Informe herramientas de monitoreo de base de datos

Y
Informe herramientas de monitoreo de base de datos

Autor(es):
JUAN PABLO AGUDELO RAMÍREZ
DIANA PAOLA VILLALOBOS
CESAR SIERRA VILLARREAL

Presentado a:
Instructora
INGRID CATERINE RAMÍREZ ALDANA

SERVICIO NACIONAL DE APRENDIZAJE “SENA”

GESTIÓN Y SEGURIDAD DE BASES DE DATOS (1792972)
BOGOTÁ
2019
1 1
 Informe herramientas de monitoreo de base de datos

Y
TABLA DE CONTENIDO

INTRODUCCIÓN .................................................................................................................. 3
Opciones de auditoría en versiones pre-12c ........................................................................... 4
Introducción a la Auditoría Unificada (Unified Auditing) ................................................. 5
Arquitectura de la Política de Auditoría Unificada (Unified Auditing) ............................. 5
RESPUESTAS A LOS INTERROGANTES PLANTEADOS .............................................. 7
¿Qué tipo de riesgos pueden ocasionar vulnerabilidades en las bases de datos? ............... 7
Amenazas........................................................................................................................ 7
Vulnerabilidades ............................................................................................................. 8
¿Para qué es importante desarrollar una estrategia de seguridad que ayude a proteger las
bases de datos? ................................................................................................................... 9
¿Qué tipo de consideraciones se deben tener en cuenta en ese tipo de estrategias?......... 10
Mejores prácticas en seguridad que ayudan a garantizar la integridad en base de datos . 10
BIBLIOGRAFÍA .................................................................................................................. 11

2 2
 Informe herramientas de monitoreo de base de datos

Y
INTRODUCCIÓN
Una de las principales funciones de un DBA es implementar seguridad en la base de datos.
Aunque si bien hay muchos aspectos relacionados a la aplicación de la misma, no siempre
todos son utilizados en todos las empresas. Pero a pesar de esto, puede que un DBA no
tenga que llegar a implementar una solución de autenticación basada en Kerberos pero
siempre va a tener la responsabilidad de saber que está pasando en su base de datos. Es
decir, quien se está conectado, que sentencias se están ejecutando, etc. La auditoría ha sido
desde hace años la manera de satisfacer esta necesidad. No solamente es fácil de
implementar y administrar, sino que además cubre todos los aspectos necesarios que un
DBA tiene que cuidar cuando se trata de proteger su base de datos.

3 3
 Informe herramientas de monitoreo de base de datos

Y
Opciones de auditoría en versiones pre-12c

En versiones anteriores a 12c, el DBA tiene a su disposición 5 tipos diferentes de auditoría.

Ellas son:

Mandatory Auditing: Este tipo de auditoría está siempre habilitada y monitorea las
operaciones que involucren el startup o shutdown de la base de datos. Además de estas
acciones, en cualquier momento que alguien utilice los roles predefinidos del sistema
SYSDBA, SYSASM o SYSOPER esa acción será auditada.

Standard Auditing: Este tipo de auditoría se habilita con el comando de AUDIT cuando es
necesario auditar sentencias SQL, privilegios, objetos de esquema, y actividades de red o
multitier. Este tipo de auditoría se define y controla completamente a nivel de base de
datos.

Auditoría basada en valores: La auditoría basada en valores fue introducida para poder
capturar los valores reales que se cambian cada vez que algún tipo de sentencia DML es
ejecutada en todas o determinadas filas de una tabla. Este tipo de auditoría aprovecha la
funcionalidad de los triggers de base de datos (construcciones PL/SQL que responden a
eventos) para lograr este objetivo.

Fine-Grained Auditing: La auditoría de grano fino se focaliza en una auditoria de

nivel más granular y las acciones auditadas se capturan basándose en el contenido accedido
o modificado. Se puede simplemente crear políticas para disparar eventos de auditoría
cuando alguien trata de realizar acciones que responden a las condiciones especificadas en
la definición de la política.

Sys Auditoría: Este tipo de auditoría en realidad permite monitorear las actividades de un
administrador del sistema. Los usuarios que se conecten como SYS serán auditados y los
registros de sus acciones serán escritos en un archivo de sistema operativo para evitar que
sean borrados de la tabla aud$ dentro de la base de datos. El parámetro de inicialización
AUDIT_SYS_OPERATIONS se utiliza para activar y desactivar la auditoria de SYS.
Como complemento de estas soluciones y para proteger la información sensible recolectada
tenemos a disposición el producto Oracle Audit Vault que se encarga de resguardar,
centralizar y gestionar los registros de auditoría de distintas bases de datos y múltiples
orígenes.

Combinando todas estas opciones, un DBA dispone de un completo arsenal con todas las
herramientas necesarias para gestionar la auditoría y así poder construir un sólido sistema
de monitoreo que le permita tener bajo control cualquier actividad sospechosa que pueda
ocurrir en la base de datos.
4 4
 Informe herramientas de monitoreo de base de datos

Y
Le damos la bienvenida entonces a la Auditoría Unificada (Unified Auditing) de Oracle
Database 12c!

Introducción a la Auditoría Unificada (Unified Auditing)

Oracle 12c ha introducido una forma completamente nueva de implementar y gestionar la

auditoría en la base de datos. Este nuevo esquema permite agrupar varias políticas en una
sola (de ahí el nombre de "unificada") permitiendo también crear políticas basadas en
acciones (action-based) y condiciones (condition-based) si así fuera necesario. La
implementación de este nuevo tipo de política es controlada por un usuario específico que
es el “owner” de las tablas de auditoría. Estas tablas tienen la particularidad que son de sólo
lectura (read-only), incluso para el propio usuario SYS. Por otro lado, todos los tipos
de auditoría disponibles que puedan generarse son administrados por un único usuario y en
una única tabla de seguimiento. Si se requiere dar acceso a algún usuario con nivel de
administrador a los datos de auditoría (trail), esto puede realizarce tranquilamente ya que
existen dos nuevos roles para tal fin, uno con privilegios únicamente de "viewer" y uno de
"admin".

Arquitectura de la Política de Auditoría Unificada (Unified Auditing)

Como señalábamos, Unified auditing a diferencia de las versiones anteriores, es propiedad

de una nueva cuenta de usuario: AUDSYS. Con la nueva arquitectura existen en la SGA
una serie de colas “background queues”, dos por cliente, que reciben los registros de
auditoría y los almacenan temporalmente, luego los datos son vaciados sobre la vista de
solo lectura UNIFIED_AUDIT_TRAIL (propiedad del usuario SYS). Esta tarea de
“flushing” la realiza un nuevo proceso background llamado Gen0 (General Task Execution
process) que continuamente, en un intervalo de 3 segundos, realiza la escritura sobre dicha
vista.

Como la vista es completamente de sólo lectura, no hay posibilidad que el usuario SYS
realice ninguna modificación, voluntaria o no, sobre la misma. Si por algún motivo se
requiere vaciar la información de la SGA manualmente, esto puede hacerse utilizando el
paquete DBMS_AUDIT_MGMT como se muestra a continuación,

SQL>Exec SYS.DBMS_AUDIT_MGMT.Flush_Unified_Audit_Trail;

No debería haber ninguna necesidad de utilizar de manera explícita el paquete ya que ese
intervalo predeterminado de 3 segundos se supone suficiente para capturar toda la
información de auditoría necesaria.

5 5
 Informe herramientas de monitoreo de base de datos

Y
Como se mencionó anteriormente, la información de auditoría es capturada en primera
instancia en colas de memoria en la SGA. Cuando una cola se llena, su contenido es
descargado (GEN0) y el cliente, por ejemplo RMAN, puede utilizar la otra cola para
continuar almacenando su información de auditoría. Puesto que la captura de esta
información de auditoría no necesariamente es un proceso síncrono y al ejecutarse el
mismo en tal corto intervalo de tiempo, no tiene impacto negativo en el rendimiento de la
base de datos. La memoria asignada por defecto dentro de la SGA para las colas es de 1
MB y puede ser configurada por el DBA con el
parámetro UNIFIED_AUDIT_SGA_QUEUE_SIZE (el valor máximo permitido es de 30
MB). La decisión para cambiar la memoria asignada debe hacerse en base a la cantidad
esperada de información de auditoría que se generará. Para la mayoría de los sistemas, el
valor por defecto de 1 MB debería ser suficiente.

