Posts Tagged ‘Parámetros’

Parámetros: Mejores prácticas (parte II)

Tuesday, March 10th, 2009

Siguiendo con el post del día de ayer nos quedaron algunos parámetros para seguir con las recomendaciones de “las mejores prácticas”:

Multiloguin

login/disable_multi_gui_login = Debe estar configurado en uno (1) para minimizar dos riesgos. Primero, que los usuarios no compartan su Id y su contraseña de manera que no sea identificable el responsable de las acciones, y segundo que no pueda loguearse concurrentemente un usuario que obtuvo una contraseña de otro, si el primero ya estaba logueado al sistema (quedando registrado el intento de loguin)

login/multi_login_users = Bajo este parámetro pueden definirse excepciones al caso anterior, pero lo ideal es no hacerlo salvo necesidad explícita y justificada.

login/failed_user_auto_unlock = Esto debe ser (0) para evitar que los usuarios bloqueados se habiliten automáticamente. Como mecanismo de control es importante la participación y control por parte del administrador para desbloquearlo.

login/fails_to_session_end = Si bien no es una medida de seguridad en si misma, permite molestar en los intentos de adivinar una contraseña. Lo ideal sería definirlo al menos en un número menos al valor de login/fails_to_user_lock

login/fails_to_user_lock = Para evitar los multiples intentos de adivinar una contraseña lo ideal es definir este parámetro en (3).

Otros parámetros

login/disable_cpic = Si no son necesarias este tipo de conexiones lo ideal es deshabilitar este tipo de acceso. (1)

login/no_automatic_user_sapstar = Lo ideal es deshabilitarlo (1) deshabilita). Para más información ver el artículo:  http://www.seguridadsap.com/sap/usuarios-por-defecto-sap-ddic-earlywatch-etc/.

rdisp/gui_auto_logout = Es interesante definir este parámetro por cuestiones de performance (sesiones activas) y para evitar que las estaciones de trabajo queden logueadas en ausencia del usuario (en conjunto con las políticas locales de las estaciones). Un valor lógico sería  20 minutos (1200)

login/system_client = Preferentemente podría dejarse que el usuario tenga que especificar el número de mandante como una medida adicional de seguridad para los intentos casuales de acceso.

La lista no trata de ser exhaustiva, y tiene fines didácticos e incluso está abierta a la discusión por parte de ustedes si así lo desean en los comments.

VN:F [1.9.10_1130]
Rating: 3.5/5 (2 votes cast)
VN:F [1.9.10_1130]
Rating: +3 (from 3 votes)

Tags: , , , , ,
Posted in auditoría., autorización | No Comments »

Parámetros: Mejores prácticas (parte I)

Monday, March 9th, 2009

En un post anterior repasamos el significado de muchos de los parámetros de usuarios vinculados con la seguridad del sistema, ahora vamos a ver cuales son algunos de los valores de los parámetros de SAP que equilibran las posibilidades de uso con la seguridad del sistema, y que muchas veces son requeridos por auditoría de sistemas en sus revisiones sobre el sistema.

Parámetros de restricción a las contraseñas:

login/min_password_lng = Es un parámetro que va a depender mucho de las políticas organizacionales definidas en su empresa, pero puede sugerirse que un valor de 8 es un buen equilibrio entre dificultad de la contraseña y la facilidad del usuario para recordarla.

login/min_password_lowercase = Es recomendable que se exija que al menos un caracter (1) sea en minúsculas, para aumentar la complejidad de la misma

login/min_password_uppercase = idem al anterior, deben estar definidos en conjunto determinando que al menos exista un caracter en minúsculas y al menos uno (1) en maýúsculas para asegurar la complejidad.

login/min_password_specials = Cantidad mínima de caracteres especiales (no 0 a 9, tampoco A-Z, ni a-z)

login/min_password_letters = Similar al caso anterior por lo que es de sugerir que al menos un caracter sea requerido para evitar las contraseñas solo numéricas.

login/min_password_digits = Similar al anterior al menos un (1)caracter debiera ser numérico.

login/min_password_diff = Es de sugerir que se configure este parámetro pero no de manera muy restrictiva porque evitaría que se puedan elaborar nuevas contraseñas. Lo ideal sería definirlo en dos (2) o (1) para evitar las famosas series numéricas progresivas.

