PROCESUL DE AUTENTIFICARE Autentificarea este procesul care verifica daca utilizatorii, programele sau serviciile sunt exact cine “spun” ca sunt. Autentificarea este piatra de temelie a oricărei securitati pentru infrastructura sau tehnologie. 1 Autentificarea standard ce sta la baza sistemului SAP verifica identitatea utilizatorului prin intermediul parolei de inregistrare. (Încercări nereusite de conectare va determina incheierea sesiunii de lucru si va activa blocarea utilizatorilor). SECURITATEA CONECTARII SI A PAROLEI Pentru a spori securitatea autentificarii in SAP parolele sunt doar stocate si transferate ca valori criptate. Odata cu versiunea SAP NetWeaver 6.40, algoritmul de criptare a parolei s- a modificat de la MD5 la SHA-1 2 . Acest lucru inseamna ca pot fi generate valori de criptare mult mai sigure, ce nu sunt compatibile cu versiunile anterioare, si care fac ca atacurile sa fie mai dificile. Pentru o parola mai puternica exista cateva cerinte si restrictii ce pot si stabilite in SAP: - parola nu poate fi cuvantul “pass” (de la “password”); - lungimea minima a parolei este setata implicit si este de trei caractere (administratorii pot schimba aceasta setare si sa specifice o valoare mai mare a lungimii parolei; maximul parolei este de opt caractere); - specificarea numarului minim de cifre, litere sau caractere speciale ce parola le poate contine; - primul caracter al parolei nu poate fi semnul de exclamare (!) sau semnul de intrebare (?); - atunci cand utilizatorul isi schimba parola, acesta nu poate folosi una din ultimele cinci parole pe care le-a folosit; 1 2
Transcript
PROCESUL DE AUTENTIFICARE
Autentificarea este procesul care verifica daca utilizatorii, programele sau serviciile sunt exact cine “spun” ca sunt. Autentificarea este piatra de temelie a oricărei securitati pentru infrastructura sau tehnologie.1
Autentificarea standard ce sta la baza sistemului SAP verifica identitatea utilizatorului prin intermediul parolei de inregistrare. (Încercări nereusite de conectare va determina incheierea sesiunii de lucru si va activa blocarea utilizatorilor).
SECURITATEA CONECTARII SI A PAROLEI
Pentru a spori securitatea autentificarii in SAP parolele sunt doar stocate si transferate ca valori criptate. Odata cu versiunea SAP NetWeaver 6.40, algoritmul de criptare a parolei s-a modificat de la MD5 la SHA-12. Acest lucru inseamna ca pot fi generate valori de criptare mult mai sigure, ce nu sunt compatibile cu versiunile anterioare, si care fac ca atacurile sa fie mai dificile.
Pentru o parola mai puternica exista cateva cerinte si restrictii ce pot si stabilite in SAP:- parola nu poate fi cuvantul “pass” (de la “password”);- lungimea minima a parolei este setata implicit si este de trei caractere (administratorii pot
schimba aceasta setare si sa specifice o valoare mai mare a lungimii parolei; maximul parolei este de opt caractere);
- specificarea numarului minim de cifre, litere sau caractere speciale ce parola le poate contine;
- primul caracter al parolei nu poate fi semnul de exclamare (!) sau semnul de intrebare (?);- atunci cand utilizatorul isi schimba parola, acesta nu poate folosi una din ultimele cinci
parole pe care le-a folosit;- administratorii pot decide sa interzica anumite siruri de caractere pentru a putea fi folosite
ca parole; utilizatorii vor primi un mesaj de eroare cu parola care a fost interzisa;- parola nu poate incepe cu trei caractere identice (ex.: aaana, iiion etc.);- utilizatorul trebuie sa isi schimbe parola daca este setata o data calendaristica la care
aceasta expira; administratorii sunt cei care decid cat de des parola trebuie schimbata.