Hay dos modos en los que operan las colas de auditoría en la SGA: inmediato (Immediate)
y encolado (Queued). Dependiendo del modo definido, la información de auditoría es
descargada de manera inmediata o se vacía cada cierto intervalo. El modo por defecto es de
encolamiento (queued) el cual hace que la información sea vaciada a disco sólo cuando las
colas en memoria están completas. El modo de escritura inmediata tiene una manera de
escribir la información mucho más agresiva y, en consecuencia, podría llegar a afectar al
rendimiento de manera significativa si la cantidad de información generada es alta. Se
puede variar entre ambos modos de escritura utilizando el
paquete DBMS_AUDIT_MGMT.

Podemos ver en el código de abajo como se habilita el modo de escritura IMMEDIATE

modificando la configuración por defecto.

SQL>EXECUTE DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_PROPERTY(-

DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, -

DBMS_AUDIT_MGMT.AUDIT_TRAIL_WRITE_MODE, -

DBMS_AUDIT_MGMT.AUDIT_TRAIL_IMMEDIATE_WRITE);

Utilizando el mismo paquete, puede ser habilitado nuevamente el modo default Queued-
Write.

Vale la pena mencionar que como la información de auditoría es generada y capturada

primero en la SGA, si ocurre un “crash” de instancia dentro del intervalo de timeout de 3
segundos podría producirse la pérdida de los datos de ese período de tiempo. Pero teniendo
en cuenta que ese intervalo es bastante corto, se supone que no debería haber una gran
cantidad de datos de auditoría perdidos, si es que pudiera existir alguno!
6 6
 Informe herramientas de monitoreo de base de datos

Y
RESPUESTAS A LOS INTERROGANTES PLANTEADOS

¿Qué tipo de riesgos pueden ocasionar vulnerabilidades en las bases de datos?

Amenazas
Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen
externo como por ejemplo las agresiones técnicas, naturales o humanos, sino también
amenazas de origen interno, como la negligencia del propio personal o las condiciones
técnicas, procesos operativos internos.

Generalmente se distingue y divide tres grupos

 Criminalidad: Son todas las acciones, causado por la intervención humana, que
violan la ley y que están penados por esta. Con criminalidad política se entiende
todas las acciones dirigido desde el gobierno hasta la sociedad civil.

 Sucesos de origen físico: Son todos los eventos naturales y técnicos, sino también
eventos indirectamente causados por la intervención humana.

 Negligencia y decisiones institucionales: Son todas las acciones, decisiones u

omisiones por parte de las personas que tienen poder e influencia sobre el sistema.
Al mismo tiempo son las amenazas menos predecibles porque están directamente
relacionadas con el comportamiento humano.

7 7
 Informe herramientas de monitoreo de base de datos

Y
Existen amenazas que difícilmente se dejan eliminar (virus de computadora) y por eso es la
tarea de la gestión de riesgo de proveerlas, implementar medidas de protección para evitar o
minimizar los daños en caso de que se realice una amenaza.

También existen otras amenazas que son muy alarmantes y se deben tomar en
consideración

 Falta de respaldo de datos.

 Pérdida de información por rotación, salida de personal.
 Abuso de conocimientos internos (no consultado en encuesta de organizaciones
sociales).
 Mal manejo de equipos y programas
 Acceso no autorizado

Vulnerabilidades

Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe una
amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede
ocasionar un daño.

Dependiendo del contexto de la organización, se pueden agrupar las vulnerabilidades en

grupos característicos: Ambiental, Física, Económica, Social, Educativo, Institucional y
Política.

