Julio C. Ardita, CISM 9 de Abril de 2014

Transcripción

1 Experiencias i de Seguridad d en SAP Julio C. Ardita, CISM jardita@cybsec.com 9 de Abril de 2014

2 Agenda - Seguridad en la arquitectura - Seguridad en el SO y DB del entorno SAP - Seguridad a nivel técnico de R/3 - Seguridad de las interfaces RFC - Problemáticas más comunes - Checklist de seguridad

3 Nuestra experiencia de seguridad en SAP Trabajamos con SAP Ag (Walldorf) desde Hemos descubierto 42 vulnerabilidades en sistemas SAP, de las cuales 20 han sido publicadas en nuestro sitio: //wwwcybsec com/es/investigacion/default php Hemos realizado más de 30 (treinta) proyectos de diseño, assessment, aseguramiento y monitoreo de infraestructuras t que soportan SAP.

4 Niveles de Seguridad en SAP Arquitectura

5 Arquitectura típica de SAP

6 Mejoras de seguridad sobre la arquitectura de SAP

7 Mas allá de la Arquitectura Los Pilares de la Seguridad en SAP son: - Seguridad en Sistemas Operativos Win/Unix. - Seguridad en Base de Datos MSSQL/ORACLE.

8 Seguridad en Sistemas Operativos Seguridad en las cuentas de acceso Usuarios, grupos, políticas de Contraseña, asignación correcta de permisos, limitar el acceso a los usuarios Administradores. Seguridad en el Sistema de Archivos Utilizar particiones con mecanismos de seguridad, eliminar recursos compartidos, asignación de permisos correctos, archivos con setuid y/o setgid, máscara de creación de archivos.

9 Seguridad en Sistemas Operativos Seguridad en los Servicios Desactivar todos los servicios que no se utilicen (smtp, ntp, telnet, snmp, ftp*, rsh*, rexec* y rlogin*). Estandarizar el nivel de seguridad Definir un estándar de seguridad a nivel del S.O. y aplicarlo a todas las instancias (Desarrollo/QA/Producción). Activar logs. Controlar periódicamente.

10 Seguridad en Bases de Datos Cambiar todas las contraseñas de los usuarios creados por defecto (SYS, SYSTEM, DBSNMP, etc). Eliminar contraseñas que se almacenan en texto plano después de la instalación. Instalar las últimas versiones de Service Pack y parches disponibles.

11 Seguridad en Bases de Datos Bloquear los accesos a los puertos de acceso a la Base de Datos para los clientes no confiables. Aplicar los permisos correspondientes a los directorios donde se instala la base de datos y a las tablas internas. Restringir i el acceso administrativo i ti al Listener. En lo posible, aplicar un Firewall de BD.

12 Cuál es la problemática de la Seguridad en SAP? En la mayoría de las implementaciones, las configuraciones de seguridad son dejadas por defecto (y generalmente son inseguras). Si bien SAP posee medidas de seguridad robustas, el problema está en implementación de las mismas. Generalmente el tema de seguridad en SAP se aborda desde la parte funcional (definición de roles y perfiles, incompatibilidad de funciones, permisos excesivos, etc).

13 La zona gris de seguridad en SAP - Seguridad de los usuarios - Seguridad de las interfaces - Seguridad de las comunicaciones - Parametrización segura Arquitectura

14 Seguridad en la aplicación SAP Mecanismos de Autenticación Usuario y contraseña, Secure Network Communications (SNC), Certificados de Cliente SSL X.509, Logon Tickets, Pluggable Authentication Services (PAS). Seguridad de los Usuarios Usuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar SAP*, Bloquear EARLYWATCH y DDIC, Cambiar las contraseña de estos usuarios en todos los mandantes.

15 Seguridad en la aplicación SAP Política de Contraseñas Aplicar políticas de contraseñas como por ejemplo: longitud de contraseña, caducidad de contraseña, historial de contraseñas, lista de contraseñas no permitidas (Tabla USR40). Mecanismos de Autorización Ai Asignación ió de autorizaciones i (bjt (objetos de autorización, ió perfiles, roles), SAP_ALL, autorizaciones S_*.

