CARACTERÍSTICAS Y FUNCIONES DE SEGURIDAD DEL SMBD SELECCIONADO

SERVICIO NACIONAL DE APRENDIZAJE SENA

ESPECIALIZACIÓN TECNOLOGICA EN GESTION Y SEGURIDAD DE BASE DE

DATOS

ARMENIA, QUINDIO

2019
Contenido

INTRODUCCIÓN .............................................................................................................................. 3
2. OBJETIVOS ................................................................................................................................... 4
2.1 OBJETIVO GENERAL ............................................................................................................ 4
2.2 OBJETIVOS ESPECIFICOS .................................................................................................... 4
3. CARACTERISTICAS DE SEGURIDAD ...................................................................................... 5
4. DESCRICION DE SOFTWARE QUE SOPORTA SQL SERVER ............................................... 6
5. FUNCIONES DE SEGURIDAD .................................................................................................... 7
6. CAPAS DE SEGURIDAD EN SQL SERVER .............................................................................. 8
7. ALGORITMOS Y MECANISMOS DE CIFRADO DE SQL SERVER ....................................... 9
8. CIFRADO DE BASE DE DATOS TRANSPARENTE ............................................................... 10
9. ROLES DE SERVIDOR ............................................................................................................... 11
10. ROLES DE BASE DE DATOS .................................................................................................. 11
11. AUTENTICACION .................................................................................................................... 13
12. CONCLUSIONES ...................................................................................................................... 14
13. BIBLIOGRAFIA ......................................................................................................................... 15
 INTRODUCCIÓN

Un factor determinante en los sistema manejadores de base de datos son las características
y funciones de seguridad de la herramienta SQL Server 2008R2, permitiendo asegurar la
información tener disponibilidad y confiabilidad de los datos, así como la determinación de
accesos a los datos. SQL Server proporciona una arquitectura de seguridad diseñada para
permitir a los administradores de bases de datos y desarrolladores crear aplicaciones de
base de datos seguras y contrarrestar las amenazas. Una instancia de SQL Server contiene
un conjunto jerárquico de entidades, empezando por el servidor. Cada servidor contiene
varias bases de datos y, a su vez, cada base de datos contiene un conjunto de objetos
susceptibles de ser protegidos, sobre permisos asociados que se pueden conceder a
una entidad de seguridad, que es una persona, grupo o proceso al que se concede acceso a
SQL Server. El marco de seguridad de SQL Server administra el acceso a las entidades
protegibles a través de la autenticación y la autorización.
 2. OBJETIVOS

2.1 OBJETIVO GENERAL

Definir las características y funciones de seguridad del sistema manejador de base de datos
SQL Server, estableciendo las herramientas y especificaciones técnicas con que cuenta el
sistema manejador de base de datos seleccionado para implementar en la Alcaldía San
Antonio del Sena, partiendo del caso de estudio

2.2 OBJETIVOS ESPECIFICOS

 Identificar las características de seguridad con que cuenta el Sistema manejador de

base de datos SQL Server
 Analizar el esquema de acceso que se implementa acorde al SMBD acorde a los
niveles de servicio
 Establecer las políticas de seguridad que se deberían contar sobre la gestión de los
datos, determinando las acciones abordar.
 3. CARACTERISTICAS DE SEGURIDAD

El sistema manejador de base de datos implementado en la Alcaldía San Antonio del Sena
es SQL Server 2008R2, desde el cual se efectúan mecanismos de seguridad los cuales se
detallaran conforma a las características del software, y las funciones de seguridad que
cumple esta herramienta.

Protección de Datos:

 Criptografía integrada.
 Cifrado transparente.
 Clave extensible.
 Firma de módulos de códigos.
 Certificados a partir de bytes.
 Claves de seguridad usando AES256.
 Soporte para hashes SHA512 y SHA2 (256 y 512 bits).

Control de Acceso:

 Flexibilidad mediante reparto de responsabilidades y roles anidados.

 Evasión del acceso de Administrador del Sistema.
 Mayor cumplimiento de las normas utilizando Windows Group.
 Usuarios individuales.
 Seguridad de usuarios con controles de TI integrados.

