Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

UNIDAD 5: SEGURIDAD

No description
by

Cecilio Antonio Hernandez

on 29 November 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of UNIDAD 5: SEGURIDAD

UNIDAD 5: SEGURIDAD
Temas 5.2-5.4
5.2
Migración de la Base de Datos
5.3
Monitoreo y auditoría de la Base de Datos
5.3.1 Monitoreo
5.3.1.1 Monitoreo general de un DBMS
5.3.1.2 Monitoreo de espacio en disco
5.3.1.3 Monitoreo de logs
5.3.1.4 Monitoreo de memoria compartida
5.3.1.5 Monitoreo de Base de Dato
5.3.1.6 Monitoreo de modos de operación
5.3.1.7 Monitoreo de espacios espejados
5.3.2 Auditoria
5.3.2.1 Habilitación y deshabilitar el modo auditoria
5.3.2.2 Consultas de las tablas vistas con la información de la auditoría
5.4
Herramientas de SW y HW para monitoreo y administración automática

5.2.- MIGRACION DE LA BASE DE DATOS

Los conceptos esenciales de la migración describen cambios realizados en el soporte para el desarrollo de aplicaciones, cambios el soporte de nuevas funciones, funciones no soportadas y funciones en desuso que pueden afectar a las aplicaciones de base de datos, scripts y herramientas.
Migración de aplicaciones de BD dentro de DB2
Cambios en el soporte de los sistemas operativos
Cambios en los controladores de las aplicaciones
Cambios en el soporte del software de desarrollo
Cambios en las API de DB2 y en los mandatos de DB2
Cambios en la sintaxis de las sentencias de SQL
Cambios en las vistas y rutinas administrativas de SQL y en las vistas de catálogo
Paquetes de base de datos
Cambios en el soporte de 32 bits y 64 bits
Cambios en el comportamiento del servidor DB2
Soporte de conectividad de clientes DB2

5.3.- MONITOREO Y AUDITORIA DE LA BASE DE DATOS

La auditoría y la protección de bases de datos (DAP) representa un avance evolutivo importante con respecto a anteriores herramientas de monitoreo de actividad en bases de datos (DAM). Los gerentes de seguridad, los administradores de bases de datos (DBAs) y otros interesados, que estén preocupados con proteger datos sensibles en las bases de datos, deben evaluar estas herramientas.
5.3.1 MONITOREO

El término Monitoreo es un término no incluido en el diccionario de la Real Academia Española (RAE). Su origen se encuentra en monitor, que es un aparato que toma imágenes de instalaciones filmadoras o sensores y que permite visualizar algo en una pantalla. El monitor, por lo tanto, ayuda a controlar o supervisar una situación.

Esto nos permite inferir que monitoreo es la acción y efecto de monitorear, el verbo que se utiliza para nombrar a la supervisión o el control a través de un monitor. Por extensión, el monitoreo es cualquier acción de este tipo, más allá de la utilización de un monitor.
5.3.1.1 MONITOREO GENERAL DE UN DBMS

DAP— un término que Gartner desarrolló para remplazar el anterior concepto de DAM —se refiere a las suites de herramientas que se utilizan para apoyar la identificación y reportar comportamiento inapropiado, ilegal o de otra forma indeseable en las RDBMSs, con mínimo impacto en las operaciones y la productividad del usuario. Estas suites han evolucionado de herramientas DAM — que ofrecían análisis de la actividad del usuario en las RDBMSs y alrededor de ellas— para abarcar un conjunto más integral de capacidades, que incluyen:
• Descubrimiento y clasificación.
• Gestión de vulnerabilidades.
• Análisis al nivel de aplicación.
• Prevención de intrusión.
• Soporte de seguridad de datos no estructurados.
• Integración de gestión de identidad y acceso.
• Soporte de gestión de riesgos.

5.3.1.2 MONITOREO DE ESPACIO EN DISCO


El espacio en disco.