login/password_history_size = Aquí es importante definir un número no demasiado alto porque los usuarios van a olvidarse facilmente sus contraseñas. Uno debe luchar entre hacer seguro un sisetma y no pasarse con estas definiciones ya que los usuario terminaran anotando sus contraseñas demasiado innovadoras! Lo ideal sería determinar un número como cinco (5)

login/password_expiration_time = Lo ideal es que la contraseña caduque cada 30 días.

login/password_change_waittime = Lo ideal es definir este valor en al menos un (1) día para evitar que los usuarios fuerzen el cambio de sus contraseñas.

login/password_max_idle_initial = Es importante definirlo evitar que contraseñas queden habilitadas por tiempo indefinido. Es utilizado para evitar que los usuarios sean dados de alta con contraseñas iniciales pero nunca ingresen al sistema dejando una puerta semi-abierta en el mismo sistema (contraseñas iniciales débiles). Debería ser en el orden de los 3 a 7 días.

login/password_compliance_with_current_policy = Este parámetro determina que durante los nuevos logins se verifique si la contraseña cumple con el estándar actualmente definido. (o no chequea, 1 chequea) De esta manera las modificaciones de parámetros de seguridad impactarán inmediatamente en los usuarios requiriendo que los mismos realicen un cambio de contraseñas en su próximo loguin si no cumplen la política actual.

Es importante recordar que el parámetro login/password_compliance_with_current_policy es el que va a definir si se va a requerir un cambio de contraseña masivo a las que no cumplan con las definiciones establecidas o se va a esperar a la próxima definición de las mismas. Hay que tener cuidado con este parámetro si se ha definido una política inválida y no puede establecerse una contraseña que cumpla con todos los requisitos ya que no nos dejaría ingresar más al sistema por las vías normales.

En el próximo post seguimos con los parámetros no vinculados a contraseñas que faltan.

VN:F [1.9.10_1130]
Rating: 4.0/5 (1 vote cast)
VN:F [1.9.10_1130]
Rating: 0 (from 0 votes)

Tags: , , , , ,
Posted in Contraseña | 1 Comment »

Parámetros de Seguridad (Parte II)

Friday, February 20th, 2009

Continuamos la lista que comenzamos a armar ayer con algunos de los últimos parámetros del sistema SAP:

Multiloguin

login/disable_multi_gui_login = Determina si el sistema permite logins desde más de un GUI. (o permite, 1 deshabilita). Es utilizado para evitar riesgos no detectados que un usuario sea utilizado desde más de una terminal, para ahorrar en términos de performance y para evitar problemas de licencias con SAP)

login/multi_login_users = En el se definen separados por comas, las excepciones al parámetro anterior, osea quienes pueden loguearse desde más de un gui independientemente de la definición del otro parámetro.

login/failed_user_auto_unlock = Aquí entre 0 y 1 se define si después de la medianoche los usuarios bloqueados por errores de contraseña se desbloquean automáticamente. Lo recomendable es que esto no suceda a diferencia del valor por defecto de SAP.

login/fails_to_session_end = En este caso se define la cantidad de errores en el ingreso de contraseña hasta que la sesión de un usuario llegué a su fin (pero no se bloquea el usuario, solo se lo desconecta del SAP GUI)

login/fails_to_user_lock = Este parámetro determina la cantidad de errores consecutivos en el ingreso de la contraseña a partir del cual se bloquea el usuario, el cual debe ser desbloqueado por el administrador salvo que el parámetro logins/failed_user_auto_unlock tenga un valor distinto de 0.

Otros parámetros

login/disable_cpic = A partir del mismo se deshabilitan las conexiones por el viejo protocolo CPIC.

login/no_automatic_user_sapstar = Este parámetro deshabilita el usuario harcodeado SAP* con contraseña PASS en caso que se borre el usuario SAP* del maestro de usuarios. (0 habilitado, 1 deshabilita). Para más información ver el artículo:  http://www.seguridadsap.com/sap/usuarios-por-defecto-sap-ddic-earlywatch-etc/.

rdisp/gui_auto_logout = Mediante este parámetro se determina en segundos la cantidad de tiempo de inactividad antes que se terminé la sesión del usuario (0 deshabilitado)

login/system_client = El mismo define el mandante por defecto que nos aparecerá propuesto.

El presente post y su parte uno fueron una enumeración de los principales parámetros vinculados con la seguridad de SAP, respecto a los valores recomendados probablemente en breve hagamos una entrada nueva en este blog definiéndolos, aunque siempre teniendo en cuenta que es muy personal de cada instalación.