16 Seguridad en la aplicación SAP Seguridad de las Interfaces Restringir el acceso a la tabla RFCDES y a la transacción SM59. Habilitar SNC para conexiones que transmitan información sensible. Evitar almacenar los passwords en las conexiones RFC. Configurar los archivos secinfo y reginfo. Restringir el acceso al Gateway Monitor. Seguridad del System Landscape Seguridad del System Landscape Mantener un esquema separado de ambientes de Producción, Testing y Desarrollo. Establecer controles de transportes a producción. Asignar roles y autorizaciones para los transportes.

17 Problemáticas más comunes - Usuarios y contraseñas por defecto (SAP*, DDIC, EARLYWATCH, Oracle, Informix, SA, Administrador, Root) - Scripts para interfaces con usuarios y contraseñas. - Relaciones de confianza entre equipos mal configurada. - Permisos a nivel NFS o Shares mal configurados.

18 Problemáticas más comunes - Errores de configuración en SAPRouter. Sin restricción de acceso. - Publicación de Servicios de SAP en Internet mal configurados (SAPRouter, ITS, Business Connector). - Vulnerabilidades d de Sistemas Operativos y Bases de Datos que soportan SAP.

19 Problemáticas más comunes - Usuarios de desarrollo de SAP con privilegios amplios sobre sistemas de Producción. - Usuarios de aplicación SAP con contraseñas triviales. - Privilegios amplios para usuarios de SAP (asignación de transacciones criticas del sistema, SAP_ALL). ALL) -No aplicación de parches de Seguridad en SAP, permitiendo la explotación de vulnerabilidades.

20 Vulnerabilidades críticas Acceso al Oracle Si se utiliza SAP con Oracle, en la mayoría de los casos* se utiliza un mecanismo de autenticación basado en la confianza del usuario del sistema operativo (parámetro REMOTE_OS_AUTHENT =TRUE). Nombre Server: PRD Lee el U/PW de la tabla SAPUSER Base de Datos Oracle: PRDadm Creación usuario local PRDadm

21 Vulnerabilidades críticas Acceso vía RFC RFC es el principal protocolo de comunicación entre sistemas SAP. Por defecto, el contenido no se encripta. Permite iniciar funciones en sistemas remotos. RFC En forma remota se establece una sesión válida y luego se ejecuta una aplicación interna de SAP para ejecutar comandos en el sistema operativo. Usuario interno

22 Vulnerabilidades críticas Acceso vía RFC Ejemplo de captura de ejecución de comandos en forma remota sobre un Servidor SAP via RFC. La solución a este problema es la correcta configuración de los archivos gw/sec_info y gw/reg_info.

23 Vulnerabilidades críticas Acceso vía Internet Hemos detectado varios casos donde el SAP Router se encuentra conectado a Internet sin ningún tipo de filtrado, permitiendo que se puedan establecer conexiones al SAP Router y desde allí acceder a los sistemas SAP internos. Filtrado en el FW Configuración insegura de SAP Router: P * * * * en el archivo saprouttab

24 Checklist de Seguridad El checklist de seguridad debe incluir: - Sistema Operativo - Base de Datos -ERP

25 Checklist de Seguridad SO Win El checklist de seguridad debe incluir: Control 1. Actualizaciones del Sistema Operativo Control 2. Dominio de Windows Control 3. Usuarios y Grupos locales Control 4. Accesos a carpetas y recursos compartidos Control 5. Directivas de contraseñas Control 6: Directiva de bloqueo de cuentas Control 7: Asignación de derechos de usuario Control 8: Opciones de seguridad Control 9: Directivas locales de auditoria

