L'utilizzo del SAP Router dovrebbe essere molto limitato.
Al solo supporto SAP e configurato in maniera sicura, tramite l'attivazione di protocolli crittografici.
Purtroppo non è così e spesso non viene nemmeno controllato. Perché?
Cosa è il SAP Router? A cosa serve?
Si tratta di un programma che permette di fornire accesso al supporto SAP, in caso ci siano dei problemi da risolvere nella tua installazione (ad esempio SAP ECC o SAP S/4HANA) a fronte di una chiamata, ai sistemi presenti nel tuo landscape.
Può essere utilizzato come firewall (anche se non sostituisce i firewall già presenti in azienda). All'interno è possibile definire delle regole di accesso, che dovrebbero essere il più stringenti possibili.
L'aggiornamento del SAP Router
Uno degli aspetti più importanti, essendo solitamente esposto all'esterno è quello di tenerlo il più possibile aggiornato. Così come le SAP Security patch, anche il SAP router deve essere tenuto il più possibile aggiornato.
In alcuni casi è possibile sfruttare vulnerabilità note del SAP Router per poter accedere alla rete aziendale.
Ecco quindi come è possibile vedere la versione del SAP Router.
Tramite l'utilizzo di questo comando:
saprouter -v
Dato che il SAP Router fa parte del kernel SAP, tramite il comando sopra è possibile verificare la versione del Kernel SAP, nel caso sotto 753, inoltre è possibile vedere il patch level (610) nel caso sotto.
Tramite il sito del supporto SAP è possibile scaricare l'ultima versione o le patch disponibili
Qui puoi trovare ulteriori informazioni di dettaglio sulla configurazione del SAP Router e la messa in sicurezza del prodotto (Configure SAP Router)
SAP Routing (Route permission table)
Si tratta di una tabella che permette definire delle regole per il traffico che transita dal SAP Router.
È possibile definire le regole permesse P (Permit) quelle non permesse (Deny) e gli host di partenza/arrivo
<P/D> <source-host> <dest-host> <dest-serv>
Auditing del SAP Router
Cosa conviene fare e cosa controllare?
- Verifica che sia aggiornato e ci sia un piano di controllo per gli aggiornamenti. Qui puoi verificare gli ultimi aggiornamenti (SAP Router Release) e patch
- Verifica che sia implementata la regola del minimo privilegio. Nella tabella di configurazione delle rotte "Route permission table" (saprouttab file) solo accesso da parte di SAP oppure eccezioni formalmente giustificate e valide
- Controlla se le Route permission table contiene * nei campi destination (host e port), per le entry con valore P = Permit. Verifica se sono presenti entries con protocollo sicuro S
- Definisci una regola finale di deny all
- Attiva il logging del SAP Router. In questo caso l'attivazione in se è sicuramente utile, magari per attività forensi, tuttavia per un uso "attivo" dei log è utile che questi siano archiviati e correlati con altre fonti, ad esempio tramite l'utilizzo di SIEM