Julio C. Ardita CYBSECcybsec.com/upload/Ardita_Experiencias_Seguridad_SAP.pdf · 2014. 4. 23. · -...

Experiencias de Seguridad en SAPExperiencias de Seguridad en SAP

Julio C. ArditaJulio C. ArditaCYBSECCYBSEC

Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar


Agenda

- Evolución de la seguridad en SAP

- Las capas donde aplicar seguridad en SAP

- Experiencias y soluciones de seguridad en SAP



Nuestra experiencia de seguridad en SAP

Trabajamos con SAP Ag (Walldorf) desde 2005.

Hemos descubierto más de 39 vulnerabilidades en sistemas SAP, de las cuales 19 han sido publicadas en nuestro sitio: http://www.cybsec.com/ES/investigacion/default.php

Desarrollamos el primer SAP Penetration Testing Framework (utilizado por más de 2.700 personas):



Niveles de seguridad en SAP

Arquitectura



Arquitectura típica de SAP



Mejoras de seguridad sobre la Arquitectura



Mas allá de la Arquitectura

Los Pilares de la Seguridad son:

Seguridad en Sistemas Operativos Win/Unix

Seguridad en Base de Datos MSSQL/ORACLE



Seguridad en Sistemas Operativos

Seguridad en las cuentas de accesoUsuarios, grupos, políticas de Contraseña, asignación correcta de permisos, limitar el acceso a los usuarios Administradores.

Seguridad en el Sistema de ArchivosUtilizar particiones con mecanismos de seguridad, eliminar recursos compartidos, asignación de permisos correctos, archivos con setuid y/o setgid, máscara de creación de archivos.



Seguridad en Sistemas Operativos

Seguridad en los ServiciosDesactivar todos los servicios que no se utilicen (smtp, ntp, telnet, snmp, ftp*, rsh*, rexec* y rlogin*).

Estandarizar el nivel de seguridadDefinir un estándar de seguridad a nivel del S.O. y aplicarlo a todas las instancias (Desarrollo/QA/Producción). Activar logs. Controlar periódicamente.



Seguridad en Bases de Datos

Cambiar todas las contraseñas de los usuarios creados por defecto (SYS, SYSTEM, DBSNMP, etc).

Eliminar contraseñas que se almacenan en texto plano después de la instalación.

Instalar las últimas versiones de Service Pack y parches disponibles.



Seguridad en Bases de Datos

Bloquear los accesos a los puertos de acceso a la Base de Datos para los clientes “no confiables”.

Aplicar los permisos correspondientes a los directorios donde se instala la base de datos y a las tablas internas.

Restringir el acceso administrativo al Listener.

En lo posible, aplicar un Firewall de BD.



¿Cuál es la problemática de la Seguridad en SAP?

En la mayoría de las implementaciones, las configuraciones de seguridad son dejadas por defecto (y generalmente son inseguras!).

Si bien SAP posee medidas de seguridad robustas, el problema está en implementación de las mismas.

Generalmente el tema de seguridad en SAP se aborda desde la parte funcional (definición de roles y perfiles, incompatibilidad de funciones, permisos excesivos, etc).



La zona GRIS en seguridad SAP

Arquitectura

- Seguridad de los usuarios

- Seguridad de las interfaces

- Seguridad de las comunicaciones

- Parametrización segura



Seguridad en la aplicación SAP

Mecanismos de AutenticaciónUsuario y contraseña, Secure Network Communications (SNC), Certificados de Cliente SSL X.509, Logon Tickets, Pluggable Authentication Services (PAS).

Seguridad de los UsuariosUsuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar SAP*, Bloquear EARLYWATCH y DDIC, Cambiar las contraseña de estos usuarios en todos los mandantes.




Política de ContraseñasAplicar políticas de contraseñas como por ejemplo: longitud de contraseña, caducidad de contraseña, historial de contraseñas, lista de contraseñas no permitidas (Tabla USR40).

Mecanismos de AutorizaciónAsignación de autorizaciones (objetos de autorización, perfiles, roles), SAP_ALL, autorizaciones S_*.




