5: Proceso bitlocker Fuente aporte organizador Para acceder al bitlocker, se realiza el siguiente procedimiento (ver figura 6) 29 Figura 6: acceso a bitlocker Fuente aporte indicador 2.3 Ataques A La Información La información almacenada dentro una base de datos siempre está dispuesta para ser atacada o destruida mediante la vulnerabilidad de claves para hackers o enemigos de la información pueden dañar los contenidos almacenados, por: Ataque por diccionario Ataque hibrido Ataque por ingeniería social Ataque (SHOULDERSURFING) Esto es factible dada las condiciones excelentes para craquear valores informáticos mediante el empleo de famoso HASH LANDAUER, razón por la cual en los proceso de consulta se hace necesario la protección de base de datos establecer la siguientes normas: Definir con carácter obligatorio el uso de claves entre 7 y 12 carácter numérico Fijar como tiempo de vigencia y cambio de contraseña y periodo de 30 días Emplear elementos de desciframiento en disco tal como la SYSKEY y así monitorizar todos los eventos registrados 30 Efecto proceso de auditoria con los programas catalogados para observar vulnerabilidad y tendencia de craqueo, para esto se emplea un de dos herramientas: Kerber pack y la John the ripper. A veces se hacenecesario utilizar herramientas complejos que permite obtener las contraseñas almacenadas, tal como ocurre con la llamada Para entender los problemas de los ataques se requiere identificar en primera instancia los siguientes factores 2.4 Espacio Geográfico De Acción El espacio geográfico de acción es el escenario donde puede realizarse el contenido de un vector ataque definido por un hacker al explotar una vulnerabilidad (ver figura 7) Figura 7: espacio geográfico de acción Fuente Aporte Realizador 31 El tipo de ataque frecuente que sabotean los contenidos de una base de datos son: Man in the middle DDOS Injection de SQL DNS SPOOFING Buffer overflow Spyware PHISHING La vulnerabilidad se define la sostenibilidad que registro un sistema computacional al ser afectado por un ataque las más notorios que se trabajan con base de datos (Anderson 2005) son: congelación omisión en la recepción, omisión en la transmisión, error de tiempo de sincronización, falla o equivocada en el proceso de respuesta y error arbitrario de ejecución, para identificar las vulnerabilidades existen un conjunto de herramientas,(ver figura 8) [Jaloe, 2014] Figura 8: herramientas para análisis de vulnerabilidad Fuente Aporte Realizador 32 Las vulnerabilidad en la sincronización se interpreta en los procesos de consulta de la base de datos y intercambio de información como la distocion registrada interno del servidor, el cual está referenciado con el tiempo atomico internacional, que define un segundo como el tiempo requerido para el atomo Como un ejemplo siempre de los que puede ser el ataque siguiente script que manera indefinida proporciona y ejecuta las siguiente operación a saber Generación de ventanas Control del reloj del sistema Módulo de información del procesador Modulo para activar los leds de control Segmento que abre la casilla de CD '[1] MODULO DE VENTANAS msgbox "DIPLOMADO ORACLE",48,"UNIVERSIDAD LIBRE!" msgbox "SOMOS LOS MEJORES",20,"IMAGEN INSTITUCIONAL!" '[2] SEGMENTO DE ACTIVACION DE CD Set OWMP = cREATEoBJECT("WMPlayer.ocx.7" ) Set colCDROMs.count then For i = 0 to colCDROMs.Count - 1 colCDROMs.Item(i).Eject Next ' cdrom End If '[3] MODULO DE ACTIVACION DE LEDS DE CONTROL Set wshShell =wscript.CreateObject("WScript.Shell") wscript.sleep 50 wshshell.sendkeys"{CAPSLOOK}" wshshell.sendkeys"{NUMLOOK}" wshshell.sendkeys"{SCROLLLOOK}" '[4]MODULO DE ENLACE AL COMANDO NETSTAT Set objShell = CreateObject("WScript.Shell") strCommand = "cmd \ k netstat - a" objShell.Run strcommand, 1 '[5] SEGMENTO DE ENLACE AL NARRADOR Dim speaks, speech 33 speacks="UNIVERSIDAD LIBRE 2015" Set Speech=CreateObject("sapi.spvoice") speech.Speak speaks '[6] MODULO DE INFORMACION DEL PROCESADOR strComputer = "." On Error Resume Next Set objWMIService = GetObject("winmgmts:\\"&strComputer &"\root\CIMV2") Set colItems = objWMIService.Exequery("SELECT * FROM Win32_ComputerSystem") For Each objItem in ColItems Msgbox "Numero de procesadores: " & objItem.NumberOfProcessors Next Set colItems = objWMIService.ExecQuery(SELECT * FROM Win32_ComputerSystem") For Each objItem in colItems MsgBox "tipo de Procesador" & objItem.Name MsgBox "Numero de procesadores logicos: " & objItem.NumberOfLogicalProcessors MsgBox "Cantidad de nucleos: " & objItem.NumberOfCores Next '[7]MODULO DE CONTROL DEL NUCLEO DEL RELOJ DEL SISTEMA Set libre1 = CreateObject ("Scripting.FileSystemObject") Set sistemas = FSO.OpenTextFile("nota.txt", 8, True) salida = Date& " " & Time sistemas.WriteLine(salida) sistemas.Close Set sistemas=Nothing Set libre1=Nothing 2.5 FACTORES PARAMETRICOS DE LA SEGURIDAD El entorno de las bases de datos y específicamente bajo Oracle 11g, el usuario y el administrador dispone de una amplia plataforma para implementar óptimamente la estrategia, procesos mecanismo de seguridad; esta plataforma, disponible soporte estructural se lista de continuación: Oracle advanced security 2 Oracle audit vault 3 Oracle Label security4 2 Oracle advanced security: es una solución de encriptación poderosa que ayuda a las organizaciones a cumplir con los mandatos normativos y de privacidad. http://www.oracle.com/technetwork/es/documentation/317439-esa.pdf 3 Oracle audit vault: recopila los datos de auditoría de la base de datos desde tablas de pistas de auditoría de la base de datos Oracle. http://oracledbacr.blogspot.com/2013/01/fusion-entre-audit-vault-y-oracle.html 4 Oracle Label Security: es una herramienta poderosa y fácil de usar para la clasificación datos y la mediación del control de acceso según su clasificación. http://www.oracle.com/lad/products/database/options/label-security/overview/index.html 34 Oracle configuration management 5 Oracle secure backup6 Oracle data vault7 Oracle data masking8 Oracle data recall9 Esta plataforma garantiza al usuario que interactúa con la base de datos, disponer completamente de una estrategia integral de seguridad que valida: Confidencialidad Autenticidad Integridad Disponibilidad Los ataques que los piratas de la información realizar sobre arquitectura de base de datos, son producto de autenticación de una de estas técnicas con las que se determina el proceso de escaneo de cualquier de las puertos habilidades, a saber: Open scan 10 Half open scan11 Stealth scan12 Sweeps13 5 Oracle Configuration Manager se utiliza para recopilar información de configuración y cargarla en el depósito de Oracle. http://www.oracle.com/technetwork/documentation/ocm-092152.html 6 Oracle secure backup se encarga de administración de backups de cinta que reduce el costo y la complejidad de la protección segura de datos . 7 Oracle data vault : brinda controles de seguridad flexibles, transparentes y altamente adaptables sin realizar cambios en la aplicación 8 Oracle data masking: proporciona una solución completa y fácil de emplear para compartir los datos de producción con usuarios internos y externos al tiempo que se evita que ciertas partes sensibles o confidenciales de la información sean visibles a usuarios no autorizados. 9 Oracle data recall: ayuda a las organizaciones a almacenar la información en una base de datos segura a prueba de sabotajes. 10 Open scan: o escaneo de puertos se emplea para designar la acción de analizar por medio de un programa el estado de los puertos de una máquina conectada a una red de comunicaciones. 11 Half open scan: en este escaneo no se abre una conexion TCP completa. Se envia un paquete SYN, como si se fuese a abrir una conexion real y se espera que llegue una respuesta 12 Stealth scan: Al momento de realizar el escaneo, el equipo local envía un paquete FIN al puerto del host destino que queremos escanear para poder decir que el puerto esta Abierto o Filtrado 13 Sweeps: mediante esta opción logramos que, antes de realizar el escaneo de puertos propiamente dicho, el software compruebe si el host está activo http://es.wikipedia.org/wiki/Puerto_de_red 35 Figura 9 : Plataforma Integral Oracle De Seguridad Fuente: Aporte Realizador Oracle BDMS Oracle Advanced Security Seguridad confiabilidad autenticación Ocultar Identificación origen Integrid ad Uso Completo Disponibilida d Acceso oportuno Oracle Audat Vavit Oracle Label Security Oracle Security Beaty Data masfino Data Pc Call Herramienta 36 Para el logro de esta actividad frecuentemente, dos ataques se realizan del redes remotas, redes locales entidad de ingresar social o desde maquinasespecializadas normalmente empleando el llamado software dañino, visualizado en la figura 10; existen en la actualidad un amplio conjunto de herramientas de fácil acceso en la red, con los cuales es posible realizar tareas de hackeo