ACTIONS TO PREVENT VIOLATIONS OF THE INTEGRITY AND PRIVACY OF DATA STORED IN THE TRADE UNION PROCESSMANAGEMENT SYSTEM OF THE FACULTY 3

Transcripción

1 ACCIONES PARA LA PREVENCIÓN DE VIOLACIONES A LA INTEGRIDAD Y PRIVACIDAD DE LOS DATOS ALMACENADOS EN EL SISTEMA DE GESTIÓN DE PROCESOS SINDICALES DE LA FACULTAD 3 ACTIONS TO PREVENT VIOLATIONS OF THE INTEGRITY AND PRIVACY OF DATA STORED IN THE TRADE UNION PROCESSMANAGEMENT SYSTEM OF THE FACULTY 3 Elsydania López Guerra 1 1 Universidad de las Ciencias Informáticas, elguerra@uci.cu, La Habana, octubre de 2013

2 RESUMEN La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, en la información contenida o circulante. En el presente trabajo se abordarán las principales actividades realizadas para prevenir alteraciones o accesos no autorizados a la información contenida en la base de datos del Sistema de Gestión de los procesos sindicales de la Facultad 3 de la Universidad de las Ciencias Informáticas. Entre ellas destacan la creación de roles de login y de grupo, el otorgamiento de privilegios sobre objetos de la base de datos a dichos roles, la configuración del archivo pg_hba, entre otros. Palabras Clave Base de datos, Pg_hba, Postgresql, Privilegios, Rol, Seguridad ABSTRACT The computer security is the area of the informatics sciencies that focuses on the protection of computer infrastructure and everything related to this, and especially in the information. In the present paper will explain the main activities to prevent modifications or unauthorized access to the information contained in the database of the trade union Process Management System of the Faculty 3 in the University of Information Sciences. These include the creation of database roles, granting privileges to these roles on objects in the database, pg_hba file settings, among others. KeyWords Database, Pg_hba, Postgresql, Privileges, Role, Security

3 TABLA DE CONTENIDO INTRODUCCIÓN... 1 CONTENIDO... 3 Roles de grupo y login... 3 Privilegios... 6 Configuración del archivo pg_hba... 9 Otros elementos de interés para la seguridad CONCLUSIONES RECOMENDACIONES BIBLIOGRAFIA

4 INTRODUCCIÓN El mundo de hoy está sumergido en un incesante desarrollo tecnológico que proporciona como resultado un constante cambio en todas las esferas de la vida. Sin duda alguna, uno de los sectores que más ha evolucionado en estos últimos tiempos es el de la Informática y las Comunicaciones. Varios de los problemas vigentes en la sociedad mundial actual han sido solucionados mediante las tecnologías asociadas a esta rama del conocimiento. En este contexto, han surgido numerosas empresas o entidades de otro tipo con el propósito de desarrollar sistemas informáticos que brinden soluciones a problemas cotidianos. Cuba no ha quedado al margen de este proceso. La dirección del país se ha percatado de la importancia de la informática para el desarrollo de todas las esferas y por este motivo se han creado empresas de desarrollo de software y además universidades para el estudio de carreras asociadas a las Tecnologías de la Informática y las Comunicaciones (TIC). Una de las universidades más ligada a la formación de personal capacitado para la producción de software es la Universidad de las Ciencias Informáticas (UCI), creada en el año Esta se encuentra formada fundamentalmente por facultades, centros de desarrollo de software y además diferentes áreas que brindan soporte a la gestión de laboratorios, seguridad informática, alimentación, limpieza, entre otros. Las facultades se encuentran constituidas esencialmente por departamentos docentes, centros y otras estructuras organizativas. Entre ellas destaca la Facultad 3, donde se forman estudiantes y además se desarrollan proyectos informáticos. Las labores realizadas en la facultad son acometidas actualmente por cientos de profesionales, técnicos y personal de servicio, los cuales pertenecen a diferentes organizaciones políticas y de masas, entre las que se encuentra el Sindicato Nacional de Trabajadores de Cuba. En esta organización es de vital importancia mantener el control de varios aspectos relacionados con los trabajadores, entre los que destacan las finanzas, emulación, inquietudes, entre otros. Los dirigentes sindicales son los encargados de mantener los registros indispensables para el funcionamiento adecuado de las secciones existentes. Con el objetivo de acelerar la obtención de información relacionada con los procesos sindicales de cada una de las secciones sindicales de la facultad, se decidió construir un sistema informático. La información que se almacena y gestiona en este es de gran importancia, 2