El abaratamiento de los discos ha reducido considerablemente la incidencia del espacio ocupado por los usuarios. No obstante, los discos requieren administración: hay que instalarlos, darles formato, montarlos en otras máquinas, respaldarlos, monitorearlos. Aunque el espacio en disco sea suficiente, es preciso insistir ante los usuarios para hacer un uso racional del recurso.
Comandos para el monitoreo del espacio en disco
quot

du
El comando
du
da un resumen del uso de disco en una rama de directorios.
du -s /export/home/*

Muestra el total para cada rama de subdirectorio bajo /export/home;

Esto no es efectivo para ver el consumo total de cada usuario si los usuarios tienen archivos en otras partes del sistema.
df
El comando
df
da un resumen del uso del espacio a nivel de todo el sistema:
df
Muestra el espacio utilizado en cada sistema de archivos, incluso a veces en los que están montados vía NFS. Si se indica uno en particular, da el espacio utilizado en ese sistema de archivos: df /dev/hda2.

El comando
quot
informa sobre el espacio en disco consumido por los usuarios en cada sistema de archivos: quot -f /dev/hda2

Proporciona una lista de la cantidad de bloques y archivos a nombre de cada usuario.
5.3.1.3 MONITOREO DE LOGS

Monitorear el log de transacciones es una de las actividades más importantes para los administradores de bases de datos, ya que en caso de que este llegara a llenarse, no podrían llevarse a cabo más transacciones sobre esta base de datos quedando fuera de servicio.

Monitoreando el log de transacciones(SQL SERVER)

Monitorear el log regularmente puede ayudarnos a resolver varios problemas dentro de nuestros sistemas, ya que este puede indicarnos si existen demasiadas transacciones realizadas por una sola aplicación, que podría resultar en un mal diseño o simplemente la necesidad de planear mejor los recursos de log en nuestro servidor de base de datos.
Monitoreo de Logs
Una de ellas es mediante un comando desde el analizador de consultas:

Desde el analizador de consultas ejecutar el comando DBCC SQLPERF(LOGSPACE).



Monitoreo de Logs
La otra utilizando los contadores de SQL Server desde el sistema operativo.
Monitoreo de Log transacciones
La manera de monitorear un log de transacciones, puede llevarse a cabo de 2 maneras
5.3.1.4 MONITOREO DE MEMORIA COMPARTIDA

SGA de Oracle (Sistema de Área Global)

Es un conjunto de áreas de memoria compartida "instancia" (un ejemplo es los programas de bases de datos y la memoria RAM).
Sirve para facilitar la transferencia de información entre usuarios y también almacena la información estructural de la BD más frecuentemente requerida.
La SGA se divide en varias partes:
Buffers de BD, Database Buffer Cache
Es el caché que almacena los bloques de datos leídos de los segmentos de datos de la BD, tales como tablas, índices y clusters. Los bloques modificados se llamas bloques sucios. El tamaño de buffer caché se fija por el parámetro DB_BLOCK_BUFFERS del fichero init.ora.
Buffer Redo Log
Los registros Redo describen los cambios realizados en la BD y son escritos en los ficheros redo log para que puedan ser utilizados en las operaciones de recuperación hacia adelante, roll-forward, durante las recuperaciones de la BD. Pero antes de guardar cambios en los ficheros redo log, son escritos en un caché de la SGA llamado redo log buffer.
Área de SQL Compartido, Shared SQL Pool
En esta zona se encuentran las sentencias SQL que han sido analizadas. El análisis sintáctico de las sentencias SQL lleva su tiempo y Oracle mantiene las estructuras asociadas a cada sentencia SQL analizada durante el tiempo que pueda para ver si puede reutilizarlas. Antes de analizar una sentencia SQL, Oracle mira a ver si encuentra otra sentencia exactamente igual en la zona de SQL compartido. Si es así, no la analiza y pasa directamente a ejecutar la que mantiene en memoria. De esta manera se premia la uniformidad en la programación de las aplicaciones.
5.3.1.5 MONITOREO DE BASE DE DATOS

Procedimiento Monitoreo de la Base
de Datos Oracle10g


Se establece que se debe realizar una revisión periódica mensual de la base de datos institucional (Oracle10g), con la finalidad de identificar oportunamente cualquier anomalía que pueda afectar el rendimiento de la misma. El encargado de realizar este proceso es el Administrador de la Base de Datos, en la Unidad de Informática del CATIE.
Revisión de las Tablas del Esquema APLIC
A. Verificar que el tablespace este asignado correctamente a uno válido para el Esquema.

