Protección
En este tema se describen los estándares admitidos para la protección de DB2.
Estándares de cifrado para DB2
En la tabla siguiente se describen los estándares de cifrado admitidos para DB2.
Cifrado |
Autenticación |
Datos |
DB2 para z/OS |
DB2 para i5/OS |
DB2 para LUW |
Kerberos |
Sí |
No |
V8 |
V5R3 |
V8 |
SSL V3 |
Sí |
Sí |
V9 |
V5R4 |
V9.1 |
TLS V1 |
Sí |
Sí |
V9 |
V5R4 |
V9.1 |
AES |
Sí |
No |
V8 (APAR PK56287) |
V5R4 |
V9.5 (Fix Pack 3) |
Configuración para la protección
El proveedor de datos concede al grupo público DB2 permisos de ejecución en el paquete de DB2
Cuando crea paquetes de DB2, la Herramienta de acceso a datos y los proveedores de datos DB2 establecen en PUBLIC los permisos de ejecución de los paquetes de DB2. Para aumentar la seguridad del servidor DB2, es recomendable revocar los permisos de ejecución en PUBLIC de dichos paquetes y conceder permisos de ejecución solamente a usuarios y grupos de DB2 seleccionados. Los permisos que se conceden a PUBLIC se conceden a todos los usuarios de DB2, por lo que el servidor DB2 podría ser vulnerable a los ataques.
El proveedor de datos almacena el nombre de usuario como texto sin formato en el vínculo de datos universal (UDL) o en el archivo de cadena de conexión
De manera predeterminada, cuando usa el Asistente para orígenes de datos o Vínculos de datos, el proveedor de datos almacena el nombre de usuario en texto sin formato en el archivo de conexión o en el vínculo de datos universal (UDL). Es recomendable configurar el proveedor de datos para usar el Inicio de sesión único empresarial, que integra las cuentas de Windows Active Directory con el sistema host de IBM y las credencias de DB2. Los administradores asignan el host y las credenciales de DB2 a cuentas de AD, almacenándolas en una base de datos cifrada de SQL Server. El proveedor de datos recupera estas asignaciones en tiempo de ejecución para autenticar con seguridad a los usuarios en servidores remotos de bases de datos IBM DB2. Para obtener más información acerca del Inicio de sesión único empresarial, vea la página sobre la guía de seguridad del usuario de Host Integration Server 2010 (https://go.microsoft.com/fwlink/?LinkID=180767).
El proveedor de datos admite el cifrado débil basado en DES y Diffie-Hellman
De manera opcional, el proveedor de datos admite la autenticación y el cifrado de datos mediante tecnologías del Estándar de cifrado de datos (DES) débil de 56 bits. Es recomendable configurar el proveedor de datos para usar el cifrado de datos mediante Capa de sockets seguros (SSL) V 3.0 o Seguridad de la capa de transporte (TLS) V 1.0. Para la autenticación de cifrado exclusivamente, puede usar el Estándar de cifrado avanzado (AES) para admitir el cifrado de 256 bits.
El proveedor de datos se conecta mediante el uso de nombre de usuario y contraseña en texto sin formato y sin cifrar
De manera predeterminada, el proveedor de datos se conecta a los equipos servidor de DB2 a través de una red TCP/IP mediante la autenticación básica, en la que el nombre de usuario y la contraseña no están cifrados y se envían en texto sin formato. Es recomendable configurar el proveedor de datos para usar el cifrado de autenticación mediante Kerberos, Capa de sockets seguros (SSL) V 3.0 o Seguridad de la capa de transporte (TLS) V 1.0 o bien el cifrado de autenticación mediante AES.
El proveedor de datos envía y recibe datos sin cifrar
De manera predeterminada, el proveedor de datos envía y recibe datos sin cifrar. Es recomendable configurar el proveedor de datos para usar el cifrado de datos mediante Capa de sockets seguros (SSL) V 3.0 o Seguridad de la capa de transporte (TLS) V 1.0.
El proveedor de datos envía flujos de red adicionales para admitir Defer Prepare
De manera opcional, puede especificar TRUE para indicar al proveedor de datos que debe optimizar el procesamiento de los comandos de base de datos parametrizados. El valor predeterminado es FALSE. En el caso de los comandos INSERT, UPDATE y DELETE, el proveedor de datos puede combinar los comandos PREPARE, EXECUTE y COMMIT en un flujo de red hacia la base de datos remota. En el caso del comando SELECT, el proveedor de datos combina los comandos PREPARE y EXECUTE en un flujo de red. Esta optimización minimiza el tráfico de red y puede mejorar el rendimiento global.