Pe langa masurile si restrictiile anterioare, procesul de inregistrare in SAP necesita ceva mai mult de lucru pentru sistem in afara de verificarea parolei. De exemplu, cand utilizatorul incearca sa sa se conecteze cu parola corecta, sistemul verifica prima data daca utilizatorul este blocat. Daca acesta este blocat, fie manual de catre administrator, fie automat dupa 12 incercari nereusite de conectare, sau dupa o eventual actualizare a datelor, sistemul afiseaza un mesaj de eroare. Daca utilizatorul nu este blocat, atunci sistemul verifica daca parola curenta este valabila. In caz contrar, sistemul cere ca utilizatorul sa introduca o noua parola.
Atunci cand se creaza profilul unui utilizator, acestuia trebuie sa i se atribuie o parola. Cand un utilizator nou se conecteaza la sistem pentru prima data, acesta trebuie sa-si schimbe
1
2
parola atribuita initial. Pentru a se realiza acest lucru utilizatorul introduce o data parola veche, si de doua ori parola noua. La noua introducere, sistemul verifica parola daca indeplineste toate regulile impuse de SAP si de catre administrator.
Pentru fiecare parola introdusa gresit, sistemul creste securitatea conectarii. Daca utilizatorul depaseste limita setata cu ajutorul parametrului login/fails_to_user_lock, utilizatorul este blocat. In cazul in care este setat un sistem de blocare verificarile ulterioare ale parolei sunt imediat oprite (fara o declaratie cu privire la corectitudinea parolei). La sfarsitul zilei, blocarea devine invalida.
Daca un utilizator introduce o parola incorecta, atunci sistemul permite acestuia inca doua incercari inainte de a inceta incercarea de autentificare. Dupa trei greseli consecutive, conexiunea este terminata. Prin intermediul parametrului login/fails_to_user_session_end se poate specifica numarul de conectari gresitea dmise de sistem inainte ca acesta sa incheie conexiunea.
Blocarea utilizatorului este valabila doar in ziua respectiva, dar administratorul de sistem poate inlatura blocarea mai repede.
Securitatea parolei este o caracteristica standard in siguranta aplicatiilor SAP. Cu toate acestea, accentual a fost pus pe setarile parametrilor, cum ar fi cerintele de complexitate, lungimea parolei, data de expirare, deblocarile etc.
Faptul mai putin cunoscut in ceea ce priveste parolele utilizatorilor din SAP se refera la atacarea parolelor si scaderea compatibilitatii acestora. Vulnerabilitatile in aceste domenii pot fi exploatate de catre atacatori pentru a sparge parolele si pentru a se conecta la aplicatii SAP prin acreditari furate. Potrivit unor estimari, se spune ca mai mult de 90% din sistemele SAP sunt vulnerabile la astfel de abuzuri.3
Vestea buna este ca SAP nu stocheaza parolele cu texte clare. Acestea sunt stocate ca fiind codificate, prin tabelele USR02 si USH02. Algoritmii de codificare folositi de SAP au evoluat in timp si devin treptat tot mai siguri ca raspuns al vulnerabilitatii algoritmilor anteriori. Fiecare algoritm este identificat ca o versiune de cod folosind acronimul CODVN.
CODVN B si F sunt de interes special. Primul se bazeaza pe o schema de cod MD5, care suporta parole “case insensitive” (nediferentiere intre literele mari si mici) pana la opt caractere lungime. Al doilea cod foloseste SHA-1 ca si schema si permite parole “case sensitive” (diferentiere intre litere mari si mici) pana la 40 de caractere lungime.
Exista numeroase instrumente pe care atacatorii le pot folosi pentru a decripta un cod. Unul din cele mai cunoscute este “John the Ripper” care poate rula pe aproximativ orice platforma, inclusive UNIX si Windows. “John the Ripper” detecteaza automat mecanismele de codificare si poate efectua atacuri brute asupra codurilor. Acest instrument a fost capabil sa sparga parolele criptate cu CODVN B si CODVN F din SAP. Incepand cu anul 2008, “John the Ripper” se afla online si poate fi descarcat.
