Destacados del análisis de parámetros de perfil seguros para SAP NetWeaver:
- Qué es – Los parámetros de perfil de SAP NetWeaver determinan la configuración de seguridad del sistema. Una configuración inadecuada puede exponer el sistema a vulnerabilidades críticas.
- Objetivo – Proporcionar una línea base de hardening con valores recomendados para los parámetros de seguridad más relevantes en sistemas SAP NetWeaver ABAP y S/4HANA.
- Alcance – Más de 70 parámetros cubriendo autenticación, cifrado, control de acceso, logging, gateway, RFC, scripting y comunicación segura.
Introducción
La seguridad de un sistema SAP depende en gran medida de la correcta configuración de sus parámetros de perfil. SAP NetWeaver y S/4HANA incluyen decenas de parámetros que controlan aspectos críticos como la autenticación de usuarios, el cifrado de comunicaciones, el control de acceso a RFC, la seguridad del gateway y la auditoría de eventos.
Este artículo presenta una lista exhaustiva de los parámetros de seguridad más relevantes y sus valores recomendados, basada en las guías oficiales de SAP y las mejores prácticas de hardening. Las configuraciones recomendadas pueden necesitar adaptación según los requisitos corporativos y el entorno específico de cada organización.
Parámetros de autenticación y contraseñas
Estos parámetros controlan las políticas de contraseñas, bloqueo de usuarios y autenticación en el sistema SAP.
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
login/min_password_lng | 8 | Longitud mínima de la contraseña |
login/min_password_digits | 1 | Número mínimo de dígitos en la contraseña |
login/min_password_letters | 1 | Número mínimo de letras en la contraseña |
login/min_password_lowercase | 1 | Número mínimo de minúsculas en la contraseña |
login/min_password_uppercase | 1 | Número mínimo de mayúsculas en la contraseña |
login/min_password_specials | 0 | Número mínimo de caracteres especiales |
login/min_password_diff | 4 | Número mínimo de caracteres diferentes respecto a la contraseña anterior |
login/password_expiration_time | 90 | Días de validez de la contraseña |
login/password_history_size | 5 | Número de contraseñas históricas que se almacenan |
login/password_compliance_to_current_policy | 1 | Obliga a que todas las contraseñas cumplan la política actual |
login/password_downwards_compatibility | 0 | Desactiva la compatibilidad con versiones anteriores de contraseñas |
login/password_change_for_SSO | 3 | Exigir cambio de contraseña para usuarios SSO (3 = obligatorio) |
login/password_max_idle_initial | 5 | Días máximo para que un usuario nuevo cambie su contraseña inicial |
login/password_max_idle_productive | 30 | Días máximo sin cambiar contraseña para usuarios productivos |
login/fails_to_user_lock | 5 | Número de intentos fallidos antes de bloquear al usuario |
login/failed_user_auto_unlock | 1 | Desbloqueo automático de usuarios bloqueados tras el plazo definido |
login/no_automatic_user_sapstar | 1 | Evita que SAP* se reactive automáticamente |
login/disable_cpic | 1 | Deshabilita el acceso CPIC (protocolo de comunicación externa) |
login/show_detailed_errors | 0 | No mostrar mensajes de error detallados en la pantalla de login |
Parámetros de seguridad del gateway (GW)
El gateway SAP RFC es un componente crítico que debe protegerse adecuadamente para evitar accesos no autorizados.
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
gw/acl_mode | 1 | Activa el control de acceso mediante ACL |
gw/reg_info | <ruta al ACL reg_info> | Archivo ACL de registro del gateway (no debe estar vacío) |
gw/sec_info | <ruta al ACL sec_info> | Archivo ACL de seguridad del gateway (no debe estar vacío) |
gw/reg_no_conn_info | 129 | Suprime información de conexión en los registros del gateway |
gw/rem_start | DISABLED | Deshabilita el arranque remoto de programas externos |
gw/sim_mode | 0 | Desactiva el modo de simulación del gateway |
gw/monitor | 1 | Activa la monitorización del gateway |
Parámetros del Message Server (MS)
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
ms/acl_info | <ruta al ACL> | Archivo ACL del message server (no debe estar vacío) |
ms/admin_port | 0 | Deshabilita el puerto de administración del message server |
ms/monitor | 0 | Desactiva la monitorización del message server |
Parámetros de comunicación segura (SSL/SNC)
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
system/secure_communication | ON | Activa la comunicación segura en todo el sistema |
ssl/ciphersuites | 135:PFS:HIGH::EC_P256:EC_HIGH | Conjunto de cifrados SSL para el servidor |
ssl/client_ciphersuites | 150:PFS:HIGH::EC_P256:EC_HIGH | Conjunto de cifrados SSL para el cliente |
snc/enable | 1 | Activa SNC (Secure Network Communications) |
snc/accept_insecure_gui | 0 | No aceptar conexiones GUI no seguras |
snc/accept_insecure_rfc | 0 | No aceptar conexiones RFC no seguras |
snc/data_protection/max | 3 | Nivel máximo de protección de datos SNC |
