Experiencias de Seguridad en SAP

Julio C. Ardita CYBSEC

Experiencias de Seguridad en SAP

Agenda
- Evolucin de la seguridad en SAP - Las capas donde aplicar seguridad en SAP - Experiencias y soluciones de seguridad en SAP

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Nuestra experiencia de seguridad en SAP

Trabajamos con SAP Ag (Walldorf) desde 2005. Hemos descubierto ms de 39 vulnerabilidades en sistemas SAP, de las cuales 19 han sido publicadas en nuestro sitio:
http://www.cybsec.com/ES/investigacion/default.php

Desarrollamos el primer SAP Penetration Testing Framework (utilizado por ms de 2.700 personas):

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Niveles de seguridad en SAP

Arquitectura
Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Arquitectura tpica de SAP

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Mejoras de seguridad sobre la Arquitectura

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Mas all de la Arquitectura

Los Pilares de la Seguridad son:

Seguridad en Sistemas Operativos Win/Unix Seguridad en Base de Datos MSSQL/ORACLE

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Seguridad en Sistemas Operativos

Seguridad en las cuentas de acceso Usuarios, grupos, polticas de Contrasea, asignacin correcta de permisos, limitar el acceso a los usuarios Administradores. Seguridad en el Sistema de Archivos Utilizar particiones con mecanismos de seguridad, eliminar recursos compartidos, asignacin de permisos correctos, archivos con setuid y/o setgid, mscara de creacin de archivos.
Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Seguridad en Sistemas Operativos

Seguridad en los Servicios Desactivar todos los servicios que no se utilicen (smtp, ntp, telnet, snmp, ftp*, rsh*, rexec* y rlogin*). Estandarizar el nivel de seguridad Definir un estndar de seguridad a nivel del S.O. y aplicarlo a todas las instancias (Desarrollo/QA/Produccin). Activar logs. Controlar peridicamente.

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Seguridad en Bases de Datos

Cambiar todas las contraseas de los usuarios creados por defecto (SYS, SYSTEM, DBSNMP, etc). Eliminar contraseas que se almacenan en texto plano despus de la instalacin. Instalar las ltimas versiones de Service Pack y parches disponibles.

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Seguridad en Bases de Datos

Bloquear los accesos a los puertos de acceso a la Base de Datos para los clientes no confiables. Aplicar los permisos correspondientes a los directorios donde se instala la base de datos y a las tablas internas. Restringir el acceso administrativo al Listener. En lo posible, aplicar un Firewall de BD.

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Cul es la problemtica de la Seguridad en SAP?

En la mayora de las implementaciones, las configuraciones de seguridad son dejadas por defecto (y generalmente son inseguras!). Si bien SAP posee medidas de seguridad robustas, el problema est en implementacin de las mismas. Generalmente el tema de seguridad en SAP se aborda desde la parte funcional (definicin de roles y perfiles, incompatibilidad de funciones, permisos excesivos, etc).
Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

La zona GRIS en seguridad SAP

- Seguridad de los usuarios - Seguridad de las interfaces - Seguridad de las comunicaciones - Parametrizacin segura
Arquitectura
Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Seguridad en la aplicacin SAP

Mecanismos de Autenticacin Usuario y contrasea, Secure Network Communications (SNC), Certificados de Cliente SSL X.509, Logon Tickets, Pluggable Authentication Services (PAS). Seguridad de los Usuarios Usuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar SAP*, Bloquear EARLYWATCH y DDIC, Cambiar las contrasea de estos usuarios en todos los mandantes.
Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Seguridad en la aplicacin SAP

Poltica de Contraseas Aplicar polticas de contraseas como por ejemplo: longitud de contrasea, caducidad de contrasea, historial de contraseas, lista de contraseas no permitidas (Tabla USR40). Mecanismos de Autorizacin Asignacin de autorizaciones (objetos de autorizacin, perfiles, roles), SAP_ALL, autorizaciones S_*.