5 por lo que debe ser preservada de alteraciones o accesos no autorizados. Sin embargo, en la actualidad la base de datos realizada no cuenta con los mecanismos indispensables para minimizar las posibilidades de ocurrencia de este tipo de violaciones a la seguridad. Por todo lo anteriormente expuesto se define como objetivo general del trabajo: Realizar acciones para prevenir violaciones a la integridad y la privacidad de los datos almacenados en el Sistema de Gestión de los procesos sindicales de la Facultad 3. En correspondencia con el objetivo general planteado se trazan los siguientes objetivos específicos: Definición de roles de login y de grupo. Establecimiento de privilegios sobre objetos de la base de datos. Configuración del archivo pg_hba. Definición de otras formas para preservar los datos. El presente trabajo está estructurado en Introducción, Contenido, Conclusiones, Recomendaciones y Bibliografía. Durante el desarrollo se expondrán los elementos asociados a los objetivos específicos, los cuales propiciarán el cumplimiento del objetivo general. Las conclusiones abordarán los puntos fundamentales derivados del desarrollo del trabajo y en las recomendaciones se ofrecerá una o varias sugerencias que podrían ser aplicadas en el futuro. CONTENIDO Roles de grupo y login En PostgreSQL se administran permisos mediante roles, los cuales pueden ser propietarios de objetos de bases de datos y pueden asignar privilegios a otros roles. Definir los que existirán en una base de datos es de vital importancia para minimizar posibles escenarios de ataques. Existen dos tipos de roles: login: Identifica a un usuario que puede conectarse a una base de datos grupo: Identifica a un grupo y se emplea para agrupar roles de login que comparten privilegios. No pueden conectarse a una base de datos. Los roles de grupo definidos en el clúster donde se encuentra la base de datos analizada son 3

6 los siguientes: admins: Agrupa a roles de login que se encargan de las actividades de administración del clúster. afiliados: Agrupa a roles de login que comparten los privilegios de conexión a la base de datos y uso del esquema donde se almacena la información del sistema. Además se definieron los siguientes roles de login: admin, admin2, común, financiero, secacta, secgral y emulacion. Estos son miembros de los roles de grupo anteriormente descritos (Ver Figura.1): Fig 1. Roles de grupo y login definidos A continuación se detallan las principales actividades que pueden realizar estos roles de login: admin: administrador del sistema encargado de realizar actividades de administración, y que es además un superusuario. admin2: rol encargado de las actividades rutinarias de administración de bases de datos y 4

