Prime Institute

Avalados por :

Cómo solucionar problemas de configuración de seguridad en el Gateway SAP

Crear
  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 7 Vistas
0
Cargando...

Hello,

Nuestro EWA se quejó de la Configuración de Seguridad del Gateway.

La Lista de Control de Acceso del Gateway (reg_info/sec_info) contiene entradas triviales

El parámetro gw/acl_mode se puede establecer en 1. SAP recomienda configurar gw/acl_mode en 1


Por lo tanto, configuramos el parámetro gw/acl_mode en 1, lo que tuvo el efecto de que los archivos predeterminados reginfo y secinfo fueran más restrictivos.


Si gw/acl_mode=0 el valor predeterminado es:

reginfo:

P TP=*

secinfo:

P TP=* USER=* USER-HOST=* HOST=*


Si gw_acl_mode=1 el valor predeterminado es:

reginfo:

P TP=* HOST=local

P TP=* HOST=internal

secinfo:

P TP=* USER=* USER-HOST=local HOST=local

P TP=* USER=* USER-HOST=internal HOST=internal


Con esta configuración, todo es rechazado, por lo que creamos nuestros propios archivos, que son menos restrictivos:

reginfo:

P TP=* HOST=local ACCESS=local,x.xx.*.*,%%RFCSERVER%%

P TP=* HOST=internal ACCESS=local,x.xx.*.*,%%RFCSERVER%%

secinfo:

P TP=* USER=* HOST=local,x.xx.*.*,%%RFCSERVER%% USER-HOST=local,x.xx.*.*,%%RFCSERVER%%

P TP=* USER=* HOST=internal,x.xx.*.*,%%RFCSERVER%% USER-HOST=internal,x.xx.*.*,%%RFCSERVER%%

Todos los hosts de nuestra red deberían tener acceso.

Pero aún así recibimos mensajes de rechazo en el registro del gateway:

V Lun Ago 25 2014 20:01:17:721 se creó convid=52867721 (conn=11, act=23)

C Lun Ago 25 2014 20:01:17:721 cliente INIT (convid=52867721, lu=nombrehost.dominio, tp=sapgw00, tipo=R3_CLIENTE)

O Lun Ago 25 2014 20:01:17:721 abrir conexión de cliente (lu=%%RFCSERVER%%, tp=IGS.SID, tipo=R3_CLIENTE)

R Lun Ago 25 2014 20:01:17:721 rechazar cliente: TP=IGS.SID no registrado

O:

V Vie Ago 22 2014 16:34:50:803 se creó convid=73395803 (conn=2, act=3)

C Vie Ago 22 2014 16:34:50:803 cliente INIT (convid=73395803, lu=nombrehost.dominio, tp=sapgw00, tipo=R3_CLIENTE)

O Vie Ago 22 2014 16:34:50:803 abrir conexión de cliente (lu=%%RFCSERVER%%, tp=WEBADMIN, tipo=R3_CLIENTE)

R Vie Ago 22 2014 16:34:50:803 rechazar cliente: TP=WEBADMIN no registrado

O Vie Ago 22 2014 16:34:50:803 abrir conexión de cliente (lu=nombrehost.dominio, addr=x.xx.xxx.xxxx, tp=sapgw00, tipo=R3_CLIENTE)

C Vie Ago 22 2014 16:34:50:803 ESTADÍSTICAS (convid=73395803), bytes enviados 0

C Vie Ago 22 2014 16:34:50:803 ESTADÍSTICAS (convid=73395803), cliente envió 0 bytes en 0 paquetes

C Vie Ago 22 2014 16:34:50:803 ESTADÍSTICAS (convid=73395803), servidor envió 0 bytes en 0 paquetes

V Vie Ago 22 2014 16:34:50:803 se eliminó convid

SAP BASIS
Pedro Pascal
Se unió el 07/03/2018
Responder
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Mi recomendación sería usar el gw/sim_mode después de configurar correctamente el gw/reg_no_conn_info. Obtendrás la sintaxis exacta de las etiquetas del rastreo de seguridad de la puerta de enlace, y no otro ruido de identificadores de conversación y otras solicitudes.

