Este documento habla sobre la seguridad en SAP y cómo mantenerla controlada. Explica que SAP está compuesto de varias capas, incluida una capa funcional que contiene la lógica del negocio y una base de datos que almacena la información. También recomienda implementar medidas de seguridad como restringir el acceso a la infraestructura SAP, limitar las cuentas de acceso al sistema operativo, implementar una política de contraseñas segura y restringir los permisos de usuario.

1. Tutorial
Seguridad en SAP:
sepa cómo mantenerla controlada
Por AnibAl MAstroberti, Consultor CybseC s.A.
Uno de los principales objetivos e in- ción hace que un determinado módulo, se Seguridad en el Sistema SAP
tereses de una empresa es mantener a sal- adapte a las necesidades de los procesos de La información de negocio de las em-
vo la información de negocio a personas o una empresa y forma parte de lo que se puede presas que utilizan SAP, se encuentra guarda-
sistemas indeseados. Gran cantidad de las llamar como una capa de Zona Gris, que se da dentro del mismo sistema. Es por eso, que
principales empresas, en su mayoría, gran- explicará luego. Toda la información utiliza- es primordial asegurar y restringir el acceso,
des y medianas han implementado diversos da por la Capa Funcional, se encuentra guar- solamente a la/s persona/s que deben tener
sistemas informáticos que permiten facilitar dada dentro del sistema en distintas tablas y conocimiento de parte de la información que
su gestión y optimizar el uso y el proceso les sirva para realizar su trabajo utilizando el
de transformación de su información de sistema. Dentro de las consideraciones que
negocio entre distintas las diversas áreas Capas del sistema SAP se deben tener en cuenta para hacer esta
que la componen mediante la utilización de restricción en las distintas capas menciona-
un sistema ERP (Planificación de Recursos das, es que existen muchas configuraciones
Empresariales). por defecto y la gran mayoría, son inseguras
En particular en este artículo se va a con- dentro del sistema. A continuación, hace un
siderar uno de esos sistemas ERP creado en el análisis por capa de la seguridad necesaria
año 1992 por la empresa Alemana SAP AG en cada una.
denominado SAP R/3 (existen diversidad de
versiones previas y posteriores). SAP R/3 es Seguridad en la Arquitectura
una aplicación cliente – servidor. Esto quiere Los servidores que formen parte de
decir, que para poder utilizar el sistema, se la infraestructura SAP deben estar en una
tiene que instalar un programa (cliente) y ese red aislada, en particular lo que es conocido
programa es el que realiza el acceso al sistema como SAProuter y la infraestructura de SAP
ERP de SAP, que se encuentra instalado en un dentro de una DMZ. Una DMZ es una zona
servidor. Se va a explicar como está compues- de la red que se mantiene separada de la red
ta una de estas partes del sistema (servidor), empresarial y de las redes externas. De esta
haciendo una separación en distintas capas forma, se realiza el acceso desde el exterior
en las que se puede subdividir. en forma segura a la infraestructura SAP. Este
acceso es necesario para el Soporte Directo
Capa Funcional objetos en una gran Base de Datos. realizado por parte de SAP.
Esta capa contiene la lógica de negocio, La Zona Gris consiste en la parametri- Esta separación permite limitar las co-
que puede separarse en diversos módulos, zación/configuración específica que se realiza nexiones que se hagan al sistema, permitien-
que se diferencian por el proceso de nego- tanto en la Capa Funcional, como en el mis- do únicamente el uso de aquellas autorizadas.
cio o área funcional que abarca cada uno. mo sistema SAP R/3 a nivel de Sistema Ope- Se pueden implementar estas restricciones de
Por ejemplo existe un módulo de finanzas, rativo, para su adecuado funcionamiento. La acceso utilizando un Firewall (rechaza co-
conocido y denominado por la sigla FI; Base de Datos es el lugar donde se guarda la nexiones indebidas) y el uso de la aplicación
un módulo de ventas y distribución deno- información utilizada por la Capa funcional mencionada SAProuter, que permite además
minado SD, entre tantos otros. Se pueden y parte de la información denominada Zona restringir el acceso a la infraestructura SAP
agrupar estos módulos entres grandes áreas Gris (Configuración). Para la instalación tan- (ver diagrama de arquitectura).
