Хорошая новость для сообщества пользователей SAP: вышло обновление документа «Безопасная настройка сервера приложений SAP NetWeaver ABAP» (Secure Configuration of SAP NetWeaver® Application Server Using ABAP) до версии 1.2. Предыдущая версия была опубликована в сентябре 2010.

Я надеюсь, что этот документ будет использоваться на практике в качестве стандарта де-факто по безопасной конфигурации SAP NetWeaver ABAP. Давайте посмотрим, какие новшества появились в новой версии.

Основные изменения коснулись настроек RFC, безопасности веб-приложений и шифрования SNC. В данной статье мы остановимся подробнее на каждой из этих областей и обсудим другие важные для безопасности темы.

Управление паролями:

Появилось всего два новых требования:

• login/password_history_size – число паролей (выбирается пользователем, а не администратором), которые хранятся в системе и не могут быть использованы повторно. Рекомендуется 5, но лучше 12.
• login/password_expiration_time – определяет период актуальности пароля в днях. Рекомендуется выбрать значение от 30 до 90 дней, в соответствии с вашей корпоративной политикой соответствия. Например, стандарт PCI DSS требует периода в 90 дней.

Защищенная сетевая коммуникация (SNC):

Что касается SNC, то здесь ничего нового, кроме того, что для соединений через SAP GUI и RFC всем пользователям SAP NetWeaver SNC теперь доступен бесплатно. Кроме того, теперь эту функцию намного проще установить. Впрочем, SNC все еще, к сожалению, очень редко используется в корпоративных системах, судя по нашим последним работам по аудиту защищенности.

Ограничение на доступ к WEB- контенту:

Появился новый сервис RFC – /sap/bc/bsp/sap/icf

Я также советую вам ограничить доступ к некоторым другим потенциально опасным сервисам:

• /sap/public/icf_info/icr_groups and /sap/public/icf_info/icr_urlprefix – уязвимость разглашения информации, которая может помочь злоумышленнику найти некоторые полезные ресурсы системы для осуществления дальнейших атак;
• /sap/public/info – уязвимость разглашения информации, которая может помочь злоумышленнику узнать данные об установленной версии системы и не только;
• Эти тестовые приложения BSP также не рекомендуется использовать в продуктивной системе:
  • /sap/bc/bsp/sap/it00
  • /sap/bc/bsp/sap/sbspext_htmlb
  • /sap/bc/bsp/sap/sbspext_xhtmlb
  • /sap/bc/bsp/sap/htmlb_samples
  • /sap/bc/bsp/sap/bsp_verification

Указанными проблемами, конечно, список уязвимостей в веб-сервисах SAP не исчерпывается, но это тема для отдельной большой статьи.

RFC-соединения в ABAP

Здесь изменения весьма существенны, и я прекрасно понимаю почему. По моему собственному опыту, во время аудита безопасности систем SAP почти каждый раз обнаруживается соединение между тестовой и продуктивной системами с сохраненными аутентификационными данными пользователей с правами SAP_ALL. Мало того, зачастую в тестовую систему можно проникнуть, используя логин и пароль по умолчанию: например, EARLYWATCH с паролем SUPPORT на 066 клиенте, и это не раз подтверждалось на практике. Это один из самых простых и опасных способов взломать систему SAP, и все-таки он до сих пор