Créeme, los puntos y comas son una mejor opción. Los tabuladores y espacios son poco confiables en mi experiencia y, en última instancia, producen problemas cuando el programa externo o el nombre de usuario contienen un espacio, lo cual pueden hacer.

En cuanto al gw/acl_mode, quizás tenga sentido llamar la atención de en el EWA y tal vez eliminarlo o hacerlo dependiente del gw/reg_no_conn_info al menos.

Saludos,

Julius

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Hola Julius,

Gracias por tu respuesta y tus sugerencias.

Mantuve reginfo y secinfo después de los mensajes de rechazo con entradas de %%RFCSERVER%%. Ahora las eliminé porque todavía hay mensajes de rechazo.

Entre las etiquetas no hay tabulador, solo espacio. Esto es como se supone que es el estándar de SAP.

Pero, ¿cómo debo mantener los archivos para que las solicitudes de %%RFCSERVER%% se procesen? En este momento son rechazadas porque vienen sin "addr=...". ¡Todos los TP están abiertos!

Gracias por la pista con el parámetro gw/sim_mode; no podía recordar que este parámetro se mencionara en algún lugar...

Saludos,

Julia

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Hola Julia,

En mi opinión, esta queja en el EWA no es correcta.

Consulta la Nota SAP 1480644. Lo mismo se logra configurando el gw/no_reg_conn_info con un valor superior a 1 y deberías hacerlo de todos modos. Te obliga a tener tus propios archivos correctos en su lugar, ya que los valores predeterminados locales e internos son insuficientes.

Lo ideal es primero crear archivos de acceso completo. Luego cambiar el gw/no_reg_conn_info a un nivel aceptable para ti, pero al menos a 1, luego usar el gw/sim_mode para simular fallos por un tiempo y mantener los archivos. Luego consolidar todos los archivos de la misma zona de red en un conjunto de archivos y agregarlos, relajar las restricciones para los programas TP que son aceptables y no representan una amenaza de seguridad. Estaciona esos archivos en un servidor central del cual SAP solo pueda leer y cambia localmente los parámetros gw/sec_info para leer el archivo central y no el local.

La sintaxis con %%RFCSERVER%% tampoco es correcta. Si una entrada contiene etiquetas sintácticamente incorrectas, ya no se evalúa, por lo que no funciona. También veo que estás usando tabuladores entre las etiquetas, esto es un poco poco fiable, es mejor usar punto y coma.

Saludos,

Julius

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Hola Julia,

En mi opinión, esta queja en el EWA no es correcta.

Consulta la Nota SAP 1480644. Lo mismo se logra configurando el gw/no_reg_conn_info con un valor mayor que 1 y deberías hacerlo de todos modos. Te obliga a tener tus propios archivos correctos en su lugar, ya que las configuraciones locales e internas por defecto son insuficientes.

Lo ideal es crear primero archivos de acceso completo. Luego cambia el gw/no_reg_conn_info a un nivel aceptable para ti, pero al menos a 1, luego utiliza el gw/sim_mode para simular fallas por un tiempo y mantener los archivos. Luego consolida todos los archivos de la misma zona de red en un conjunto de archivos y agrégalo y relaja las restricciones para los programas de TP que son aceptables y no representan una amenaza de seguridad. Estaciona esos archivos en un servidor central del cual SAP solo pueda leer y cambia localmente los parámetros gw/sec_info para leer el archivo central y no el local.

La sintaxis con %%RFCSERVER%% tampoco es correcta. Si una entrada contiene etiquetas sintácticamente incorrectas, entonces ya no se evalúa, por lo que no funciona. También veo que estás usando tabuladores entre las etiquetas, esto es un poco poco confiable, es mejor usar punto y coma.

Saludos,

Julio

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar

Partners:

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?