7 roles, y no es un superusuario. El uso de este rol previene el peligro de operar como superusuario en tareas que no lo requieren en realidad. financiero: rol que posee privilegios de inserción, actualización y selección en las tablas destinadas a almacenar información sobre el pago de la cuota sindical y las MTT. secacta: rol que posee privilegios de inserción, actualización y selección en las tablas destinadas a almacenar información sobre los acuerdos e inquietudes. secgral: rol que posee privilegios de inserción, actualización y selección en las tablas destinadas a almacenar información sobre los datos de trabajadores, sección sindical a la que pertenecen, y altas y bajas. emulación: rol que posee privilegios de inserción, actualización y selección en las tablas destinadas a almacenar información sobre trabajadores destacados. comun: rol que posee privilegios de selección sobre las tablas de la base de datos. Para crear dichos roles se utilizaron los siguientes comandos: CREATE ROLE admins SUPERUSER NOINHERIT CREATEDB CREATEROLE; CREATE ROLE afiliados NOSUPERUSER NOINHERIT NOCREATEDB NOCREATEROLE; CREATE ROLE admin LOGIN ENCRYPTED PASSWORD 'bdsindicato.2013' SUPERUSER INHERIT CREATEDB CREATEROLE REPLICATION; GRANT admins TO admin; CREATE ROLE admin2 LOGIN ENCRYPTED PASSWORD 'admsindicato.2013' NOSUPERUSER INHERIT CREATEDB CREATEROLE NOREPLICATION; GRANT admins TO admin2; CREATE ROLE financiero LOGIN ENCRYPTED PASSWORD 'financiero.2013' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION; GRANT afiliados TO financiero; CREATE ROLE secacta LOGIN ENCRYPTED PASSWORD 'secacta.2013' 5

8 NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION; GRANT afiliados TO secacta; CREATE ROLE secgral LOGIN ENCRYPTED PASSWORD 'secgral.2013' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION; GRANT afiliados TO secgral; CREATE ROLE emulacion LOGIN ENCRYPTED PASSWORD 'emulacion.2013' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION; GRANT afiliados TO emulacion; CREATE ROLE comun LOGIN ENCRYPTED PASSWORD 'comun.2013' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION; GRANT afiliados TO comun; Privilegios Cada uno de los roles existentes en un clúster de bases de datos tiene asociado un conjunto de permisos. Los comandos para otorgar y revocar permisos o privilegios en PostgreSQL son GRANT y REVOKE respectivamente. El comando GRANT permite esencialmente otorgar privilegios específicos sobre objetos (tablas, vistas, base de datos, función, esquema, tablespace, etc) a uno o más roles. No es necesario otorgar privilegios al propietario de un objeto (usualmente el usuario que lo crea), ya que este posee por defecto todos los permisos. Por el contrario, el comando REVOKE es utilizado para revocar privilegios otorgados a uno o varios roles. Es importante destacar que los superusuarios pueden realizar operaciones sobre todos los objetos, independientemente de su configuración de privilegios. Además GRANT y REVOKE pueden ser ejecutados por roles que no son los propietarios del objeto afectado, pero que son miembros del rol que es dueño del objeto, o es un miembro de un rol que tiene privilegios WITH GRANT OPTION sobre el objeto. Es de gran importancia utilizar estos comandos para limitar las operaciones sobre los objetos de la base de datos para el Sistema de Gestión de procesos sindicales de la Facultad 3. Dicha base de datos fue nombrada sindicato, y de esta misma forma el esquema donde se encuentran las tablas. Ambos fueron creados por el superusuarioadmin. 6

9 CREATE SCHEMA sindicato AUTHORIZATION admin Además para revocar el privilegio de conexión a la base de datos sindicato a todos los usuarios se utilizó el siguiente comando: REVOKE CONECT ON DATABASE sindicato FROM PUBLIC; A continuación se asignó el privilegio de conexión a la base de datos sindicato al grupo afiliados, logrando de esta forma que todos sus miembros puedan acceder a ella. GRANT CONNECT ON DATABASE sindicato TO afiliados; De manera similar se asignó el privilegio de uso del esquema sindicato a todos los miembros del grupo afiliados. GRANT USAGE ON SCHEMA sindicato TO afiliados; Finalmente se procedió al otorgamiento de diferentes privilegios sobre las tablas de la base de datos a los roles financiero, secacta, secgral y emulación: El rol financiero solo podrá seleccionar, insertar y actualizar datos en las tablas dpagomtt y dpagocuotasindical. Además podrá seleccionar datos de las tablas dtrabajador y dtrabajadorseccion. GRANT SELECT, INSERT, UPDATE ON TABLE sindicato.dpagomtt TO financiero GRANT SELECT, INSERT, UPDATE ON TABLE sindicato.dpagocuotasindical TO financiero GRANT SELECT ON TABLE sindicato.dtrabajador TO financiero GRANT SELECT ON TABLE sindicato.dtrabajadorseccion TO financiero El rol secacta solo podrá seleccionar, insertar y actualizar datos en las tablas dacuerdo y dinquietud. 7