Exista totusi un impediment in a sparge parolele din SAP; un hacker ar avea nevoie de acces la tranzactia SE16 pentru a extrage tabelul USR02 (figura), care mai apoi ar fi descarcat intr-un sistem de fisier local cu scopul de a fi spart cu instrumnetul adecvat. Backup-ul datelor necriptate poate fi de asemenea folosit pentru extragerea informatiilor din tabelul USR02.
3
Table USR02
Odata ce tabelul a fost extras si procesat, “John the Ripper” va afisa parolele sparte impotriva ID-ului utilizatorului. Apoi atacatorul va utiliza foarte simplu accesul furat pentru a se conecta in SAP si pentru a executa in mod fraudulos si intentionat diverse actiuni.
Criptarea parolelor este stocata in campuri speciale din tabelul USR02. Criptarea CODVN B este stocata in campul BCODE, iar CODVN F este stocat in campul PASSCODE. Asadar, criptarea pentru fiecare versiune de cod este pastrata in campuri diferite. In general, ar trebui sa fie un singur camp in fiecare tabel USR02 pentru criptarea parolei. Numele campului specific, utilizat pentru a stoca criptarea parolei, va fi determinat de versiunea de cod aflata in uz.
Ca o contramasura a procesului de decriptare, SAP recomanda o politica de parolare viguroasa, precum si restrictionarea accesului la tabelul USR02. Accesul la tranzactiile SE11, SE16 si SE17 ar trebui de asemenea bine controlate. SAP indeamna clientii sa activeze mecanismele de parolare cele mai recente si sa stearga criptarea excesiva a parolelor din tabelele relevante.
ATRIBUIREA AUTORIZATIILOR SI SECURITATEA ACESTORA
CREAREA SI CONFIGURAREA PROFILULUI DE AUTORIZATIE
Conceptul de autorizare al SAP-ului este bazat pe relatia logica dintre identitatea utilizatorului si sirul de autorizatii ale sistemului cu care aceasta poate fi asociata. Arhitectura sistemului de autorizare se bazeaza pe utilizarea unor componente individuale dar totodata conexe: profil, obiecte, campuri si autorizatii. Identitatea utilizatorului se refera exclusiv la profile. Fiecare profil acorda un set de autorizatii specifice ce dau acces utilizatorului la sistem.
Autorizatiile sunt elemente cheie pentru securitatea SAP. In unele cazuri utilizatorii constanta ca nu au autorizatiile necesare pentru a efectua o anumita functie in sistem, caz in care mesajul: “Nu sunteti autorizat…” este afisat in partea de jos a ecranului.
Un proces de autorizare poate solicita al doilea proces de autorizare asociat, care la randul sau solicita un al treilea proces, si asa mai departe. De exemplu, sarcina de a plati un furnizor poate necesita pana la 10 autorizatii diferite.
Conceptul de autorizaţie a fost dezvoltat pentru a proteja tranzacţiile, programele şi serviciile pe care SAP le ofera, de accesul neautorizat. Pe baza conceptului de autorizaţie, administratorul alocă autorizaţii utilizatorilor care determină ce acţiuni poate executa un utilizator, după ce acesta s-a conectat în sistem şi s-a autentificat.
Deoarece obiectele de afaceri şi tranzacţiile SAP sunt protejate prin autorizaţie, un utilizator are nevoie de autorizaţiile corespunzătoare. Autorizaţiile sunt definite după activitatea şi responsabilităţile angajaţilor. Ele sunt combinate într-un profil de autorizaţie care este asociat cu un rol. Administratorii alocă apoi rolurile corespunzătoare utilizând înregistrarea de bază a utilizatorului, astfel încât acesta poate foloi tranzacţiile adecvate pentru sarcinile sale.