Garantía de Cumplimiento

 Optimización mejorada y capacidades enriquecidas con respecto a versiones

anteriores.
 Mayor flexibilidad para filtrar eventos no deseados en el log de la auditoría.
 Permite que las aplicaciones escriban código personalizado dentro de log de la
auditoría
 4. DESCRICION DE SOFTWARE QUE SOPORTA SQL SERVER

 Sistemas Operativos

SISTEMA OPERATIVO VERSION SMBD HERRAMIENTAS GUI

Windows Server 2012
Standard y Datacenter (64
bits (EM64T))
Windows Server 2008 R2
Standard, Enterprise y
Datacenter (64 bits
[EM64T])
Windows Server 2008
Standard, Enterprise y
Datacenter (64 bits
[EM64T])
2008R2 Servicios de SQL Server
Configuración de Red SQL
Server Configuración de
SQL Native Client
2008R2 Servicios de SQL Server
Configuración de Red SQL
Server Configuración de
SQL Native Client
2008R2 Servicios de SQL Server
Configuración de Red SQL
Server Configuración de
SQL Native Client

 Sistema Computacional

CARACTERISTICAS MAQUINA ANFITRION MAQUINA VIRTUAL

Sistema Operativo Windows Windows Server 2012
Versión 8.1 Pro 2008R2
Procesador Intel Core I7 Cuarta Intel Core I7 Cuarta
Generación Generación
Memoria RAM 8GB 8GB
Disco Duro 1T 1T
Arquitectura 64 Bits 64 Bits
Velocidad 2.39 GHz 2.39 GHz
Memoria Cache 8MB 8MB
Video Radeon Radeon
Memoria 2GB 2GB
Archivo de Paginación 3.3GB 3.3GB
 5. FUNCIONES DE SEGURIDAD

 CERTENCODED (Transact-SQL): Devuelve la parte pública de un certificado en

formato binario. Esta función toma un identificador de certificado y devuelve el
certificado codificado. El resultado binario se puede pasar a CREATE
CERTIFICATE… WITH BINARY para crear un nuevo certificado.
 PWDCOMPARE (Transact-SQL): Obtiene el valor hash de una contraseña y lo
compara con el de otra existente.
 CERTPRIVATEKEY (Transact-SQL) : Devuelve la clave privada de un certificado
en formato binario.
 PWDENCRYPT (Transact-SQL): Devuelve el valor hash de la contraseña de SQL
Server correspondiente al valor de entrada que usa la versión actual del algoritmo de
hash de contraseñas.
 CURRENT_USER (Transact-SQL): Devuelve el nombre de usuario actual.
 SCHEMA_ID (Transact-SQL): Devuelve el identificador de esquema asociado a
un nombre de esquema.
 DATABASE_PRINCIPAL_ID (Transact-SQL): Devuelve el número de Id. de una
entidad de seguridad de la base de datos actual.
 SCHEMA_NAME (Transact-SQL): Devuelve el número de Id. de una entidad de
seguridad de la base de datos actual.
 sys.fn_builtin_permissions (Transact-SQL): Devuelve una descripción de la
jerarquía de permisos integrados del servidor.
 SESSION_USER (Transact-SQL): SESSION_USER devuelve el nombre de
usuario del contexto actual en la base de datos actual.
 sys.fn_get_audit_file (Transact-SQL): Devuelve información de un archivo de
auditoría creado por una auditoría de servidor en SQL Server
 SUSER_ID (Transact-SQL): Devuelve el número de identificación de inicio de
sesión del usuario
 sys.fn_my_permissions (Transact-SQL): Devuelve una lista de los permisos
concedidos a la entidad de seguridad para un elemento protegible.
 SUSER_SID (Transact-SQL): Devuelve el número de identificación de seguridad
(SID) que corresponde al nombre de inicio de sesión especificado.
 HAS_PERMS_BY_NAME (Transact-SQL): Evalúa el permiso efectivo del
usuario actual sobre un elemento protegible.
 SUSER_SNAME (Transact-SQL): Devuelve el nombre de inicio de sesión
asociado a un número de identificación de seguridad (SID).
 IS_MEMBER (Transact-SQL): Indica si el usuario actual es miembro del grupo de
Microsoft Windows o del rol de base de datos de SQL Server especificados.
  SYSTEM_USER (Transact-SQL): Permite insertar en una tabla un valor
proporcionado por el sistema para el inicio de sesión actual cuando no se especifica
ningún valor predeterminado.
 IS_ROLEMEMBER (Transact-SQL): Indica si una entidad de seguridad de base
de datos especificada es miembro del rol de base de datos especificado.
 SUSER_NAME (Transact-SQL): Devuelve el nombre de identificación de inicio
de sesión del usuario.
 IS_SRVROLEMEMBER (Transact-SQL): Indica si en el inicio de sesión de SQL
Server es miembro del rol de servidor especificado.
 USER_ID (Transact-SQL): Devuelve el número de identificación para un usuario
de la base de datos.
 ORIGINAL_LOGIN (Transact-SQL): Devuelve el nombre del inicio de sesión que
se conectó a la instancia de SQL Server
 USER_NAME (Transact-SQL): Devuelve un nombre de usuario de base de datos
a partir de un número de identificación especificado.
 PERMISSIONS (Transact-SQL): Devuelve un valor que contiene un mapa de bits
que indica los permisos del usuario actual sobre una instrucción, objeto o columna.


6. CAPAS DE SEGURIDAD EN SQL SERVER

Microsoft SQL Server tiene varias capas de seguridad, la primera capa es la seguridad del
canal de comunicación que es aplicada por TSL o protocolo SSL. La segunda capa está en
el nivel de instancia que está protegido por la API de protección de datos de Windows
(DPAPI), DPAPI es en la función de cifrado en la plataforma de Windows para cifrar y
descifrar datos y el algoritmo es diferente en cada máquina. Los inicios de sesión, los roles
de servidor y las credenciales son objetos de seguridad de nivel de instancia en SQL Server
y el usuario, el certificado, las funciones, los esquemas y las claves de cifrado son objetos
de seguridad de nivel de base de datos. La figura siguiente muestra las capas de seguridad
de SQL Server.

SQL Server Service Key es la clave de cifrado básica en la plataforma SQL Server y está
protegida por DPAPI, la clave de servicio siempre se crea mediante el proceso de SQL
Server durante el primer inicio y el usuario no puede crearla, el usuario tiene la capacidad
de hacer una copia de seguridad y restaurarla en la misma instancia u otras instancias. La
clave maestra es una clave opcional en cada base de datos y puede protegerse mediante la
clave de servicio o una contraseña segura proporcionada por el usuario. El usuario puede
hacer una copia de seguridad de la clave maestra y restaurarla en la misma base de datos u
otra base de datos. Regenerar la clave del servicio regenerará todas las claves secundarias,
como las claves maestra y de encriptación (simétrica o asimétrica).
 7. ALGORITMOS Y MECANISMOS DE CIFRADO DE SQL SERVER

El algoritmo de cifrado varía en SQL Server y depende de la clave de cifrado, no todas las
claves de cifrado admiten todos los algoritmos en SQL Server. SQL Server puede admitir
algoritmos de cifrado como AES, AES_128, AES_192, AES_256, DES, Triple_DES,
RSA_2048, MD5, SHA1, SHA2_512 (Introducido en SQL Server 2012) y RC4.

SQL Server proporciona una función para encriptar la base de datos para evitar que se lea la
base de datos robada. El cifrado de la base de datos es una opción opcional en cada base de
datos. SQL Server no cifra la base de datos completa al mismo tiempo cuando la
característica está habilitada en una base de datos, SQL Server encriptará cada página
cuando el proceso “Lazywriter” necesita escribir la página en el disco y descifrarla cuando
lee la página del disco. La función de cifrado de la base de datos se denomina “Cifrado
transparente de la base de datos” y solo está disponible en las ediciones “Enterprise” y se
presentó en SQL Server 2005. La seguridad de SQL Server no está completa en la
instancia, debe haber un entorno de red seguro para reducir o evitar ataques al servidor.
Para garantizar la seguridad del SQL Server, existen algunos factores, como la cuenta de
servicio, el protocolo de comunicación y la configuración del firewall.

SQL Server es un proceso de servicio de Windows y la plataforma de Windows lo ejecuta

como un proceso de modo de usuario, luego necesita una cuenta de Windows para iniciarlo
y proporciona privilegios de seguridad. La cuenta de servicio puede ser una cuenta de
usuario o una cuenta de sistema, la plataforma Windows Server 2008 R2 y, más adelante, la
“Cuenta de servicio virtual” que comienza con “NT Service \”. Tenga en cuenta que SQL
Server no necesita privilegios de seguridad del administrador, solo necesita tener
privilegios para enumerar directorios y acceder a los archivos de registro de errores,
archivos de datos y archivos de registro. Hay tres cuentas integradas de Windows tales
como “Sistema local”, “Servicio de red” y “Servicio local”, que ninguno de ellos necesita
contraseña.

 Usando la cuenta de servicio virtual. La cuenta de servicio virtual se introduce en

Windows Server 2008 R2 y no requiere administración de contraseñas. Se crea una
vez que el servicio SQL Server se instala correctamente y el administrador no tiene
derecho a eliminar o agregar ninguna cuenta de servicio virtual. El nombre de la
cuenta del servicio virtual se inicia con “NT Service \”.
 Encriptando la sesión con SSL. SQL Server transfiere datos a través de la red con el
protocolo Tabular Data Stream (TDS), que es el formato estándar para que SQL
Server se comunique con la aplicación cliente. Los piratas informáticos pueden
detectar la red mediante la aplicación “WireShark” y explorar los datos transferidos
a través de la red. Para proteger los datos en la red, SQL Server puede encriptar el
protocolo TDS con protocolo SSL. Para habilitar el protocolo SSL, SQL Server
necesita un certificado auto firmado o un certificado autorizado de los proveedores
de certificados. Los administradores pueden habilitar el protocolo SSL en SQL
Server habilitando la opción “Forzar cifrado” o mediante la opción “Encriptar” en la
cadena de conexión de la aplicación.

8. CIFRADO DE BASE DE DATOS TRANSPARENTE

La característica Transparent Database Encryption (TDE) se presenta en SQL Server

2008, la característica TDE encripta toda la base de datos con la clave proporcionada y
puede encriptar los datos y el archivo de registro al mismo tiempo. TDE es totalmente
transparente desde la perspectiva del usuario y la aplicación. TDE puede admitir claves de
cifrado como “Tripple_DES”, “AES_128”, “AES_192” y “AES_256”. Solo las ediciones
“Enterprise”, “Developer” y “Data Center” de SQL Server tienen esta característica única.

La detención de servicios no utilizados puede mejorar el rendimiento general de SQL

Server y reducir el riesgo de seguridad, y los administradores pueden detener servicios no
utilizados de SQL Server como “Integration Services”, “Analysis Services” o “Reporting
Services”. Y los administradores pueden desactivar de forma segura los servicios a
continuación, especialmente cuando hay un servidor dedicado para el entorno de SQL
Server.
 Cliente DHCP
 Cliente DNS
 Conciencia de ubicación de red
 Cola de impresión
 Servicio de informe de errores de Windows
 Firewall de Windows (si hay un firewall de red)
 Detección de hardware de Shell

9. ROLES DE SERVIDOR

SQL Server usa la seguridad basada en roles, que permite asignar permisos a un rol, o
grupo de usuarios, en lugar de asignarlos a usuarios individuales. Los roles fijos de servidor
y base de datos cuentan con un conjunto fijo de permisos asignados.

Roles Fijos De Servidor

Los roles fijos de servidor cuentan con un conjunto fijo de permisos y ámbito de
servidor. Están pensadas para su uso en la administración de SQL Server y los permisos
asignados a ellas no se pueden modificar. Se pueden asignar inicios de sesión a los roles
fijos de servidor sin necesidad de disponer de una cuenta de usuario en una base de datos.