VN:F [1.9.10_1130]
Rating: 0.0/5 (0 votes cast)
VN:F [1.9.10_1130]
Rating: 0 (from 0 votes)

Tags: , , , , , , ,
Posted in Contraseña | No Comments »

Parámetros de configuración de Seguridad

Thursday, February 19th, 2009

¿Qué son los parámetros de seguridad en SAP R/3? Es la manera que nos provee el sistema para determinar diferentes configuraciones del mismo ya sea de funcionamiento o performance (BASIS), como de seguridad… y estás últimas son las que más nos interesan.

A través de los mismos podremos definir cosas como el largo de la contraseña, la cantidad de dígitos obligatorios, tiempo de caducidad, entre otras opciones. La configuración de los mismos se hace a través de las transacciones RZ10 y RZ11 (perfiles globales, de instancia, o modificación dinámica).

En este post estaremos identificando siempre los parámetros con las versiones más actualizadas de SAP a la fecha… es posible que en versiones anteriores a SAP ECC 5 no se encuentren todos los aquí enunciados o tengan modificaciones en sus valores posibles.

Parámetros de restricción a las contraseñas:

login/min_password_lng = El cual permite definir el tamaño mínimo de la contraseña que va desde 3 a 40 (en las versiones más nuevas de SAP, anteriormente solamente hasta 8 )

login/min_password_lowercase = Cantidad mínima de caracteres en mínusculas.

login/min_password_uppercase = Cantidad mínima de caracteres en mayúsculas.

login/min_password_specials = Cantidad mínima de caracteres especiales (no 0 a 9, tampoco A-Z, ni a-z)

login/min_password_letters = Cantidad mínima de caracterés del alfabeto en la contraseña.

login/min_password_digits = Cantidad mínima de dígitos obligatorios en la contraseña (0-9)

login/min_password_diff = Cantidad de caracteres que deben diferenciarse entre la nueva contraseña y la anterior (para cambios de contraseña realizados por el usuario)

login/password_history_size = Cantidad de contraseña guardadas como historial de manera que no puedan repetirse las últimas “n” contraseñas (Mínimo 1 y Máximo 100).

login/password_expiration_time = Cantidad de tiempo definida en días que transcurre antes que expiré la contraseña del usuario y el sistema solicite un cambio de la misma. (el valor mínimo es 0 que significa sin caducidad y 1000)

login/password_change_waittime = Cantidad de días que deben transcurrir antes que el usuario pueda cambiar por sus propios medios nuevamente una contraseña. (Es para impedir que se evite el control de historial de contraseñas cambiando numerosas veces una misma contraseña)

login/password_compliance_with_current_policy = Este parámetro determina que durante los nuevos logins se verifique si la contraseña cumple con el estándar actualmente definido. (o no chequea, 1 chequea) De esta manera las modificaciones de parámetros de seguridad impactarán inmediatamente en los usuarios requiriendo que los mismos realicen un cambio de contraseñas en su próximo loguin si no cumplen la política actual.

login/password_max_idle_initial = Máximo número de días que la contraseña definida por el administrador (inicial) puede permanecer habilitada para que el usuario la utilice. (0 a 1000). Es utilizado para evitar que los usuarios sean dados de alta con contraseñas iniciales pero nunca ingresen al sistema dejando una puerta semi-abierta en el mismo sistema (contraseñas iniciales débiles)

login/password_max_idle_production = Similar al anterior pero aplicable a los cambios realizados por los mismos usuarios.

login/disable_password_logon = Permite desactivar el logueo por contraseña si se utiliza otro medio como ser SSO o SNC, para acceder al sistema.

login/password_logon_usergroup = Grupo de usuarios que podrá loguearse con contraseña a pesar de haber usado el parámetro login/disable_password_logon.

login/password_change_for_SSO = Define el comportamiento de la solicitud de cambio de contraseñas para sistemas con SSO (o a 3)

Estos son los parámetros de definición de las contraseñas que tiene SAP, en el próximo post vamos a incluir los respectivos a logueo de errores de logon, multilples loguins y otros varios.

VN:F [1.9.10_1130]
Rating: 0.0/5 (0 votes cast)
VN:F [1.9.10_1130]
Rating: +3 (from 3 votes)

Tags: , , , , , , ,
Posted in Contraseña | No Comments »