SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 SEGURIDAD DE LA INFORMACIÓN Preparado por ORACLE Argentina Autores: Luis Carlos Montoya Fecha: Agosto de 2001

2 Luis Carlos Montoya Personal Fecha y Lugar de Nacimiento: 26 de Diciembre de Lomas de Zamora, Buenos Aires, Argentina DNI: luis.montoya@oracle.com Empresa: Argentina S.A. Puesto: Senior Sales Consultant, Sector Público Título Universitario: Ingeniero en Ciencias de la Computación e Informática. Educación Universitaria: Secundario: Primaria: Universidad de Costa Rica, San José, Costa Rica Colegio de San Luis Gonzaga, Cartago, Costa Rica Escuela Jesús Jiménez, Cartago, Costa Rica Experiencia Profesional Junio Agosto 2001 Argentina S.A., Buenos Aires, Argentina Agosto Junio 1996 Central America & Caribbean, San José, Costa Rica CONARE (Consejo Nacional de Rectores, Costa Rica) Analista de Sistemas Independiente. Casi 20 años de experiencia laboral en sistemas de información y un total de siete años trabajando para Corporation. Actualmente trabaja para la Unidad de Negocios del Sector Público de Argentina S.A. como Consultor Técnico especialista en Plataforma Internet, Productos de Tecnología y base de datos.

3 Seguridad y Control de Acceso En esta sección vamos a mencionar ciertos aspectos que deben ser considerados cuando se trata de la seguridad de la información y más aún cuando se espera brindar acceso vía web y sobre Internet. Se deben considerar, al menos, la autenticación de usuarios y servidores, la privacidad de los Datos, la integridad de la información y la protección de los servidores El control de acceso y la autenticación es el mecanismo que asegura que los clientes y los servidores son reconocidos y aceptados entre ellos según el tipo de transacción requerida. Las distintas transacciones que se realizan actualmente sobre conexiones de Internet requieren distintos tipos de autenticación: Si el usuario simplemente desea consultar información pública la autenticación no es necesaria. Si se está realizando una compra a través de la red, el comprador necesita confiar en que el vendedor es realmente quién dice ser y él, a su vez, garantizará la seguridad de la información que el cliente incluye en la transacción. El vendedor debe confiar en que el comprador está autorizado a utilizar la tarjeta (o método de pago involucrado) y que, en verdad, pagará por los bienes o servicios solicitados. Si se está efectuando una transacción digital muy delicada y sensible todos los involucrados en ella deben ser conocidos entre si de forma segura y confiable. El primer nivel de protección en un sistema se realiza a través de un código de usuario y una palabra clave. Si la palabra clave del usuario es adivinada o interceptada el acceso a toda la información y privilegios del usuario son obtenidos. Si el usuario debe acceder a múltiples servidores y bases de datos generalmente requiere de varias palabras clave. Esta situación genera esquemas de identificación de palabras claves muy simples e inclusive lleva a la escritura en papel o en algún documento de dichas palabras clave lo que permite su utilización por personas no autorizadas. Otro reto para la seguridad es garantizar la autenticación entre servicios, como pueden ser entre dos bases de datos que requieren completar una transacción en común. Idealmente la autenticación en la redes deberían permitir y garantizar el envío de las credenciales del usuario. Existen varias técnicas que aseguran la autenticación y control del acceso por parte de los usuarios a la información sensible. Es posible utilizar dispositivos que utilizan testigos o tokens:

4 Ejemplo de Autenticación con Tarjeta Datos Usuario Token Security Server Server Paso 1: Se ingresa Id. Usuario e información del token Paso 2: Se verifica el token suministrado Paso 3: El servidor de seguridad aprueba el token, autentica al usuario y permite su ingreso Otra posibilidad es la utilización de dispositivos biométricos y tecnología RADIUS que garanticen la autenticidad y seguridad Integración con dispositivos Biométricos Server Paso 1: El usuario ingresa su clave y su huella digital. Advanced Security valida la huella y autentica al usuario. Paso 2: provee el ingreso al usuario dependiendo de la autenticación de su huella digital. Cuando se realizan transacciones seguras sobre Internet se utilizan protocolos de seguridad basados en Infraestructuras de Clave Públicas (PKI) sobre SSL (Secure Socket Layer).

5 Soporte Estandar -SSL y PKI Autenticación Certificada Client El usuario se autentica mediante certificados sobre SSL (con Net8) Data Server El usuario se registra en su desktop y habilita su wallet provee una solución completa que permite la utilización de los distintos mecanismos de seguridad para la autenticación y control de acceso a la información que va desde el encriptamiento de los datos en el servidor, pasando por el encriptamiento de la información que viaja por las redes como también la utilización de códigos de usuario y palabras clave en forma directa o a través de directorios de información que utilizan protocolos LDAP para garantizar su seguridad. Administración Coorporativa de los usuarios con 8i Security Manager Administra usuarios y roles coorporativos Certificate Authority Crea certificados y wallets para usuarios, bases de datos, DBA s, LDAP Almacena usuarios, roles, bases de datos, wallets, certificados, información de configuración, etc. Manager Internet Directory Crea claves y administra las credenciales y sus preferencias Server Server 8i Los servidores se registran ellos mismos En el siguiente cuadro se especifican los requerimientos estándar de seguridad de la información y las soluciones del mercado disponibles en cada caso.