(financiera, logística y recursos humanos) y to de la Base de Datos, como el aplicativo
funcionan de un modo integrado, por nece- SAP R/3, se requiere tener instalado primero Seguridad en Sistemas
sidad de interacción en los distintos procesos un Sistema Operativo en el servidor que se Operativos
de negocio. utilice. • Seguridad en las cuentas de acceso:
Cada empresa, decide ‘implementar’ Idealmente, se instalan tres ambientes de Como el sistema SAP, se instala en un
o instalar y configurar o parametrizar los trabajo distintos de un mismo sistema SAP Sistema Operativo, se debe limitar el acceso
módulos que se adapten a su operatoria y (Desarrollo, Testing / QA y Producción). En y uso, solamente para hacer tareas de insta-
en algunos casos adaptar la operatoria de el gráfico, se muestra un diagrama donde se lación y actualización del sistema a personas
la empresa los procesos estandarizados de modela la arquitectura que se aconseja para especializadas (Basis). Se deben utilizar polí-
cada módulo. El concepto de parametriza- infraestructuras de SAP. ticas que defina la empresa, para el ingreso al
Prensario TI | Mayo 2010 « 66 » « » Prensario TI | Mayo 2010

2. Tutorial
Seguridad en SAP: sepa cómo mantenerla controlada
medidas preventivas en el uso de estos usua-
Arquitectura SAP rios críticos.
• Política de Contraseñas
La empresa debe definir una política de
contraseñas para evitar el uso de contraseñas
triviales, al momento de realizar asignaciones
de contraseñas para el acceso al sistema.
• Mecanismos de Autorización
Son las autorizaciones que se dan al
usuario para poder utilizar objetos del siste-
ma. Es aconsejable restringir el uso necesario
a los objetos que requiera cada usuario para
su trabajo. Limitar el uso del perfil SAP_ALL,
que tiene privilegios total sobre el sistema
y controlar la asignación de autorizaciones
administrativas S_*.
• Seguridad de las Interfaces
Controlar y restringir las comunicacio-
nes innecesarias con otros sistemas, el acceso
a los usuarios a hacer esta configuración y
utilizar SNC en lo posible para hacer las co-
municaciones seguras en caso de transmitir
información sensible.
sistema operativo, la definición de contrase- Limitar el acceso directo a la Base de
ñas a usuarios administradores del sistema Datos, permitiendo únicamente el acceso al Seguridad en la Capa Funcional
Operativo y usuarios especiales creados al sistema Aplicativo SAP y restringir el uso de Se debe restringir el uso de la funcio-
instalarse SAP. Se debe buscar siempre, limi- cuentas administrativas. nalidad que debe acceder cada usuario en
tar al máximo el ingreso indebido. • Limitar acceso a archivos de la Base el sistema. Para esto existe el uso de asigna-
• Seguridad en el sistema de archivos Se deben aplicar los permisos adecuados ción de roles, perfiles y autorizaciones de
Así como se limita el ingreso al siste- a los directorios donde se guarda la informa- objetos que puede utilizar un determinado
ma operativo, se debe restringir el acceso a ción de la base de datos. usuario. Es importante limitar e identificar
carpetas y archivos mediante la asignación los usuarios que cuenten con estos permisos
de permisos a los usuarios del sistema ope- Seguridad en la Zona Gris administrativos, de asignación de permisos
rativo. Es una zona compuesta por diversas y que la asignación a los distintos usuarios
• Seguridad en servicios configuraciones y parametrizaciones que se creados se haga de forma correcta. También
Se deben desactivar los servicios del Sis- realizan dentro del sistema. En algunos casos limitar la asignación de autorizaciones para
tema Operativo, que no se utilicen y sean ne- son configuraciones por defecto y en gene- realizar parametrizaciones dentro del siste-
cesarios para el funcionamiento del sistema ral inseguras. Se detallan las agrupaciones ma a los usuarios creados dentro de SAP que
SAP, por ejemplo: smtp, ntp, telnet, snmp, de los distintos conceptos que forman esta correspondan.
ftp*, rsh*, rexec* y rlogin*. Zona Gris:
• Estandarizar el nivel de seguridad • Mecanismos de Autenticación Manteniendo la seguridad
La empresa debe definir un standard de Es la forma en que se acredita un bajo control
seguridad para el Sistema Operativo y utili- usuario al tratar de ingresar al sistema SAP Con intención de mejorar la seguridad
zarlo para todos los ambientes (Desarrollo, y existen diversos mecanismos. El más co- dentro de SAP de lo que se dio a conocer
Testing y Producción). mún es ingresar utilizando un usuario y como Zona Gris, existe una herramienta
contraseña, como se explicó previamente. que realiza un exhaustivo análisis de los pa-
Seguridad en Base de Datos Es recomendable utilizar un mecanismo rámetros de instalación. Es una aplicación
• Seguridad de usuarios de comunicación seguro utilizando SNC que automatiza más de 80 controles críticos
Los usuarios que tiene y utiliza la Base (Secure Network Communications), que es dentro del sistema SAP y NetWavere y los
de Datos, se deben proteger, cambiando las provisto por SAP. compara con las best practices internacio-
contraseñas en los usuarios creados por de- • Seguridad de los Usuarios nales indicando el valor objetivo a alcanzar.
fecto y creados por el sistema SAP para el uso Se deben cambiar las contraseñas de los Para obtener más información sobre esta he-
de la Base de Datos. usuarios creados por defecto por el sistema rramienta puede visitar el sitio www.cybsec.
