Cet ouvrage fait partie de la bibliothèque YouScribe
Obtenez un accès à la bibliothèque pour le lire en ligne
En savoir plus

Las bases de datos, su seguridad y auditoría: el caso de MySQL

De
244 pages

El presente Proyecto Fin de Carrera, perteneciente a la titulación de Ingeniería Técnica en Informática de Gestión de la Universidad Carlos III de Madrid, tiene como finalidad el estudio de la Auditoría de la seguridad en un Sistema Gestor de Base de Datos, siendo el caso concreto MySQL. El auditor debe tener la capacidad y los conocimientos necesarios para revisar y evaluar el control interno del entorno en que se desarrolla la base de datos, capacidad para revisar riesgos y controles, evaluar y recomendar mejoras, etc. Como punto importante, la Información es un activo clave en toda organización, por ello, la labor del auditor es de suma importancia. El estudio de la auditoría de la seguridad de MySQL comienza desde el conocimiento general del auditor tanto de la seguridad (políticas, estándares, normas…) como de las bases de datos, y más concretamente de la base de datos MySQL.Finalmente, se aborda la auditoría de un aspecto concreto de MySQL: su seguridad. -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
This project, part of the Technical Engineering Degree in Computer Science by Carlos III University of Madrid, aims the study of the security and audit of Database Management Systems, being the case MySQL. Auditors must have the ability and knowledge to review and evaluate the internal control of the database environment, the ability to review risks and controls, evaluate and recommend improvements, etc. As important point, the information is a key asset in any organization, therefore the auditor's work is of paramount importance. The study of the security audit of MySQL starting from the auditor general knowledge of security (policies, standards, rules...) as databases, and more specifically the MySQL database. Finally, the audit tackle a specific aspect of MySQL: its security.
Ingeniería Técnica en Informática de Gestión
Voir plus Voir moins




Escuela Politécnica Superior

Ingeniería Técnica en Informática de Gestión






LAS BASES DE DATOS, SU SEGURIDAD Y
AUDITORÍA. EL CASO DE MYSQL

Leganés, 2011














AUTOR: Jessica Pérez Sandoval
TUTOR: Miguel Ángel Ramos González


PROYECTO DE FIN CARRERA


Las bases de datos, su seguridad y auditoría.
El caso de MySQL


Autor: Jessica Pérez Sandoval
Tutor: Miguel Ángel Ramos González


EL TRIBUNAL


Presidente: Ana Isabel González-Tablas Ferreres


Vocal: Harith Aljumaily


Secretario: Antonio García Carmona


Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el
día 8 de abril de 2011 en Leganés, en la Escuela Politécnica Superior de
la Universidad Carlos III de Madrid, acuerda otorgarle la
CALIFICACIÓN de



VOCAL





SECRETARIO PRESIDENTE

- 2 -



A la memoria de mis abuelos

A la pequeña Sara,
porque algún día pueda sentirse orgullosa de mí
- 3 -

Agradecimientos


Me gustaría que estas líneas sirvieran para expresar mi más profundo y sincero
agradecimiento a todas aquellas personas que con su ayuda han colaborado de alguna forma
en la realización del presente trabajo.

En primer lugar quisiera agradecer a Miguel Ángel Ramos González, tutor de este
proyecto, su profesionalidad, orientación, disponibilidad, seguimiento y buen trato recibido.
Sin su apoyo este trabajo nunca hubiera sido posible.

A mis padres, por animarme, por creer en mí y por apoyarme siempre, no sólo en
este proyecto, sino en todas las áreas de mi vida. A mi hermana Vanesa, por ser la mejor
amiga que puedo tener. Por sus reprimendas y sus ánimos, por saber en todo momento qué
es lo que necesitaba para seguir adelante. A Eduardo, por enseñarme a que nunca hay que
rendirse y que con esfuerzo todo se consigue.
Gracias a ellos tengo la certeza de que las buenas personas existen, y son para mí el
mejor ejemplo a seguir.

A mis compañeros de trabajo: José Manuel, Vanesa y María Jesús. Jamás pensé que
tendría la suerte de trabajar con personas tan estupendas. A D. Juan Carlos Falcón por
ofrecerme la posibilidad de compaginar estudios y trabajo, por su flexibilidad y
comprensión.

A mis compañeros de universidad: por los momentos vividos, por las experiencias
compartidas, por las lecciones aprendidas.

A la Universidad, porque en ella he vivido una de las experiencias más gratificantes
y enriquecedoras. Y a los profesores: los de verdad, los que desean enseñar y lo hacen con
todo su empeño.

A todos ellos, GRACIAS.