Profilul unei autorizatii poate fi generat si atribuit automat printr-un instrument numit Profile Generator. Pentru a auto-genera un profil de autorizare este necesar sa se creeze un grup de activitati. Grupul de activitati contine profile simple si, de obicei reprezinta sarcinile unui angajat. Ele sunt definite de utilizator si permit administratorului sa organizeze si sa mentina activitatiile sistemului. Grupul de activitati, cand este folosit ca o baza de date informativa, reduce timpul datelor de intrare. Administratorii pot defini grupe de activitati in doi pasi:1. selectarea criteriilor, cum ar fi controale de acces;2. impartirea activitatiilor in grupuri corespunzatoare.
De exemplu, activitatiile pot fi organizate dupa functii, cum ar fi resurse umane, salarizare, administrare sau dupa clase de job-uri: activitati de programare IT sau contabilitate. Se poate pune in aplicare si o imbinare a celor doua activitati.
Utilizatorii sistemului SAP sunt definiti pe plan intern in cadrul aceluiasi sistem SAP si nu este nevoie de gestionarea lor la nivelul sistemului de operare sau al bazei de date, cu exceptia acelor utilizatori speciali definiti in instalarea standard a SAP-ului.
Utilizatorii sunt definiti si intretinuti, iar securitatea sistemului este executata in inregistrarile de baza ale utilizatorilor prin folosirea conceptului de autorizatie si prin stabilirea rolurilor.
Principala preocupare a administratorilor de sistem si a managerilor de proiect atunci cand implementeaza solutii pentru SAP, este cum anume sa aplice metoda de securitate potrivita pentru accesul utilizatorilor la informatii.
Utilizatorilor li se atribuie unul sau mai multe roluri si autorizatii. Aceste profile cuprind un set de autorizatii care acorda privilegiul de a accesa elementele sistemului. In continuare, autorizatiile duc la obiectul autorizatiei, ce contine un sir de valori pemrise pentru diverse entitati ale sistemului, sau entitati de afaceri, din cadrul SAP-ului.
Procesul de autorizatie in SAP
Gestionarea rolurilor, profilelor si autorizatiilor este un procedeu complex si durabil in cadrul proiectului de implementare al SAP-ului si, mai apoi, la nivel de intretinere si suport. Functiile se grupeaza pe roluri (cunoscute ca grupe de activitati). Aceste activitati vor fi generate utilizand setari personalizate si vor cuprinde doar acele functii alese de catre client. Rolurile formeaza un set de sarcini sau activitati ce pot fi efectuate in cadrul sistemului, cum ar fi programele care ruleaza, tranzactiile si alte functii care reprezinta sarcinile din fisa postului unui angajat.
Un profil de autorizare contine un grup de autoriaztii, care este un grup ce acorda priviegii de acces. Profilele atribuite utilizatorilor cuprind roluri care permit acestora realizarea sarcinilor sale. Fiecare profil poate avea oricate autorizatii se doreste.
Hierarchy of authorization system (Copyright by SAP AG)
Rolurile formeaza un set de sarcini sau activitati ce se pot efectua in cadrul sistemului. Atunci cand se atribuie roluri pentru utilizatori, sistemul va prezenta automat un meniu specific pentru acele roluri in momentul in care utilizatorul se contecteaza la SAP.
Rolurile si informatiile ce acestea le contin sunt ceea ce face ca profilele sa fie generate automat. Rolurile sunt componentele de baza necesare pentru a genera autoriazatiile.
Rolurile se aseamana cu fisa postului, reprezentand ocupatia fiecarui utilizator: agent vanzari, contabil, trezorier si asa mai departe. Rolurile pot include cat mai multe activitati unice cat sunt necesare. Activitatile unice pot fi tranzactiile, rapoartele, si accesul la alte tipuri de obiecte cum ar fi site-uri web, fisiere etc.
Orice modificare, schimbare a autorizatiilor trebuie sa fie corect analizata si controlata inainte de a fi aplicata. Acest proces formal trebuie sa fie suficient de detaliat pentru a asigura ca separarea sarcinilor si alte caracteristici de control nu sunt incalcate.
