aspectos de seguridad técnica en sap

Aspectos de Seguridad

Técnica en SAP

3 de Agosto de 2010

Julio C. Ardita, [email protected]

Aspectos de Seguridad Técnica en SAP

Agenda

- Seguridad en la arquitectura

- Seguridad en el SO y DB del entorno SAP

- Seguridad a nivel técnico de R/3

- Seguridad de las interfaces RFC

- Problemáticas más comunes

- Herramientas de seguridad de SAP


Nuestra experiencia de seguridad en SAP

Trabajamos con SAP Ag (Walldorf) desde 2005.

Hemos descubierto 42 vulnerabilidades en sistemas SAP, de las cuales 20 han sido publicadas en nuestro sitio: http://www.cybsec.com/ES/investigacion/default.php

Desarrollamos el primer SAP Penetration Testing Framework (utilizado por más de 3.600 personas).

Desarrollamos la herramienta SAFE pararealizar auditorías de seguridad sobre SAP.


Arquitectura

Niveles de Seguridad en SAP


Arquitectura típica de SAP


Mejoras de seguridad sobre la arquitectura de SAP


Mas allá de la Arquitectura

Los Pilares de la Seguridad en SAP son:

- Seguridad en Sistemas Operativos Win/Unix.

- Seguridad en Base de Datos MSSQL/ORACLE.


Seguridad en Sistemas Operativos

Seguridad en las cuentas de acceso

Usuarios, grupos, políticas de Contraseña, asignación correcta

de permisos, limitar el acceso a los usuarios Administradores.

Seguridad en el Sistema de Archivos

Utilizar particiones con mecanismos de seguridad, eliminar

recursos compartidos, asignación de permisos correctos,

archivos con setuid y/o setgid, máscara de creación de

archivos.


Seguridad en Sistemas Operativos

Seguridad en los Servicios

Desactivar todos los servicios que no se utilicen (smtp, ntp,

telnet, snmp, ftp*, rsh*, rexec* y rlogin*).

Estandarizar el nivel de seguridad

Definir un estándar de seguridad a nivel del S.O. y aplicarlo a

todas las instancias (Desarrollo/QA/Producción). Activar logs.

Controlar periódicamente.


Seguridad en Bases de Datos

Cambiar todas las contraseñas de los usuarios creados por

defecto (SYS, SYSTEM, DBSNMP, etc).

Eliminar contraseñas que se almacenan en texto plano después

de la instalación.

Instalar las últimas versiones de Service Pack y parches

disponibles.


Seguridad en Bases de Datos

Bloquear los accesos a los puertos de acceso a la Base de

Datos para los clientes “no confiables”.

Aplicar los permisos correspondientes a los directorios donde

se instala la base de datos y a las tablas internas.

Restringir el acceso administrativo al Listener.

En lo posible, aplicar un Firewall de BD.


¿Cuál es la problemática de la Seguridad en SAP?

En la mayoría de las implementaciones, las configuraciones de

seguridad son dejadas por defecto (y generalmente son

inseguras).

Si bien SAP posee medidas de seguridad robustas, el problema

está en implementación de las mismas.

Generalmente el tema de seguridad en SAP se aborda desde la

parte funcional (definición de roles y perfiles, incompatibilidad

de funciones, permisos excesivos, etc).


Arquitectura

- Seguridad de los usuarios

- Seguridad de las interfaces

- Seguridad de las comunicaciones

- Parametrización segura

La zona gris de seguridad en SAP


Seguridad en la aplicación SAP

Mecanismos de Autenticación

Usuario y contraseña, Secure Network Communications (SNC),

Certificados de Cliente SSL X.509, Logon Tickets, Pluggable

Authentication Services (PAS).

Seguridad de los Usuarios

Usuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar

SAP*, Bloquear EARLYWATCH y DDIC, Cambiar las contraseña

de estos usuarios en todos los mandantes.



