Seguridad en SAP. Carlos O. DíazD 16 de Septiembre de 2008 Buenos Aires - Argentina

Seguridad en SAP Carlos O. Díaz 16 de Septiembre de 2008 Buenos Aires - Argentina Seguridad en SAP © 2008 SAP & CYBSEC ƒ Es miembro de la SAP Gl

35 downloads 39 Views 384KB Size

Recommend Stories


BUENOS AIRES- ARGENTINA
CENTRO DE GRADUADOS DE ECONOMICAS BUENOS AIRES- ARGENTINA EXPOSITOR: MG. DR. JOSE LUIS SIRENA ESPECIALISTAS EN DERECHO DEL TRABAJO, RECURSOS DE LA

FLENI. Buenos Aires. Argentina
Departamento de Neurociencias Del 7 al 12 de septiembre de 2009 / FLENI. Buenos Aires. Argentina. V Simposio de Neurociencias FLEN Programa Centra

Story Transcript

Seguridad en SAP Carlos O. Díaz



16 de Septiembre de 2008 Buenos Aires - Argentina

Seguridad en SAP © 2008

SAP & CYBSEC ƒ Es miembro de la SAP Global Security Alliance (GSA). ƒ Trabajamos con SAP (Walldorf) desde 2005. ƒ Hemos descubierto más de 35 vulnerabilidades en sistemas SAP, de las cuales 19 han sido publicadas en nuestro sitio: http://www.cybsec.com/ES/investigacion ƒ Desarrollamos el primer SAP Penetration Testing Framework:

Seguridad en SAP © 2008

Arquitectura típica de SAP

Seguridad en SAP © 2008

Mejoras en la Arquitectura

Seguridad en SAP © 2008

Mas allá de la Arquitectura

Los Pilares de la Seguridad

ƒ Seguridad en Sistemas Operativos Win/Unix ƒ Seguridad en Base de Datos MSSQL/ORACLE

Seguridad en SAP © 2008

Seguridad en Sistemas Operativos Win/Unix ƒ Seguridad en las Cuentas Usuarios, Grupos, Políticas de Contraseña, Asignación de correcta de permisos, Limitar el acceso a los usuarios Administradores (solo vía consola)

ƒ Seguridad en el Sistema de Archivos Utilizar particiones NTFS, Eliminar Shares por default, asignación de permisos correctos y no full control, Archivos con SETUID y/o SETGID mascara de creación de archivos (Umask)

ƒ Seguridad en los Servicios (smtp, ntp,

Desactivar todos aquellos servicios que no se utilicen telnet, snmp, echo, rsh y rlogin)

Seguridad en SAP © 2008

Seguridad en Bases de Datos: MSSQL/Oracle ƒ Cambiar todas las contraseñas de los usuarios creados por default. ƒ Eliminar contraseñas que se almacenan en texto plano después de la instalación. ƒ Instalar las últimas versiones de Service Pack y parches disponibles. ƒ Bloquear los accesos a los puertos de Sql para los clientes “no confiables” ƒ Aplicar los permisos correspondientes a los directorios donde se instala la base de datos. ƒ Restringir el acceso administrativo al Listener.

Seguridad en SAP © 2008

¿Cuál es la problemática de la Seguridad en SAP? ƒ En la mayoría de las implementaciones, las configuraciones de seguridad son dejadas por defecto!! ƒ Las configuraciones por defecto generalmente son inseguras!! Conclusión: Si bien SAP posee medidas de seguridad robustas, el problema está en la Seguridad de las Implementaciones, que generalmente son por defecto!!! Seguridad en Sap es mucho más que Roles y Perfiles

Seguridad en SAP © 2008

La Zona GRIS en seguridad SAP: • Seguridad de los usuarios • Seguridad de las interfaces • Seguridad de las comunicaciones • Parametrización segura

Seguridad en SAP © 2008

Seguridad en la aplicación SAP: ƒ Mecanismos de Autenticación

Usuario y contraseña, Secure Network Communications (SNC), Certificados de Cliente SSL X.509, Logon Tickets, Pluggable Authentication Services (PAS)

ƒ Seguridad de los Usuarios

Usuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar SAP*, Bloquear EARLYWATCH y DDIC, Cambiar las contraseña de estos usuarios en todos los mandantes.

