Seguridad en SAP R/3 (I)
Cuando los auditores y profesionales de la seguridad hablan de "la seguridad de SAP", se refieren a la seguridad del subsistema de autorización de SAP - roles y perfiles (módulo BASIS). Hasta ahora, un análisis de seguridad se centra, principalmente, en el análisis de los usuarios y sus permisos, con el fin de detectar privilegios incompatibles que podían generar fraudes empresariales.
Si bien evaluar la autorización y segregación de funciones (SOD) es importante, hasta el momento no se ha revisado la seguridad técnica del sistema SAP, área que incluye todos los aspectos técnicos y los componentes que sirven de marco base para el funcionamiento de los diferentes módulos y la seguridad de la plataforma: sistema operativo, base de datos, instalación de sap, etc.
Hasta ahora, una revisión de los sistemas SAP generalmente no incluía este tipo de proyectos de seguridad debido a un temor ante la interrupción del servicio (DoS) y a la falta de conocimientos técnicos por parte de los consultores de SAP provocando que muchas implementaciones actuales existan sin ninguna garantía y estén continuamente expuestas a diferentes tipos de ataques.
Este artículo es el primero de una serie de textos centrados en la seguridad técnica, ayudando a detectar debilidades y aumentar el nivel de seguridad de su principal plataforma de negocios, SAP R/3.
QUÉ ES SAP
SAP es la tercera empresa mundial desarrolladora de software por detrás de Microsoft y Oracle, ubicada en Alemania y cuyas siglas significan "Systeme, Anwendungen und Produkte" (Sistemas, Aplicaciones y Productos). SAP desarrolla el software SAP R/3 que es un sistema ERP (Enterprise Resource Planning) que gestiona e integra, mediante diferentes módulos, todos los procesos que se llevan a cabo dentro de una empresa.
La R de SAP R/3 significa procesamiento en tiempo real y el 3 se refiere a las 3 capas en las que se basa la aplicación: Base de datos (normalmente Oracle), servidor de aplicaciones y el cliente SAP mediante el que se presenta la información (SAP GUI).
Algunos de los módulos y submódulos más importantes de SAP R/3 son:
* Gestión financiera (FI).
* Controlling (CO): Contabilidad de Costos.
* Tesorería (TR).
* Control de proyectos (PS).
* Gestión de personal (HR): Recursos Humanos.
* Mantenimiento (PM).
* Gestión de calidad (QM).
* Planificación de la producción (PP).
* Gestión de materiales (MM): Gestión de almacenes e inventarios.
* Ventas y Distribución (SD).
* Workflow (WF), Soluciones Industriales (IS): Contienen funciones que se pueden aplicar en todos los módulos.
* Gestión de activos (FIAM).
* Gestión de Contratos (FICA).
* Presupuestos (FM).
* Gestión de viajes (TM).
* Bussines Warehouse (BW) o Business Intelligence (BI).
SAP R/3 permite una eficiente administración del personal y los recursos corporativos. Se Controla la producción, comercialización y transporte de productos, brindando mayor control y mejor operación a las empresas, lo que se ve traducido en valor añadido para los clientes porque se reducen los tiempos de procesamiento de datos, se provee a los usuarios de herramientas para agilizar sus diferentes tareas diarias y se proporciona a la alta dirección, información oportuna para la toma de decisiones relativas al negocio.
El sistema SAP R/3 es un sistema integrado que posibilita que, una vez que la información está almacenada, esté disponible a través de todo el sistema, facilitando el proceso de transacciones y el manejo de los datos.
MÓDULO BASIS
Por debajo de todo esto existe el módulo BASIS que es una parte fundamental dentro de SAP ya que provee al sistema de un entorno apropiado para que el resto de módulos instalados, FI, MM, CO, etc. funcionen acordes a la base de datos y las aplicaciones de red y no supongan un riesgo para la seguridad de la información y los datos almacenados.
El módulo BASIS es el encargado de interactuar entre los servicios específicos del sistema y los servicios de las aplicaciones de negocio, administrando la seguridad y los accesos a los distintos módulos, permitiendo así, centralizar y controlar de forma eficiente los accesos otorgados a los usuarios, permisos, control de las transacciones realizadas y demás.
Los usuarios de SAP R/3 se definen internamente dentro del sistema, utilizando los llamados registros maestros de usuarios (RMU). No hay necesidad de administrar usuarios a nivel de sistema operativo o de base de datos. En una instalación estándar, sólo existe un usuario (en Windows) o dos (en UNIX): el administrador del sistema [sid]adm y el administrador de la base de datos ora[sid] para el caso de base de datos de “oracle”. Los usuarios se definen y se mantienen utilizando los registros maestros de usuarios y la seguridad del sistema se garantiza mediante el uso de los perfiles y autorizaciones de SAP R/3 definidos en el módulo BASIS.
