Archive for the ‘Tips’ Category

Novedades: Más canales de comunicación

Monday, July 20th, 2009

Después de una semana de merecidas vacaciones prometo volver en breve a la actividad en el blog, mientras tanto les dejo un nuevo canal de comunicación (twitter) en donde además de realizar avisos sobre nuevas publicaciones, incorporaremos material adicional al publicado en este blog.

Dado el formato de comunicación más conciso que twitter plantea, la idea principal es que mediante este canal se publiquen facilmente documentos interesantes, links a otros sitios con información de SAP, o toda información que no amerite la publicación de un nuevo post pero que pueda ser util para la comunidad.

La dirección del profile es http://twitter.com/seguridadsap desde donde pueden seguirnos y recibir las actualizaciones. En breve procuraré incorporar la funcionalidad de suscripción en el diseño de blog.

Saludos!

http://twitter.com/seguridadsap
VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: +1 (from 1 vote)

Tags: , , ,
Posted in Tips | 2 Comments »

Tips: Bloqueo de Transacciones

Wednesday, April 22nd, 2009

Entre tantas opciones de seguridad que tenemos en la herramienta SAP ECC nos encontramos que tenemos la posibilidad de bloquear el uso de una transacción para todos los usuarios independientemente de sus autorizaciones (siempre y cuando no tengan autorización para desactivar el bloqueo), a través de la transacción SM01, en la misma podemos indicar el código de transacción a bloquear y a partir de confirmar el mismo no se permitirá la ejecución de esa transacción por ningún usuario hasta que no se vuelva a desbloquear.

Esta opción es útil para impedir la ejecución de transacciones que consideremos críticas y no querramos que en ese ambiente nadie ejecute, o tal vez para impedir temporalmente la ejecución de una transacción específica (ocurre durante la ejecución de algunos procesos en batch, o actualizaciones del sistema).

VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , ,
Posted in Tips, Transacción, introducción | 5 Comments »

Tips: Generación de Contraseñas

Wednesday, April 8th, 2009

Uno de los grandes problemas a la hora de generar contraseñas iniciales o reinicializar las mismas está dado por el uso de contraseñas triviales y por las dificultades que nos presenta la generación de contraseñas al azar estándar de SAP.

Sin embargo existen una posibilidad de configuración en el generador de contraseñas, que suele pasar desapercibida a la mayoría de los usuarios, y que se encuentra poco documentada.

Esta configuración se realiza en la tabla PRGN_CUST, en la que pueden definirise los parámetros:

GEN_PSW_MAX_LETTERS

GEN_PSW_MAX_DIGITS

GEN_PSW_MAX_SPECIALS

Respectivamente, para definir el número máximo de letras, dígitos y caracteres especiales que el generador automático de contraseñas (SU01 o SU10) va a utilizar, siempre y cuando no se contradigan con los parámetros definidos  en el perfil del sistema.

Cuando las políticas de la organización así lo permitan, o durante la generación de un número importante de usuarios en una implementación, podría ser útil deshabilitar colocando en 0 (cero) el uso de caracteres especiales para que las nuevas contraseñas no sean complicadas de escribir para los usuarios finales, ya que a veces por defecto SAP suele utilizar caracteres especiales difíciles de repetir en algunas configuraciones de teclado, o por usuarios impacientes ;-)


VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , ,
Posted in Contraseña, Tips | No Comments »

Tips: Auditoría sin activar la auditoría

Friday, April 3rd, 2009

Estrenando un nuevo diseño en el blog creamos un artículo que puede llegar a ser útil aunque el título suene un tanto ambicioso. La realidad es que la idea básica es la de conocer si un usuario determinado ejecutó una transacción en SAP, o que usuarios ejecutaron una transacción (desde cualquiera de los dos puntos de vista).

La realidad es que la herramienta más idonea que podemos encontrar en SAP, es la transacción SM20N, y la veremos en profundidad en un futuro post.

Pero por ahora y en caso de una emergencia, y teniendo en cuenta que solo nos brinda información sobre acciones recientes, y no nos especifica la fecha y hora de esta ejecución (la cual puede aproximarse) vamos a ver como podemos ver esa información a través de la transacción ST03N.

Esta transacción nos permite evaluar la performance de ejecución en los distintos application servers, y su fin no es brindar información de seguridad, pero en determinados casos donde la auditoría no esté activada puede ser útil para nosotros.

En la misma seleccionando el Modo Experto, disponemos de un frame donde se encuentran las instancias de nuestro SAP. Una vez seleccionada una instancia en esta ventana, seleccionamos un período. Y vamos a la ventana que se encuentra inmediatamente abajo, seleccionando la vista Estadística de Usuario – Perfil de Usuario. Luego en la ventana principal vemos todos los usuarios con sus datos de performance, y si hacemos doble click en los mismos podemos ver que transacciones ejecutaron en el período de tiempo previamente seleccionado.

También existe la posiblidad de hacerlo a la inversa (desde la transacción los usuarios) a través de la vista “Perfil de Transacción”.

Es una alternativa interesante, si bien nunca debe ser la única, y el tiempo de la información resguardada va a depender de la configuración del sistema.

Es posible que nos resulte útil cuando se desea investigar de forma URGENTE, QUIEN EJECUTO tal transacción QUE ORIGINÓ TAL PROBLEMA, y nunca antes nos permitieron activar la auditoría por “cuestiones de performance” (o desconocimiento). Paradojicamente el Trace de performance nos puede brindar ALGO de esa información.

PD: Si necesitan algún capture de pantalla para hacerlo diganmé en los comments.