ƒ Política de Contraseñas

Aplicar políticas de contraseñas como por ejemplo, Longitud de contraseña, caducidad de contraseña, historial de contraseñas, lista de contraseñas no permitidas ( Tabla USR40)

ƒ Mecanismos de Autorización Asignación de autorizaciones ( Objetos de autorización, Perfiles, Roles), SAP_All, autorizaciones S_*.

Seguridad en SAP © 2008

Seguridad en la aplicación SAP: ƒ Seguridad de las Interfaces

Restringir el acceso a la tabla RFCDES y a la transacción SM59. Habilitar SNC para conexiones que transmitan información sensible. Evitar almacenar los passwords en las conexiones RFC. Configurar los archivos secinfo y reginfo. Restringir el acceso al Gateway Monitor.

ƒ Seguridad del System Landscape

Mantener un esquema separado de ambientes de Producción, Testing y Desarrollo. Establecer controles de transportes a producción. Asignar roles y autorizaciones para los transportes

ƒ Seguridad de Componentes y Aplicaciones SAP ƒ ƒ ƒ ƒ ƒ

SAP ITS (Internet Transaction Server) componentes (Wgate / Agate) SAP ICM (Internet Communication Manager) App Server de Http Smtp SAP EP (Enterprise Portals) UME - User Management Engine SNC SSL

Seguridad en SAP © 2008

¿Por qué analizar la Seguridad de SAP? ƒ En la mayoría de las Empresas es “el sistema” más importante. ƒ Riesgo directo al negocio.

¿Cómo analizar la Seguridad de SAP? ƒ Revisiones de Seguridad Integral ƒ sapyto: es una herramienta desarrollada por CYBSEC que da soporte a todas las etapas de Revisión de Seguridad. http://www.cybsec.com/vuln/tools/sapyto.tgz

ƒ Las revisiones de seguridad deben ser realizados en ambientes controlados por expertos capacitados en la materia.

Seguridad en SAP © 2008

Vulnerabilidades comúnmente encontradas ƒ Usuarios y contraseñas por defecto (SAP*, DDIC, EARLYWATCH, Oracle, Informix, SA, Administrador, Root) ƒ Scripts para interfaces con usuarios y contraseñas. ƒ Relaciones de confianza entre equipos mal configurada. ƒ Permisos a nivel NFS o Share mal configurados. ƒ Errores de configuración en SAPRouter. Sin restricción de acceso. ƒ Publicación de Servicios de SAP en Internet configurados (SAPRouter, ITS, Business Connector).

mal

Seguridad en SAP © 2008

Vulnerabilidades comúnmente encontradas (Cont.) ƒ Vulnerabilidades de Sistemas Operativos que soportan SAP ƒ Vulnerabilidades de Base de Datos que soportan SAP. ƒ Usuarios de desarrollo de SAP con privilegios amplios sobre sistemas de Producción. ƒ Usuarios de aplicación SAP con contraseñas triviales. ƒ Privilegios amplios para usuarios de SAP (asignación de transacciones criticas del sistema, SAP_ALL) ƒ No aplicación de parches de Seguridad permitiendo la explotación de vulnerabilidades

en

SAP,

Seguridad en SAP © 2008

Conclusiones: ƒ El sistema operativo y la base de datos representan los pilares de los sistemas SAP. Los mismos deben mantenerse actualizados y configurados en forma segura. ƒ SAP provee una gran cantidad de soluciones y una arquitectura compleja, la cual debe ser asegurada a nivel aplicación y comunicación. ƒ Es fundamental mantener un control estricto sobre los usuarios y las autorizaciones de los mismos en el sistema. ƒ Por defecto, muchas configuraciones son inseguras y deben ser modificadas.

Seguridad en SAP © 2008

¿Preguntas?

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.