Вот и подоспела новая функциональность в моем проекте Offline Security. Начиная с версии 1.0.12 появилась возможность проводить проверку параметров профиля (конфигурации) SAP систем. Это параметры конфигурации SAP, которые отвечают за такие аспекты как минимальная длина пароля, допустимая в системе, алгоритмы шифрования и хеширования, функции ACL для разных сервисов, и т.п. Таких параметров в системах SAP более тысячи, поэтому проверять значения в ручную - не совсем удобно. Имейте ввиду, что в идеальном варианте, надо проверить значение параметров конфигурации на каждом аппликейшин сервере - в теории они могут отличаться! Конечно это обстоятельство еще больше осложняет проверку на соответствие.

И еще вы наверняка знакомы с таким документом от SAP, который называется SAP Security Baseline. Это документ, который включает в себя всевозможные рекомендации от вендора по безопасной конфигурации SAP ABAP систем и не только. В список входит рекомендации к более сотни параметров системы. Помочь вам проверить системы соответствуют ли они рекомендациям по безопасности вендора - и призвана новая функциональность.

Недавно я стартовал новый проект под названием Offline Security. Это клиент-серверное приложение для анализа безопасности систем SAP. Всю необходимую для генерации отчетов информацию вы собираете самостоятельно, это очень просто! Далее формируете запрос на сервер и получаете результаты анализа в формате Excel файла.

Уже сейчас доступна возможность анализа систем на известные уязвимости (SAP Security Notes). Для этого вам достаточно выгрузить из целевой системы названия установленных компонент и их версии. Мы не собираем и не требуем предоставить нам любую идентифицирующую вас или вашу Компанию информацию, ваш запрос абсолютно анонимный. Поэтому информация об установленных компонентах не является чувствительной - она не содержит ни SAPSID, ни имен, ни IP адресов. Да, по версии установленных софтов можно понять какие уязвимости присутствуют на системе, но не обладая данным о том, что это за система, кому принадлежит, что за айпи адрес - это знание полностью бесполезно для злоумышленника.

Что нужно, чтобы попробовать - это установить Python 3.x и дистрибутив клиента offlinesec_client, доступный тут. Также по ссылке доступна вся подробная документация. Далее, как отмечал ранее, собираете нужную информацию - запускаете раз команду, чтобы отправить информацию на сервер и запросить отчет и два команду - получить ваш отчет. Скачать ваш отчет – можете только вы по сгенерированному токену, обмен информации с сервером шифруется с HTTPS.

Отчет, на мой взгляд очень удобный: