Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Verwendete Produkte Für die zur Absicherung zu verwendenten Produkte von Webapplikationen kamen vor Allem in Hinblick auf die Integrationsanforderungen und das hohe Schadenspotential von SAP nur kommerzielle Produkte in Frage. Frei verfügbare Programme wie mod_security 27 bieten keine vergleichbaren Schutzmöglichkeiten und ebenfalls nicht die geforderten Funktionen, da hier Hochverfügbarkeit, Zuverlässigkeit und Performance bei allen Aufgaben gegeben sein muss. Ebenso ist eine professionelle Unterstützung für Konfiguration der Webapplikationsfirewall und im Fehlerfall unverzichtbar. Auf dem Markt sind derzeit nur weniger Anbieter, dennoch wurden für eine qualifiziertere Aussage über die Absicherungsmöglichkeiten 2 Produkte verwendet: Citrix NetScaler 8.0: Nachfolger der ersten verfügbaren Webapplikationsfirewall 28 NetContinuum 6.0: 29 Webapplikationsfirewall mit den meisten Installationen in Deutschland 30 4.3 Absicherungsmöglichkeiten klassischer Webapplikationen Konfiguration der Komponenten Bei klassischen Webapplikationen gibt es eine große Vielfalt an Komponenten und für jede Komponente eigene Richtlinien, wie sie abzusichern sind. Hier sind einige Einstellungen aufgeführt, die typischerweise bei einem Audit der bei der cirobank verwendeten Komponenten auffällig sind oder den besondere Beachtung geschenkt werden sollte. Eine Liste der erarbeiteten Konfigurationsempfehlungen sind in Anhang B: Konfigurationsempfehlungen und Programmierrichtlinien zu finden. Programmierrichtlinien Als zweite Komponente werden einige Programmierrichtlinien dargestellt, die für die Vermeidung von Schwachstellen in Webapplikationen wichtig 27 http://www.modsecurity.org/ 28 http://www.citrix.com/ 29 Anmerkung: Das hier getestete NCOS 6.0 ist ein neues major Release und zum Zeitpunkt der Diplomarbeit die erste Installation dieser Version in Deutschland. 30 http://www.barracudanetworks.com/netcontinuum/ Damian Schlager Seite 70
Sicherheit von SAP in Bezug auf neue Technologien sind. Es werden sowohl allgemeine, sprachenübergreifende Empfehlungen gegeben, als auch spezifischere, auf Schwachstellen einzelner Programmiersprachen gerichtete Empfehlungen. Eine detaillierte Liste findet sich wiederum auch hier in Anhang B: Konfigurationsempfehlungen und Programmierrichtlinien. Absicherung mittels der Web Application Firewalls Ein Umprogrammieren von Applikationen ist, wie die praktische Erfahrung zeigt, nicht immer durchführbar und mit erheblichem Aufwand verbunden. Gerade bei SAP, so haben auch Gespräche des Verfassers mit Entwicklern gezeigt, ist ein Umprogrammieren bestehender Applikationen, insbesondere der von SAP bereitgestellten Teile, oft problematisch. Immer häufiger 4 wird auf den Einsatz einer Webapplikationsfirewall als eine der Sicherheitskomponenten gesetzt, die Fehler bei der Konfiguration der beteiligten Komponenten und der Programmierung auszugleichen versucht. Für die Bearbeitung der Diplomarbeit hat der Verfasser dieses Element als praktische, übergreifende Komponente exemplarisch für die Absicherung sowohl der klassischen Webapplikation als auch von Webapplikationen auf Basis von SAP verwendet um deren Eignung einer Prüfung zu unterziehen. Bei der klassischen Webapplikation wurden keine Probleme erwartet. Zwar wurde die Konfiguration einer Webapplikationsfirewall für die Webapplikation cirobank zum ersten Mal durchgeführt, jedoch sind die Webapplikationsfirewalls weit genug entwickelt, um bei den meisten RFCkonformen Webapplikationen mit vertretbarem Aufwand den geforderten Schutz erbringen zu können. Als ersten Schritt wurde die Webapplikation cirobank durch Citrix NetScaler 8 gesichert, wobei der bevorzugte Lernmodus verwendet wurde. Im Lernmodus werden alle Seiten, Parameter, etc. der Applikation mit deren Länge und Art der erlaubten Zeichen gelernt und bei Bedarf diese Regelungen wieder angepasst. Dies kann dazu führen, dass die Regeln sehr zahlreich werden und der vor Allem in Deutschland geforderten Nachvollziehbarkeit und Wartung im Wege stehen. Daher wurden zu zahlreiche, detaillierte Regeln durch generalisierte Regeln ersetzt, die dann zwar ein theoretisch weniger hohes Sicherheitsniveau bieten, aber durch die praktische Prüfung mittels der Angriffe, für die die Webapplikation verwundbar ist, vom Verfasser als ausreichend befunden wurde. Damian Schlager Seite 71
Seite 1:
Diplomarbeit in Computer Networking
Seite 4 und 5:
Sicherheit von SAP in Bezug auf neu
Seite 6 und 7:
Seite 8 und 9:
Seite 10 und 11:
Seite 12 und 13:
Seite 14 und 15:
Seite 16 und 17:
Seite 18 und 19:
Seite 20 und 21:
Seite 22 und 23:
Seite 24 und 25:
Seite 26 und 27: Sicherheit von SAP in Bezug auf neu
Seite 108: Sicherheit von SAP in Bezug auf neu
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?