Scribd Logo
Upload

Welcome to Scribd!

  • Ardita Seguridad Tecnica SAP v2

    Uploaded by

    Adriana
    51 views25 pages
    Seguridad

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Seguridad

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    51 views25 pages

    Ardita Seguridad Tecnica SAP v2

    Uploaded by

    Adriana
    Seguridad

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 25

    Aspectos de Seguridad

    Técnica en SAP

    Julio C. Ardita, CISM


    jardita@cybsec.com

    3 de Agosto de 2010
    Aspectos de Seguridad Técnica en SAP

    Agenda

    - Seguridad en la arquitectura
    - Seguridad en el SO y DB del entorno SAP
    - Seguridad a nivel técnico de R/3
    - Seguridad de las interfaces RFC
    - Problemáticas más comunes
    - Herramientas de seguridad de SAP
    Aspectos de Seguridad Técnica en SAP

    Nuestra experiencia de seguridad en SAP

    Trabajamos con SAP Ag (Walldorf) desde 2005.

    Hemos descubierto 42 vulnerabilidades en sistemas SAP, de


    las cuales 20 han sido publicadas en nuestro sitio:
    http://www.cybsec.com/ES/investigacion/default.php

    Desarrollamos el primer SAP Penetration Testing Framework


    (utilizado por más de 3.600 personas).

    Desarrollamos la herramienta SAFE para


    realizar auditorías de seguridad sobre SAP.
    Aspectos de Seguridad Técnica en SAP

    Niveles de Seguridad en SAP

    Arquitectura
    Aspectos de Seguridad Técnica en SAP

    Arquitectura típica de SAP


    Aspectos de Seguridad Técnica en SAP

    Mejoras de seguridad sobre la arquitectura de SAP


    Aspectos de Seguridad Técnica en SAP

    Mas allá de la Arquitectura

    Los Pilares de la Seguridad en


    SAP son:

    - Seguridad en Sistemas Operativos Win/Unix.

    - Seguridad en Base de Datos MSSQL/ORACLE.


    Aspectos de Seguridad Técnica en SAP

    Seguridad en Sistemas Operativos

    Seguridad en las cuentas de acceso


    Usuarios, grupos, políticas de Contraseña, asignación correcta
    de permisos, limitar el acceso a los usuarios Administradores.

    Seguridad en el Sistema de Archivos


    Utilizar particiones con mecanismos de seguridad, eliminar
    recursos compartidos, asignación de permisos correctos,
    archivos con setuid y/o setgid, máscara de creación de
    archivos.
    Aspectos de Seguridad Técnica en SAP

    Seguridad en Sistemas Operativos

    Seguridad en los Servicios


    Desactivar todos los servicios que no se utilicen (smtp, ntp,
    telnet, snmp, ftp*, rsh*, rexec* y rlogin*).

    Estandarizar el nivel de seguridad


    Definir un estándar de seguridad a nivel del S.O. y aplicarlo a
    todas las instancias (Desarrollo/QA/Producción). Activar logs.
    Controlar periódicamente.
    Aspectos de Seguridad Técnica en SAP

    Seguridad en Bases de Datos

    Cambiar todas las contraseñas de los usuarios creados por


    defecto (SYS, SYSTEM, DBSNMP, etc).

    Eliminar contraseñas que se almacenan en texto plano después


    de la instalación.

    Instalar las últimas versiones de Service Pack y parches


    disponibles.
    Aspectos de Seguridad Técnica en SAP

    Seguridad en Bases de Datos

    Bloquear los accesos a los puertos de acceso a la Base de


    Datos para los clientes “no confiables”.

    Aplicar los permisos correspondientes a los directorios donde


    se instala la base de datos y a las tablas internas.

    Restringir el acceso administrativo al Listener.

    En lo posible, aplicar un Firewall de BD.


    Aspectos de Seguridad Técnica en SAP

    ¿Cuál es la problemática de la Seguridad en SAP?

    En la mayoría de las implementaciones, las configuraciones de


    seguridad son dejadas por defecto (y generalmente son
    inseguras).

    Si bien SAP posee medidas de seguridad robustas, el problema


    está en implementación de las mismas.

    Generalmente el tema de seguridad en SAP se aborda desde la


    parte funcional (definición de roles y perfiles, incompatibilidad
    de funciones, permisos excesivos, etc).
    Aspectos de Seguridad Técnica en SAP

    La zona gris de seguridad en SAP

    - Seguridad de los usuarios

    - Seguridad de las interfaces

    - Seguridad de las
    comunicaciones

    - Parametrización segura

    Arquitectura
    Aspectos de Seguridad Técnica en SAP

    Seguridad en la aplicación SAP

    Mecanismos de Autenticación
    Usuario y contraseña, Secure Network Communications (SNC),
    Certificados de Cliente SSL X.509, Logon Tickets, Pluggable
    Authentication Services (PAS).