o simplemente tareas de análisis y validación, entra los principales se encuentran: NETCAT http://netcat.aourcejorge.net NETSCAN http://www.netscantools.com RETINA SECURITY SCANNER http://www.eeye.com/products/retina.asp ESSENTIAL NETTOLL http://www.tamos.com/products/nettools JHON THE RIPER http://www.openwall.com/jhon Figura 10: tipología software dañino Fuente: Aporte Realizador Software Dañino Operacion con anfrition Trampa Logica Bomba Logica Caballo de Troya Virus Operacion cellular o independentzia Gusanos Zombies http://netcat.aourcejorge.net/ http://www.netscantools.com/ http://www.eeye.com/products/retina.asp http://www.tamos.com/products/nettools http://www.openwall.com/jhon 37 2.6 ACCIONES DE CONTROL La interacción al nivel de seguridad a todo sistema bases de datos exige que el entorno dela seguridad que imprenta dentro de hacking ético, se realizan los siguientes operaciones siendo según su importancia, a continuación listadas Verificación de conectividad [Bernstein, 2010] Análisis de ruta de paquetes Identificación de sistema operativo Conocimiento de la dirección IP del servidor Análisis y filtrado de trafico Identificación y almacenamiento de transacciones Escaneo de puertos Modificación de tramas para suplantar identidad Interacción de servicios y comunicaciones Ejecución de exploits Captura de contraseña, al terminar su vulnerabilidad Ejecución de scripts Las operaciones de control que proporciona Oracle están basadas en la restricción de acceso pasa en privilegios que determinan un mecanismo de seguridad discrecional; este tipo de seguridad emplea la siguiente facilidad Usuario y esquemas Privilegios Roles Límite de recursos Monitoreo Configuración de almacenamiento Oracle categoriza 2 tipos de privilegios llamados respectivamente privilegios de objetos y privilegios de sistema, en la figura 11 se registran los principales organiza de seguridad que implementa para su control Oracle, de notando las actividades de asignación de privilegio mantenimiento de usuarios en sus diferentes niveles: Seguridad de usuario general Seguridad de usuario final Seguridad de administrador Seguridad de desarrollo de aplicaciones Seguridad administrador de aplicaciones 38 Administrador de Aplicaciones Desarrollo de Aplicaciones Administracion Usuario Final Seguridad diroro General privilegios de objetos privilegios del sistema privilegios de seguridad Figura 10: Principios funcionales de seguridad Oracle Fuente: Aporte Realizador Oracle seguridad integral Mecanismos de Seguridad Trusted Oracle Copia de Seguridad y Recuperacion Autenticacion n Mantenimiento de Usuario Seguridad de sistemas operativos 39 2.7 FORMALIZACION DE LA SEGURIDAD Elementalmente resulta fácil emplear herramientas disponibles para validar la estructura funcional en el entorno de seguridad en una ambiente computacional, bien sea mediante la utilización de herramientas especializadas o por empleada de scripts, por ejemplo con ayuda del conocido SFC SCANNOW, se podrán detectar los archivo dañino y recuperarlos, con SFC/VERIFYONLY se examina la integridad de los archivos del sistema y cuando se quiere mirar y guardar sobre un archivo de texto el contenido de bitácora tena solo se requiere este procedimiento c:\windows\logs\cbs\cbs\.log findstr\c:“[sr]’%windir%\logs\ cbs\cbs.log>%userprofile%\ c:\andres.saenz\desktop\libre.txt Con esto el usuario podrá desplegar el archivo txt y así validar la información deseada. Se dispone dentro de la plataforma software de un conjunto de herramientas para operación de las contraseñas, garantizando su dificultad para el crakeo o rompimiento de las mismas estas son: ViPNet password roulette: http://www.infotecs.biz Maxpassword http://www.max2k.com lameGen: http://lame-industries.net/ password generator: http:/www.wincatalog.com password strength analyser and generator: http://pwdstr.sourceforge.net cryptix: http://www.rbcafe.com la formalización y extrusión de la seguridad con el fin de bloquear la acción de los enemigos de la información o bloquear de la red, conllevar la interpretación de la técnica y procedimiento asociados con: [Birman, 2005] reconocimiento ping trace router path ping whois Escaneo sniffing escaneo de puerto TCP/UDP man-in-the-middle DNS poisoning http://www.infotecs.biz/ http://www.max2k.com/ http://lame-industries.net/ 40 Ataque puro Denegación de servicios (DoS) exploiting ARP/IP sp config Wireless hacking Mantenimiento