• Restringir accesos indebidos SAP (SAP*, DDIC, EARLYWATCH) y tomar com/safe
Prensario TI | Mayo 2010 « 68 » « » Prensario TI | Mayo 2010

3. Infraestructura Física | Tutorial
Salto Cualitativo
Hacia una velocidad de transferencia 10 veces mayor de los cableados estructurados
Por CésAr MAngiAterrA, leonArdo Fuhr, dusAn VAnek, S E G U N D A PA R T E
MiChAl soboliC, PAVel neVeselý, P. VACek, l. döbrössy
En el número anterior hicimos un normas a las cuales nos hemos referido. Esto de eventuales fallas. Pero de ningún modo
repaso de la evolución de los cableados es imposible de de-mostrar de otra manera reemplazan a un certificado de sistemas o
estructurados. Analizamos tres ‘hitos’ de que con pruebas y mediciones que sólo se de componentes Cat.6A emitido por un la-
tal proceso. El pasado 15 de abril, la nor- pueden realizar en laboratorios de prueba boratorio de pruebas independiente (ver el
ma internacional ISO/IEC 11801 publicó especializados. punto anterior).
su segunda enmienda. A partir de ahora, El cliente es capaz de diferenciar los Para la certificación del cableado ins-
no sólo se especifican los requerimientos verdaderos sistemas y componentes Cat.6A talado Cat.6A en indispensable utilizar
para sistemas Cat.6A, sino también los pa- de los falsos de gracias a los certificados emi- instrumental con categoría de precisión
rámetros de transferencia (y la forma de tidos por laboratorios de pruebas indepen- IIIe o IV con generador de frecuencia de
testearlos y certificarlos) de cada uno de dientes. Por eso, debe ser una regla solici- por lo menos 500 MHz. Si se trata de un
los componentes Cat.6A. La característica társelos al proveedor sin excepciones. En el sistema completo Cat.6A, siempre hay que
más importante de estos componentes: la caso de un sistema Cat.6A se trata de un testearlo como canal (Channel) usando pa-
interoperabilidad. certificado para todo el canal de transmisión tchcords correspondientes al sistema dado.
y en el caso de los componentes Cat.6A, cada De tratarse de un cableado realizado con
Dos vías para la realización de un ca- uno de éstos está certificado por separado componentes con interoperabilidad Cat.6A
bleado estructurado Cat.6A. Estamos fren- (o, eventualmente, en grupos de una misma tenemos dos opciones: realizar la medición
te a una nueva etapa, en la que los cableados línea de productos). Para saber si se trata de como canal (de la misma forma que para
Cat.6A se podrán construir de dos modos: un sistema Cat.6A, un elemento constitu- un sistema Cat.6A) o como enlace perma-
mediante la instalación de todo un sistema tivo de sistema un Cat.6A o un verdadero nente (Permanent Link). La segunda opción
Cat.6A, o instalando componentes Cat.6A componente Cat.6A es importante prestar presenta la ventaja de que al momento de
con interoperabilidad. Ambas posibilidades atención a los textos y datos que constan en realizar la distribución, no es indispensable
tienen el mismo valor y están respaldadas los certificados. definir un tipo concreto de patchcord, ni
por las normas internacionales. El rol de las certificaciones para los su fabricante (lo que en la mayoría de los
El rol de los certificados para los siste- sistemas y los componentes Cat.6A. Las casos no se puede asegurar). La categoría de
mas y los componentes Cat.6A. La categoría mediciones de certificación del cableado performance está garantizada para todos los
de performance 6A está garantizada tanto instalado mediante instrumental portátil patchcords Cat.6A sin necesidad de medi-
a nivel sistema como a nivel componente (testers) tienen como fin verificar la cali- ción o verificación complementaria.
Cat.6A sólo en el caso de responder a las dad del trabajo de instalación y la detección Todos los instrumentos de medición
presentan, además de la norma internacio-
nal, la norma nacional TIA/EIA válida en los
Dos vías para la realización De un cableaDo estructuraDo cat.6ª EE. UU. En principio, ésta emana de solucio-
nes no apantalladas y por eso las exigencias
para las características de transmisión de los
componentes y de los sistemas son meno-
res. Es por eso que es necesario seleccionar
siempre en los testers la norma ISO/IEC
11801. Las excepciones son: instalaciones
realizadas en los EE. UU., instalaciones reali-
zadas en países cuya norma nacional emane
de la TIA/EIA-568, instalaciones realizadas
en sedes, sucursales o filiales de firmas esta-
dounidenses localizadas en otros países.
