Configuracin Cliente-Servidor SQL Server

Integrantes: Jos Cortijo Bellido Frank Arpita Salcedo Inka

Configuracin
Ingresamos al SQL Server Management Studio Nos aparecer esta pantalla de inicio en donde debemos ingresar el nombre del Servidor, generalmente esta en blanco por lo que debemos ingresarlo. El Server Name es el nombre de nuestra PC en maysculas ejemplo XIONPC El modo de autenticacin lo dejamos por defecto autenticacin Windows y clic conectar

 Damos clic derecho sobre el nombre del servidor y elegimos propiedades Nos dirigimos a la pestaa seguridad y cambias de modo autenticacin de Windows a Autenticacin de SQL Server Ahora damos clic en aceptar y nos aparece una advertencia, algunos cambios tendrn efectos cuando SQL Server sea reiniciado y damos clic en aceptar

Creacin de Inicio de Sesin

Para crear un inicio de sesin, en el men lateral damos clic derecho sobre la pestaa Seguridad luego nuevo y a continuacin Usuario(Inicio de Sesin)

 Una vez que seleccionamos nuevo inicio de sesin, en la pestaa General escogemos Autenticacin de SQL Server Damos un nombre de inicio de sesin ingresamos la contrasea adecuada como por ejemplo *.#admin6789 de tipo alfanumrico Finalmente marcamos solo el checkbox que dice Exigir directiva de contrasea Nos dirigimos a la pestaa Funciones del servidor y seleccionamos SYSADMIN que otorga los privilegios de administrador al usuario que estamos creando, o seleccionamos tan solo las credenciales que necesitemos, y clic en Aceptar

 Una vez terminado el proceso anterior cerramos el SQL Server Management Studio para configurar el motor de base de datos desde el Administrador de configuracin de SQL Server
En la pantalla que se nos presenta, nos dirigimos al men lateral seleccionamos configuracin de red de SQL Server, doble clic en Protocolos para MSSQLSERVER y nos ubicamos sobre el tem Canalizacin por nombre que se encuentra como deshabilitado

 Procedemos a dar doble clic sobre Canalizacin por nombre y en la pantalla que se presenta seleccionamos si en la opcin habilitar Cuando damos clic en aceptar nos muestra un mensaje que nos dice algunos cambios surtirn efecto una vez haya detenido y reiniciado el motor de base de datos

 Para detener el motor de base de datos nos vamos a la pestaa Servicio de SQL Server y seleccionamos SQL SERVER(MSSQLSERVER) ahora damos clic sobre el botn detener ubicado en el men superior Realizamos el mismo proceso anterior pero esta vez clic en el botn iniciar del men superior para proceder a reiniciar nuestro SERVER, una vez completado cerramos el administrador Para finalizar, abrimos el SQL Server 2008 y cambios la forma de autentificacin elegimos Autenticacin de SQL Server y debajo las credenciales del usuario que creamos al inicio y entraremos normalmente en SQL Server 2008.

Habilitar Conexin Remota

Para habilitar las conexiones remotas tenemos que habilitar el TCP/IP, vamos a Inicio -> Todos los programas -> Microsoft SQL Server 2008 -> Herramientas de Configuracin -> Administrador de configuracin de SQL Server y por el rbol de la izquierda nos movemos hasta la rama Configuracin de red de SQL Server -> Protocolos de SQLEPRESS y en la derecha vemos los protocolos, tenemos que habilitar el protocolo TCP/IP.

Despus tenemos que mirar en Servicios que el servicio del Explorador de SQL (SQL Server Browser) este arrancado. Y con estas modificaciones ya podramos conectarnos al servidor.

Aplicacin Cliente
Crearemos nuestra aplicacin cliente que se conectara con la base de datos (que ya hemos creado) en el servidor remoto. Los Datos son: Nombre del Servidor: XIONPC\SQLEXPRESS Nombre de Usuario: xion Contrasea: Farmhouse Base Datos: Datos Tabla: Partido

Cdigo
Agregamos las Referencias: Agregamos los componentes necesarios para la conexin: El Cdigo para la conexin

Adicionalmente un cdigo para listar los servidores disponibles:

 El cdigo Completo:

Y el Formulario Windows:

Seguridad en SQL Server 2008

En lo que respecta a seguridad en SQL Server se deben considerar los siguientes aspectos:

Autentificacin:
Verificar la identidad del usuario.

Autorizacin:
Permitir o no, acceder a un recurso o realizar una determinada accin en funcin a la identidad del usuario.

Integridad:
Asegurar que la informacin no ha sido modificada en transito (Firma digital).

Privacidad:
Asegurar que la informacin solo puede ser leda por el destinatario (Cifrado).

Autentificacin
Existen dos modos posibles de autenticacin para permitirnos el acceso al motor de base de datos : La autenticacin de Windows o Windows confirma la identidad del usuario con el token de la entidad de seguridad de Windows del sistema operativo. o Es considerada de confianza (Ms seguro). o Usa el protocolo de seguridad de Kerberos (Proporciona un mecanismo para la autenticacin mutua entre entidades antes de que se establezca una conexin de red segura). La autenticacin de SQL Server o Con nombre de usuario y contrasea guardada en el SQL Server (Requerido en cada establecimiento de conexin). o Permite entornos con sistemas operativos mixtos. o Tres directivas de contraseas opcionales para los inicios de sesin de SQL Server. El usuario debe cambiar la contrasea en el siguiente inicio de sesin: Exige que el usuario cambie la contrasea la prxima vez que se conecte. Exigir expiracin de contrasea Un usuario puede utilizar una contrasea durante un periodo antes de que se le obligue a cambiarla. Exigir directivas de contraseas Las contraseas deben cumplir los requerimientos de complejidad.

Autentificacin - Configuracin
Durante la instalacin. Hay dos modos posibles:
El modo de autenticacin de Windows habilita la autenticacin de Windows y deshabilita la autenticacin de SQL Server. El modo mixto habilita tanto la autenticacin de Windows como la de SQL Server.

Puede Cambiarse posteriormente.

En el SQL Server Management Studio - Clic secundario en el servidor - Propiedades. En la pgina Seguridad, bajo Autenticacin de servidor, seleccione el nuevo modo de autenticacin del servidor.

Autorizacin: Gestin de Permisos

En SQL Server nos encontramos con niveles o capas en los cuales podemos gestionar la seguridad. A nivel de servidor (Inicio de Sesin):
Representa la conexin a la Instancia del SQL Server. Se crea un Inicio de Sesin para que una persona (o aplicacin) pueda conectarse a SQL Server. El que alguien tenga acceso al servidor no quiere decir que pueda acceder a las bases de datos que se encuentran en l. En cada Base de Datos a la que el Inicio de Sesin desee acceder deberemos de tener un Usuario. Gestionamos que funciones va a desempear sobre el servidor.

A nivel de base de datos (Usuarios):

Para que un Inicio de Sesin tenga acceso a una base de datos, tenemos que crear en ella un usuario. Que un usuario tenga acceso a una base de datos no quiere decir que tenga acceso a todo su contenido, ni a cada uno de los objetos que la componen. Gestionamos que funciones va a desempear sobre la base de datos.

A nivel de Objeto:
Tenemos que irle concediendo o denegando permisos sobre cada uno de los objetos que componen la base de datos.

Nivel de Servidor Funciones

Las funciones fijas de servidor cuentan con un conjunto fijo de permisos y mbito de servidor. Estn pensadas para su uso en la administracin de SQL Server y los permisos asignadas a ellas no se pueden modificar. Se pueden asignar inicios de sesin a las funciones fijas de servidor sin necesidad de disponer de una cuenta de usuario en una base de datos.
Nombre del rol de Descripcin nivel de servidor sysadmin Pueden realizar cualquier actividad en el servidor. Se le concede con la opcin GRANT: CONTROL SERVER Pueden cambiar las opciones de configuracin en el servidor y apagarlo. Se le concede: ALTER ANY ENDPOINT, ALTER serveradmin RESOURCES, ALTER SERVER STATE, ALTER SETTINGS, SHUTDOWN, VIEW SERVER STATE Administran los inicios de sesin y sus propiedades. Pueden administrar los permisos de servidor GRANT, DENY y REVOKE. Tambin pueden administrar los permisos de nivel de base de datos GRANT, DENY y REVOKE si tienen acceso a una base securityadmin de datos. Asimismo, pueden restablecer las contraseas para los inicios de sesin de SQL Server. Se le concede: ALTER ANY LOGIN Pueden finalizar los procesos que se ejecuten en una instancia de SQL Server. Se le conceden: ALTER ANY CONNECTION, processadmin ALTER SERVER STATE setupadmin Pueden agregar y quitar servidores vinculados. Se le concede: ALTER ANY LINKED SERVER bulkadmin Pueden ejecutar la instruccin BULK INSERT. Se le concede: ADMINISTER BULK OPERATIONS diskadmin Se usa para administrar archivos de disco. Se le concede: ALTER RESOURCES dbcreator Pueden crear, modificar, quitar y restaurar cualquier base de datos. Se le concede: ALTER ANY DATABASE public Se le concede el permiso VIEW ANY DATABASE y el permiso CONNECT en los extremos predeterminados (TSQL Local Machine, TSQL Named Pipes, TSQL Default TCP, TSQL Default VIA). Solo se le asigna los permisos pblicos en objetos cuando se desea que estos estn disponible para todos los usuarios.