26 Checklist de Seguridad SO Win El checklist de seguridad debe incluir: Control 10: Parámetros para el Visor de Eventos Control 11: Servicios activos posiblemente innecesarios Control 12: Restricción del servicio FTP Control 13: Parámetros de seguridad del Registro de Windows no configurados Control 14: Cifrado de Terminal Server Control 15: Aplicaciones y otros elementos innecesarios disponibles en Servidores Web

27 Checklist de Seguridad SO UNIX El checklist de seguridad debe incluir: Control 1. Actualizaciones del Sistema Operativo Control 2. Usuarios y Grupos locales Control 3. Permisos de los directorios principales Control 4. Políticas de contraseñas Control 5: Plíti Políticas de bloqueo de cuentas Control 6: Políticas de auditoria Control 7: Restricción de acceso via servicios r* Control 8: Revisión de configuración del SUDO.

28 Checklist de Seguridad SO UNIX El checklist de seguridad debe incluir: Control 9: Servicios activos posiblemente innecesarios Control 10: Restricción del servicio FTP / Telnet Control 11: Acceso seguro via ssh (certificado digital) Control 12: Servicios activos innecesarios

29 Checklist de Seguridad BD Oracle El checklist de seguridad debe incluir: Control 1: Actualizaciones de Seguridad Control 2: Rol PUBLIC con privilegio de ejecución sobre paquetes riesgosos Control 3: Parámetros de seguridad en perfiles Control 4: Usuarios con privilegios il i de DBA Control 5: Usuarios del Sistema por defecto Control 6: Privilegios de PUBLIC en tablas DBA_ y ALL_ Control 7: Permisos sobre tablas del Sistema Control 8: Restricción de conexiones de equipos

30 Checklist de Seguridad BD Oracle El checklist de seguridad debe incluir: Control 9: Listener: restricción de comandos SET Control 10: Listener: registro de eventos habilitado Control 11: Permisos en el Sistema de Archivos Control 12: Parámetros de Configuración Control 13: Auditoría Control 14: Registro de las acciones de SYSDBA/SYSOPER

31 Checklist de Seguridad SAP ERP El checklist de seguridad debe incluir: REVISIONES GENERALES DE SEGURIDAD Control 1: Support Stack Packages Instalados Control 2: Definición y distribución de mandantes PARÁMETROS DE CONTRASEÑAS Control 3.1: Bloqueo de Cuentas Control 3.2: Uso de sesiones simultáneas permitidas Control 3.3: Expiración de la contraseñas Control 3.4: Longitud mínima de contraseñas Control 3.5: Complejidad de contraseñas Control 3.6: Tamaño del Histórico de contraseñas Control 3.7: Utilización de contraseñas triviales

32 Checklist de Seguridad SAP ERP El checklist de seguridad debe incluir: PARÁMETROS DE AUDITORÍA Control 4.1: Auditoría de seguridad de SAP Control 4.2: Auditoría de Tablas PERFILES Y PRIVILEGIOS Control 5: Capacidad de Alterar Mandantes Control 6: Usuarios por defecto, contraseñas y configuración Control 7: Acceso a transacciones sensitivas Control 8: Modificación de parámetros del sistema y de los perfiles Control 9: Acceso al sistema de Transporte Control 10: Edición de Tablas Control 11: Utilización de perfiles SAP_ALL y SAP_NEW

33 Checklist de Seguridad SAP ERP El checklist de seguridad debe incluir: INTERFACES Y COMUNICACIONES Control 12: Análisis de los servicios de comunicaciones Control 13: Destinos RFC con usuario y contraseñas fijos Control 14: ICM con SSL del lado del servidor Control 15: Análisis del Common Transport Directory (CTD)

34 Conclusiones SAP es un sistema seguro, pero se implementa sin los mecanismos de seguridad adecuados. Hay yque aplicar medidas de seguridad en todos los niveles: Arquitectura, Sistema Operativo, Base de Datos, Parametrización de SAP ( zona Gris ) y Nivel Funcional. Si se interconecta el SAP hacia el exterior se debe priorizar la seguridad, ya que estamos abriendo una puerta al mundo.

35 Preguntas? Julio C. Ardita, CISM