El sistema SAP proporciona un modo completo y flexible de proteger los datos y las transacciones de usos no autorizados.
En los registros maestros (RMU), a los usuarios se les asignan uno o varios perfiles de autorizaciones. Dichos perfiles están formados por un conjunto de autorizaciones que proporcionan privilegios de acceso a los distintos elementos del sistema. En un nivel aún inferior, las autorizaciones hacen referencia a los objetos de autorización, que contienen un rango de valores que se utilizan para permitir o denegar el acceso a las distintas entidades de sistema o de aplicación dentro de SAP R/3.
Mediante el módulo BASIS se puede definir parámetros como, por ejemplo, la longitud de la contraseña, la cantidad de dígitos obligatorios, tiempo de caducidad de la contraseña, múltiples inicios de sesión, timeouts, etc.
TIPOS DE USUARIOS
Existen 5 opciones para definir los tipos de usuario, con sus diferentes restricciones de acceso y condiciones a la hora de acceder al sistema. Es importante establecer correctamente los tipos de usuario porque no es lo mismo la configuración de un usuario final o un usuario de interfaz, o uno de sistema, entre otras opciones.
Los 5 tipos de usuarios en SAP son:
1. Usuarios de Diálogo – Dialog users (A)
Es el tipo de usuario con el que deben acceder normalmente los usuarios finales que necesitan interactuar con el sistema a través del cliente SAP GUI. Todos los parámetros del usuario definidos son verificados al iniciar sesión (proceso de login) y también las restricciones de logins múltiples. Normalmente, la mayoría de los usuarios de una organización deberían estar encuadrados dentro de este tipo.
2. Usuarios de Sistema – System Users (B)
Estos usuarios no son interactivos y no pueden acceder al sistema SAP a través del SAP GUI. Son utilizados como usuarios de procesamiento por lotes, workflow, procesos ALE, etc. Su contraseña solo puede ser cambiada por el administrador del sistema y se permiten logueos múltiples.
3. Usuarios de Comunicación – Communication Users (C)
Utilizados para comunicación RFC entre sistemas, son los comúnmente utilizados para las interfaces con otros sistemas. Tampoco es posible establecer logueos por parte de usuarios finales a través del SAP GUI.
4. Usuario de Servicio – Service User (S)
Son usuarios que requieren acceso anónimo. No es necesario que cumplan las normas de caducidad de contraseña y la misma solo puede ser cambiada por el administrador del sistema. Las autorizaciones que se le otorguen al mismo deben ser mínimas y restringidas específicamente a la necesidad por la que se creó el usuario. Su uso no es recomendable salvo necesidad específica, ya que son accesibles mediante SAP GUI.
5. Usuario de Referencia – Reference User (L)
Este tipo de usuarios es poco utilizado en general. No admiten logons de diálogo y pueden ser utilizados para traspasar sus autorizaciones al usuario que lo tiene como referente.
En SAP R/3, también existen usuarios por defecto:
DDIC
Se emplea para la gestión del diccionario de datos, modificación de estructuras de datos, upgrades del sistema, etc. Este usuario no debe ser eliminado del sistema pero si cambiar su contraseña inicial (19920607).
EARLYWATCH
Este usuario si bien no posee permisos tan amplios como DDIC permite el acceso al sistema con una contraseña por defecto: SUPPORT. Se utiliza para el proceso de revisión periódica del sistema por parte de SAP, en donde revisa el rendimiento (performance) del equipo de manera remota, las licencias, etc. a través de un acceso por SAPRouter. Es recomendable cambiar la contraseña de este usuario en el mandante 066 (al que accede SAP para estas evaluaciones)
SAPCPIC
Usuario utilizado para los procesos de comunicación entre sistemas y el cual también posee permisos amplios, la política es similar a la del usuario DDIC y es de cambiar su contraseña por defecto ADMIN.
SAP*
Este es el usuario con el que se accede por primera vez al sistema después de la instalación. Posee grandes permisos sobre la aplicación. Este usuario tampoco debe ser eliminado ya que es de utilidad en determinadas ocasiones para aplicar de parches, updates, upgrades, etc. La contraseña por defecto suele ser 06071992, pero en las últimas versiones en el momento de la instalación ya se pregunta qué contraseña poner.
En caso de borrarse este usuario, SAP R/3 dispone de un mecanismo de seguridad que permite generar un nuevo usuario SAP* con la contraseña por defecto PASS. Es decir, si se borra el usuario SAP* creyendo erróneamente que se aumenta el nivel de seguridad del sistema, se está creando un nuevo agujero de seguridad permitiendo que se pueda generar un nuevo usuario SAP* con password por defecto (PASS). Lo recomendable es bloquear este usuario y desbloquearlo en caso de necesidad.
Comentarios
Añadir comentario