8 8
 Informe herramientas de monitoreo de base de datos

Y
¿Para qué es importante desarrollar una estrategia de seguridad que ayude a proteger
las bases de datos?
La seguridad de la información se ocupa de proteger la confidencialidad, disponibilidad e
integridad en base de datos los activos de conocimiento de la organización. La forma de
lograrlo tiene que ver con:

Confidencialidad: Se trata del aspecto más importante de la seguridad de base de datos.

Este objetivo se alcanza a través de la encriptación ha de aplicarse a datos en reposo, pero
también a los datos que, por un motivo u otro, se encuentran en tránsito.

Integridad en base de datos: Busca garantizar que sólo las personas autorizadas a ello
podrán acceder a información privilegiada de la empresa. La integridad de una base de
datos se aplica a través de protocolos de autenticación, políticas internas (como las que
impulsan la seguridad de las contraseñas) y un sistema de control de acceso de usuario que
define los permisos que determinan quien puede acceder a que datos. Tampoco puede
olvidarse el tomar medidas que ayuden a conseguir que las cuentas no utilizadas queden
bloqueadas o sean eliminadas.

Disponibilidad: Hace referencia a la necesidad de que las bases de datos y toda la

información que contienen estén listas para su uso. Por una parte, se debe garantizar su
funcionalidad y confiabilidad mientras que, por otra, es recomendable planificar los
tiempos de inactividad fuera del horario laboral.

Garantizar la integridad en base de datos, así como su disponibilidad y confiabilidad es

determinante para el buen funcionamiento del negocio. Sin embargo, la amenaza no da
tregua y, al día de hoy, los ataques se multiplican, tanto en frecuencia como en objetivo.
Los piratas informáticos ya no codician sólo los activos informacionales de las
grandes corporaciones multinacionales, sino que tienen en su punto de mira a todo
tipo de empresas, independientemente de su tamaño, propósito o industria.

9 9
 Informe herramientas de monitoreo de base de datos

Y
¿Qué tipo de consideraciones se deben tener en cuenta en ese tipo de estrategias?

Mejores prácticas en seguridad que ayudan a garantizar la integridad en base de

datos
Una de las formas más efectivas de garantizar la integridad en base de datos es
implementando algunas de las mejores prácticas de seguridad. Entre ellas se encuentran las
siguientes:

 Recurrir al enmascaramiento de datos o permitir a los usuarios acceder a cierta

información sin poder verla ayuda a mantener la confidencialidad incluso en
entornos de pruebas.

 Minimizar los extras y limitarse a los servicios, aplicaciones y funcionalidades

que realmente son necesarios para asegurar el normal funcionamiento de las
operaciones del negocio, de esta forma se reduce el riesgo.

 Asegurarse de que los administradores de la base de datos entiendan la

importancia de garantizar su protección.

 Mantener actualizadas las bases de datos y eliminar los componentes

desconocidos.

 Recurrir a herramientas como el análisis de código estático, que ayudan a

reducir los problemas de inyección de SQL, desbordamiento de búfer y problemas
de configuración.

 Hacer copias de seguridad frecuentes y emplear una fuente de alimentación

ininterrumpida o SAI que garantice que un corte de energía no causa la pérdida de
datos.

10 10
 Informe herramientas de monitoreo de base de datos

Y
BIBLIOGRAFÍA
Perez .J. (2015). Oracle Database 12c: “Auditoría unificada (Unified Auditing)”.
Recuperado el 06 de julio de 2019 de
https://www.oracle.com/technetwork/es/articles/idm/auditoria-unificada-database-12c-
2538967-esa.html

Gestión de Riesgo en la Seguridad Informática (n.d.). Recuperado el 6 de julio de 2019 de

https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

El valor de la gestión de datos (2017). Recuperado el 6 de julio de 2019 de

https://blog.powerdata.es/el-valor-de-la-gestion-de-datos/la-importancia-de-la-seguridad-e-
integridad-en-base-de-datos

11 11