SEGURIDAD Seguridad. Definiciónsiul02.si.ehu.es/~jimena/ABD/fuentes/Seguridad07.pdf · • No lo ofrecen la mayoría de los SGBD comerciales. • Clases de seguridad: – TS (Top

Seguridad

ABD 2007 1

1

SEGURIDAD

• Definición y temas abarcados

• Amenazas y contramedidas

• Control de acceso:

– Gestión de usuarios

• Autorización: – Gestión de perfiles

– Gestión de privilegios

– Gestión de roles2

Seguridad. Definición

• Los datos constituyen un recurso valioso que debe ser estrictamente controlado y gestionado, al igual que cualquier otro recurso corporativo.

• El termino seguridad hace referencia a la protección de la BD frente a accesos no autorizados, ya sean intencionados o accidentales.

3

Seguridad. Temas que abarca (I)

• Cuestiones éticas y legales relativas al derecho a tener acceso a cierta información.

• Cuestiones de política en el nivel gubernamental, institucional o corporativo relacionadas con la información que no debe estar disponible para el público.

• Cuestiones relacionadas con el sistema.

• Necesidad en algunas organizaciones de identificar múltiples niveles de seguridad y de clasificar los datos y los usuarios según estos niveles. 4

Seguridad. Temas que abarca (II)

LEGALES

ORGANIZATIVOS

FISICO

COMUNICACIONES

SGBDSOHW

5

¿Por qué Seguridad? “amenazas”• Perdida de Integridad de los Datos.

Datos no correctos

Decisiones No correctas.

• Carencias en la disponibilidad de los datos para personas o programas con autorización.

• Violación de la confidencialidad de los datos. Protección frente a revelaciones No autorizadas.

6

SEGURIDAD

• Aspectos generales


• Control de acceso:




– Gestión de roles

Seguridad

ABD 2007 2

7

Amenaza. Definición

Cualquier situación o suceso, intencionado o accidental, que pueda afectar adversamente a un sistema y, consecuentemente a la organización

8Fig. 19.1. Connolly & Begg

Amenazas

9

Ej. Amenazas

XXRobo, fuego

XXXXMala formación del personal

XXXAcceso superior por fallo

XXXEscuchas /Hacker /Chantaje

XXCopia/modific. de datos

XXXAcceder con otra cuenta

Disponibilidad

Integridad

Privacidad

Confidencialidad

Robo o Fraude

Perdidas/Amenaza

10

Contramedidas (C)

• Autorización

• Control de acceso

• Controlar el acceso a BD Estadísticas• Vistas

• Copias de seguridad y recuperación

• Integridad• Cifrado

• Tecnología RAID

• Control de flujo

11

C: Autorización

• Autorización: concesión de un derecho o privilegio que permite a un sujeto acceder legítimamente a un sistema o a un objeto del sistema.

• Autenticación: mecanismo que determina si un usuario es quién dice ser.

12

C: Control de acceso

• Concesión y revocación de privilegios.

• Control de acceso Discrecional (DAC).

• Control de acceso Obligatorio (MAC).

Seguridad

ABD 2007 3

13

Control de Acceso Obligatorio

• A cada objeto de la BD se le asigna una clase de seguridad y a cada usuario se le asigna un nivel de autorización, imponiéndose una serie de reglas a la lectura y escritura de objetos de la base de datos por parte de los usuarios.

14


• No lo ofrecen la mayoría de los SGBD comerciales.• Clases de seguridad:

– TS (Top Secret) nivel más alto– S (Secret)– C (Confidential )– U (Unclassified) nivel más bajoSe asigna a cada usuario y a cada objeto una de las clases de

seguridad.

TS > S > C > U, donde A > B implica que los datos de la clase A tienen un nivel de seguridad más alto que los datos de la clase B.

15

La diferencia con respecto a la seguridad discrecional radica en que los datos tienen un nivel de seguridad por si mismos, con independencia de los que se atribuyan a los usuarios.