snc/data_protection/min | 3 | Nivel mínimo de protección de datos SNC |
snc/data_protection/use | 3 | Nivel de protección de datos SNC por defecto (3 = integridad + cifrado) |
snc/only_encrypted_gui | 1 | Solo permitir conexiones GUI cifradas |
snc/only_encrypted_rfc | 1 | Solo permitir conexiones RFC cifradas |
snc/log_unencrypted_rfc | 2 | Registrar todas las conexiones RFC no cifradas |
Parámetros de seguridad RFC
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
rfc/callback_security_method | 3 | Método de seguridad para callbacks RFC (3 = solo logging con certificado) |
rfc/reject_expired_passwd | 1 | Rechazar conexiones RFC con contraseña caducada |
rfc/selftrust | 0 | Deshabilitar la confianza automática en sistemas RFC |
Parámetros de seguridad web (ICM/ICF)
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
icm/accept_forwarded_cert_via_http | 0 | No aceptar certificados reenviados vía HTTP |
icm/trace_secured_data | FALSE (0) | No incluir datos seguros en las trazas ICM |
icf/set_HTTPonly_flag_on_cookies | 1 | Activar flag HTTPOnly en las cookies |
icf/reject_expired_passwd | 1 | Rechazar peticiones ICF con contraseña caducada |
Parámetros de logging y auditoría
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
rsau/enable | 1 | Activar el Security Audit Log (RSAL) |
rsau/integrity | 1 | Proteger la integridad del log de auditoría |
rsau/selection_slots | 10 | Número de slots de selección de auditoría |
rsau/user_selection | 1 | Activar selección de usuarios para auditoría |
rsau/log_peer_address | 1 | Registrar dirección del sistema peer en el log de auditoría |
rec/client | all | Registrar actividad por mandante (all = todos) |
rdisp/TRACE_HIDE_SEC_DATA | 1 | Ocultar datos sensibles en las trazas del dispatcher |
Parámetros de IU y sesión
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
rdisp/gui_auto_logout | 1800 | Tiempo máximo de inactividad (segundos) antes de cerrar sesión |
sapgui/user_scripting | FALSE | Deshabilitar scripting de SAP GUI si no es necesario |
sapgui/user_scripting_per_user | TRUE | Control de scripting por usuario |
sapgui/user_scripting_set_readonly | TRUE | Scripting en modo solo lectura |
sapgui/user_scripting_disable_recording | TRUE | Deshabilitar grabación de scripts |
sapgui/user_scripting_force_notification | TRUE | Forzar notificación al usuario cuando se ejecuta un script |
sapgui/nwbc_scripting | FALSE | Deshabilitar scripting en SAP NetWeaver Business Client |
Parámetros de autorización y autenticación
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
auth/check/calltransaction | 3 | Activar verificación de autorización en CALL TRANSACTION |
auth/no_check_in_some_cases | Y | Permitir omitir chequeo en algunos casos (valor seguro) |
auth/object_disabling_active | N | Desactivar deshabilitación dinámica de objetos de autorización |
auth/rfc_authority_check | 1 | Activar verificación de autorización para llamadas RFC |
abap/path_normalization | ext | Normalización de rutas para evitar path traversal |
Parámetros de tickets y SSO
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
login/accept_sso2_ticket | 1 | Aceptar tickets SSO2 |
login/create_sso2_ticket | 3 | Crear tickets SSO2 solo con cifrado |
login/ticket_only_by_https | 1 | Emitir tickets solo mediante HTTPS |
login/ticket_only_to_host | 1 | Tickets válidos solo para el host que los emite |
Parámetros de cabeceras HTTP y errores
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
is/HTTP/show_detailed_errors | FALSE | No mostrar errores detallados en páginas HTTP |
is/HTTP/show_server_header | FALSE | Ocultar versión del servidor en cabeceras HTTP |
Conclusión
La correcta configuración de los parámetros de perfil de SAP es un pilar fundamental en la estrategia de seguridad de cualquier entorno SAP NetWeaver o S/4HANA. Los valores recomendados en este artículo constituyen una línea base de hardening que cubre los aspectos más críticos: autenticación, cifrado, control de acceso, auditoría y comunicación segura.
Se recomienda revisar periódicamente estos parámetros y ajustarlos según las necesidades específicas de cada organización, así como mantenerse actualizado con las notas de seguridad SAP y las guías oficiales de hardening.
Nota importante: Algunos parámetros, especialmente los de SNC y SSL, requieren una infraestructura PKI adecuada y una planificación cuidadosa antes de su activación en entornos productivos. Se recomienda realizar pruebas exhaustivas en un entorno de calidad antes de implementar los cambios en producción.
¿Te ayudamos?
Contamos con una base de consultores certificados por SAP que brindan un excelente servicio de Administración SAP así como el análisis de vulnerabilidades SAP y remediación de las mismas.
Puedes contactarnos a través del formulario de contacto o a través de nuestra dirección de correo electrónico contacto@aurit.es
En AURIT estaremos encantados de poder ayudarte.