- 4 -


- 5 -

Índice general




12 Resumen
Abstract 13


Introducción 14
1.Motivación 14
2.Objetivos 14
3.Glosario de términos 15
4. Estructura del PFC 19
5. Código Abierto y Software libre 20


BLOQUE I: LA SEGURIDAD

1. SEGURIDAD INFORMÁTICA 25
1.1. INTRODUCCIÓN 25
1.2. CONCEPTOS Y DEFINICIONES 26
1.3. ELEMENTOS DE LA SEGURIDAD INFORMÁTICA 29
1.3.1 Confidencialidad 30
1.3.2. La integridad 31
31 1.3.3. La disponibilidad
1.3.4. La autenticidad 32
1.3.5. Imposibilidad de rechazo (no repudio) 32
1.3.6. Conclusión 32
1.4. TIPOS DE SEGURIDAD INFORMÁTICA 33
33 1.4.1. Seguridad lógica
1.4.2. Seguridad física 36
1.5. AMENAZAS A LA SEGURIDAD 37
1.5.1. Atacantes pasivos 39
1.5.2. Ataques activos 39
1.5.3. Otras clasificaciones 40
1.5.4. Amenazas, riesgos y ataques en Seguridad Lógica 41
1.5.5. Riesgos y amenazas en la Seguridad Física 45
1.6 MEDIDAS DE PREVENCIÓN Y CONTROL 49
1.6.1 Seguridad de los recursos humanos o ligados al personal 50
1.6.2 Seguridad física y del entorno 51
1.6.3 Seguridad interna 52
1.6.4 Seguridad externa 52
1.7. IMPLEMENTACIÓN SEGURIDAD INFORMÁTICA 53
1.7.1 Ayuda al control de la seguridad: La norma ISO-IEC 27002 54
1.7.2 Enfoque conceptual del IT Governance Institute (COBIT) 58
1.7.2.1.Audiencia 63
1.7.2.2. Principios del marco referencial 63

- 6 -

BLOQUE II: LAS BASES DE DATOS Y SGBD


2. LAS BASES DE DATOS 76
2.1 INTRODUCCIÓN 76
2.2. CONCEPTOS Y DEFINICIONES 79
2.2.1. Ventajas de las bases de datos 81
2.2.2. Inconvenientes de las bases de datos 84
2.3. CONCEPTOS NECESARIOS EN UNA BASE DE DATOS 86
2.4. ADMINISTRADOR DE LA BASE DE DATOS (DBA) 87
2.5. SISTEMAS GESTORES DE BASES DE DATOS 89
2.5.1. Características de un SGBD 89
2.5.2. Lenguajes de los SGBD 92
2.5.3. Estructura de un SGBD 93

2.6. TIPOS DE ARQUITECTURAS DE BASES DE DATOS 95
2.6.1. SGBD centralizados 95
2.6.2. Cliente/Servidor 96
2.6.2.1. Motores de Bases de Datos Multiprocesos 97
2.6.2.2. Motores de Bases de Datos Multihilos 98
2.6.3. SGBD Paralelos 99
2.6.4. SGBD Distribuidos 99
2.6.5. SGBD Relacionales 100
2.7. EL LENGUAJE SQL 102
2.7.1. Conexión, sesión y transacción 104
2.7.2. Usuario y privilegio 104

3. SGBD MySQL 105
3.1 INTRODUCCIÓN 105
3.2. PRINCIPALES CARACTERÍSTICAS DE MySQL 106
3.3. TIPOS DE TABLAS 110
3.3.1 Tablas ISAM (Método de Acceso Secuencial Indexado) 110
110 3.3.2 Tablas MyISAM
3.3.2.1. Tablas estáticas 111
3.3.2.2. Tablas Dinámicas 111
3.3.2.3 Tablas comprimidas 112
3.3.3. Tablas Merge 112
113 3.3.4. Tablas Heap
3.3.5. Tablas Innodb 113
3.4. ALMACENAMIENTO DE DATOS EN MySQL 113
3.5. ESTRUCTURA INTERNA DE MySQL 115
3.5.1 Administración de MySQL 117
118 3.5.2. Seguridad en MySQL
3.5.2.1. Seguridad externa 119
3.5.2.2. Seguridad interna 122





- 7 -


BLOQUE III: LA AUDITORÍA

4. AUDITORÍA 130
4.1. INTRODUCCIÓN 130
4.2. DEFINICIONES 133
4.2.1. El método de auditorías 135
4.2.2. Características de la auditoría informática 136
4.3. AUDITORÍA DE LA SEGURIDAD INFORMÁTICA 137
4.4. METODOLOGÍA DE TRABAJO (AUDITORÍA INFORMÁTICA) 139
4.4.1. Definición de alcance y objetivos 139
4.4.2. Estudio inicial 140
4.4.3. Determinación de recursos de la Auditoría Informática 143
4.5. ACTIVIDADES DE LA AUDITORÍA INFORMÁTICA 144
4.5.1. Cuestionarios 146
4.5.2. Entrevistas 146
4.6. INFORME FINAL 147