10 GRANT SELECT, INSERT, UPDATE ON TABLE sindicato.dacuerdo TO secacta GRANT SELECT, INSERT, UPDATE ON TABLE sindicato.dinquietud TO secacta El rol secgral podrá seleccionar e insertar datos en las tablas dtrabajadorseccion, dtrabajador y daltabaja. GRANT SELECT, INSERT ON TABLE sindicato.dtrabajadorseccion TO secgral GRANT SELECT, INSERT ON TABLE sindicato.dtrabajador TO secgral GRANT SELECT, INSERT ON TABLE sindicato.daltabaja TO secgral Además podrá realizar actualizaciones sobre la columna activo de la tabla dtrabajadorseccion, fecha y observaciones de la tabla daltabaja y afiliado y salario de la tabla dtrabajador. GRANT UPDATE (activo) ON TABLE sindicato.dtrabajadorseccion TO secgral GRANT UPDATE (fecha) ON TABLE sindicato.daltabaja TO secgral GRANT UPDATE (observaciones) ON TABLE sindicato.daltabaja TO secgral GRANT UPDATE (afiliado) ON TABLE sindicato.dtrabajador TO secgral GRANT UPDATE (salario) ON TABLE sindicato.dtrabajador TO secgral El rol emulacion podrá seleccionar e insertar datos en la tabla dtrabajadordestacado. Además podrá seleccionar datos de las tablas dtrabajador y dtrabajadorseccion. GRANT SELECT, INSERT ON TABLE sindicato.dtrabajadordestacado TO emulación GRANT SELECT ON TABLE sindicato.dtrabajador TO emulacion GRANT SELECT ON TABLE sindicato.dtrabajadorseccion TO emulacion El rol comun podrá seleccionar datos de todas las tablas de la base de datos. Lo anterior fue logrado ejecutando el siguiente comando: 8

11 GRANT SELECT ON ALL TABLES IN SCHEMA sindicato TO comun; Configuración del archivo pg_hba Los roles y privilegios asignados para acceder y realizar operaciones sobre la base de datos son de gran importancia para proteger la información almacenada, pero aún no son suficientes. Es esencial para la seguridad de los datos restringir cuáles roles y clientes pueden conectarse a cada base de datos. Lo anterior se logra configurando adecuadamente el archivo pg_hba.conf (PostgreSQL_Host-BasedAuthentication) de PostgreSQL, el cual controla cuáles host pueden conectarse, como los clientes se autentican, cuáles roles de PostgreSQL pueden usarse, cuáles bases de datos pueden ser accedidas. El archivo pg_hba es almacenado en el directorio del clúster de bases de datos. Además está formado por un conjunto de registros, uno por línea. Cada registro tiene los parámetros: tipo de conexión, rango IP cliente, base de datos, rol y método de autenticación. Si un registro es seleccionado y la autenticación falla, los siguientes registros no serán considerados y si no hay registros que coincidan, el acceso es denegado. Los registros en el pg_hba.conf son examinados secuencialmente para cada intento de conexión, por tanto, el orden de los registros es significativo. A la base de datos para el sistema de gestión en análisis solo se deben conectar clientes desde: Laboratorios de producción de los centros CEGEL y CEIGE (Rango de direcciones Ip: /16) Oficinas de los centros (Rango de direcciones Ip: /24) Departamentos docentes y oficinas de la facultad (Rango de direcciones Ip: /24, /24) A continuación se presenta la configuración realizada para el archivo pg_hba.conf: # TYPE DATABASE USER ADDRESS METHOD host sindicato +afiliados, +admins /24 md5 host sindicato +afiliados, +admins /24 md5 host sindicato +afiliados, +admins /16 md5 9

