Documente Academic
Documente Profesional
Documente Cultură
SEGURIDAD DE DATOS EN LA
WEB
COMERCIO ELECTRONICO
Contenido
Introduccin
Tipos de usuarios
Medidas de seguridad
Metodologa
Servicios de seguridad
Identificacin y autentificacin
Mecanismos de autenticacin
Identificacin fsica
Integrantes:
Docente:
Ing. Magno Balden Tovar
Pgina 2 de 16
COMERCIO ELECTRONICO
Pgina 3 de 16
COMERCIO ELECTRONICO
Subsistemas de Seguridad:
palabras claves.
Autorizacin: Comprende los datos ya permitidos para el acceso.
Uso de tcnicas de cifrado: Utilizada en bases de datos distribuidas o con acceso a la
Ya que todos los sistemas de base de datos estn expuestos a mltiples ataques es necesario
cumplir estos aspectos contemplados aqu a fin de poder reducir en grado de vulnerabilidad.
Tambin es necesario establecer los protocolos que se deben cumplir para su correcta
aplicacin.
Donde estn los intrusos
Existen ataques externos que son detectados y controlados por el firewall, pero aqu no
termina el problema, de igual forma existen ataques internos, donde se le permite al usuario
acceder libremente a la base de datos sin ningn tipo de proteccin suponiendo que el usuario
no actuara con malas intenciones sobre el contenido almacenado y de esta forma comienzan
un laberinto de problemas.
Diferentes tipos de ataques
Se los pude clasificar como:
Pgina 4 de 16
COMERCIO ELECTRONICO
Adquisicin
Fingerprinting/Sondeo/Descubrimiento
Obtencin de acceso
Estalacin de privilegios
Compromiso total del host
Seguridad fsica
Polticas y procedimiento
Seguridad a nivel de file system
Seguridad de entorno
Stored procedures
Passwords
controlados, pues son un punto de ataque. Los puertos en Oracle son 1521/tcp, Sql Server
utiliza puertos 1433/tcp y 1434/udp.
En el ao 2003 fue detectado uno de los gusanos llamado Sapphire, este era uno de los virus
infecciosos mas rapidos que atacaba a versiones no parchadas de Sql Server.
Entre los factores que contribuyeron a la infeccin tenemos: los administradores no aplicaban
parques correspondientes, cierta incapacidad por parte de Microsoft en servicios automticos
update y la falta de control en el port 1434/udp.
El puerto 1434/udp viene habilitado por defecto en toda instalacin Sql server 2000 que se lo
utiliza para diferentes actividades, y simplemente el hecho de bloquearlo hubiera sido necesario
para controlar un ataque infeccioso. Una de las causas es que se cree que al no estar
Pgina 5 de 16
COMERCIO ELECTRONICO
habilitado este puerto no funcionara bien el servicio de Sql Server, relativamente esto es falso
ya que se puede trabajar normalmente si se bloquea este tipo de puerto.
Servicios de seguridad
Autenticacin: Abarca la informacin referente a la interfaz Security Support Provider Interface
(SSPI) para acceder a los servicios de seguridad del sistema operativo. Ejemplo: el protocolo
Kerberos en Windows 2000 para la autenticacin de red.
Sistema de archivos encriptado: (Encrypted File System EFS) Permite la encriptacin de
archivos que luego sern almacenados en el disco.
Seguridad IP: (Windows IP Securitry) se lo utiliza para la defensa y proteccin de las redes.
Servicios de seguridad Windows 2000: Tiene como funcin examinar los procedimiento de
gestin de cuentas, autenticacin de red.
Tarjetas inteligentes: Utilizadas para examinar los procesos de autenticacin
Tecnologa de claves pblicas: Consiste en revisar la infraestructura de la clave incluida en
los sistemas operativos de Microsoft y adems nos proporciona informacin concerniente a
criptografa.
Identificacin y autentificacin
Aqu describiremos algunas de las formas de identificacin y autentificacin :
Cdigo y contrasea.
Identificacin por hardware.
Caractersticas bioantropomtricas.
Conocimiento, aptitudes y hbitos del usuario.
Informacin predefinida(Aficiones, cultura)
Es necesario que se especifique las actividades que podr realizar el usuario sobre la base de
datos.
Crear
Modificar
Eliminar
Borrar
Ejecutar procedimientos almacenados
Mecanismos de autenticacin
Claves: Se utiliza este tipo de autentificacin para elevar el nivel de seguridad, son fciles de
comprender y utilizar. Utiliza 7 caracteres en el que el propsito es crear una clave difcil de
descifrar por parte de extraos difcilmente esto se aplica ya que los usuarios generalmente
Pgina 6 de 16
COMERCIO ELECTRONICO
suelen utilizar claves de fcil acceso y esto es aprovechado por quienes desean accedes al
sistema de manera ilcita.
Identificacin fsica
En este tipo de autentificacin se contemplan el uso de elementos fsicos como tarjetas de
identificacin adicionalmente se acompaan de cdigos. Existen otros tipos que aaden
caractersticas humanas como el tono de voz, huella dactilar entre otros.
Pgina 7 de 16
COMERCIO ELECTRONICO
Pgina 8 de 16
COMERCIO ELECTRONICO
Pgina 9 de 16
COMERCIO ELECTRONICO
Pgina 10 de 16
COMERCIO ELECTRONICO
Pgina 11 de 16
COMERCIO ELECTRONICO
Pgina 12 de 16
COMERCIO ELECTRONICO
Pgina 13 de 16
COMERCIO ELECTRONICO
Pgina 14 de 16
COMERCIO ELECTRONICO
Pgina 15 de 16
COMERCIO ELECTRONICO
Pgina 16 de 16