B. Que no se encuentre particionada.

D. Que el número de registros no exceda el tamaño según la funcionalidad de cada tabla.

Revisión de los Índices del Esquema APLIC

A. Verificar que el tablespace este asignado correctamente a uno válido para el Esquema

B. Que no se encuentre particionado

C. Que el estado sea válido.

Revisión de los Procedimientos del Esquema APLIC

A. Verificar que el estado sea válido

Revisión de los Tablespaces en Almacenamiento

A. Verificar el estado sea ONLINE

B. Que el espacio usado no sobre pase el 85%, si no debe asignársele más espacio en disco.

Revisión de los Archivos de Datos en Almacenamiento

A. Verificar el estado sea ONLINE

B. Si el espacio usado no sobre pase el 85%, debe asignársele más espacio en disco, creando un nuevo archivo de datos.

Revisión de los Segmentos de RollBack en Almacenamiento

A. Verificar el estado sea ONLINE

MONITOREO DE BASE DE DATOS
Revisión del espacio físico desde el S.O. del servidor ADMIN. (root)
A. Ejecutar el comando:
$ df -k | grep dsk
5.3.1.6 MONITOREO DE MODOS DE OPERACION
Varios Consejos técnicos y libros se han escrito en los últimos años sobre la modalidad de operaciones continua para garantizar copias de seguridad adecuadas en la Base de Datos.

Sin embargo, poco se ha dicho acerca de la supervisión en este modo de operacion,por ello se ha escrito este consejo tecnico para saber como hacer copias de seguridad mas fluidas.
¿CUAL ES EL MODO DE FUNCIONAMIENTO CONTINUO?

*Es un modo especial en las bases de datos especializadas.
*Permite realizar copias de seguridad instantanea en su entorno.
*Se puede realizar en cualquier momento del dia.
*Escribe un archivo fisico independiente llamado
"archivo delta"
*Se obtiene una copia de seguridad que incluye el estado de la base de datos
en un solo momnto en el tiempo.
5.3.1.7 MONITOREO DE ESPACIOS ESPEJEADOS
5.3.2 AUDITORIA

Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas.

5.3.2.1 HABILITACION Y DESHABILITAR EL MODO AUDITORIA
Funcionamiento comando audit (Oracle):

El comando audit permite iniciar los tipos de auditoría que a continuación se detallan. Este comando puede funcionar aunque no esté activada la auditoría de la base de datos, pero no dejará constancia, para que funcione correctamente es necesario que la auditoría esté activada.
Sintaxis:

AUDIT
{ sql_statement_clause | schema_object_clause | NETWORK }
[ BY { SESSION | ACCESS } ]
[ WHENEVER [ NOT ] SUCCESSFUL ] ;


sql_statement_clause
: activa la auditoría para una sentencia SQL concreta.

schema_object_clause
: activa la auditoría para un objeto concreto de la base de datos.

WHENEVER SUCCESSFUL
: activa la auditoría sólo para operaciones e instrucciones SQL en objetos de esquema que se completen con éxito.

WHENEVER NOT SUCCESSFUL
: activa la auditoría sólo para operaciones e instrucciones SQL en objetos de esquema que originen error.

Funcionamiento comando noaudit:

La instrucción noaudit se utiliza para detener la actividad de auditoría que se había activado previamente con la instrucción audit. Esta instrucción no influye en el parámetro audit_trail.

Sintaxis:
NOAUDIT
{ sql_statement_clause | schema_object_clause | NETWORK}
[WHENEVER [NOT] SUCCESSFUL];


sql_statement_clause
: detiene la auditoria de una sentencia SQL concreta.

schema_object_clause
: detiene la auditoría para un objeto concreto de la base de datos.

WHENEVER SUCCESSFUL
: detiene la auditoría sólo para operaciones e instrucciones SQL en objetos de esquema que se completen con éxito.

WHENEVER NOT SUCCESSFUL
: detiene la auditoría sólo para operaciones e instrucciones SQL en objetos de esquema que originen error.
5.3.2.2 CONSULTA DE LAS TABLAS VISTAS CON LA INFORMACION DE LA AUDITORIA
Dependiendo del tipo de auditoría que queramos consultar utilizaremos una u otra consulta SQL.