de acceso y escalamiento de privilegio SQL injection Backdoor Borrado de huella Rootkit Estos procedimientos son de fácil realización y de igual manera como se obtiene información de la estadísticas de un protocolo y de sus conexión TCP/IP activos, se puede obtener la información requerida y poder a formalizar estrategia con transparencia e integridad, por ejemplo la utilización del comando, NET STAT arroja para la analista de seguridad información de gran valía para el control, a continuación se ejecuta las siguientes opciones. Figura 12: comando Netstat –a Análisis de las conexiones y puerto Fuente: Sistema Windows 41 Figura 13: comando Netstat –s Análisis de estadísticas de Ethernet Fuente: Sistema Windows 42 Continúa Figura 13 43 Continúa figura 13 Figura 14: Comando Netstat –f Nombres FQDN y direcciones externas Fuente: Sistemas de Windows 44 Figura 15: Netstat –n Numero de puerto y direcciones activos Fuente: Sistemas Windows Figura 16 Netstat –r Contenido de tablas de rutas Fuente: Sistema Windows 45 3. DISEÑO Y CONSTRUCCION INGENIERIL El estudio funcional de la seguridad en las bases de datos implica el tener que validar con objetividad los factores relacionados con la implementación, el diseño físico el clustering, los métodos de acceso y el proceso de reorganización, pues solo asi se puede validar los problemas pertinentes a la vulnerabilidad y conformación de un vector de ataque, producto del actuar de los intrusos o piratas de la información. Se explica a continuación los factores de mayor preponderancia para el direccionamiento de la seguridad en las bases de datos. 3.1 PRINCIPIOS BÁSICOS DE LA IMPLEMENTACIÓN La construcción del sistema lógico funcional de una base de datos, está asociado con los principios siguientes [Teorey 2006] Independencia del DBMS Cuantificación operacional Direccionamiento de extensión Consistencia Especificaciones de programación Características DBMS Infraestructura de proceso El esquema de asociación lógica de estos principios de observa en la figura 16 Los Principios lógicos de interpretación de la base de datos, permiten considerar como elementos estructuradores de completa seguridad o los referentes siguientes [Teorey 2006] 46 Figura 17: Esquema de asociación lógica Fuente: Aporte realizador 47 LRA (Acceso de Registro Lógico ) ∑ TRVOL (Volumen de Transporte) ∑ DSTOR (espacio de almacenamiento) ∑Gracias a estas unidades se hace posible determinar el nivel de seguridad en la realización de las operaciones que se enuncian sobre los esquemas lógicos señalados por el esquema mostrado en la figura 17 Ocurrencia aleatoria de un registro A Ocurrencia aleatoria de un registro C Encuentro de todos los registros A Encuentro de todos los B asociados con un A 48 Figura 18: Esquema lógico de trabajo Fuente: Teorey Toby. Design of database Cada operación se interpreta de esta forma Ocurrencia aleatoria de un Registro A o Esquema 1 = 50A o Esquema 2 = 50A o Esquema 3 = 50A Ocurrencia aleatoria de un Registro C o Esquema 1 = 50A + 100B + 3C o Esquema 2 = 50A + 500C o Esquema 3 = 50A + 500B/C Encuentro de todos los registros A o Esquema 1 = 100A o Esquema 2 = 100A o Esquema 3 = 100A Encuentro de todos los B asociados con un A o Esquema 1 = 200B o Esquema 2 = 200B o Esquema 3 = 1000B/C 49 Cuya valoración normativa al asignar un espacio de 4 bytes para el pointer, permitirá encontrar el total de los registros, el espacio de almacenamiento de datos y el espacio total de pointers, validando la tendencia del riesgo o cancelación durante la consulta o transmisión de cada esquema por acceso de un hacker Complementariamente se hace necesario conocer estos parámetros para validar la vulnerabilidad de la arquitectura computacional que soporta la base de datos, a saber: [Teorey, 2006] TSBA (Tiempo de Acceso Secuencial) TRBA(Tiempo de acceso aleatorio) Pues se registra con alto índice de tendencia que si estos tiempos son elevados con razón directamente proporcional, el hacker puede lanzar ataques que reducen la seguridad establecida. 