SAP Router security, perché è così sottovalutata?

Posted by Massimo Manara on Sep 16, 2020 12:00:00 AM

L'utilizzo del SAP Router dovrebbe essere molto limitato.

SAP ROUTER

 

Al solo supporto SAP e configurato in maniera sicura, tramite l'attivazione di protocolli crittografici.

 

Purtroppo non è così e spesso non viene nemmeno controllato. Perché?

Cosa è il SAP Router? A cosa serve?

Si tratta di un programma che permette di fornire accesso al supporto SAP, in caso ci siano dei problemi da risolvere nella tua installazione (ad esempio SAP ECC o SAP S/4HANA) a fronte di una chiamata, ai sistemi presenti nel tuo landscape.

 

Può essere utilizzato come firewall (anche se non sostituisce i firewall già presenti in azienda). All'interno è possibile definire delle regole di accesso, che dovrebbero essere il più stringenti possibili.

 

L'aggiornamento del SAP Router

Uno degli aspetti più importanti, essendo solitamente esposto all'esterno è quello di tenerlo il più possibile aggiornato. Così come le SAP Security patch, anche il SAP router deve essere tenuto il più possibile aggiornato.

 

In alcuni casi è possibile sfruttare vulnerabilità note del SAP Router per poter accedere alla rete aziendale.

 

Ecco quindi come è possibile vedere la versione del SAP Router.

 

Tramite l'utilizzo di questo comando:

 

saprouter -v

 

Dato che il SAP Router fa parte del kernel SAP, tramite il comando sopra è possibile verificare la versione del Kernel SAP, nel caso sotto 753, inoltre è possibile vedere il patch level (610) nel caso sotto.

 

SAP_ROUTER_VERSION

 

Tramite il sito del supporto SAP è possibile scaricare l'ultima versione o le patch disponibili

 

SAP ROUTER DOWNLOAD

 

Qui puoi trovare ulteriori informazioni di dettaglio sulla configurazione del SAP Router e la messa in sicurezza del prodotto (Configure SAP Router)

 

SAP Routing (Route permission table)

Si tratta di una tabella che permette definire delle regole per il traffico che transita dal SAP Router.

 

È possibile definire le regole permesse P (Permit) quelle non permesse (Deny) e gli host di partenza/arrivo

 

<P/D> <source-host> <dest-host> <dest-serv>

 

Auditing del SAP Router

Cosa conviene fare e cosa controllare?

 

  1. Verifica che sia aggiornato e ci sia un piano di controllo per gli aggiornamenti. Qui puoi verificare gli ultimi aggiornamenti (SAP Router Release) e patch
  2. Verifica che sia implementata la regola del minimo privilegio. Nella tabella di configurazione delle rotte "Route permission table" (saprouttab file) solo accesso da parte di SAP oppure eccezioni formalmente giustificate e valide
  3. Controlla se le Route permission table contiene * nei campi destination (host e port), per le entry con valore P = Permit. Verifica se sono presenti entries con protocollo sicuro S
  4. Definisci una regola finale di deny all
  5. Attiva il logging del SAP Router. In questo caso l'attivazione in se è sicuramente utile, magari per attività forensi, tuttavia per un uso "attivo" dei log è utile che questi siano archiviati e correlati con altre fonti, ad esempio tramite l'utilizzo di SIEM

 

 

 

Topics: sap router security

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti