AUDITORA DE BASE DE DATOS

MICROSOFT SQL SERVER 2014

WALTER JAVIER NAPN TARMEO

Temas:

1. Introduccin a la auditora de SQL Server

2. Herramientas de auditora de SQL Server

3. Implementacin de objetos de auditoria

4. Administracin de la auditora

Auditora de Bases de Datos

Temas:

1. Introduccin a la auditora de SQL Server

2. Herramientas de auditora de SQL Server

3. Implementacin de objetos de auditoria

4. Administracin de la auditora

Auditora de Bases de Datos

1 Introduccin a la auditora

Auditora = seguimiento y registro de los eventos que se

producen en el sistema.

SQL Server puede utilizar varios mtodos de auditora

Tpicamente a travs de disparadores a nivel de tabla

(triggers DML) a nivel de base de datos.

A partir de SQL Server 2005 se cuenta con disparadores a

nivel de servidor y base de datos (triggers DDL)

A partir de SQL Server 2008 Enterprise, se puede configurar

la auditora automtica mediante SQL Server Audit.

Varias formas de llevar a cabo auditora en SQL Server,

Dependiendo de los requisitos o estndares de cada

instalacin

Dependiendo de las polticas de seguridad y auditoria la

empresa o institucin
Introduccin a la auditora

Por qu auditar?

Proteger los activos y recursos

Verificar las actividades que se desarrollan y si se desarrollan eficientemente y

de acuerdo con las polticas existentes en cada empresa

Prevenir espionaje, delincuencia y terrorismo.

Prevenir resultados o informacin errnea, ya sea por Virus informticos o por

que fueron alimentados con datos errneos.

Temas:

1. Introduccin a la auditora de SQL Server

2. Herramientas de auditora de SQL Server

3. Implementacin de objetos de auditoria

4. Administracin de la auditora

Auditora de Bases de Datos

2 Herramientas de Auditora en SQL Server

Estndares de auditora:

Modo de auditora C2.

Modo de auditora de criterio comn.

Auditora de SQL Server

Change data capture

Disparadores o Triggers

Otros:

SQL Server profiler.

SQL Trace.

Temas:

1. Introduccin a la auditora de SQL Server

2. Herramientas de auditora de SQL Server

3. Implementacin de objetos de auditoria

4. Administracin de la auditora

Auditora de Bases de Datos

3 Implementacin de Objetos de Auditora

Modo de auditora C2

Trusted Computer System Evaluation Criteria (TCSEC) estndar del

Departamento de Defensa del gobierno de los Estados Unidos de Amrica

Registra los intentos sin xito como los intentos con xito de accesos a

instrucciones y objetos del servidor y base de datos por parte de los usuarios

Permite seguimiento a las posibles infracciones de las polticas de seguridad de la

empresa

Los datos se guardan en un archivo en la carpeta de datos predeterminada de la

instancia.

NOTA: Tener en consideracin que habilitar este modo de

auditora puede producir largos volmenes de informacin

Implementacin de Objetos de Auditora

Activacin del Modo de auditora C2

O mediante:

Chek la opcin Habilitar seguimiento de auditoria C2 en las propiedades de

Seguridad de la instancia

sp_configure 'show advanced options', 1;

GO

RECONFIGURE;

GO

sp_configure 'c2 audit mode', 1;

GO

RECONFIGURE;

GO

Implementacin de Objetos de Auditora

Modo de auditora de Criterio Comn

Estndar ms actual y por lo general remplaza al modo de auditora C2

Basado en el estndar internacional ISO/IEC 15408 conocido como Common

Criteria for Information Technology Security Evaluation (abreviado como Common

Criteria or CC) para certificacin de seguridad para computadoras.

Criterios Descripcin
Proteccin de

informacin residual

(RIP)

RIP requiere que una asignacin de memoria se sobrescriba con un patrn de bits

conocido antes de que la memoria se reasigne a un nuevo recurso. Ajustarse al estndar

RIP puede contribuir a mejorar la seguridad; sin embargo, sobrescribir la asignacin de

memoria puede ralentizar el rendimiento. Una vez habilitada la opcin commoncriteria

compliance enabled, se produce la sobrescritura.

La capacidad para ver

estadsticas de inicio

de sesin

Una vez habilitada la opcin commoncriteria compliance enabled, se habilita la auditora

de inicio de sesin. Cada vez que un usuario inicia sesin correctamente en SQL Server,

se muestra la informacin acerca del ltimo inicio de sesin correcto, el ltimo inicio de

sesin incorrecto y el nmero de intentos realizados entre la hora del ltimo inicio de

sesin correcto y la hora actual.

La columna GRANT no

debe invalidar la tabla

DENY

Una vez habilitada la opcin commoncriteria compliance enabled, una instruccin DENY

de nivel de tabla tiene prioridad sobre una instruccin GRANT de nivel de columna.

Cuando no est habilitada la opcin, una instruccin GRANT de columna tiene prioridad

sobre una instruccin DENY de tabla.

Implementacin de Objetos de Auditora

Implementacin de Objetos de Auditora

Habilitar Modo de auditora de Criterio Comn

Chek la opcin Habilitar compatibilidad con Criterio comn en las propiedades

de Seguridad de la instancia.

sp_configure 'show advanced

options', 1;
GO

RECONFIGURE;

GO

sp_configure 'common criteria

compliance enabled', 1;

GO

RECONFIGURE

GO

Implementacin de Objetos de Auditora

Auditora de SQL Server

Introducida en la versin 2008

Operacin completa en la edicin Enterprise de SQL Server 2012 y con operacin

bsica en otras ediciones de SQL Server 2012

Facilita seguimiento y registro de eventos que se producen mientras los usuarios

operan el sistema creaciones de objetos, consultas a datos, cambios en la

configuracin, modificacin de datos, etc.