Roles Fijos De Base de Datos

Los roles fijos de base de datos incluyen un conjunto predefinido de permisos diseñados
para permitir administrar grupos de permisos con facilidad. Los miembros del rol db_owner
pueden realizar todas las actividades de configuración y mantenimiento de la base de datos.

10. ROLES DE BASE DE DATOS

Para trabajar con objetos de base de datos, se deben asignar inicios de sesión a cuentas de
usuario de base de datos. Estos usuarios de base de datos se podrán agregar entonces a roles
de base de datos y heredarán los conjuntos de permisos asociados con estos roles. Se
pueden conceder todos los permisos.

A la hora de diseñar la seguridad para la aplicación, también debe tener en cuenta el

rol public, la cuenta de usuario dbo y la cuenta guest.
Rol public

El rol public está contenido en todas las bases de datos, incluidas las bases de datos del
sistema. No se puede eliminar y no se pueden agregar ni quitar usuarios de ella. Todos los
usuarios y los demás roles heredan los permisos concedidos al rol public, ya que pertenecen
de forma predeterminada al rol public. Por tanto, solo debe conceder al rol public los
permisos que desee que tengan todos los usuarios.

Cuenta de usuario dbo

dbo, o propietario de base de datos, es una cuenta de usuario con permisos implícitos para
realizar todas las actividades en la base de datos. Los miembros del rol fijo del servidor
sysadmin se asignan automáticamente a dbo.

Cuenta de usuario guest

Después de que un usuario se haya autenticado y se le haya permitido iniciar sesión en una
instancia de SQL Server, debe existir una cuenta de usuario independiente en cada base de
datos a la que tenga acceso el usuario. Si se exige una cuenta de usuario en cada base de
datos, se impide que los usuarios se conecten a una instancia de SQL Server y puedan tener
acceso a todas las bases de datos de un servidor. La existencia de una cuenta de usuario
guest en la base de datos evita este requisito, ya que permite que un inicio de sesión sin
cuenta de usuario de base de datos tenga acceso a una base de datos.
 11. AUTENTICACION

SQL Server admite dos modos de autenticación, el modo de autenticación de Windows y el

modo mixto.

 La autenticación de Windows es el modo predeterminado, y a menudo se denomina

seguridad integrada debido a que este modelo de seguridad de SQL Server está
estrechamente integrado con Windows. Para iniciar sesión en SQL Server, se confía
en las cuentas de usuario y grupo específicas de Windows. Los usuarios de
Windows que ya hayan sido autenticados no tienen que presentar credenciales
adicionales.

 El modo mixto admite la autenticación tanto de Windows como de SQL Server. Los
pares de nombre de usuario y contraseña se mantienen en SQL Server.

Escenarios

Por lo general la autenticación de Windows es la mejor opción en las siguientes situaciones:

 Existe un controlador de dominio.

 La aplicación y la base de datos se encuentran en el mismo equipo.
 Está utilizando una instancia de SQL Server Express o LocalDB.

Los inicios de sesión de SQL se usan habitualmente en las siguientes situaciones:

 Si se tiene un grupo de trabajo.

 Los usuarios se conectan desde diferentes dominios que no son de confianza.
 Aplicaciones de Internet, como ASP.NET.
 12. CONCLUSIONES

 Se logró evidenciar las características funcionales de seguridad acorde al sistema

manejador de base SQL Server, desde varias perspectivas técnicas como
autenticación de usuarios, permisos, roles, cifrado de la base de datos, capas de
seguridad, entre otros, integrando cada una de estas funcionalidades en la base de
datos, se podrá evidenciar el riesgo de fallas que se podrá generar en la
implementación de un Asistente Administrativo de base de datos

 De igual manera el enfoque investigativo que tiene esta evidencia genera un aspecto
más global de la perspectiva que se genera el SMBD seleccionado para el caso de
estudio, mediante políticas de seguridad teniendo en cuenta cada uno de los puntos
anteriormente mencionados con los cuales cuenta la herramienta de base de datos
implementada.
 13. BIBLIOGRAFIA

https://www.sothis.tech/seguridad-en-microsoft-sql-server/

https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/sql-server-security

https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/overview-of-sql-server-
security