Análisis y calificación crítica de
los mercados
Motivos de la ‘táctica del avestruz’. A
pesar de que hace casi tres años que está
Prensario TI | Mayo 2010 «114» « » Prensario TI | Mayo 2010

4. Infraestructura Física | Tutorial
Salto Cualitativo - Segunda parte
mento no disponen de soluciones Cat.6A los proyectistas de los sistemas de cableado
la táctica Del avestruz (los llamados ‘followers’ sin base de desa- estructurado; y posición interesada y necia
rrollo propia, que tratan de imitar y copiar de algunas firmas instaladoras con respec-
productos originales); interés comercial de to a sus clientes (‘Si hoy instalo Cat.6, en
los principales fabricantes de obtener por el algunos años va a necesitar que le instale
mayor tiempo posible ganancias con la co- Cat.6A’).
mercialización de portfolios Cat.6 y así darle El mayor desplazamiento hacia la
más valor a las instalaciones e inversiones Cat.6A se produce sobre todo gracias al
llevadas a cabo en el pasado; ausencia de in- trabajo conjunto de las firmas consultoras
formación calificada sobre los productos al inmobiliarias, que recomiendan invertir en
momento de la venta a través de canales de edificios teniendo muy en cuenta la calidad
distribución modernos (ventas por internet, y escalabilidad de la infraestructura IT de los
mayoristas, cadenas comerciales); grandes espacios a ocupar. También se aliaron mu-
licitaciones y compras centralizadas para el chas firmas instaladoras e integradoras de
sector estatal y corporaciones internaciona- IT. Éstas concluyeron en que perseverando
les redactadas de acuerdo a la inercia basada en la plataforma Cat.5E y Cat.6 serían pro-
en reglamentaciones internas anticuadas gresivamente desplazadas del negocio por
para la construcción de infraestructuras empresas instaladoras de energía eléctrica,
claro que instalar Cat.6 no tiene sentido, en de datos de la organización; desinterés o las cuales pueden realizar las instalaciones
muchos mercados éste cableado sigue sien- incomprensión de la necesidad de la fre- de tales categorías en forma simple y sin
do un bestseller. Los argumentos de utilizar cuente actualización de conocimientos de su ayuda.
la Cat.6 en lugar de la Cat.5E son engañosos,
toda vez que la velocidad de transmisión 1 Los componentes de un sistema
Gbit/s está garantizada para la Cat.5E por Cat.6A no son componentes Cat.6A
la norma y el ancho de banda de 100 MHz
fue adoptado ya teniendo en cuenta un 20% Los cambios en el conocimiento y la normalización internacional
de margen. durante los últimos años se pueden resumir en los siguientes puntos:
A un cliente menos exigente tiene
sentido ofrecerle una solución Cat.5E, y a 1. Desde el punto de vista normativo, desde el punto de vista de la performance
un usuario que necesite un cableado con para establecer los requerimientos de una están al mismo nivel que la Cat.5E (transfe-
alta performance y que soporte futuras vía de transmisión (cableado) es decisivo rencia garantizada sólo hasta 1 Gbit/s).
aplicaciones de alta velocidad, una Cat.6A. tener en cuenta el protocolo de transferen- 6. Desde el 2006 es posible realizar ca-
Analizando la situación en varios mercados cia bleados con performance Cat.6A con solu-
hemos observado que el retraso en la in- 2. Ethernet domina y marca el rumbo ciones sistémicas Cat.6A.
corporación al mercado de la categoría 6A del desarrollo de las comunicaciones LAN. 7. Algunos componentes Cat.6 y Cat.7
guarda directo correlato con la porción de 3. El ancho de banda dejó de ser el de calidad pueden ser utilizados como com-
éste correspondiente a los sistemas no apan- criterio para la categorización de la perfor- ponentes constitutivos de sistemas Cat.6A.
tallados. Podemos interpretar esto como un mance del cableado y fue reemplazado por 8. Desde 2009 existen los componentes
freno intencional al desarrollo de parte de la velocidad máxima de transferencia que Cat.6A y su característica básica es la inte-
algunos abanderados de los cableados no es capaz de soportar. roperabilidad.
apantallados. 4. En la realidad, son relevantes la 9. Tanto las soluciones sistémicas
Entre otros factores que frenan la in- Cat.5E (para la transmisión de 1 Gbit/s) cat.6A y las soluciones constituidas con
y la cat.6A (para velocidades de hasta 10 componentes Cat.6A son equivalentes y
corporación de cableados Cat.6A podemos
Gbit/s). están respaldadas por las normas interna-
citar: mayor peso y agresividad mercado-
5. Las categorías 6 y 7 son ‘zombis’ y, cionales.
técnica de los fabricantes que hasta el mo-
Prensario TI | Mayo 2010 «116» « » Prensario TI | Mayo 2010