16

Control de Acceso ObligatorioModelo Bell-LaPadula

• El modelo impone dos restricciones a todas las lecturas y escrituras de objetos de la BD:

– Propiedad de Seguridad simple: el sujeto S puede leer el objeto O sólo si la classe(S) >= classe(O).(ej. Un usuario con nivel de seguridad TS puede leer una relación con nivel de seguridad C)

– *-Property: el sujeto S puede escribir el objeto O sólo si classe(S) < = classe(O)(ej. Un usuario con nivel de seguridad S sólo puede escribir objetos cuya clase de seguridad sea S o TS)

17

Control de Acceso Obligatorio• SELECT * FROM EMPLOYEE

Usuario con nivel S

(cada atributo tiene asociado un atributo de clasificación de seguridad)Usuario con nivel C

18

Acceso Discrecional v.s. Acceso Obligatorio

• Discrecional

Flexibilidad

Vulnerabilidad

• Obligatorio

Elevado grado de protección

Demasiado rígido

Seguridad

ABD 2007 4

19

C: Bases de Datos Estadísticas

• Sus mecanismos de seguridad deben prohibir la obtención de datos sobre individuos concretos.

20

C: Vistas

Una vista es el resultado dinámico de una o más operaciones relacionales que operan sobre las relaciones base con el fin de producir otra relación. Una vista es una relación virtual que no existe en realidad en la base de datos, sino que se genera en el momento en que el usuario la solicita

21

C: Copia de seguridad y recuperación

• Copia de seguridad: Es el proceso de realizar copias de la BD.

• Registro o diario: Aquí se registran todos los cambios continuos realizados en la BD.

22

C: Integridad

• Mantiene a la BD segura ya que impide la incorporación de datos erróneos o inválidos.

23

C: Cifrado

• Codificación de los datos mediante un algoritmo especial que hace que los datos no sean legibles por parte de ningún programa que no disponga de la clave de descifrado

• En Oracle : DESEncrypt y DESDecrypt

24

C: RAID

Es matriz formada por discos independientes que se organiza para mejorar la fiabilidad e incrementar las prestaciones

Seguridad

ABD 2007 5

25

C: Control de Flujo

• Los controles de flujo comprueban que información contenida en algunos objetos no fluya explícitamente o implícitamente a objetos nuevos protegidos.

• La transferencia de información de un emisor a un receptor se permite si y sólo si el receptor tiene un nivel de seguridad asignado >= al emisor.

• La política de flujo especifica los canales a través de los cuales se puede mover la información.

26

SEGURIDAD



• Control de acceso (CA):

– Gestión de usuarios (GU)




27

CA. Gestión usuario.

• El ABD creará un nuevo nombre de cuenta y contraseña para cada persona que necesite tener acceso a la BD

(conviene cambiar periódicamente)

• Cuando se especifica una contraseña para un usuario la BD almacena la versión encriptadadel mismo en el diccionario de datos. La misma contraseña para diferentes usuarios genera diferentes versiones encriptadas.

28

GU. Cuenta y password

• EL SGBD verificara el nombre de cuenta y contraseña. Si son correctos permite al usuario utilizar el SGBD y tener acceso a la BD

• Para el control de cuentas y contraseñas se crea una tabla con los campos: Nombre de cuenta y contraseña y Número de Cuenta (con algunos SGBD)

• La tabla la mantiene el SGBD

• También se controlan las operaciones que un usuario determinado aplica a la BD durante cada sesión de trabajo (se anotan en el diario)

29

CA. Cuentas y password

30

GU. Oracle

• Cada base de datos ORACLE tiene una lista de nombres de usuario.

• Cada nombre de usuario tiene asociada un passwordpara prevenir el uso no autorizado.

• Existe un esquema asociado con cada nombre de usuario con el mismo nombre: colección lógica de objetos (tablas, vistas, secuencias, sinónimos, índices, agrupaciones, procedimientos..).

• Durante la creación de la BD son creados dos usuarios: SYS y SYSTEM.

• Para crear otros usuarios se debe acceder a la BD como SYSTEM.

Seguridad

ABD 2007 6

31

GU. Creación usuario (Oracle)

-nombre de usuario (“name ”)

-Profile

-mecanismo de identificación

-“tablespace”: zona de trabajo donde guardar sus objetoslos límite o cuotas

Fig. 19.8. Connolly & Begg32

GU. Parámetros a tener en cuenta

• La BD almacena una versión encriptada del password.