12 Con la configuración previa solo podrán acceder a la base de datos sindicato los miembros de los grupos afiliados y admins, desde clientes que se encuentren en los rangos de direcciones IP definidos, con el método de autenticación md5 y mediante conexiones remotas establecidas usando TCP/IP. Los clientes que intenten conectarse con características no coincidentes, serán rechazados. Otros elementos de interés para la seguridad Para lograr autenticarse en la base de datos los usuarios deben proporcionar usuarios, direcciones IP válidas y además una contraseña encriptada con md5. Este es uno de los algoritmos de encriptación más utilizado en la actualidad. Por defecto las contraseñas se guardan en la base de datos encriptadas mediante él, logrando así que ni intrusos e incluso administradores puedan determinarlas. Cuando este algoritmo es utilizado para la autenticación de clientes, las contraseñas son encriptadas antes de ser enviadas a través de la red, evitando así que terceros puedan adueñarse de ellas. Otro de los elementos importantes a tener en cuenta para minimizar las posibilidades de ataques es mantenerse al tanto de las actualizaciones de seguridad para la versión de PostgreSQL que se utiliza (9.1) y aplicarlas. Esta medida permitirá corregir vulnerabilidades existentes que podrían ser aprovechadas por cualquier atacante para violar la seguridad establecida. También podría ser de gran utilidad mantener un control de las operaciones realizadas (INSERT, UPDATE y DELETE) sobre todas o algunas tablas de la base de datos. Obtener este tipo de registro ayudaría a analizar la información con fines estadísticos y ante todo cualquier aspecto de la seguridad. En resumen este mecanismo se puso en práctica realizando los siguientes pasos: Se creó una tabla para realizar la auditoría llamada tbl_audit, la cual debe encargarse de almacenar información sobre las transacciones realizadas. Se creó una función que se encargue de obtener los datos de interés para que puedan ser analizados e insertados en la tabla "tbl_audit". Se creó un Trigger o Disparador en cada tabla que se desea auditar. 10

13 La tabla tbl_audit podría ser creada con las siguientes columnas: Identificador de la tabla Nombre de la tabla donde se realiza la operación Operación realizada (Insertar, Eliminar, Actualizar) Antiguo valor de la tupla Nuevo valor de la tupla Fecha y hora de realización de la operación Usuario que realiza la operación A continuación se muestra el código utilizado para crear la tabla: CREATE TABLE tbl_audit ( id serial NOT NULL, nombretablavarchar(100) NOT NULL, operacion char NOT NULL, oldvalue text, newvalue text, fecha timestamp without time zone NOT NULL, usuario character(45) NOT NULL, id_tabla integer, query text, client_adressinet, CONSTRAINT "PK20" PRIMARY KEY (id) ); Luego se creó la función encargada de obtener los datos de interés con el siguiente código: CREATE OR REPLACE FUNCTION guardardatos() RETURNS trigger AS $BODY $BEGIN IF (TG_OP = 'DELETE') THEN INSERT INTO tbl_audit ("nombretabla", "operacion", "oldvalue", "newvalue", "fecha", "usuario", "id_tabla", "query", "client_adress") VALUES (TG_TABLE_NAME, 'D', OLD, 11