VN:F [1.8.2_1042]
Rating: 4.7/5 (3 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , ,
Posted in Tips, auditoría. | 5 Comments »

Tips: Sistema de Transporte

Wednesday, March 18th, 2009

Existe un control poco conocido y utilizado en el sistema SAP que permite crear advertencias, o errores en el sistema de transporte si una orden modifica algún objeto definido como crítico. Es un útil sistema de control para hacer más simple y práctica, la revisión de las órdenes de transporte.

Para definir los objetos primero debemos asegurarnos que este chequeo esté activado en el perfil de transporte. El parámetro es CHK_CRIOBJ_AT_EXPORT y puede cambiarse su valor desde la transacción STMS - Resumen (documentación de sap), el valor 0 no realizara chequeo alguno, W crea un warning y por último E genera un error en caso de encontrar un objeto crítico e impide el transporte. La configuración ideal habitualmente es W, para alertar al usuario responsable de los transportes.

Los objetos críticos se definen también en la transacción STMS - Resumen, luego Detalles y Objetos Críticos.

Este control es de suma utilidad a la hora de ayudar a la siempre ardua tarea de controlar que lo transportes realizados en el sistema no comprometan la seguridad del mismo, o la confidencialida de la información que en el poseemos.

VN:F [1.8.2_1042]
Rating: 5.0/5 (1 vote cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , , , ,
Posted in Tips, auditoría., transporte | 3 Comments »

Riesgos: Debug con modificación de variables

Wednesday, March 11th, 2009

Empezamos con un tipo de post nuevo, donde vamos a ir enumerando entrada tras entrada diversos tipos de riesgos a los que podemos estar expuestos en la plataforma SAP y cuando sea posible las formas conocidas de minimiarlos.

En este primer caso vamos a enumerar uno de los más graves que puede ocurrir, y es el que el existan usuarios que en el ambiente productivo posean permisos para realizar debug o depuración, y a su vez el permiso de modificar el valor de las variables (y en las versiones más nuevas como ECC 6.0, ir a una línea de ejecución específica).

¿Qué es el DEBUG?

El debug o depuración es la capacidad de recorrer línea por línea el código fuente ABAP de la transacción que se ejecuta, en el caso de poseer el permiso en la actividad 02, uno puede a su vez modificar los valores de las variables de los programas.

El riesgo de poseer estos permisos es que prácticamente el usuario que lo ejecute puede saltearse todos los controles de autorización, ya que en el momento de  ejecutar una transacción, podría ir paso a paso por el código y cuando sus permisos no le permitieran seguir tras un AUTHORITY-CHECK fallido el podría cambiar ese valor de error, autorizándose a si mismo a continuar.

Un usuario con los permisos adecuado puede acceder al modo debug utilizando en la barra de acceso rápido de SAP el código “/h”.

Este modo de ejecución se permite cuando el usuario posee entre sus roles el permiso al objeto de autorización S_DEVELOP, el cual entre sus campos tiene el valor de ACTVT en 02 (modificar) y el valor de OBJTYPE en “DEBUG“.

Si se da esta condición (sin importar los valores de otros campos, pueden incluso estar vacíos), el usuario puede acceder al modo debug y modificar el valor de las variables.

La manera de evitar este inconveniente es justamente no brindando estos permisos en un ambiente productivo, salvo en un caso excepcional por tiempo limitado y a un usuario específico y nomenclado, para solucionar un error importante en el sistema.

Incluso este tipo de permisos no debiera otorgarse en los ambientes de desarrollo (modificar, el DEBUG común puede realizarse) , ya que también permite vulnerar la seguridad de los mismos y por consiguiente el entorno productivo podría llegar a verse afectado.

Para realizar la búsqueda de quienes tienen permisos para realizar esta acción lo ideal es utilizar la transacción SUIM y buscar los usuarios que posean este objeto de autorización y estos valores de campo.

En un próximo post vamos a hacer una explicación integral del uso de la transacción SUIM (probablemente en más de un post por lo extenso del tema)

VN:F [1.8.2_1042]
Rating: 4.7/5 (3 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , ,
Posted in Tips, auditoría., autorización | 3 Comments »

Tips: Transacciones con asignación manual

Wednesday, March 4th, 2009

Es posible en la transacción PFCG agregar transacciones que no están en el menú de usuario de manera manual directamente en los objetos de autorización.

Es importante saber esto al momento de revisar la seguridad configurada en nuestro sistema SAP para no dejar pasar por alto determinados permisos que no aparecen en el menú de usuario, pero si directamente en el objeto de autorización S_TCODE.

Si nosotros ingresamos a modificar los valores de los objetos de autorización dentro de la transacción PFCG e intentamos incorporar un nuevo valor al campo TCD del objeto S_TCODE vamos a ver que SAP no nos lo permite.

El pequeño truco está en ir al botón titulado “Manualmente” e incorporar en el mismo un nuevo objeto de autorización “S_TCODE” de manera que ahora una nueva línea para el campo TCD aparecerá y esta podremos editarla manualmente.

Es interesante notar que si estamos controlando los permisos de los usuarios a través de tablas y chequeamos la tabla AGR_TCODES, estos que incorporemos no van a aparecer ya que la misma solo muestra las transacciones incorporadas a través del menú del Rol o Grupo de Autorización y tendremos que ir a ver especificamente la tabla AGR_1251 y el campo TCD del objeto S_TCODE o ya a más bajo nivel las autorizaciones propiamente dichas (perfiles).

VN:F [1.8.2_1042]
Rating: 4.0/5 (2 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , ,
Posted in Tips, Transacción, autorización | 4 Comments »