2.2.2. GENERAREA PROFILULUI UTILIZATORULUI
Identitatea unui utilizator permite accesul la aplicatiile pe care SAP le ofera. Fiecare utilizator trebuie sa aiba un profil alocat corespunzator.
Toti utilizatorii SAP sunt monitorizati continuu, in asa fel incat problemele lor pot fi remediate cat mai repede imediat ce apar. Acordarea atentiei in timp util problemelor utilizatorilor poate reduce cheltuielile de administrare.
De exemplu, in cazul in care administratorul SAP vrea sa verifice ID-urile utilizatorilor nerecunoscuti sau daca utilizatorii incearca sa acceseze tranzactii care nu le sunt premise, acesta poate executa tranzactia AL08 si revizui activitatea utilizatorilor.
Odata implementat, SAP vine deja cu trei tipuri de clienti impliciti si pre-configurati (unitati independente de business). Acestia sunt clientii 000, 001 si 066. Procesul de instalare al SAP-ului creaza automat ID-urile utilizatorilor impliciti si parolele corespunzatoare.
Administratorii SAP trebuie sa se asigure ca acestia nu sunt folositi pentru a accesa sistemul.
ID utilizator Nume client Functiile utilizatoruluiSAP* 000 si 001 Utilizator implicit ce are
toate puterile administrativeDDIC 000 si 001 Utilizatoru responsabil
pentru mentinerea dictionarului ABAP si a software-ului de logistica
EarlyWatch 066 Utilizator cu acces doar pentru monitorizarea si imbunatatirea datelor
Setarile unui utilizator definesc contul acestuia care sa permita accesul la sistem. Acesta contine ecrane cu campuri suplimentare (in afara celor ce contin ID-ul utilizatorului), dintre care unele sunt doar pentru scopul de informare (importante si ele), iar altele care pot usura munca atat pentru utilizatori, cat si pentru administrator.
Profilul utilizatorului contine toate informatiile de acces necesare si cerute de sistem pentru a valida inregistrarea unui utilizator si atribuie acestuia drepturile de acces. Acste informatii sunt parolele, rolurile si autorizatiile.
Se regasesc foarte multe informatii suplimentare in profilul unui utilizator, inclusiv ce meniu vor vedea utilizatorii cand se logheaza pentru prima data, ce imprimanta este setata ca implicita, la fel ca si adresele sau numerele de telefon ale utilzatorului. Pentru a accesa functiile de intretinere a utilizatorului se introduce tranzactia SU01 in campul de comanda. Cu ajutorul acestei tranzactii, se specifica un utilizator individual pentru care sa se efectueze actiuni aministrative.
Initial screen for user management (Copyright by SAP AG)
Atunci cand suntem creati ca utilizatori, introducerea numelui de familie in campul ce solicita acest lucru este obligatorie, deoarece aceasta infromatie ne permite sa mergem mai departe la celelalte sectiuni.
Cel mai important camp obligatoriu este parola. Se introduce sau se genereaza o parola in campul “parola initiala” si se introduce din nou in campul de verificare.
Dupa ce campurile obligatorii au fost completate, se poate salva utilizatorul. Este important sa se seteze rolurile si autorizatiile pentru utilizator, caci altfel acestia nu vor putea efectua nici o sarcina.
CONCLUZII
SAP este un program destul de sensibil si critic, fiind un sistem ERP foarte important in orice organizatie. O securitate slaba a acestuia ar putea duce la pierderi financiare, intreruperi de afaceri, denaturarea informatilor financiare. SAP este un sistem integrat, astfel incat orice eroare poate avea un impact negativ major.
Este importanta securizarea sistemului SAP. Pentru aceasta nu este suficienta doar intarirea controalelor. Este necesara securizarea aplicatiilor care sunt rulate in SAP, si de asemenea infrastructura sistemului: reteaua (routere, switch-uri, firewall), serverul (aplicatii si baze de date) si calculatorul/laptopul propriu-zis