33

GU. Sentencia CREATE USER (I)

34

GU. Sentencia CREATE USER (II)

CREATE USER usuario IDENTIFIED {BY clave | EXTERNALLY AS ‘nombre’}

• Existen dos formas de acceder a la base de datos:• Mediante usuario y password:

CREATE USER usuario IDENTIFIED BY clave;

• Mediante usuario: nombre de usuario con el que se accede al sistema operativo. Se crea con el prefijo OPS$

CREATE USER OPS$usuario IDENTIFIED EXTERNALLY;

35

GU. Sentencia CREATE USER (III)CREATE USER usario IDENTIFIED {BYclave | EXTERNALLY AS ‘nombre’}[DEFAULT TABLESAPCEtablespace][TEMPORARY TABLESPACEtablespace]

36

GU. Sentencia CREATE USER (IV)

[PROFILE {nombre-profile /DEFAULT}]

Si no se especifica un perfil, se aplica el perfil por defecto (tiene asignados todos los limites a UNLIMITED)

Si no se especifica una cuota (QUOTA) el usuario no puede crear objetos.

Seguridad

ABD 2007 7

37

GU. Sentencia ALTER USER

Usos:

• reponer el password cuando al usuario se le olvida

• obligar a reponer el password con cada conexión

• bloquear/desbloquear la cuenta

• modificar los límites en el espacio38

GU. Sentencia DROP USER

La opción CASCADE propaga el borrado a los objetos

del esquema de este usuario. Si a continuación se crea otro usuario con el mismo nombre no hereda los objetos del anterior usuario con ese nombre (razón: a cada cuenta se asigna un número además del nombre)

39

GU.Diccionario de datos

• Diccionario Datos sobre usuarios

40

SEGURIDAD





• Autorización (A): – Gestión de perfiles



41

Autorización de la BD. Mecanismos

• Gestión de perfiles– creación

– modificación

• Gestión de privilegios– otorgar

– revocar

• Gestión de roles– creación

– asignación42

SEGURIDAD





• Autorización (A): – Gestión de perfiles (GP)



Seguridad

ABD 2007 8

43

Gestión Perfiles. Definición

• Perfil: cjto. nominado de límites en los recursos.

• Se asigna al crear el usuario (create user) o durante la vida de éstos (alter user)

• Se pueden activar y desactivar

• Pueden crearse varios perfiles y asignarse individualmente a cada usuario de la BD. Existe un perfil por defecto: DEFAULT (recursos ilimitados)

• Se usan para limitar la cantidad de recursos del sistema y de la BD disponibles para un usuario.

44

Gestión Perfiles. Definición

• Cada usuario tiene asignado un perfil que especifica las limitaciones sobre los distintos recursos del sistema.

• Número de sesiones concurrentes

• Tiempo de procesamiento de la CPU.

• Cantidad de entradas y salidas lógicas.

• Cantidad permitida de tiempo sin trabajar

• Cantidad permitida de tiempo por conexión.

• La limitación de recursos previene el consumo excesivo de recursos globales del sistema de BD.

45

GP. Sentencia CREATE PROFILEPara poder crear un perfil se utiliza CREATE PROFILE.

CREATE PROFILE perfil LIMIT[SESSION_PER_USER {entero | UNLIMITED |DEFAULT}][CPU_PER_SESSION {entero | UNLIMITED |DEFAULT}][CPU_PER_CALL {entero | UNLIMITED |DEFAULT}][CONNECT_TIME {entero | UNLIMITED |DEFAULT}][IDLE_TIME {entero |UNLIMITED | DEFAULT}][LOGICAL_READS_PER_SESSION {entero | UNLIMITED |DEFAULT}][LOCIGAL_READS_PER_CALL {entero | UNLIMITED |DEFAULT}][COMPOSITE_LIMIT {entero | UNLIMITED |DEFAULT}][PRIVATE_SGA {entero [K|M] | UNLIMITED |DEFAULT}][FAILED_LOGIN_ATTEMPS {entero | UNLIMITED |DEFAULT}][PASSWORD_LIFE_TIME {entero | UNLIMITED |DEFAULT}][{PASSWORD_REUSE_TIME |PASSWORD_REUSE_MAX} {entero |

UNLIMITED |DEFAULT}][PASSWORD_LOCK_TIME {entero | UNLIMITED |DEFAULT}][PASSWORD_GRACE_TIME {entero | UNLIMITED |DEFAULT}]

46

GP. Sentencia CREATE PROFILE

Restringe el coste total de recursos (media ponderada)COMPOSITE_LIMITS:

Limita el número de bloques leídos por llamada.LOGICAL_READS_PER_CALL:

Limita el número de bloques leidos ,LOGICAL_READS_PER_SESSION:

Desconecta a los usuarios transcurrido el tiempo indicadosin realizar ninguna acción.