Para el caso de la auditoría de inicio de sesión utilizaremos la siguiente consulta SQL:

select OS_Username Usuario_SO,
Username Usuario_Oracle, Terminal ID_Terminal,
DECODE (Returncode, '0', 'Conectado', '1005', 'Fallo - Null',
1017, 'Fallo', Returncode) Tipo_Suceso,
TO_CHAR(Timestamp, 'DD-MM-YY HH24:MI:SS') Hora_Inicio_Sesion,
TO_CHAR(Logoff_Time, 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion
from DBA_AUDIT_SESSION;

Para el caso de la auditoría de acción utilizaremos la siguiente consulta SQL:


select OS_Username Usuario_SO,
Username Usuario_Oracle, Terminal ID_Terminal,
Owner Propietario_Objeto,
Obj_Name Nombre_Objeto,
Action_Name Accion,
DECODE (Returncode, '0', 'Realizado', 'Returncode') Tipo_Suceso,
TO_CHAR (Timestamp, 'DD-MM-YY HH24:MI:SS') Hora
from DBA_AUDIT_OBJECT;
5.4.- HERRAMIENTAS DE SOFTWARE Y HARDWARE PARA MONITOREO Y ADMINISTRACION AUTOMATICA
Herramientas de Microsoft SQL Server

Estas herramientas son el Profiler y el Performance monitor.

*Permiten ver los procesos en ejecucion del servidor
*Ayudan a ver como esta el rendimiento del sistema

PROFILER

-Permite crear trace para dar seguimiento a las ejecuciones y consultas que se ejecutan en el servidor
-Podemos tener acceso en la dirección Start > Program Files > Microsoft SQL Server > Profiler.
-Se pueden filtar traces especificando el nombre de la aplicacion a la que se le quiere dar seguimiento.

PERFORMANCE MONITOR

-Con esta herramienta se visualiza como se esta comportando el disco duro
-A demas de como la base de datos utiliza la memoria y el procesador del servidor los cuales deberían mantenerse por debajo de un 20%
Herramientas de MySql

MySQL-Proxy
es una herramienta para monitorear y optimizar consultas y búsquedas.

1.- Hacer un Log de todas las consultas que recibe el Servidor
2.- Denegar consultas peligrosas que puedan dañar nuestra base de datos
3.- Generar Alias de comandos comunes por ejemplo SLE se podría convertir en SELECT
4.- Balancear la carga entre varios servidores de MySQL en un esquema de Master/Slave
5.- Dar prioridad a ciertas consultas para acelerar la respuesta del servidor

¡¡¡¡GRACIAS!!!!
Base de Datos Espejo (Database Mirroring) es una configuración donde dos o tres servidores de base de datos, se ejecutan en equipos independientes, cooperan para mantener copias de la base de datos y archivo de registro de transacciones (log).
Tanto el servidor primario como el servidor espejo mantienen una copia de la base de datos y el registro de transacciones

El tercer servidor es llamado "
servidor árbitro
", es usado cuando es necesario determinar cuál de los los otros dos servidores puede tomar la propiedad de la base de datos.


El árbitro no mantiene una copia de la base de datos.

La configuración de los tres servidores de base de datos (el primario, el espejo y el árbitro) es llamado Sistema Espejo (Mirroring System), y el servidor primarioy espejo juntos son llamados Servidores Operacionales (Operational Servers) o Compañeros (Partners).
BIBLIOGRAFIA
Guía de migración. DB2 Version 9 Para Linux, UNIX y Windows (IBM)

http://iie.fing.edu.uy/ense/asign/admunix/espdisco.htm#Monitoreo
Víctor A. González Barbone.
Instituto de Ingeniería Eléctrica - Facultad de Ingeniería -Montevideo,Uruguay.

Base de Datos 2. Guía 8 Auditoria de la Base de Datos Universidad don Bosco

El monitoreo de la actividad en bases de datos está evolucionando hacia la auditoría y la protección de bases de datos
Analista(s): Jeffrey Wheatman
22 de febrero de 2012 ID: G00230083

http://www.slideshare.net/yazminic/herramientas-de-control-monitoreo-y-acceso-a-base-de-datos

http://docs.oracle.com/cd/E24842_01/html/E23286/auditref-36.html
Full transcript