Seguridad de las InterfacesRestringir el acceso a la tabla RFCDES y a la transacción SM59. Habilitar SNC para conexiones que transmitan información sensible. Evitar almacenar los passwords en las conexiones RFC. Configurar los archivos secinfo y reginfo. Restringir el acceso al Gateway Monitor.

Seguridad del System LandscapeMantener un esquema separado de ambientes de Producción, Testing y Desarrollo. Establecer controles de transportes a producción. Asignar roles y autorizaciones para los transportes.




Seguridad de Componentes y Aplicaciones SAP- SAP ITS (Internet Transaction Server) componentes (Wgate / Agate).- SAP ICM (Internet Communication Manager) App Server de HTTP(S) y SMTP- SAP EP (Enterprise Portal) UME - User Management Engine- SNC- SSL



Problemáticas más comunes

- Usuarios y contraseñas por defecto (SAP*, DDIC, EARLYWATCH, Oracle, Informix, SA, Administrador, Root)

- Scripts para interfaces con usuarios y contraseñas.

- Relaciones de confianza entre equipos mal configurada.

- Permisos a nivel NFS o Shares mal configurados.




- Errores de configuración en SAPRouter. Sin restricción de acceso.

- Publicación de Servicios de SAP en Internet mal configurados (SAPRouter, ITS, Business Connector).

- Vulnerabilidades de Sistemas Operativosy Bases de Datos que soportan SAP.




- Usuarios de desarrollo de SAP con privilegios amplios sobre sistemas de Producción.

- Usuarios de aplicación SAP con contraseñas triviales.

- Privilegios amplios para usuarios de SAP (asignación de transacciones criticas del sistema, SAP_ALL).

- No aplicación de parches de Seguridad en SAP, permitiendo la explotación de vulnerabilidades.



Vulnerabilidades críticas – Acceso al Oracle

Si se utiliza SAP con Oracle, en la mayoría de los casos* se utiliza un mecanismo de autenticación basado en la confianza del usuario del sistema operativo (parámetro REMOTE_OS_AUTHENT =TRUE).

Nombre Server: PRD

Base de Datos Oracle: PRDadm

Creación usuario local PRDadm

Lee el U/PW de la tabla SAPUSER



Vulnerabilidades críticas – Acceso vía RFC

RFC es el principal protocolo de comunicación entre sistemas SAP. Por defecto, el contenido no se encripta. Permite iniciar funciones en sistemas remotos.

RFC

En forma remota se establece una sesión válida y luego se ejecuta una aplicación interna de SAP para ejecutar comandos en el sistema operativo.

Usuariointerno



Vulnerabilidades críticas – Acceso vía RFC

Ejemplo de captura de ejecución de comandos en forma remota sobre unServidor SAP via RFC.

La solución a este problemaes la correcta configuraciónde los archivos gw/sec_info y gw/reg_info..



Vulnerabilidades críticas – Acceso vía Internet

Hemos detectado varios casos donde el SAP Router se encuentra conectado a Internet sin ningún tipo de filtrado, permitiendo que se puedan establecer conexiones al SAP Router y desde allí acceder a los sistemas SAP internos.

Filtrado en el FW

Configuración insegura de SAP Router:

P * * * * en el archivo saprouttab



Conclusiones

SAP es un sistema seguro, pero se implementa sin los mecanismos de seguridad adecuados.

Hay que aplicar medidas de seguridad en todos los niveles: Arquitectura, Sistema Operativo, Base de Datos, Parametrización de SAP (“zona Gris”) y Nivel Funcional.

Si se interconecta el SAP hacia el exterior se debe priorizar la seguridad, ya que estamos abriendo una puerta al mundo.

Muchas gracias!!!Muchas gracias!!!

Julio C. ArditaJulio C. [email protected]@cybsec.com

Julio C. Ardita CYBSECcybsec.com/upload/Ardita_Experiencias_Seguridad_SAP.pdf · 2014. 4. 23. · -...

Documents

Transcript of Julio C. Ardita CYBSECcybsec.com/upload/Ardita_Experiencias_Seguridad_SAP.pdf · 2014. 4. 23. · -...