IDLE_TIME:

Limita el tiempo de sesión en minutos.CONNECT_TIME:

Limita el tiempo de CPU por llamada (centésimas de seg).CPU_PER_CALL:

Limita el tiempo de CPU por sesión (centésimas de seg.).CPU_PER_SESSION:

Limita el número de sesiones concurrentes.SESSIONS_PER_USER:

47

GP. Sentencia CREATE PROFILE

Limita la cantidad de espacio privado que se puede reservar en la SGA (área global del sistema).

PRIVATE_SGA:

Número de días que se permite usar un usuario con la clave expirada.

PASSWORD_GRACE_TIME:

Número de días que debe un usuario estarbloqueado después de n intentos fallidos

PASSWORD_LOCK_TIME:

Número de cambios de clave necesarios para podervolver a usar la misma clave.

PASSWORD_REUSE_MAX:

Número mínimo de días que deben pasar parapoder utilizar otra vez la misma clave.

PASSWORD_REUSE_TIME:

Número de días que puede usarse la misma clave.PASSWORD_LIFE_TIME:

Número de intentos fallidos para bloquearse elusuario.

FAILED_LOGIN_ATTEMPS:

48

GP. Asignación de Perfil a un usuario

Seguridad

ABD 2007 9

49

GP. Sentencia ALTER PROFILE

50

GP. Sentencia DROP PROFILE

51

GP. Diccionario

• Diccionario. Datos sobre Perfiles

52

SEGURIDAD








53

A. Gestión de Privilegios

• El método más habitual para imponer el control de acceso discrecional en un SBD se basa en conceder y revocar privilegios.

• Existen dos niveles de asignación de privilegios:

– Nivel de cuenta (sistema): privilegios que tiene la cuenta, independientemente de las relaciones de la BD. Ej. CREATE TABLE

– Nivel de relación (objeto): privilegios para tener acceso a cada relación o vista de la BD. (definidos en SQL) Ej. MODIFY para la relación R

54

Privilegios. Nivel Cuenta o Sistema• Para ejecutar acciones sobre la BD

• CREATE- crear• ALTER- aplicar cambios• DROP- eliminar

Para conceder los privilegios se debe tener la opción WITH ADMIN OPTION.

Seguridad

ABD 2007 10

55

Privilegios. GRANT y REVOKE

• Sentencias GRANT y REVOKE

La revocación del privilegio a “user1” NO conlleva la revocación

a aquellos otros usuarios que obtuvieran su privilegio a través de “user1” 56

Privilegios. Nivel Sistema (mysql)

• mysql> GRANT ALL PRIVILEGES onbedrock.* to david@'%';

• mysql> FLUSH PRIVILEGES;

• SHOW GRANTS FOR Dude2@'%';

57

Privilegios. Nivel Relación u Objeto

• Para acceder y manipular objetos específicos

• Especifican para cada usuario, las relaciones individuales a las que se puede aplicar cada tipo de instrucción

58

Privilegios. Nivel Objeto

• El usuario que crea una tabla tiene TODOS los privilegios sobre esta tabla(identificador: usuario.nombreTabla)

• REFERENCES: restringe la capacidad de un usuario para declarar claves externas al crear relaciones. Se concede sobre atributos concretos.Ej. GRANT REFERENCES (Nombre) ON Sucursal to U1.

59

Privilegios

• El acceso a la información esta restringida• Ejemplo.

• Privilegios requeridos para ejecutar la instrucción anterior:– INSERT sobre Veteranos– SELECT sobre Estudiante– SELECT sobre Ingeniero

• Los privilegios se verifican contra el “username” facilitado al conectarse al SGBD 60

Gestión de Privilegios

Seguridad

ABD 2007 11

61

Privilegios. Nivel de Objeto

• Siempre que el propietario A de una relación R concede un privilegio de R a otra cuenta B, el privilegio puede darse a B con opción de concesión o sin ella

GRANT OPTION

• Si se da con esta opción significa que B también podrá conceder este privilegio de R a otras cuentas. Los privilegios se pueden propagar

• Existen técnicas para limitar la propagación de privilegios

62

Privilegios. Nivel de Objeto

• Sentencias GRANT y REVOKE

GRANT UPDATE y INSERT lista de atributos (SELECT, DELETE NO)

Para el caso de la propagación, REVOKE puede añadir:

• CASCADE: propaga la revocación a los privilegios propagados. En la mayoría de los SGBD, la retirada en Cascada es el comportamiento predeterminado.

