Embed Size (px)
Citation preview
Seguridad en SAP
Carlos O. DCarlos O. Dííazaz<[email protected]><[email protected]>
16 de Septiembre de 200816 de Septiembre de 2008Buenos Aires Buenos Aires -- ArgentinaArgentina
© 2008
Seguridad en SAP
SAP & CYBSECEs miembro de la SAP Global Security Alliance (GSA).
Trabajamos con SAP (Walldorf) desde 2005.
Hemos descubierto más de 35 vulnerabilidades en sistemas SAP, de las cuales 19 han sido publicadas en nuestro sitio:
http://www.cybsec.com/ES/investigacion
Desarrollamos el primer SAP Penetration Testing Framework:
© 2008
Seguridad en SAP
Arquitectura típica de SAP
© 2008
Seguridad en SAP
Mejoras en la Arquitectura
© 2008
Seguridad en SAP
Mas allá de la Arquitectura
Seguridad en Sistemas Operativos Win/Unix
Seguridad en Base de Datos MSSQL/ORACLE
Los Pilares de la Seguridad
© 2008
Seguridad en SAP
Seguridad en Sistemas Operativos Win/UnixSeguridad en las Cuentas
Usuarios, Grupos, Políticas de Contraseña, Asignación de correcta de permisos, Limitar el acceso a losusuarios Administradores (solo vía consola)
Seguridad en el Sistema de Archivos
Utilizar particiones NTFS, Eliminar Shares por default, asignación de permisos correctos y no full control, Archivos con SETUID y/oSETGID mascara de creación de archivos (Umask)
Seguridad en los Servicios
Desactivar todos aquellos servicios que no se utilicen (smtp, ntp, telnet, snmp, echo, rsh y rlogin)
© 2008
Seguridad en SAP
Seguridad en Bases de Datos: MSSQL/Oracle
Cambiar todas las contraseñas de los usuarios creados por default.
Eliminar contraseñas que se almacenan en texto plano después de la instalación.
Instalar las últimas versiones de Service Pack y parches disponibles.
Bloquear los accesos a los puertos de Sql para los clientes “no confiables”
Aplicar los permisos correspondientes a los directorios donde se instala la base de datos.
Restringir el acceso administrativo al Listener.
© 2008
Seguridad en SAP
En la mayoría de las implementaciones, las configuraciones de seguridad son dejadas por defecto!!
Las configuraciones por defecto generalmente son inseguras!!
Conclusión: Si bien SAP posee medidas de seguridad robustas, el problema está en la Seguridad de las Implementaciones, que generalmente son por defecto!!!
Seguridad en Sap es mucho más que Roles y Perfiles
¿Cuál es la problemática dela Seguridad en SAP?
© 2008
Seguridad en SAP
La Zona GRIS en seguridad SAP:
• Seguridad de los usuarios• Seguridad de las interfaces• Seguridad de las comunicaciones• Parametrización segura
© 2008
Seguridad en SAP
Seguridad en la aplicación SAP:Mecanismos de Autenticación Usuario y contraseña, Secure Network Communications (SNC), Certificados deCliente SSL X.509, Logon Tickets, Pluggable Authentication Services (PAS)
Seguridad de los UsuariosUsuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar SAP*, Bloquear EARLYWATCH y DDIC, Cambiar las contraseña de estos usuarios en todos losmandantes.
Política de ContraseñasAplicar políticas de contraseñas como por ejemplo, Longitud de contraseña,caducidad de contraseña, historial de contraseñas, lista de contraseñas nopermitidas ( Tabla USR40)
Mecanismos de AutorizaciónAsignación de autorizaciones ( Objetos de autorización, Perfiles, Roles), SAP_All,
autorizaciones S_*.
© 2008
Seguridad en SAP
Seguridad en la aplicación SAP: Seguridad de las InterfacesRestringir el acceso a la tabla RFCDES y a la transacción SM59. Habilitar SNC para conexiones que transmitan información sensible. Evitar almacenar lospasswords en las conexiones RFC. Configurar los archivos secinfo y reginfo. Restringir el acceso al Gateway Monitor.
Seguridad del System LandscapeMantener un esquema separado de ambientes de Producción, Testing yDesarrollo. Establecer controles de transportes a producción. Asignar roles yautorizaciones para los transportes
Seguridad de Componentes y Aplicaciones SAPSAP ITS (Internet Transaction Server) componentes (Wgate / Agate)SAP ICM (Internet Communication Manager) App Server de Http SmtpSAP EP (Enterprise Portals) UME - User Management EngineSNCSSL
© 2008
Seguridad en SAP
¿Por qué analizar la Seguridad de SAP?
En la mayoría de las Empresas es “el sistema” más importante.
Riesgo directo al negocio.
Revisiones de Seguridad Integralsapyto: es una herramienta desarrollada por CYBSEC
que da soporte a todas las etapas de Revisión de Seguridad.
http://www.cybsec.com/vuln/tools/sapyto.tgzLas revisiones de seguridad deben ser realizados en
ambientes controlados por expertos capacitados en la materia.
¿Cómo analizar la Seguridad de SAP?
© 2008
Seguridad en SAP
Vulnerabilidades comúnmente encontradasUsuarios y contraseñas por defecto (SAP*, DDIC,
EARLYWATCH, Oracle, Informix, SA, Administrador, Root)
Scripts para interfaces con usuarios y contraseñas.
Relaciones de confianza entre equipos mal configurada.
Permisos a nivel NFS o Share mal configurados.
Errores de configuración en SAPRouter. Sin restricción de acceso.
Publicación de Servicios de SAP en Internet mal configurados (SAPRouter, ITS, Business Connector).
© 2008
Seguridad en SAP
Vulnerabilidades comúnmente encontradas (Cont.)Vulnerabilidades de Sistemas Operativos que soportan
SAP
Vulnerabilidades de Base de Datos que soportan SAP.
Usuarios de desarrollo de SAP con privilegios amplios sobre sistemas de Producción.
Usuarios de aplicación SAP con contraseñas triviales.
Privilegios amplios para usuarios de SAP (asignación de transacciones criticas del sistema, SAP_ALL)
No aplicación de parches de Seguridad en SAP, permitiendo la explotación de vulnerabilidades
© 2008
Seguridad en SAP
Conclusiones:
El sistema operativo y la base de datos representan los
pilares de los sistemas SAP. Los mismos deben mantenerse
actualizados y configurados en forma segura.
SAP provee una gran cantidad de soluciones y una
arquitectura compleja, la cual debe ser asegurada a nivel
aplicación y comunicación.
Es fundamental mantener un control estricto sobre los
usuarios y las autorizaciones de los mismos en el sistema.
Por defecto, muchas configuraciones son inseguras y deben
ser modificadas.
© 2008
Seguridad en SAP
¿¿Preguntas?Preguntas?