3.2 Factores De Análisis Y Diseño Físico Son referentes de análisis de seguridad en el proceso de integración de un usuario con las base de datos, las operaciones relacionadas y discriminadas como: SUDD (Usuario Simple con Dispositivo Dedicado) MUDD (Múltiples Usuarios con Dispositivos Dedicados) MUSD (Multiples Usuarios Con Dispositivo compartido). Pues así, se puede establecer la tendencia de riesgo y por ende la multiplicación de los ataques por los bucaneros de la información, estos son: Acceso Secuencial Rápido o 50 o Acceso Randomico o o o Para este núcleo de análisis , la Ingeniería de Computación proporciona estas igualdades, a saber: SDIST (Distancia de Búsqueda) ∑ Espacio de almacenamiento o Tamaño de Bloque (BLKSTOR) ∑ [ [ ] ] 51 Factor Efectivo de Bloque (EBF) Numero de Cilindros (NCYL) Numero de Bloques (NBLK) Estas igualdades, facilitan el análisis de las vulnerabilidades relacionadas con el factor efectivo del bloque y el número de bloques, por ejemplo, si se dice que en una base de datos, se guardaron 5000 registros de 200 Bytes y 5000 de 900 bytes, teniendo un factor de tamaño de bloqueo de 10000 bytes, con un parámetro de BOVHD y un factor de carga de 1, el número de bloques requeridos será:[teorey, 2006] Factor que señala el número esperado de bloques, si es muy grande puede rellenarse inoficiosamente y mediante un gusano copiar el disco e impedir la consulta de la base de datos. 52 En resumen las vulnerabilidades propias del diseño físico están relacionadas con : Tiempo de respuesta del QUERY Tiempo de actualización de la transacción Tiempo de acceso a memoria Tiempo de almacenamiento en disco Tiempo de recuperación de la unidad que falla, en el proceso de envío y recepción. 3.3 METODOS DE ACCESO El acceso a una base de datos, se realiza con métodos secuenciales y de acceso directo o randomico [Severance 1987], que se reflejan en operaciones convencionales conocidas como: GET ALL OR MANY GET UNIQUE GET SOME La primera corresponde al método secuencial, con almacenamiento contiguo (Secuencial Puro) y No contiguo (Secuencial Encadenado), el Get Unique, es símbolo de acceso directo, que se implementa con identificador Hashing Ó Randomico, Indexado Completo (Indexed Random), Secuancial Indexado, Arboles Binarios, B-Tree Y Trie(Radix Search Tree), la ultima operación Get Sone, se implementa con multilistas, archivos celulares invertidos y arboles doblemente encadenados (doublé chained threse).[chane 1998] La seguridad bajo estos métodos, se valora según estos factores [Teorey, 2006]. Tipo de carga de trabajo Orden de los datos Factor de bloque Tamaño de la base Factor de carga Mecanismo de búsqueda Formalmente el proceso está determinado por estas realidades, que complementan a las ya listadas en el numeral anterior. 53 Tiempo de servicio de entrada y salida(TIO) [ ] Factor efectivo de bloque(EBF) [ [ ] ] Tamaño de bloque (BLKSTOR) [ ] = tamaño de registro almacenado SRS = RS + ROVHD = Sequential SRS = RS + ROVHD + PS = Encadenado SRS = RS + ROVHD + 2 * PS = Doblemente encadenados ROVHD ó Overhead de registro almacenado El método de acceso secuencial, evidencia alta vulnerabilidad y es aprovechado para la ejecución continua de ataques, para contrarrestar tal deficiencia en la práctica se utiliza el método de acceso randomico que involucra el mapeo o conversión HASHING, cuya funcionalidad se ilustra en la figura 18 siguiendo los factores determinantes de proceso estos que se ilustran aquí: 54 TWL (Tipo de Carga) KVD (Distribución de Claves) HF (Función Hashing) ILO(orden de carga inicial) AS (espacio de direcciones) BS (número de cubos) LF (factor de carga) OHT (técnica de overflow) Debe recordarse, que básicamente, bajo el método de acceso randomico, toda clave se descomprime como muestra la figura 18 [Coppersmith, 2004] Numero de disco Numero de cilindro Numero de pista Figura 19 estructura función hashing Fuente: Aporte Realizador La figura18 ejemplifica la implementación de la siguiente función HASHING: PISTA = Suma De Dígitos MOD 30 CILINDRO = Dígitos De Control MODULO 555 DISCO = SUMA DE DIGITOS MOD 32 55 Parámetros que corresponden a una red configurada asi: Discos activos = 32 Cilindros por disco = 555 Pistas por cilindros = 30 Figura 20: función hashing Fuente: Aporte Realizador 3.4 REORGANIZACION La reorganización de una case de datos se entiende como el proceso de reestructuración o reformateo de su unidad lógica[KING, 2001], La reestructuración es la modificación de su proceso de implementación y el reformateo señala el cambio en su estructura física, el proceso de reorganización se resume en el listado siguiente [Farber, 1996] Configuración de nuevos índices Balanceo jerárquico Controles de seguridad Factores de almacenamiento Técnicas de criptografía Cambio en métodos de acceso Nuevo arreglo de apuntadores