Posts Tagged ‘Seguridad’

« Older Entries

Auditar SAP – Revisión (II)

Friday, November 6th, 2009

Continuando con los pasos que se habían detallado previamente, seguimos con los puntos a verificar en una auditoría:

6- Verificar que los permisos para trabajar con órdenes de transporte, tareas, y pasajes entre ambientes, estén asignados a las personas que deben cumplir los respectivos roles y que se cumpla la segregación de funciones. Verificar el objeto S_TRANSPRT, y los permisos a las transacciones SE09, SE10, STMS, etc (Ver este link sobre el sistema de transporte, y detalles sobre los objetos de autorización en este link)

7- Verificar que los programas Z (customizados) posean los authority check que requiramos. Esta búsqueda se puede realizar facilmente a través del programa RSABAPSC ejecutado desde la transacción SA38.

8- Revisar los parámetros definidos en el perfil de instancia (a través del reporte RSPARAM (SA38), o la transacción RZ11. (Más info)

9- Verificar todos los usuarios que posean permisos para desarrollar en ambientes productivos (Objeto S_DEVELOP con actividades 01, 02 o 06), y que también dispongan de la transacción SE38

10- Verificar que los permisos de debug con modificación de variables no estén asignados en un ambiente productivo (S_DEVELOP, actividade 02 y tipo de objeto DEBUG) (Más info…)

11- Ejecución de Querys, verificarlo revisando qué usuarios pueden ejecutar la transacción SQ01 y el objeto S_QUERY con 02 o 23.

En un próximo post seguiremos profundizando con el programa de auditoría que venimos elaborando en este blog.

VN:F [1.8.2_1042]
Rating: 5.0/5 (4 votes cast)
VN:F [1.8.2_1042]
Rating: +4 (from 4 votes)

Tags: , , ,
Posted in auditoría. | 3 Comments »

Seminario sobre Seguridad SAP en Buenos Aires

Tuesday, August 11th, 2009

Hacia fines del mes de septiembre estaremos dictando un seminario de un día sobre seguridad en la plataforma SAP en Argentina, a través de la consultora EZGROUP de Buenos Aires.

Si están interesados en participar de la actividad o conocen a alguien que así lo desee pueden ver los detalles del costo, fecha y lugar en el presente link.

VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , ,
Posted in LINKS, auditoría. | No Comments »

Novedades: Más canales de comunicación

Monday, July 20th, 2009

Después de una semana de merecidas vacaciones prometo volver en breve a la actividad en el blog, mientras tanto les dejo un nuevo canal de comunicación (twitter) en donde además de realizar avisos sobre nuevas publicaciones, incorporaremos material adicional al publicado en este blog.

Dado el formato de comunicación más conciso que twitter plantea, la idea principal es que mediante este canal se publiquen facilmente documentos interesantes, links a otros sitios con información de SAP, o toda información que no amerite la publicación de un nuevo post pero que pueda ser util para la comunidad.

La dirección del profile es http://twitter.com/seguridadsap desde donde pueden seguirnos y recibir las actualizaciones. En breve procuraré incorporar la funcionalidad de suscripción en el diseño de blog.

Saludos!

http://twitter.com/seguridadsap
VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: +1 (from 1 vote)

Tags: , , ,
Posted in Tips | 2 Comments »

Tipos de Usuario en SAP

Thursday, May 7th, 2009

En todo sistema SAP tenemos 5 opciones para definir los tipos de usuario, con sus diferentes restricciones de acceso y condiciones a la hora de ingresar al sistema. Es importante establecer correctamente los tipos de usuario ya que no debería tener una configuración similar un usuario final, un usuario de interfaz, o uno de sistema, entre otras opciones.

Por eso pasamos a describir los 5 tipos de usuario distintos que podemos definir en SAP:

Usuarios de Diálogo – Dialog users (A)

Es el tipo de usuario con el que deben acceder normalmente los usuarios finales que necesitan interactuar con el sistema a través del SAP GUI. Todos los parámetros de logueo definidos son verificados al iniciar sesión, como así también las restricciones de loguins múltiples. Normalmente la mayoría de los usuarios de nuestra organización debieran estar encuadrados dentro de este tipo.

Usuarios de Sistema – System Users (B)

Los usuarios definidos bajo esta tipología son no interactivos, lo que significa que no pueden loguearse a través del SAP GUI al sistema. Comunmente son utilizados como usuarios de procesamiento por lotes, workflow, procesos ALE, etc. Su contraseña solo puede ser cambiada por el administrador del sistema y se permiten logueos múltiples. Uso interno dentro del mismo sistema.

Usuarios de Comunicación – Communication Users (C)

Utilizados para comunicación RFC entre sistemas, son los comunmente utilizados para las interfaces con otros sistemas. No es posible establecer logueos por parte de usuarios finales a través del SAP GUI.

Usuario de Servicio – Service User (S)

Es propicio para su utilización por parte de usuarios que requieren acceso anónimo. No respetan las normas de expiración de contraseña y la misma solo puede ser cambiada por el administrador del sistema. Las autorizaciones que se le otorguen al mismo deben ser mínimas y restringidas especificamente a la necesidad por la que se creo el usuario. Su uso no es recomendable salvo necesidad específica, ya que son logoneables mediante SAP GUI.

Usuario de Referencia – Reference User (L)

Este tipo de usuarios es poco utilizado en general. No admiten logons de diálogo y pueden ser utilizados para traspasar sus autorizaciones al usuario que lo tiene como referente.

Resumen

El esquema general de tipos de usuario es bastante simple, pero lo importante es aplicarlo correctamente restringiendo a los usuarios batch o de sistema para que no puedan tener logon directo al sistema, y a los usuarios de interfaz con su respectivo usuario de comunicación.

Esto es importante ya que muchas veces los permisos de estos usuarios son demasiado amplios (debieran restringirse, pero ese ya es otro tema), y sus contraseñas pueden estar comprometidas al tener que ser almacenadas en otros sistemas para su conexión.

VN:F [1.8.2_1042]
Rating: 3.7/5 (3 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , , , ,
Posted in introducción | No Comments »

Protección de Mandantes

Wednesday, May 6th, 2009

Un tema sumamente importante que solo fue tratado brevemente en este blog es el tema de la protección de los mandantes. Los disintos niveles de protección que SAP nos brinda para los mismos tienen una importancia mayúscula dentro del marco general de seguridad del sistema y gestión de ambientes.

Por ejemplo, dentro de los parámetros a definir se puede establecer que el mandante sea modificable, la posibilidad de copiar el mismo, realizar modificaciones independientes de mandante, etc.

Desde la transacción SCC4 podemos consultar y/o modificar la configuración de los mandantes, y dentro de las mismas se nos presentan varias opciones que es importante que nos queden claras y bien definidas.

1- Modificar objetos dependientes de mandante:

- Permitir libremente las modificaciones sin realizar órdenes de transporte automáticamente (No recomendado su uso, solo factible para ambientes Sandbox con rutas cerradas de transporte)
- Permitir modificaciones pero realizar automáticamente las órdenes de transporte respectivas (para reforzar la nivelación de ambientes hacia adelante, y la ejecución del proceso transporte, recomendable para ambientes de parametrización o customizing)
- No permitir modificaciones (o lo que se conoce como mandante cerrado, recomendable para ambientes productivos… y no solo recomendable… indispensable para mantener “cierto” control)
- Permitir las modificaciones de customizing pero anular las posibilidades de transporte incluso manuales (no recomendable, solo para entornos cerrados de pruebas)

2- Modificaciones de objetos independientes de mandante:

- Permitir todos los cambios (Recomendable para ambientes de desarrollo)
- Permitir solo cambios de Repository o workbench (Son solo modificables los programas, reportes, diccionario de datos, etc.)
- Permitir solo cambios de Customizing independiente de mandante (Solo el customizing y no el workbench)
- No permitir ningún cambio independiente de mandante (Ambientes de producción)

3- Protección contra copias de mandante:

- Sin restricciones
- Sin posibilidad de sobrescribir el mandante (habitual para la mayoría de los mandantes, salvo excepción puntual)
- Eliminar la posibilidad de tomarlo como origen de una copia de mandante (Es para evitar que un mandante que tiene información confidencial pueda ser copiado a otro mandante)

3- Protección contra uso de CATTS:

- Las herramientas de CATT o ECATT pueden ser utilizadas para realizar cargas masivas de datos en el sistema y por lo tanto se recomienda que se limite la posibilida de su uso en los ambientes productivos.

Es importante destacar que estas configuraciones son solo aproximaciones a lo que debería ser, y que sin embargo muchas veces ocurren excepciones a las reglas aquí definidas, ya que se habilitan temporalmente las posibilidades de copiar mandantes de producción para realizar pruebas (deberían anonimizarse sus datos), o copiar ambientes de desarrollo, etc.

VN:F [1.8.2_1042]
Rating: 4.8/5 (5 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , ,
Posted in auditoría., transporte | No Comments »

Tips: Generación de Contraseñas

Wednesday, April 8th, 2009

Uno de los grandes problemas a la hora de generar contraseñas iniciales o reinicializar las mismas está dado por el uso de contraseñas triviales y por las dificultades que nos presenta la generación de contraseñas al azar estándar de SAP.

Sin embargo existen una posibilidad de configuración en el generador de contraseñas, que suele pasar desapercibida a la mayoría de los usuarios, y que se encuentra poco documentada.

Esta configuración se realiza en la tabla PRGN_CUST, en la que pueden definirise los parámetros:

GEN_PSW_MAX_LETTERS

GEN_PSW_MAX_DIGITS

GEN_PSW_MAX_SPECIALS

Respectivamente, para definir el número máximo de letras, dígitos y caracteres especiales que el generador automático de contraseñas (SU01 o SU10) va a utilizar, siempre y cuando no se contradigan con los parámetros definidos  en el perfil del sistema.

Cuando las políticas de la organización así lo permitan, o durante la generación de un número importante de usuarios en una implementación, podría ser útil deshabilitar colocando en 0 (cero) el uso de caracteres especiales para que las nuevas contraseñas no sean complicadas de escribir para los usuarios finales, ya que a veces por defecto SAP suele utilizar caracteres especiales difíciles de repetir en algunas configuraciones de teclado, o por usuarios impacientes ;-)


VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , ,
Posted in Contraseña, Tips | No Comments »

Tips: Auditoría sin activar la auditoría

Friday, April 3rd, 2009

Estrenando un nuevo diseño en el blog creamos un artículo que puede llegar a ser útil aunque el título suene un tanto ambicioso. La realidad es que la idea básica es la de conocer si un usuario determinado ejecutó una transacción en SAP, o que usuarios ejecutaron una transacción (desde cualquiera de los dos puntos de vista).

La realidad es que la herramienta más idonea que podemos encontrar en SAP, es la transacción SM20N, y la veremos en profundidad en un futuro post.

Pero por ahora y en caso de una emergencia, y teniendo en cuenta que solo nos brinda información sobre acciones recientes, y no nos especifica la fecha y hora de esta ejecución (la cual puede aproximarse) vamos a ver como podemos ver esa información a través de la transacción ST03N.

Esta transacción nos permite evaluar la performance de ejecución en los distintos application servers, y su fin no es brindar información de seguridad, pero en determinados casos donde la auditoría no esté activada puede ser útil para nosotros.

En la misma seleccionando el Modo Experto, disponemos de un frame donde se encuentran las instancias de nuestro SAP. Una vez seleccionada una instancia en esta ventana, seleccionamos un período. Y vamos a la ventana que se encuentra inmediatamente abajo, seleccionando la vista Estadística de Usuario – Perfil de Usuario. Luego en la ventana principal vemos todos los usuarios con sus datos de performance, y si hacemos doble click en los mismos podemos ver que transacciones ejecutaron en el período de tiempo previamente seleccionado.

También existe la posiblidad de hacerlo a la inversa (desde la transacción los usuarios) a través de la vista “Perfil de Transacción”.

Es una alternativa interesante, si bien nunca debe ser la única, y el tiempo de la información resguardada va a depender de la configuración del sistema.

Es posible que nos resulte útil cuando se desea investigar de forma URGENTE, QUIEN EJECUTO tal transacción QUE ORIGINÓ TAL PROBLEMA, y nunca antes nos permitieron activar la auditoría por “cuestiones de performance” (o desconocimiento). Paradojicamente el Trace de performance nos puede brindar ALGO de esa información.

PD: Si necesitan algún capture de pantalla para hacerlo diganmé en los comments.

VN:F [1.8.2_1042]
Rating: 4.7/5 (3 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , ,
Posted in Tips, auditoría. | 5 Comments »

« Older Entries