Story Transcript
Seguridad en SAP Carlos O. Díaz
16 de Septiembre de 2008 Buenos Aires - Argentina
Seguridad en SAP © 2008
SAP & CYBSEC Es miembro de la SAP Global Security Alliance (GSA). Trabajamos con SAP (Walldorf) desde 2005. Hemos descubierto más de 35 vulnerabilidades en sistemas SAP, de las cuales 19 han sido publicadas en nuestro sitio: http://www.cybsec.com/ES/investigacion Desarrollamos el primer SAP Penetration Testing Framework:
Seguridad en SAP © 2008
Arquitectura típica de SAP
Seguridad en SAP © 2008
Mejoras en la Arquitectura
Seguridad en SAP © 2008
Mas allá de la Arquitectura
Los Pilares de la Seguridad
Seguridad en Sistemas Operativos Win/Unix Seguridad en Base de Datos MSSQL/ORACLE
Seguridad en SAP © 2008
Seguridad en Sistemas Operativos Win/Unix Seguridad en las Cuentas Usuarios, Grupos, Políticas de Contraseña, Asignación de correcta de permisos, Limitar el acceso a los usuarios Administradores (solo vía consola)
Seguridad en el Sistema de Archivos Utilizar particiones NTFS, Eliminar Shares por default, asignación de permisos correctos y no full control, Archivos con SETUID y/o SETGID mascara de creación de archivos (Umask)
Seguridad en los Servicios (smtp, ntp,
Desactivar todos aquellos servicios que no se utilicen telnet, snmp, echo, rsh y rlogin)
Seguridad en SAP © 2008
Seguridad en Bases de Datos: MSSQL/Oracle Cambiar todas las contraseñas de los usuarios creados por default. Eliminar contraseñas que se almacenan en texto plano después de la instalación. Instalar las últimas versiones de Service Pack y parches disponibles. Bloquear los accesos a los puertos de Sql para los clientes “no confiables” Aplicar los permisos correspondientes a los directorios donde se instala la base de datos. Restringir el acceso administrativo al Listener.
Seguridad en SAP © 2008
¿Cuál es la problemática de la Seguridad en SAP? En la mayoría de las implementaciones, las configuraciones de seguridad son dejadas por defecto!! Las configuraciones por defecto generalmente son inseguras!! Conclusión: Si bien SAP posee medidas de seguridad robustas, el problema está en la Seguridad de las Implementaciones, que generalmente son por defecto!!! Seguridad en Sap es mucho más que Roles y Perfiles
Seguridad en SAP © 2008
La Zona GRIS en seguridad SAP: • Seguridad de los usuarios • Seguridad de las interfaces • Seguridad de las comunicaciones • Parametrización segura
Seguridad en SAP © 2008
Seguridad en la aplicación SAP: Mecanismos de Autenticación
Usuario y contraseña, Secure Network Communications (SNC), Certificados de Cliente SSL X.509, Logon Tickets, Pluggable Authentication Services (PAS)
Seguridad de los Usuarios
Usuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar SAP*, Bloquear EARLYWATCH y DDIC, Cambiar las contraseña de estos usuarios en todos los mandantes.
Política de Contraseñas
Aplicar políticas de contraseñas como por ejemplo, Longitud de contraseña, caducidad de contraseña, historial de contraseñas, lista de contraseñas no permitidas ( Tabla USR40)
Mecanismos de Autorización Asignación de autorizaciones ( Objetos de autorización, Perfiles, Roles), SAP_All, autorizaciones S_*.
Seguridad en SAP © 2008
Seguridad en la aplicación SAP: Seguridad de las Interfaces
Restringir el acceso a la tabla RFCDES y a la transacción SM59. Habilitar SNC para conexiones que transmitan información sensible. Evitar almacenar los passwords en las conexiones RFC. Configurar los archivos secinfo y reginfo. Restringir el acceso al Gateway Monitor.
Seguridad del System Landscape
Mantener un esquema separado de ambientes de Producción, Testing y Desarrollo. Establecer controles de transportes a producción. Asignar roles y autorizaciones para los transportes
Seguridad de Componentes y Aplicaciones SAP
SAP ITS (Internet Transaction Server) componentes (Wgate / Agate) SAP ICM (Internet Communication Manager) App Server de Http Smtp SAP EP (Enterprise Portals) UME - User Management Engine SNC SSL
Seguridad en SAP © 2008
¿Por qué analizar la Seguridad de SAP? En la mayoría de las Empresas es “el sistema” más importante. Riesgo directo al negocio.
¿Cómo analizar la Seguridad de SAP? Revisiones de Seguridad Integral sapyto: es una herramienta desarrollada por CYBSEC que da soporte a todas las etapas de Revisión de Seguridad. http://www.cybsec.com/vuln/tools/sapyto.tgz
Las revisiones de seguridad deben ser realizados en ambientes controlados por expertos capacitados en la materia.
Seguridad en SAP © 2008
Vulnerabilidades comúnmente encontradas Usuarios y contraseñas por defecto (SAP*, DDIC, EARLYWATCH, Oracle, Informix, SA, Administrador, Root) Scripts para interfaces con usuarios y contraseñas. Relaciones de confianza entre equipos mal configurada. Permisos a nivel NFS o Share mal configurados. Errores de configuración en SAPRouter. Sin restricción de acceso. Publicación de Servicios de SAP en Internet configurados (SAPRouter, ITS, Business Connector).
mal
Seguridad en SAP © 2008
Vulnerabilidades comúnmente encontradas (Cont.) Vulnerabilidades de Sistemas Operativos que soportan SAP Vulnerabilidades de Base de Datos que soportan SAP. Usuarios de desarrollo de SAP con privilegios amplios sobre sistemas de Producción. Usuarios de aplicación SAP con contraseñas triviales. Privilegios amplios para usuarios de SAP (asignación de transacciones criticas del sistema, SAP_ALL) No aplicación de parches de Seguridad permitiendo la explotación de vulnerabilidades
en
SAP,
Seguridad en SAP © 2008
Conclusiones: El sistema operativo y la base de datos representan los pilares de los sistemas SAP. Los mismos deben mantenerse actualizados y configurados en forma segura. SAP provee una gran cantidad de soluciones y una arquitectura compleja, la cual debe ser asegurada a nivel aplicación y comunicación. Es fundamental mantener un control estricto sobre los usuarios y las autorizaciones de los mismos en el sistema. Por defecto, muchas configuraciones son inseguras y deben ser modificadas.
Seguridad en SAP © 2008
¿Preguntas?