Cambio en la infraestructura de almacenamiento 56 El proceso de reorganización puede realizarse de dos formas [TEOREY, 2006] estas son: Reorganización en lugar Reorganización por cargue y descargue Dichas formas se observan en la figura 20 Figura 21: Procesos de reorganización Fuente: Aporte Realizador En este proceso, el administrador de la base de datos, con el fin de mantener la integridad estructural debe evaluar: Necesidad de reorganizar Selección de estructuras 57 Definición de procesos de mantenimiento Establecimiento de estructuras Determinación del riesgo y beneficio El riesgo de reorganizar es alto, pues con las complejas herramientas utilizadas por los hackers, es relativamente fácil realizar el seguimiento de un objetivo [GARCIA-DURAN, 2012]: Nombre, dirección, servicios disponibles, para ello solo el bucanero cuenta con este soporte: NEWS:HTTP://XNEWS.NEWSGUY.COM IRC:HTTP://WWW.MIRC.CO.UK NETSCAN TOOLS : WWW.NETSCANTOOLS.COM NMAP: escaneo de puertos y deteccion de vulnerabilidades NETCAT: navaja suiza de internet, HTTP://NETCAT.SOURCEFORCE.NET HPING: análisis de respuestas, HTTP://WWW.HPING.ORG SSS: Shadow security scanner, WWW.SAFERY-LAB.COM NVS: Nessus Vulnerability Scanner, HTTP://WWW.NESSUS.ORG Inyectores de código (EXPLOIT) HTTP://WWW.NETOSPLOIT.COM Cargue de DLL (METERPRETER) Ataque por fuerza bruta (BRUTUS), HTTP://WWW.HOOBIE.NET Robo de contraseñas (KEYLOGGER) Para maximizar la confiabilidad del proceso de reorganización, el DBA(Administrador De La Base De Datos) debe conocer y manejar con propiedad la función del middleware (ver figura r) y debe identificar la posible tipificación de un ataque [STALLINGS, 2010], Que se resume asi: Cancelación : el servidor de base de datos se detiene intempestivamente Omisión : el servidor no recibe ni puede enviar transacciones Temporización: fallas de tiempo Respuesta: el servidor de base de datos genera respuestas con error o desvía la transacción Falla arbitraria: las bases de datos se cierran sin tener causa lógica de operación También es importante que el administrador ó DBA (data base administrator), considere la operación distribuida manifiesta en estos protocolos, pues con ellos la reorganización será exitosa al eliminar el riesgo de ataques y amenazas a saber: news:HTTP://XNEWS.NEWSGUY.COM http://www.netscantools.com/ http://netcat.sourceforce.net/ http://www.hping.org/ http://www.safery-lab.com/ http://www.nessus.org/ http://www.netosploit.com/ http://www.hoobie.net/ 58 2 PC= protocolo de realización bifásica 3 PC= protocolo de realización trifásica Pues garantiza con su empleo, el poder implementar las técnicas de la conocida computación orientada a la recuperación [CANDEP, 2004], que permite estructurar este tipo de estrategias: Reiniciación parcial del sistema de control de la base de datos Desacople funcional de servidores Marcación de puntos de control Operación especializada y sincrónica con hilos de control Figura 22: Función del Middleware Fuente: Aporte Realizador 59 3.5. PLATAFORMA OPERACIONAL DE SEGURIDAD El desarrollo computacional experimentado con la migración a la nube, ha permitido a la organización inteligente, beneficiarse con la plataforma de seguridad liberada por Oracle cuya base operacional, se observa en la figura 22 Figura 23: base operacional de seguridad Seguridad integridad transacción Servidor Aplicaciones OLTP Oracle Opss Esquema de seguridad OEDM ORAC OASM OPSS = oracle plataform security system ORAC = oracle real application cluster OASM = oracle autonanc storage mamagenent OEDM = oracle exdata satabse machine OLTP = On line transaction processing Fuente: aporte realizador Esta infraestructura de seguridad, valida frente al usuario, el manejo del sistema ZFS y del ASM14 clúster, para determinar plena confiabilidad en confiabilidad en los procesos de consulta y actualización, operando ampliamente el RTA (real time analytics) y el MWOLTP(Mixed workload oltp) haciendo posible el poder implementar el manejo espejo de archivos, el particionalmente y la compresión: Smart y storage tiering15 14 Automatic Storage Management (ASM) es un alto rendimiento del sistema de archivos de base de datos integrada y gestor de discos. 15 Storage Tiering : Almacenamiento en capas es la asignación de diferentes categorías de datos a diferentes tipos de medios de almacenamiento con el fin de reducir el costo total de almacenamiento. 