6 Requerim ientos de Seguridad! Privacidad e Integridad en las com unicaciones! Autenticación delusuario! Controlde A cceso! A dm inistración de usuarios! Flexibilidad y bajo Costo Encriptamiento (RC4, DES, MD5, etc.) Certificados X.509v3, smartcards, biométrica Políticas granulares de Control de Acceso Integración con LDAP Directory Estándares de Seguridad (FIPS 140, Common Criteria) Para cada una de estos requerimientos y según los estándares del mercado ha adaptado sus productos para dar soporte a estas normas, mecanismos y políticas. Asimismo, ha recibido la certificación correspondiente como proveedor calificado de productos que cumplen con estas normas de seguridad. En el siguiente cuadro se puede apreciar la propuesta para cada uno de los puntos anteriores. Respuesta O racle a los Requerim ientos Encriptamiento (RC4, DES, MD5, etc.) X.509v3, biométrico, smartcard Control de acceso granular Integración con LDAP Directory Estándares de Seguridad 8i e ias Advanced Security Internet Directory Label Security

7 Auditoría Este apartado analiza las posibilidades automáticas de auditoria de la base de datos y los distintos tipos de actividades que se realizan en el sistema que son sujetos de auditar, entre ellas: Modificaciones al modelo de datos (comandos DDL) Modificación de los datos (comandos DML) Conexiones a la base de datos Las actividades a auditar se configuran de manera flexible y pueden modificarse fácilmente. Generación de pistas de auditoría y su análisis La generación de pistas de auditoría nos permite mantener la historia de los cambios que se realizan a los datos e identificar: qué cambió, quién lo realizó y cuándo. A partir del análisis de esta información se puede llegar a determinar cómo cualquier dato o elemento obtuvo su valor actual. Los usuarios al interactuar con la aplicación realizan la manipulación de los datos y a partir de la definición de las operaciones que se desean auditar, el módulo de auditoría registrará los cambios realizados. Las actividades pueden auditarse desde dos puntos de vista: Quién las realizó: aquellos comandos ejecutados por un cierto usuario. Ej.: conexiones a la base de datos Qué objeto afectó: comandos realizados sobre un cierto objeto. Ej.: actualizaciones realizadas sobre domicilios

8 Funcionamiento del esquema de auditoría Objetos de la Aplicación Manipula Registra Repositorio de Auditoría Analiza Base de Datos En una aplicación hay distintas actividades que pueden auditarse, a saber: Modificaciones a la estructura en la que residen los datos (modelo de datos) Modificaciones a los datos Conexiones a la base de datos Una vez seleccionados los distintos componentes a ser auditados, estos se deben especificar en el módulo de auditoría el cual creará en el repositorio de auditoría los objetos necesarios para registrar la información solicitada. Los pasos para habilitar la auditoría son: 1. Identificar los objetos u estructuras de datos que deben ser auditadas con el fin de satisfacer los requerimientos de información necesarios para su posterior análisis 2. Determinar que elementos y acciones sobre dichos elementos se desea registrar. 3. Utilizar el módulo de auditoría para registrar la información definida en los puntos anteriores y de esta manera habilitar la auditoría sobre dichos objetos. 4. Verificar que las pistas de auditoría definidas sirvan para el análisis que se desea realizar. 5. Repetir los pasos anteriores hasta lograr que la información generada en el repositorio de auditoría sea la deseada. La información de auditoría generada varía según el tipo de actividad:

9 Para las modificaciones efectuadas a la estructura de datos: Usuario que realiza la operación Tipo de operación Objeto modificado Fecha y hora de la modificación Para las modificaciones a los datos que se realizan sobre las tablas auditadas: Usuario que realiza la operación Tipo de operación Fecha y hora de la modificación Módulo o transacción desde la cual se realiza la operación Valores nuevos de las columnas modificadas Funcionamiento de la recolección de información de auditoría Al elegir auditar una tabla existente en la aplicación el módulo creará en el repositorio una tabla conteniendo todos los campos de la tabla original más los campos con la información de auditoría. A partir de ese momento cada acción que se encuentre auditada y los usuarios ejecuten se registrará en el repositorio. Es importante tener en cuenta que estas tablas pueden llegar a ser más grandes que las tablas auditadas y están particionadas por fecha de operación. Análisis de la información recolectada El análisis de la información recolectada se realiza mediante el acceso al repositorio de auditoría con herramientas de consulta (Ej.: Discoverer). Dicho análisis puede realizarse a partir de consultas pre-definidas o realizadas ad hoc. Es posible que la información que se desea analizar no se encuentre en línea debido a que es necesario ir depurando la información almacenada en el repositorio por restricciones en el espacio disponible. En estos casos se deberá solicitar al operador del sistema la recuperación de la cinta de las particiones necesarias para luego proceder a analizar la información.