Nivel de Base de Datos - Funciones

Las funciones fijas de base de datos incluyen un conjunto predefinido de permisos diseados para permitir administrar grupos de permisos con facilidad. Todos los usuarios de una base de datos pertenecen a la funcin pblica de la base de datos.
Nombre de funcin de Descripcin nivel de base de datos db_owner db_securityadmin db_accessadmin db_backupoperator db_ddladmin db_datawriter Los miembros de la funcin de base de datos fija db_owner pueden realizar todas las actividades de configuracin y mantenimiento en la base de datos y tambin pueden quitar la base de datos. Los miembros de la funcin de base de datos fija db_securityadmin pueden modificar la pertenencia a funciones y administrar permisos. Si se agregan entidades de seguridad a esta funcin, podra habilitarse un aumento de privilegios no deseado. Los miembros de la funcin de base de datos fija db_accessadmin pueden agregar o quitar el acceso a la base de datos para inicios de sesin de Windows, grupos de Windows e inicios de sesin de SQL Server. Los miembros de la funcin de base de datos fija db_backupoperator pueden crear copias de seguridad de la base de datos. Los miembros de la funcin de base de datos fija db_ddladmin pueden ejecutar cualquier comando del lenguaje de definicin de datos (DDL) en una base de datos. Los miembros de la funcin de base de datos fija db_datawriter pueden agregar, eliminar o cambiar datos en todas las tablas de usuario.

db_datareader
db_denydatawriter db_denydatareader

Los miembros de la funcin de base de datos fija db_datareader pueden leer todos los datos de todas las tablas de usuario. Los miembros de la funcin de base de datos fija db_denydatawriter no pueden agregar, modificar ni eliminar datos de tablas de usuario de una base de datos. Los miembros de la funcin de base de datos fija db_denydatareader no pueden leer datos de las tablas de usuario dentro de una base de datos.

Creacin de Funciones Nivel de Base de Datos

Existen dos tipos de funciones de nivel de base de datos en SQL Server: Las funciones fijas de base de datos, que estn predefinidas en la base de datos. Las funciones flexibles de base de datos, que pueden crearse.
Para crear una funcin definida por el usuario Abra SQL Server Management Studio. Expanda Bases de datos, Bases de datos del sistema, msdb, Seguridad y Funciones. En el nodo Funciones, haga clic con el botn secundario en Funciones de base de datos y, a continuacin, en Nueva funcin de base de datos. En la pgina General, indique un nombre y si lo desea, especifique un propietario, esquemas de propiedad y agregue miembros de funciones. Opcionalmente, haga clic en Permisos y configure permisos de objetos. Opcionalmente, haga clic en Propiedades extendidas y configure las propiedades extendidas. Haga clic en Aceptar.

Creacin de Funciones Nivel de aplicacin

Las funciones de aplicacin proporcionan un mtodo para asignar permisos a una aplicacin sin necesidad de utilizar una funcin o un usuario de base de datos. Los usuarios se pueden conectar a la base de datos, activar la funcin de aplicacin y asumir los permisos concedidos a la aplicacin. Los permisos concedidos a la funcin de aplicacin se mantienen mientras dura la conexin. Las funciones de aplicacin se activan cuando una aplicacin cliente proporciona un nombre de funcin de aplicacin y una contrasea en la cadena de conexin.

Los siguientes pasos muestran el proceso mediante el cual una funcin de aplicacin cambia de contextos de seguridad: Un usuario ejecuta una aplicacin cliente. La aplicacin cliente se conecta con una instancia de SQL Server como usuario. A continuacin, la aplicacin ejecuta el procedimiento almacenado sp_setapprole con una contrasea que slo conoce la aplicacin. Si el nombre y la contrasea de la funcin de aplicacin son vlidos, la funcin de aplicacin se habilita. En este momento, la conexin pierde los permisos del usuario y asume los permisos de la funcin de aplicacin. Los permisos adquiridos durante la funcin de aplicacin se mantienen mientras dura la conexin.

Integridad Cifrado de Conexiones SQL

Cuando se conecta a una instancia de Microsoft SQL Server, los datos que se transmiten entre el equipo servidor y el equipo cliente se pueden cifrar mediante uno de los siguientes mtodos de cifrado:
cifrado SSL para cifrar todos los datos que se transmiten entre un equipo de aplicacin y una instancia de SQL Server. El cifrado SSL se lleva a cabo en la biblioteca de red del super socket (DBNETLIB.DLL y SSNETLIB.DLL) y se aplica a todos los protocolos entre equipos compatibles con SQL Server. Habilitar el cifrado disminuye el rendimiento de las bibliotecas de red. El cifrado exige estas acciones adems de todo el trabajo para una conexin no cifrada:
Se requiere un viaje de ida y vuelta adicional en la red en el momento de la conexin. Todos los paquetes enviados desde la aplicacin a la instancia de SQL Server deben ser cifrados por la biblioteca de red de cliente y descifrados por la biblioteca de red del servidor.

cifrado multiprotocolo biblioteca de red de servidor The Multiprotocol utiliza la funcin de llamada (RPC) de procedimiento remoto del sistema operativo. Adems, la biblioteca de red de multiprotocolo del servidor se comunica a travs de la mayora de los mecanismos de comunicacin entre procesos (IPC), tales como sockets TCP/IP y canalizaciones con nombre, que admite el sistema operativo. Si configura la instancia de SQL Server para escuchar en la biblioteca de red de servidor multiprotocolo, puede cifrar los datos que corresponde a la instancia de SQL Server sin utilizar certificados.

Privacidad - Encriptacin
Para qu? Evitar acceso a datos sensibles Evitar robo de copias de seguridad con datos sensibles Qu tcnicas? Encriptacin a nivel de columna (2005) Encriptacin transparente (TDE), afecta a toda la BD (2008) Coste? Mayor sobrecarga y puede afectar al rendimiento. Requiere una estrategia para la definicin y mantenimiento de claves, passwords y certificados. Por ello no debe considerarse para todos los datos y conexiones

Cifrado de Datos Transparente (TDE)

La aplicacin o el desarrollador no tienen que hacer nada. El nivel de proteccin es configurable a distintos niveles:
De usuario. De tem: una BD entera, archivos de datos, archivos de log.

Incluso se puede encriptar el backup. Los datos son encriptados el momento en que estn siendo grabados en el disco y los desencripta en el momento en que son ledos. La clave del DTE de SQL Server 2008 se basa en usar usa una clave especial: Database Encription Key (DEK). Para usar TDE, siga estos pasos: Cree una clave maestra Cree u obtenga un certificado protegido por la clave maestra Cree una clave de cifrado de base de datos y protjala con el certificado Configure la base de datos para que utilice el cifrado

Auditoria SQL Server

La auditora de una instancia de SQL Server o de una base de datos de SQL Server implica el seguimiento y registro de los eventos que se producen en el sistema. Esta caracterstica permiten a los administradores implementar una estrategia de defensa optimizada para los riesgos de seguridad especficos de su entorno. Podemos configurar la auditora automtica mediante SQL Server Audit. Caracterstica incorporada en versin 2008 (no admite sql server express) Permite auditar los accesos y acciones sobre una base de datos u objetos que contenga til para cumplir con la ley de proteccin de datos No acta igual que la traza de SQL, esta supone menos coste de rendimiento.

Crear Auditoria
El proceso general de creacin y uso de una auditora es el siguiente:
Cree una auditora y defina el destino.
Puede utilizar SQL Server Management Studio o Transact-SQL para definir una auditora).

Cree una especificacin de auditora de servidor o una especificacin de auditora de base de datos que se asigne a la auditora. Habilite la especificacin de auditora.
Especificacin de auditora de servidor, recopila muchos grupos de acciones de nivel de servidor . Especificacin de auditora de base de datos, recopila acciones de auditora de nivel de base de datos.

Habilite la auditora. Puede leer los registros de eventos de Windows mediante la utilidad Visor de eventos en Windows. Para los destinos de archivo, puede utilizar tanto el Visor del archivo de registros en SQL Server Management Studio para leer el archivo de destino.

Referencias
Descripcin del Cifrado de datos transparente (TDE) http://msdn.microsoft.com/es-es/library/bb934049.aspx Roles de servidor y base de datos en SQL Server (ADO.NET) http://msdn.microsoft.com/es-es/library/bb669065.aspx Usuarios e Inicio de Sesin (SQL Server 2008 Express) http://social.msdn.microsoft.com/Forums/esES/sqlserveres/thread/30f93bad-e1cd-4b70-a9d6-0509dfb6f905/ Auditora (motor de base de datos) http://msdn.microsoft.com/es-es/library/cc280526.aspx Crear y administrar auditoras con SQL Server Management Studio http://msdn.microsoft.com/es-es/library/cc280500.aspx