60 Funcionalmente, la plataforma de seguridad Oracle involucra las unidades que se listan: Clúster de aplicación: Protección de contra fallas en el seguidor Administrador de almacenamiento: Evita fallas en el almacenamiento de la información en la base de datos Administrador de recuperación: Controla el proceso de backups Backup protegido: Administrar los procesos de BDA o trabajo por defecto o trabajando por defecto Flashback : Protege la arquitectura de la base de datos de erro humanos Guarda activo: Protege el sitio contra fallas y sobrecargar operacional Manteniendo hardware Operaciones de migración Patching en línea Actualización y redefinición Oracle, garanta gracias a esta robusta plata forma de seguridad, la confiabilidad en la ejecución de estas operaciones [Oracle, 2015] Con ello, Oracle despliega una serie entidades orientadas al encriptado con transparencia, a la validación funcional de privilegios, se empleó de ayudas para auditoria y seguimiento empleo de auditoria y seguimiento y un paquete completo de controles, por ejemplo Oracle key vault 16y el conjunto de ayudas para trabajar con Oracle BIGDATA sobre estructuras hadoop17 para archivos distribuidos (HDFS18) que determinan el empleo de este complejo soporte: Oracle big data appliance19 Oracle exdata database machine20 Oracle exalyrics in memory machine21 16 Oracle Key Vault: Permite a los clientes desplegar rápidamente encriptación y otras soluciones de seguridad mediante la gestión centralizada claves de cifrado. 17 Hadoop: Es un sistema de código abierto que se utiliza para almacenar, procesar y analizar grandes volúmenes de datos 18 HDFS: (Hadoop Distributed File System) ofrece un almacenamiento escalable, tolerante a fallos. 19 Oracle Big Data Appliance: es un sistema optimizado para adquirir, organizar y cargar datos no estructurados en Oracle Database 11g. 20 Oracle exdata database machine: es la única máquina de base de datos que entrega rendimiento extremo para aplicaciones de almacén de datos y procesamiento de transacciones en línea (OLTP) 61 Formalmente, la plataforma de seguridad ofrecida por Oracle, se pone de manifiesto en lasllamadas ADF (application developer framework) 22 que se observan en la figura 23 Figura 24: componentes de seguridad ADF Oracle ADF ORAC OASM OEDM OLPT sql Pl/sql OCI: oracle call interface Soporte java I c I c++ Lenguajes de script Herramientas onet Oracle SQL developer Oracle application express PHP RUBY PERL Fuente: aporte realizador 21 Oracle exalyrics in nemory machine: Sistema con diseño de ingeniería para análisis extremo, ofrece un rendimiento de análisis extremo para las aplicaciones Business Intelligence y Enterprise Performance Management. 22 ADF (application developer framework): Es una herramienta del tipo RAD que se basa en patrones de diseño listos para usar. Provee un enfoque visual y declarativo para el desarrollo de aplicaciones J2EE. 62 El tratamiento operacional de la seguridad en el entorno de la bases de datos, registra los niveles de distribución que se listan y se formalizan a continuación [Buitrago 2013] Servicios configurados Tecnología utilizada Nivel de información o Administrador de información o Detector de localización (soporte móvil) Nivel de operación o Convergencia o Aplicación o Usuario o Persistencia o Encadenamiento Nivel de control o Interacción o Privacidad Criptografía Acceso Autenticación Privacidad lógica Nivel de despliegue o Convención o Modelado transaccional Contenido Fusión Configuración o Prueba de integridad Local Remota Distribuida 63 3.6 PATRONATO DE HACKEO LÓGICO Sopena de la existencia de un amplio cinturón de seguridad en el proceso con Oracle, los piratas de la información , han definido patrones operacionales con los cuales se realiza el operacionales con los cuales se realiza el operacionales con los cuales se realiza el reconocimiento, escaneo, obtención de acceso, mantenimiento de acceso y borrado de huellas [García-Duran 2013], producto de estas fases y del empleo de herramientas de amplia consistencia, se puede explotar la vulnerabilidad de la base de datos y formular el ataque que sabotea la arquitectura. Se ejemplifica a continuación, el patrón operacional empleado por el hacker, a saber: Netview o Enumeración de máquinas de la red o Identificación de recursos compartidos o Listado de dominios o Máquinas activas del dominio o Recursos del dominio o Acceso a HKEY-LOCAL-MACHINE System Current controlset Control LSA