    Seguridad de los Usuarios


    Usuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar
    SAP*, Bloquear EARLYWATCH y DDIC, Cambiar las contraseña
    de estos usuarios en todos los mandantes.
    Aspectos de Seguridad Técnica en SAP

    Seguridad en la aplicación SAP

    Política de Contraseñas
    Aplicar políticas de contraseñas como por ejemplo: longitud de
    contraseña, caducidad de contraseña, historial de contraseñas,
    lista de contraseñas no permitidas (Tabla USR40).

    Mecanismos de Autorización
    Asignación de autorizaciones (objetos de autorización, perfiles,
    roles), SAP_ALL, autorizaciones S_*.
    Aspectos de Seguridad Técnica en SAP

    Seguridad en la aplicación SAP

    Seguridad de las Interfaces


    Restringir el acceso a la tabla RFCDES y a la transacción
    SM59. Habilitar SNC para conexiones que transmitan
    información sensible. Evitar almacenar los passwords en las
    conexiones RFC. Configurar los archivos secinfo y reginfo.
    Restringir el acceso al Gateway Monitor.

    Seguridad del System Landscape


    Mantener un esquema separado de ambientes de Producción,
    Testing y Desarrollo. Establecer controles de transportes a
    producción. Asignar roles y autorizaciones para los
    transportes.
    Aspectos de Seguridad Técnica en SAP

    Problemáticas más comunes

    - Usuarios y contraseñas por defecto (SAP*, DDIC,


    EARLYWATCH, Oracle, Informix, SA, Administrador, Root)

    - Scripts para interfaces con usuarios y contraseñas.

    - Relaciones de confianza entre equipos mal configurada.

    - Permisos a nivel NFS o Shares mal


    configurados.
    Aspectos de Seguridad Técnica en SAP

    Problemáticas más comunes

    - Errores de configuración en SAPRouter. Sin restricción de


    acceso.

    - Publicación de Servicios de SAP en Internet mal configurados


    (SAPRouter, ITS, Business Connector).

    - Vulnerabilidades de Sistemas Operativos


    y Bases de Datos que soportan SAP.
    Aspectos de Seguridad Técnica en SAP

    Problemáticas más comunes

    - Usuarios de desarrollo de SAP con privilegios amplios sobre


    sistemas de Producción.

    - Usuarios de aplicación SAP con contraseñas triviales.

    - Privilegios amplios para usuarios de SAP (asignación de


    transacciones criticas del sistema, SAP_ALL).

    - No aplicación de parches de Seguridad en SAP, permitiendo la


    explotación de vulnerabilidades.
    Aspectos de Seguridad Técnica en SAP

    Vulnerabilidades críticas – Acceso al Oracle

    Si se utiliza SAP con Oracle, en la mayoría de los casos* se


    utiliza un mecanismo de autenticación basado en la confianza
    del usuario del sistema operativo (parámetro
    REMOTE_OS_AUTHENT =TRUE).

    Nombre Server:
    PRD

    Creación usuario
    local PRDadm
    Lee el U/PW de la Base de Datos
    Oracle: PRDadm
    tabla SAPUSER
    Aspectos de Seguridad Técnica en SAP

    Vulnerabilidades críticas – Acceso vía RFC

    RFC es el principal protocolo de comunicación entre sistemas


    SAP. Por defecto, el contenido no se encripta. Permite iniciar
    funciones en sistemas remotos.

    En forma remota se
    Usuario
    establece una sesión
    interno
    válida y luego se
    RFC ejecuta una aplicación
    interna de SAP para
    ejecutar comandos en
    el sistema operativo.
    Aspectos de Seguridad Técnica en SAP

    Vulnerabilidades críticas – Acceso vía RFC

    Ejemplo de captura de
    ejecución de comandos
    en forma remota sobre un
    Servidor SAP via RFC.

    La solución a este problema


    es la correcta configuración
    de los archivos gw/sec_info
    y gw/reg_info.
    Aspectos de Seguridad Técnica en SAP

    Vulnerabilidades críticas – Acceso vía Internet

    Hemos detectado varios casos donde el SAP Router se


    encuentra conectado a Internet sin ningún tipo de filtrado,
    permitiendo que se puedan establecer conexiones al SAP
    Router y desde allí acceder a los sistemas SAP internos.

    Filtrado
    en el FW

    Configuración insegura de SAP


    Router:
    P * * * * en el archivo
    saprouttab
    Aspectos de Seguridad Técnica en SAP

    Conclusiones

    SAP es un sistema seguro, pero se implementa sin los


    mecanismos de seguridad adecuados.

    Hay que aplicar medidas de seguridad en todos los niveles:


    Arquitectura, Sistema Operativo, Base de Datos,
    Parametrización de SAP (“zona Gris”) y Nivel Funcional.

    Si se interconecta el SAP hacia el exterior se debe priorizar


    la seguridad, ya que estamos abriendo una puerta al mundo.
    Aspectos de Seguridad Técnica en SAP

    ¿Preguntas?

    Julio C. Ardita, CISM


    jardita@cybsec.com

    You might also like