Política de Contraseñas

Aplicar políticas de contraseñas como por ejemplo: longitud de

contraseña, caducidad de contraseña, historial de contraseñas,

lista de contraseñas no permitidas (Tabla USR40).

Mecanismos de Autorización

Asignación de autorizaciones (objetos de autorización, perfiles,

roles), SAP_ALL, autorizaciones S_*.



Seguridad de las Interfaces

Restringir el acceso a la tabla RFCDES y a la transacción

SM59. Habilitar SNC para conexiones que transmitan

información sensible. Evitar almacenar los passwords en las

conexiones RFC. Configurar los archivos secinfo y reginfo.

Restringir el acceso al Gateway Monitor.

Seguridad del System Landscape

Mantener un esquema separado de ambientes de Producción,

Testing y Desarrollo. Establecer controles de transportes a

producción. Asignar roles y autorizaciones para los

transportes.


Problemáticas más comunes

- Usuarios y contraseñas por defecto (SAP*, DDIC,

EARLYWATCH, Oracle, Informix, SA, Administrador, Root)

- Scripts para interfaces con usuarios y contraseñas.

- Relaciones de confianza entre equipos mal configurada.

- Permisos a nivel NFS o Shares mal

configurados.



- Errores de configuración en SAPRouter. Sin restricción de

acceso.

- Publicación de Servicios de SAP en Internet mal configurados

(SAPRouter, ITS, Business Connector).

- Vulnerabilidades de Sistemas Operativos

y Bases de Datos que soportan SAP.



- Usuarios de desarrollo de SAP con privilegios amplios sobre

sistemas de Producción.

- Usuarios de aplicación SAP con contraseñas triviales.

- Privilegios amplios para usuarios de SAP (asignación de

transacciones criticas del sistema, SAP_ALL).

- No aplicación de parches de Seguridad en SAP, permitiendo la

explotación de vulnerabilidades.


Vulnerabilidades críticas – Acceso al Oracle

Si se utiliza SAP con Oracle, en la mayoría de los casos* se utiliza un mecanismo de autenticación basado en la confianza del usuario del sistema operativo (parámetro REMOTE_OS_AUTHENT =TRUE).

Nombre Server:

PRD

Base de Datos

Oracle: PRDadm

Creación usuario local PRDadm

Lee el U/PW de la

tabla SAPUSER


Vulnerabilidades críticas – Acceso vía RFC

RFC es el principal protocolo de comunicación entre sistemas

SAP. Por defecto, el contenido no se encripta. Permite iniciar

funciones en sistemas remotos.

RFC

En forma remota se establece una sesión válida y luego se ejecuta una aplicación interna de SAP para ejecutar comandos en el sistema operativo.

Usuariointerno


Vulnerabilidades críticas – Acceso vía RFC

Ejemplo de captura de

ejecución de comandos

en forma remota sobre un

Servidor SAP via RFC.

La solución a este problema

es la correcta configuración

de los archivos gw/sec_info

y gw/reg_info.


Vulnerabilidades críticas – Acceso vía Internet

Hemos detectado varios casos donde el SAP Router se

encuentra conectado a Internet sin ningún tipo de filtrado,

permitiendo que se puedan establecer conexiones al SAP

Router y desde allí acceder a los sistemas SAP internos.

Filtrado en el FW

Configuración insegura de SAP Router:P * * * * en el archivo saprouttab


Conclusiones

SAP es un sistema seguro, pero se implementa sin los

mecanismos de seguridad adecuados.

Hay que aplicar medidas de seguridad en todos los niveles:

Arquitectura, Sistema Operativo, Base de Datos,

Parametrización de SAP (“zona Gris”) y Nivel Funcional.

Si se interconecta el SAP hacia el exterior se debe priorizar

la seguridad, ya que estamos abriendo una puerta al mundo.


¿Preguntas?

Julio C. Ardita, [email protected]

aspectos de seguridad técnica en sap

Documents