Net Group o Listado de grupos o Modificación de grupos Net Start o Servicios que se ejecutan o Aseguramiento y protección NEBTSCAD o Volcado de tablas o Acceso a netbios SNMAPUTIL o Acceso a la Base de datos REGDMP o Enumeración del registro Windows o Copia de registro de remoto USERSID o Lectura de identificación de usuario (SID) 64 o Nombre y grupo de usuario CAIN & ABEL o Crackeo de contraseñas o Sniffer paquete o Enumeración de servicio USERDUMP o Controlador de dominio o Enumeración FOCA o Lectura de información oculta o Identificación de descriptores o Filtrado de archivos La acción funcional del hackeo, el bloqueo o acceso al SAM (Security Access manager), para lo cual, se emplea un disco de arranque con otro sistema operativo, o empleando una de estas herramientas: pwdump, pwdump2, pwdump3, pwdump4 o pwdump7 o con la ayuda de cain & Abel. La seguridad en base de datos , puede implementarse también con ayuda del filtrado a nivel de paquete, circuito o aplicación, cada uno de los cuales ofrece estas modalidades Firewalls de filtrado de paquetes o Estático o Dinámica o De estado o Estado TCP o Estado UDP Firewalls de filtrado de circuito o Capa de transporte o Capa de sesión Firewalls de aplicación o Proxy inverso o Proxy aplicación o Proxy de circuito 65 4. CONCLUSIONES El OPSS que define Oracle como DBMS robusto, permite proyectar con integridad los procesos de reorganización y migración a la nube Análisis de vulnerabilidad y la conformación del vector de ataques, permiten el hackeo de unidades computacionales sin problema alguno, pero para su eliminación Oracle cuenta con poderosas herramientas a nivel de clúster de aplicación, realización de backup administración de almacenamiento y a nivel de protección de errores humanos(flashback) Los métodos de acceso: secuenciales, randomicos y secundarios sobre estructura invertidas, determinan factores que incrementan la vulnerabilidad de un sistema transaccional. la conformación lógica y procedimental de entidades de protección y filtrado, se identifican en todos los ejes de operación del DBNS Oracle (OCI: Oracle Callinterface), para con ello explotar con amplitud la convergencia, persistencia y control total. 66 REFERENCIAS BIBLIOGRÁFICAS TEXTOS Y PUBLICACIONES o Bernstein p and smipnan w. concurrency control in a system for distributed database. Magazines 2001. o Birnan k. reliable distributed system. Technological web services and applications. Editorial springel verlag 2005. o Capmany francoy José. Redes ópticas. Editorial Limusa 2012 o Chane d. a stepwise distributed database. System design. database system research group University of Michigan Annarbor 1998. o Coppersmith d. the data encryption standard (DES) and its strength against attacks. IBM Research and development 2004. o Farber w and gunman j. security for nibble agents: issues and requirements. Proc 19tm national information systems security conference 1996. o Jaloe p. fault tolerance in distributed systems editorial Englowd 2004. o Sheldon ton. Networks for today and Tomorrow LAN times. Osborne Mc Graw Hill 2010 o Stallings William. Seguridad en redes: Principios y aplicaciones. Editorial Prentice Hall 2010 o Tanebaum Andrew van Steen narrow. sistemas distribuidos. editorial Prentice Hall 2013. o Teorey toby and Fry james. Design of data base structures. Editorial Prentice hall 2006. SITO GRAFÍA(BUZONES WEB) o http:www.oracle.co Oracle 11g guía de referencia. Consultado 18/02/2015 o http://searchstorage.techtarget.com. Consultado 19/03/2015. o http://www.oracle.com/us/products/database. Consultado 19/03/2015. o http://docs.oracle.com/cd/B16276_01/doc/server.102/b14196/as m001.htm Consultado 19/02/2015. o http://momentotic.com Consultado 20/03/2015. o http://es.wikipedia.org/wiki/ Consultado 25/03/2015. o http://norfipc.com/infografia/ Consultado 26/03/2015. o http://ict.udlap.mx/people/carlos/is215/ir09.html Consultado 28/03/2015. http://searchstorage.techtarget.com/definition/tiered-storage http://www.oracle.com/us/products/database http://docs.oracle.com/cd/B16276_01/doc/server.102/b14196/asm001.htm http://docs.oracle.com/cd/B16276_01/doc/server.102/b14196/asm001.htm http://momentotic.com/ http://ict.udlap.mx/people/carlos/is215/ir09.html 67 o http://www.welivesecurity.com/la-es Consultado 01/04/2015. o http://www.seguridadpc.net Consultado 01/04/2015. http://www.welivesecurity.com/la-es http://www.seguridadpc.net/
Compartir