[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Febbraio 2004 ml@sikurezza.org Soggetto: Re: Hardening SAP Mittente: Igor Falcomata' Data: 7 Feb 2004 09:12:23 -0000
On Thu, Feb 05, 2004 at 09:31:48AM +0100, Giuseppe Gippa Paterno' wrote: > Se si, mi date qualche guideline ? Il mio problema e' se SAP usa qualche > dipendenza sul sistema operativo, es: RPC, ecc ... sembra usare rshell > ... si, tra di loro le macchine usano rsh (anche sotto win). Una buona cosa potrebbe essere limitarle in una loro dmz, iirc (prendi con le molle e verifica) il client sap non usa porte dinamiche e rsh lo usano solo le macchine sap tra loro. Purtroppo vado a memoria perche' non ho ben presente i dettagli e poi e' passato un po' di tempo e non ho accesso ai dati, cmq piu' o meno: - tutte le procedure di hardening e assessment dell'os sottostante rimangono valide - il db (sap, oracle, etc.), account di sistema, hardening & co. - analisi del traffico - il saprouter se c'e' (os principalmente, routing, accesso remoto, etc.) - livello applicativo con client sap: gli account di sap, c'e' qualcosina di "privilegiato" - la parte web, se attiva occhio, as usual, durante l'hardening dell'os che continui a funzionare tutto e che non si impatti sulla certificazione. Purtroppo al tempo non potremmo fare piu' di tanto proprio per questo. Il mio consiglio e' di muoverti comunque di concerto con il/i consulenti sap. Magari prima fai una fase di assessment, poi vedi con loro cosa/come fixare e gli impatti sulle macchine. Cambia anche moltissimo se le macchine sono in test o in produzione, e allora of course devi andarci con i piedi di piombissimo (meglio nel caso lavorare sull'ambiente di devel o staging, sperando che siano allineati anche a livello di os e config :) comunque sugli archivi di pentest@sf trovi parecchie cosette simpatiche, il mio KB/PENTEST_SAP.txt suggerisce: i soliti noti siti di security www.isaca.org (cerca sap) http://www.sapsecure.com/ (vedi faq) http://www.intelligenterp.com/ (cerca sap) http://www.hoelzner.de/security/sap-os.php (e altri doc sullo stesso sito.. come te la cavi col tedesco? :) il doc in .de e' un pelo + dettagliato) http://www.auditnet.org/sapaudit.htm http://sap.ittoolbox.com/ http://www.sapbasisadministration.com/sapresources.htm http://www.intelligenterp.com/feature/archive/heckner.shtml bye, Koba -- Igor Falcomata' Security Consultant ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005