BLOQUE IV: AUDITORÍA DE MySQL



5. AUDITORÍA DE LA SEGURIDAD EN MySQL 151
5.1. INTRODUCCIÓN 151
5.2. AMENAZAS DE PERSONAS 154
5.2.1 Insiders o personal de la organización 154
5.2.1.1 Personal de la organización: actual o antiguos 158
5.2.2 Outsiders o personas externas a la organización 166
5.3. PARAMETRIZACIÓN Y RENDIMIENTO DEL SERVIDOR 174
5.4. AMENAZAS AL SISTEMA 175
5.4.1 Introducción 176
5.4.2. Control del sistema operativo 176
5.4.3. Control de usuarios y contraseñas 178
5.5.COMUNICACIONES 180
5.5.1. Introducción 180
5.5.2. Conexiones seguras SSL en MySQL 181
5.5.3. Conexiones de programas cliente al servidor 184
5.6. COPIAS DE SEGURIDAD O BACKUP 184
5.7. RECUPERACION ANTE DESASTRES 186
5.8. SEGURIDAD FISICA 187
5.9. PROBLEMAS COMUNES Y LIMITACIONES 190
5.10. CONFIGURACION DE MYSQL 5.1 EN WINDOWS 194
5.11. LA HERRAMIENTA MYSQL WORKBENCH 212




- 8 -


6. CONCLUSIÓN 219
6.1. PRESUPUESTO 220
6.1.1. Estimación de la realización del Proyecto 220
6.1.2. Estimación de la Auditoría 223
6.1.2.1. Ejecución material 224
6.1.2.2. Mano de obra 224

ANEXO 1: BATERÍA DE PREGUNTAS PROPUESTAS 226

BIBLIOGRAFÍA 241
DIRECCIONES DE INTERNET 243
- 9 -

Índice de figuras

Figura 1. Ejemplos de seguridad informática 28
Figura 2. Niveles de seguridad según la naturaleza de la información 30
Figura 3. Niveles de seguridad lógica 35
Figura 4. Cuadro descriptivo de categorías de incendios 46
Figura 5. Interrelación entre los componentes de COBIT 61
Figura 6. Principios básicos de COBIT 64
Figura 7. Principios de COBIT (cont.) 65
Figura 8. Otra forma de ver la relación de recursos TI vs. entrega de servicios 67
Figura 9. Objetivos de negocio para TI (Relación entre Procesos de negocio, 68
Recursos TI e Información)
Figura 10. Marco de referencia 69
Figura 11. Cubo COBIT y los tres puntos estratégicos 69
Figura 12. Metodología y objetivos de negocio (COBIT) 73
Figura 13. Diagrama conceptual de seguridad informática 74
Figura 14. Concepto y objetivo de las bases de datos 80
Figura 15. Concepto de base de datos (datos, registros y tabla) 87
Figura 16. Arquitectura de almacenamiento en MySQL 114
Figura 17. Según el estudio realizado por Cybsec: Tipos de intrusiones 153
Figura 18. Representación gráfica de posibles ataques al sistema y sus barreras 154
Figura 19. Tipos de amenazas internas 157
Figura 20. Amenazas internas de personal por desconocimiento 157
Figura 21. El usuario root (administrador por defecto) tiene todos los permisos 160
Figura 22. Resultado de la ejecución de la sentencia SHOW PROCESSLIST 164
Figura 23. Políticas de seguridad outsiders 168
Figura 24. HOWARD, John D. Thesis: An Analysis of security on the Internet 170
Figura 25. Cuestionario de auditoría de backups 185
Figura 26. (Cont.) Cuestionario de auditoría de backups 186
Figura 27. Página de descargas del programa 195
Figura 28. Descarga desde la Web la versión deseada, según sistema operativo 196
Figura 29. Introducción de usuario y contraseña o nuevo usuario 197
Figura 30. Selección de la carpeta destino para almacenar el ejecutable 198
Figura 31. Pantalla de inicio de la instalación 198
Figura 32. Selección de la modalidad de instalación deseada 199
Figura 33. Elección de la ruta destino en la que se instalará la aplicación 199
Figura 34. Pantalla de comienzo de la instalación 200
Figura 35. Creación de nueva cuenta de MySQL.com 200
Figura 36. Pantalla de cumplimentación de los campos: correo electrónico y 201
contraseña.


10

Un pour Un
Permettre à tous d'accéder à la lecture
Pour chaque accès à la bibliothèque, YouScribe donne un accès à une personne dans le besoin