Componentes de Auditora de SQL Server:

SQL Server Audit

Especificacin de auditora de servidor

Especificacin de auditora de base de datos

Implementacin de Objetos de Auditora

SQL Server Audit

Define como se va a capturar los eventos de auditora en el servidor.

Varios objetos SQL Server Audit por instancia de SQL Server.

Se especifica:

Un nombre

Donde se van a almacenar los resultados de la auditora destino

El tiempo de procesamiento de la cola

La accin a tomar en caso de falla

La auditora se crea en un estado deshabilitado y no audita automticamente

ninguna accin.
Una vez habilitada la auditora, el destino de la auditora recibe los datos de la

misma

Implementacin de Objetos de Auditora

Especificacin de auditora de servidor

Recopila las acciones de nivel de servidor que se desean auditar.

Pertenece a un SQL Server Audit e incluye grupos de acciones de auditora.

Los grupos de acciones constituyen los eventos que tienen lugar en el servidor que

se desean auditar.

Estas acciones se envan al objeto SQL Server Audit, el cual los registra en el

destino.

Implementacin de Objetos de Auditora

Especificacin de auditora de base de datos

Similar a la especificacin de auditora de servidor, solo que captura los eventos a

nivel de base de datos.

Recopila las acciones de nivel de base de datos que se desean auditar.

Pertenece a un SQL Server Audit e incluiye grupos de acciones de auditora.

Los grupos de acciones constituyen los eventos que tienen lugar en la base de

datos y que se desean auditar.

Estas acciones se envan al objeto SQL Server Audit, el cual los registra en el

destino.

NOTA: No es necesario crear especificaciones de auditora a nivel de

servidor y base de datos juntos. Se pueden crear cualquiera de ellas de

manera independiente segn lo que se requiera auditar.

Implementacin de Objetos de Auditora

Destino

Cuando se configura el objeto SQL Server Audit, se debe definir un destino

Especifica donde se va a guardar la informacin de auditora.

Un destino puede ser:

Un archivo,

el registro de eventos de seguridad de Windows

el registro de eventos de aplicacin de Windows.

NOTA: Estos registros se deben revisar y archivar peridicamente para

garantizar que el destino tiene espacio suficiente para escribir registros

adicionales.

Demostracin de Auditora de SQL Server

En esta demostracin usted ver como se implementa

la auditora de SQL Server

ESTANDARES DE AUDITORIA

SQL AUDIT

1234

ESPECIFICACIONES DE AUDITORIA

(NIVEL DE SERVIDOR)

123

ESPECIFICACIONES DE AUDITORIA

(NIVEL DE BASE DE DATOS)

HABILITACIN DE AUDITORIA

Habilita la Auditora, en el Explorador de objetos, a nivel de la instancia,

expanda Seguridad, haga clic derecho en la Auditora llamada

SQLAudit_Webinar y seleccione Habilitar Auditora.

La misma operacin se realiza con la

especificacin de Auditoria de Servidor y

Base de Datos

REALIZANDO OPERACIONES AUDITABLES

DESHABILITANDO LAS AUDITORAS

De forma similar a la habilitacin, se proceder a deshabilitar las

auditoras, de modo tal que quedar como la imagen

VISUALIZANDO LO AUDITADO

Implementacin de Objetos de Auditora

Change data capture

Registra cambios realizados en una tabla por insercin, actualizacin o

eliminacin

Los detalles se guardan en un formato relacional (tablas) de fcil uso para el

usuario. Se crean tablas especiales y funciones con valores de tabla especiales

para permitir el acceso a los datos modificados por los usuarios

Implementacin de Objetos de Auditora

TABLA1 TABLA2 TABLA3

TABLA1 TABLA2 TABLA3

FUNCION1 FUNCION2 FUNCION3

INSERT UPDATE DELETE

PROCESO DE CAPTURA DE CAMBIOS

TABLAS DE USUARIO

TABLAS DE CAMBIOS

FUNCIONES DE CONSULTA

Tablas de usuario.- tabla o

tablas de usuarios que se

desean auditar

Tablas de Cambio.- tablas que

van a guardar la informacin del

cambio

Funciones de Consulta.- Se

crean para facilitar la consulta

de los cambios desde

aplicaciones

Para las tablas de cambio y

funciones de consulta se crea

un esquema especial llamado

cdc

Temas:

1. Introduccin a la auditora de SQL Server

2. Herramientas de auditora de SQL Server

3. Implementacin de objetos de auditoria

4. Administracin de la auditora

Auditora de Bases de Datos

4 Administracin de la auditora

Detener el modo de auditora C2

o retirar check en la opcin Habilitar seguimiento de auditoria C2 en las

propiedades de Seguridad de la instancia.

Detener el modo de auditora de Criterio Comn

o retirar el check la opcin Habilitar compatibilidad con Criterio comn

en las propiedades de Seguridad de la instancia.

sp_configure 'c2 audit mode', 0;

GO

RECONFIGURE;

GO

sp_configure 'common criteria compliance enabled', 0;

GO
RECONFIGURE

GO

Implementacin de Objetos de Auditora

Deshabilitar la Auditora de SQL Server

USE [master]

GO

ALTER SERVER AUDIT [SQLAuditAW] WITH (STATE = OFF);

GO

ALTER SERVER AUDIT SPECIFICATION [AuditaLogins]

WITH (STATE = OFF);

GO

USE [AdventureWorks2012]

GO

ALTER DATABASE AUDIT SPECIFICATION [AuditaPerson]

WITH (STATE = ON);

GO

Q&

REFERENCIA:

HTTPS://MSDN.MICROSOFT.COM/EN-US/CC280386.ASPX

pwnapan@cibertec.edu.pe

@javiernt