Auditoria y seguridad en SAP

No suelo repostear / retwittear post etc que veo en otros blogs a menos que me parescan interesantes y sean cosas que me ayudar a resolver mi trabajo / hobbie / lo que sea en mi vida ya sea software/fotografia/recetas de cocina/recomendacion para lavar la ropa, vi estos links en un twitteo de mis contactos y esta muy interesante

Metodología o Checklist para auditar un sistema SAP

Hablando con varios amigos, sobre el problema que uno de ellos tenia para auditar un sistema y al buscar para ayudarle con ese problema, nos dimos cuenta de la poca documentación existente para realizar un Pentesting de manera metódica en un sistema SAP, no encontramos fácilmente una guía o a seguir para auditar efectivamente estos sistemas.

Seguridad SAP Metodología o Checklist para auditar un sistema SAP

Aunque conocíamos buenas herramientas como Sapyto, un framework para auditoria de sistemas SAP del que ya habíamos hablado en la comunidad, y una excelente charla que dio Mariano Nuñez Di Croce, su creador, donde habla de pentesting a sistemas SAP, seguíamos sin encontrar una metodología a seguir, por eso decidimos preguntar en Twitter si alguien conocía alguna metodología para realizar un pentest en sistemas SAP y la respuesta fue tan buena que dio lugar a la creación de este post, donde pretendemos reunir en un solo lugar, los mejores recursos que puedas llegar a necesitar cuando realices una auditoria a sistemas SAP.

El primer recurso que les comparto es la charla de Mariano Niñez sobre Pentesting en Sistemas SAP:

En los aportes que nos realizaron se encuentra la Guía de Seguridad para sistemas SAP NetWeaver, pero también unas directrices para auditar SAP creado en el 2009 por Nishant Sourabh un empleado de IBM, que eran justo lo que necesitábamos:

Descarga las directrices para auditar SAP ECC de este enlace

Pero también documentación creada por la misma SAP con lineamientos para auditar SAP que nos ayudaran mucho en la tarea de auditar sistemas SAP.

Descarga los lineamientos para auditar SAP R/3 creados por SAP

En español encontramos un portal dedicado enteramente a la seguridad SAP llamado SeguridadSAP.com, el cual recomendamos totalmente desde La Comunidad DragonJAR, también agradecemos Space Cowboy (@EspeisCouboi) y Alberto Hil (@bertico413), por su colaboración.

Si tienes mas aportes en esta materia dejalos en los comentarios, para que juntos construyamos un buen listado de recursos para auditar sistemas SAP.

y tambien :

SAPYTO – Framework para realizar Penetration Tests sobre sistemas SAP

Sapyto  R/3 Pentest Tool es un  para realizar Penetration Tests sobre sistemas SAP. Permite que profesionales de seguridad lleven a cabo analisis de seguridad de diferentes componentes de implementaciones de SAP R/3.

Sapyto fue Presentado en Blackhat Europe 2007, fue liberado con varios modulos para analizar la seguridad de la implementacion de la interfaz RFC de los sistemas SAP. La arquitectura modular permite que los usuarios desarrollen sus propios modulos, extendiendo la funcionalidad y permitiendo que el Framework detected nuevas vulnerabilidades. Esta herramienta ha sido escrito en Python.

Descargar SAPYTO
Fuente del recurso: CRYPTEX

Tambien enlaces como

Proyecto Inguma

Proyecto Mantra

Aca el link de SAP http://help.sap.com/saphelp_nw04/helpdata/en/ed/18cc38e6df4741a264bddcd4f98ae2/frameset.htm

y los archivos de documentación oficial de SAP y seguridad los subi aca en cayu en la url

https://cayu.com.ar/files/sap/

SAPYTO http://www.cybsec.com/EN/research/sapyto.php

ah y recomendado bajarse los pdf de los slides de Mariano Nuñez en las diferentes ekopartys

POST Original : http://www.dragonjar.org/metodologia-o-checklist-para-auditar-un-sistema-sap.xhtml

ah y no nos olvidemos de usar los plugins de SAP CCMS para Nagios yo hasta ahora los vengo usando desde hace 4 años y tuve buenos resultados, y bueno tener bien armado el contexto de monitoreo y log centralizado