Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Aspectos de Seguridad Técnica en SAP
Agenda
- Seguridad en la arquitectura
- Seguridad en el SO y DB del entorno SAP
- Seguridad a nivel técnico de R/3
- Seguridad de las interfaces RFC
- Problemáticas más comunes
- Herramientas de seguridad de SAP
Aspectos de Seguridad Técnica en SAP
Nuestra experiencia de seguridad en SAP
Trabajamos con SAP Ag (Walldorf) desde 2005.
Hemos descubierto 42 vulnerabilidades en sistemas SAP, de las cuales 20 han sido publicadas en nuestro sitio: http://www.cybsec.com/ES/investigacion/default.php
Desarrollamos el primer SAP Penetration Testing Framework (utilizado por más de 3.600 personas).
Desarrollamos la herramienta SAFE pararealizar auditorías de seguridad sobre SAP.
Aspectos de Seguridad Técnica en SAP
Arquitectura
Niveles de Seguridad en SAP
Aspectos de Seguridad Técnica en SAP
Arquitectura típica de SAP
Aspectos de Seguridad Técnica en SAP
Mejoras de seguridad sobre la arquitectura de SAP
Aspectos de Seguridad Técnica en SAP
Mas allá de la Arquitectura
Los Pilares de la Seguridad en SAP son:
- Seguridad en Sistemas Operativos Win/Unix.
- Seguridad en Base de Datos MSSQL/ORACLE.
Aspectos de Seguridad Técnica en SAP
Seguridad en Sistemas Operativos
Seguridad en las cuentas de acceso
Usuarios, grupos, políticas de Contraseña, asignación correcta
de permisos, limitar el acceso a los usuarios Administradores.
Seguridad en el Sistema de Archivos
Utilizar particiones con mecanismos de seguridad, eliminar
recursos compartidos, asignación de permisos correctos,
archivos con setuid y/o setgid, máscara de creación de
archivos.
Aspectos de Seguridad Técnica en SAP
Seguridad en Sistemas Operativos
Seguridad en los Servicios
Desactivar todos los servicios que no se utilicen (smtp, ntp,
telnet, snmp, ftp*, rsh*, rexec* y rlogin*).
Estandarizar el nivel de seguridad
Definir un estándar de seguridad a nivel del S.O. y aplicarlo a
todas las instancias (Desarrollo/QA/Producción). Activar logs.
Controlar periódicamente.
Aspectos de Seguridad Técnica en SAP
Seguridad en Bases de Datos
Cambiar todas las contraseñas de los usuarios creados por
defecto (SYS, SYSTEM, DBSNMP, etc).
Eliminar contraseñas que se almacenan en texto plano después
de la instalación.
Instalar las últimas versiones de Service Pack y parches
disponibles.
Aspectos de Seguridad Técnica en SAP
Seguridad en Bases de Datos
Bloquear los accesos a los puertos de acceso a la Base de
Datos para los clientes “no confiables”.
Aplicar los permisos correspondientes a los directorios donde
se instala la base de datos y a las tablas internas.
Restringir el acceso administrativo al Listener.
En lo posible, aplicar un Firewall de BD.
Aspectos de Seguridad Técnica en SAP
¿Cuál es la problemática de la Seguridad en SAP?
En la mayoría de las implementaciones, las configuraciones de
seguridad son dejadas por defecto (y generalmente son
inseguras).
Si bien SAP posee medidas de seguridad robustas, el problema
está en implementación de las mismas.
Generalmente el tema de seguridad en SAP se aborda desde la
parte funcional (definición de roles y perfiles, incompatibilidad
de funciones, permisos excesivos, etc).
Aspectos de Seguridad Técnica en SAP
Arquitectura
- Seguridad de los usuarios
- Seguridad de las interfaces
- Seguridad de las comunicaciones
- Parametrización segura
La zona gris de seguridad en SAP
Aspectos de Seguridad Técnica en SAP
Seguridad en la aplicación SAP
Mecanismos de Autenticación
Usuario y contraseña, Secure Network Communications (SNC),
Certificados de Cliente SSL X.509, Logon Tickets, Pluggable
Authentication Services (PAS).
Seguridad de los Usuarios
Usuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar
SAP*, Bloquear EARLYWATCH y DDIC, Cambiar las contraseña
de estos usuarios en todos los mandantes.