14 NULL, now(), USER, OLD.id, current_query(), inet_client_addr()); RETURN OLD; ELSIF (TG_OP = 'UPDATE') THEN INSERT INTO tbl_audit ("nombretabla", "operacion", "oldvalue", "newvalue", "fecha", "usuario", "id_tabla", "query", "client_adress") VALUES (TG_TABLE_NAME, 'U', OLD, NEW, now(), USER, NEW.id, current_query(), inet_client_addr()); RETURN NEW; ELSIF (TG_OP = 'INSERT') THEN INSERT INTO tbl_audit ("nombretabla", "operacion", "oldvalue", "newvalue", "fecha", "usuario", "id_tabla", "query", "client_adress") VALUES (TG_TABLE_NAME, 'I', NULL, NEW, now(), USER, NEW.id, current_query(), inet_client_addr()); RETURN NEW; END IF; RETURN NULL; END; $BODY$ LANGUAGE plpgsql Una vez programada la función anterior, solo es necesario crear un disparador en cada tabla de la base de datos que se desee auditar. Como la base de datos analizada no cuenta con gran cantidad de tablas, se realizó esta operación en cada una de las existentes. A continuación se muestra el código del trigger realizado para la tabla dpagomtt, indicando que será ejecutada la función guardardatos después de la ejecución de una instrucción INSERT, UPDATE o DELETE. Una vez programada la función anterior, solo es necesario crear un disparador en cada tabla de la base de datos que se desee auditar. Como la base de datos analizada no cuenta con gran cantidad de tablas, se realizó esta operación en cada una de las existentes. A continuación se muestra el código del trigger realizado para la tabla dpagomtt, indicando que será ejecutada la función guardardatos después de la ejecución de una instrucción INSERT, UPDATE o DELETE. CREATE TRIGGER mtt_audit 12

15 AFTER INSERT OR UPDATE OR DELETE ON dpagomtt FOR EACH ROW EXECUTE PROCEDURE guardardatos(); Finalmente, después que se realizan operaciones sobre una tabla específica, pueden ser visualizados sus detalles en la tabla tbl_audit: Fig 2. Fragmento de la información almacenada en la tabla tbl_audit La tabla tbl_audit fue creada por el rol admin, por lo que se deben otorgar permisos de inserción en dicha tabla a todos los usuarios para lograr insertar los datos requeridos. GRANT INSERT ON TABLE tbl_audit TO public; GRANT UPDATE ON SEQUENCE tbl_audit_id_seq TO public Además de todas las acciones antes descritas, podrían realizarse copias de seguridad con frecuencia ya que son esenciales para las recuperaciones frente a fallos. CONCLUSIONES Mediante la creación de roles de grupo y login y el otorgamiento de privilegios sobre objetos de la base de datos, se logró establecer niveles de permisos acorde a cada una de las responsabilidades. La configuración del archivo pg_hba permite que solo los roles y los clientes autorizados 13

16 puedan autenticarse en la base de datos. La realización de las actividades propuestas en el presente trabajo permitirá que la base de datos del Sistema de Gestión de Procesos Sindicales de la Facultad 3 cuente con los mecanismos indispensables para minimizar las posibilidades de ocurrencia de violaciones a la seguridad de la información almacenada. RECOMENDACIONES Utilizar el protocolo de seguridad SSL para encriptar las comunicaciones cliente-servidor en aras de fortalecer aún más la seguridad de los datos almacenados. BIBLIOGRAFÍA Equipo de desarrollo de PostgreSQL. (s.f.). Guia del Administrador de PostgreSQL (Thomas Lockhart ed.). Frost, S. (2009). PostgreSQL Access Controls. PgCon2009. Jonh J., P. (2009). SQL Fundamentals (Third edition ed.). PostgreSQL. (s.f.). Recuperado el septiembre de 2013, de PostgreSQL Global DevelopmentGroup. (2011). PostgreSQL Documentation.California. PostgreSQL Global DevelopmentGroup. (2012). PostgreSQL 9.2 Documentation. California. PostgreSQL-es. (s.f.). Recuperado el septiembre de 2013, de Sotolongo León, A. (2011). Compendio de consultas útiles al catálogo de postgresql.la Habana, Cuba. Treat, R. (2009). PostgreSQL-8.4 Talk: No More Waiting.PgCon