• RESTRICT: evita la revocación, si ocasiona que se revoque el privilegio también a otros usuarios. Ej. REVOKE SELECT ON Sucursal From U1, U2 RESTRICT

63

Privilegios. Sentencia GRANT

• Para conceder privilegios se emplea la sentencia de concesión:

GRANT <lista de privilegios>ON <nombre de objeto>TO <lista de usuarios> [WITH GRANT OPTION]

Nota: SQL No soporta autorizaciones a nivel de tuplas

Sólo puede dar un GRANT el propietario del objeto (o cuando lo ha recibido con la opción GRANT OPTION)

No se pueden dar en la misma sentencia privilegios de cuenta y de relación.

64

Privilegios. Sentencia GRANT(ORACLE)

65

GRANT to PUBLIC

• Cuando una autorización se concede a PUBLIC, todos los usuarios tendrán la concesión (no permite añadir la opción WITH GRANT OPTION)

• No hay que confundir PUBLIC con Any

66

Sentencia REVOKE

• Para revocar los privilegios se emplea la sentencia:

REVOKE <lista de privilegios> ON <nombre de objeto>FROM<lista de usuarios> [restrict/cascade]

Seguridad

ABD 2007 12

67

Sentencia REVOKE (ORACLE)

68

REVOKE from PUBLIC

• No elimina el privilegio a todos aquellos que lo hubieran conseguido con un GRANT específico

69

Privilegios. Diccionario

• Diccionario. Datos sobre privilegios

70

Especificación de límites para la propagación de privilegios

(No implementados en la mayoría de los SGBD)

• Propagación Horizontal a un número i significa que una cuenta B que posee la opción GRANT OPTION puede conceder el privilegio como máximo a otras i cuentas.

• Propagación Vertical limita la profundidad de concesión de privilegios.

71

Propagación Vertical

Si una cuenta A concede un privilegio a una cuenta B con una propagación vertical limitada a un número entero j> 0, significa que la cuenta B tendrá GRANT OPTION para ese privilegio, pero B sólo podrá conceder el privilegio a otras cuentas con una propagación vertical menor que j.

72

Gestión de Privilegios. ¿Por qué surge el ROL (papel)?

• Ej. Cada vez que se introduce un nuevo alumno hay que darle todas los privilegios.

• Esquema mejor: Especificar los privilegios que deben tener los alumnos e identificar a los usuarios que son alumnos.

Los Roles capturan este esquema.(Los privilegios se asignan a los roles y a los usuarios

se les asocian roles)

Seguridad

ABD 2007 13

73

SEGURIDAD







– Gestión de roles74

Trabajando con Roles

• Se crean los roles y se les conceden los privilegios.

• Al crear los usuarios se les asignan los roles

Los roles requieren que los usuarios se conecten con su propio identificador.

75

Gestión de Roles. Objetivos

• Agilizar la asignación/revocación de privilegios

• Estructurar la asignación de privilegios

• Existen roles por defecto

– CONNECT - permite a los usuarios conectarse a la BD y crear objetos.

– RESOURCE – proporciona a los usuarios los privilegios para crear procedimientos y triggers

– DBA –privilegios casi ilimitados

76

Creación y asignación de roles

77

Jerarquías de Roles

Usuarios

Roles de usuario

Roles de aplicación

78

Bibliografía• Fundamentals of Database Systems (4.edición

2004). Fundamentos de Sistemas de Bases de Datos (3.edición, 2002)Elmasri, Navathe Addisson Wesley

• Sistemas de Bases de Datos. Un enfoque práctico para diseño, implementación y gestión. (4. edición, 2005) T. Connolly, C. Begg Addison-Wesley

Documents

SEGURIDAD Seguridad. Definiciónsiul02.si.ehu.es/~jimena/ABD/fuentes/Seguridad07.pdf · • No lo ofrecen la mayoría de los SGBD comerciales. • Clases de seguridad: – TS (Top