Aspectos de Seguridad Técnica en SAP
Seguridad en la aplicación SAP
Política de Contraseñas
Aplicar políticas de contraseñas como por ejemplo: longitud de
contraseña, caducidad de contraseña, historial de contraseñas,
lista de contraseñas no permitidas (Tabla USR40).
Mecanismos de Autorización
Asignación de autorizaciones (objetos de autorización, perfiles,
roles), SAP_ALL, autorizaciones S_*.
Aspectos de Seguridad Técnica en SAP
Seguridad en la aplicación SAP
Seguridad de las Interfaces
Restringir el acceso a la tabla RFCDES y a la transacción
SM59. Habilitar SNC para conexiones que transmitan
información sensible. Evitar almacenar los passwords en las
conexiones RFC. Configurar los archivos secinfo y reginfo.
Restringir el acceso al Gateway Monitor.
Seguridad del System Landscape
Mantener un esquema separado de ambientes de Producción,
Testing y Desarrollo. Establecer controles de transportes a
producción. Asignar roles y autorizaciones para los
transportes.
Aspectos de Seguridad Técnica en SAP
Problemáticas más comunes
- Usuarios y contraseñas por defecto (SAP*, DDIC,
EARLYWATCH, Oracle, Informix, SA, Administrador, Root)
- Scripts para interfaces con usuarios y contraseñas.
- Relaciones de confianza entre equipos mal configurada.
- Permisos a nivel NFS o Shares mal
configurados.
Aspectos de Seguridad Técnica en SAP
Problemáticas más comunes
- Errores de configuración en SAPRouter. Sin restricción de
acceso.
- Publicación de Servicios de SAP en Internet mal configurados
(SAPRouter, ITS, Business Connector).
- Vulnerabilidades de Sistemas Operativos
y Bases de Datos que soportan SAP.
Aspectos de Seguridad Técnica en SAP
Problemáticas más comunes
- Usuarios de desarrollo de SAP con privilegios amplios sobre
sistemas de Producción.
- Usuarios de aplicación SAP con contraseñas triviales.
- Privilegios amplios para usuarios de SAP (asignación de
transacciones criticas del sistema, SAP_ALL).
- No aplicación de parches de Seguridad en SAP, permitiendo la
explotación de vulnerabilidades.
Aspectos de Seguridad Técnica en SAP
Vulnerabilidades críticas – Acceso al Oracle
Si se utiliza SAP con Oracle, en la mayoría de los casos* se utiliza un mecanismo de autenticación basado en la confianza del usuario del sistema operativo (parámetro REMOTE_OS_AUTHENT =TRUE).
Nombre Server:
PRD
Base de Datos
Oracle: PRDadm
Creación usuario local PRDadm
Lee el U/PW de la
tabla SAPUSER
Aspectos de Seguridad Técnica en SAP
Vulnerabilidades críticas – Acceso vía RFC
RFC es el principal protocolo de comunicación entre sistemas
SAP. Por defecto, el contenido no se encripta. Permite iniciar
funciones en sistemas remotos.
RFC
En forma remota se establece una sesión válida y luego se ejecuta una aplicación interna de SAP para ejecutar comandos en el sistema operativo.
Usuariointerno
Aspectos de Seguridad Técnica en SAP
Vulnerabilidades críticas – Acceso vía RFC
Ejemplo de captura de
ejecución de comandos
en forma remota sobre un
Servidor SAP via RFC.
La solución a este problema
es la correcta configuración
de los archivos gw/sec_info
y gw/reg_info.
Aspectos de Seguridad Técnica en SAP
Vulnerabilidades críticas – Acceso vía Internet
Hemos detectado varios casos donde el SAP Router se
encuentra conectado a Internet sin ningún tipo de filtrado,
permitiendo que se puedan establecer conexiones al SAP
Router y desde allí acceder a los sistemas SAP internos.
Filtrado en el FW
Configuración insegura de SAP Router:P * * * * en el archivo saprouttab
Aspectos de Seguridad Técnica en SAP
Conclusiones
SAP es un sistema seguro, pero se implementa sin los
mecanismos de seguridad adecuados.
Hay que aplicar medidas de seguridad en todos los niveles:
Arquitectura, Sistema Operativo, Base de Datos,
Parametrización de SAP (“zona Gris”) y Nivel Funcional.
Si se interconecta el SAP hacia el exterior se debe priorizar
la seguridad, ya que estamos abriendo una puerta al mundo.