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Seguridad en la aplicacin SAP

Seguridad de las Interfaces
Restringir el acceso a la tabla RFCDES y a la transaccin SM59. Habilitar SNC para conexiones que transmitan informacin sensible. Evitar almacenar los passwords en las conexiones RFC. Configurar los archivos secinfo y reginfo. Restringir el acceso al Gateway Monitor.

Seguridad del System Landscape

Mantener un esquema separado de ambientes de Produccin, Testing y Desarrollo. Establecer controles de transportes a produccin. Asignar roles y autorizaciones para los transportes.
Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Seguridad en la aplicacin SAP

Seguridad de Componentes y Aplicaciones SAP - SAP ITS (Internet Transaction Server) componentes (Wgate / Agate). - SAP ICM (Internet Communication Manager) App Server de HTTP(S) y SMTP - SAP EP (Enterprise Portal) UME - User Management Engine - SNC - SSL
Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Problemticas ms comunes - Usuarios y contraseas por defecto (SAP*, DDIC,

EARLYWATCH, Oracle, Informix, SA, Administrador, Root) - Scripts para interfaces con usuarios y contraseas. - Relaciones de confianza entre equipos mal configurada. - Permisos a nivel NFS o Shares mal configurados.

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Problemticas ms comunes - Errores de configuracin en SAPRouter. Sin restriccin de

acceso. - Publicacin de Servicios de SAP en Internet mal configurados (SAPRouter, ITS, Business Connector). - Vulnerabilidades de Sistemas Operativos y Bases de Datos que soportan SAP.

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Problemticas ms comunes - Usuarios de desarrollo de SAP con privilegios amplios

sobre sistemas de Produccin. - Usuarios de aplicacin SAP con contraseas triviales. - Privilegios amplios para usuarios de SAP (asignacin de transacciones criticas del sistema, SAP_ALL). - No aplicacin de parches de Seguridad en SAP, permitiendo la explotacin de vulnerabilidades.
Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Vulnerabilidades crticas Acceso al Oracle

Si se utiliza SAP con Oracle, en la mayora de los casos* se utiliza un mecanismo de autenticacin basado en la confianza del usuario del sistema operativo (parmetro REMOTE_OS_AUTHENT =TRUE).
Nombre Server: PRD Creacin usuario local PRDadm Lee el U/PW de la tabla SAPUSER Base de Datos Oracle: PRDadm

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Vulnerabilidades crticas Acceso va RFC

RFC es el principal protocolo de comunicacin entre sistemas SAP. Por defecto, el contenido no se encripta. Permite iniciar funciones en sistemas remotos.

RFC

En forma remota se establece una sesin vlida y luego se ejecuta una aplicacin interna de SAP para ejecutar comandos en el sistema operativo.

Usuario interno

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Vulnerabilidades crticas Acceso va RFC

Ejemplo de captura de ejecucin de comandos en forma remota sobre un Servidor SAP via RFC. La solucin a este problema es la correcta configuracin de los archivos gw/sec_info y gw/reg_info.

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Vulnerabilidades crticas Acceso va Internet

Hemos detectado varios casos donde el SAP Router se encuentra conectado a Internet sin ningn tipo de filtrado, permitiendo que se puedan establecer conexiones al SAP Router y desde all acceder a los sistemas SAP internos.
Filtrado en el FW

Configuracin insegura de SAP Router: P * * * * en el archivo saprouttab

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Experiencias de Seguridad en SAP

Conclusiones
SAP es un sistema seguro, pero se implementa sin los mecanismos de seguridad adecuados. Hay que aplicar medidas de seguridad en todos los niveles: Arquitectura, Sistema Operativo, Base de Datos, Parametrizacin de SAP (zona Gris) y Nivel Funcional. Si se interconecta el SAP hacia el exterior se debe priorizar la seguridad, ya que estamos abriendo una puerta al mundo.

Segurinfo 2009 Quinto Congreso Argentino de Seguridad de la Informacin www.segurinfo.org.ar

Muchas gracias!!! Julio C. Ardita

jardita@cybsec.com