Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien 2.2.5) sicherlich auf hohem Niveau, jedoch in Hinblick auf Webapplikationssicherheit mangelhaft und hauptsächlich auf Accountsicherheit aufgebaut. Die vorgeschlagene Sicherheitseinstellung für HTTP beschränkt sich für den JAVA Stack beispielsweise laut SAP NetWeaver Security Guide auf den Einsatz von SSL. Daher sind auch die hier aufgeführten Empfehlungen das Resultat aus der kritischen Betrachtung der Empfehlungen von Seiten SAPs und den durch den Verfasser im Rahmen der Durchführung dieser Diplomarbeit gewonnenen Erkenntnisse. SAP bietet eine gut konfigurierbare Passwort Policy, die u.a. Komplexitätsanforderungen, Gültigkeitsdauer und Accountdeaktivierung definiert (siehe Anhang B: Konfigurationsempfehlungen und Programmierrichtlinien). Diese Einstellungsmöglichkeiten sollten gemäß der Unternehmenspolicy gesetzt werden, z.B. Mindestlänge 8 Zeichen mit Gross- und Kleinbuchstaben und mindestens einem Sonderzeichen, das alle 8 Wochen geändert werden muss. Ausser acht gelassen sind bisher die Standardaccounts, die sich auch bei prakischen Überprüfungen des Verfassers als großes Sicherheitsrisiko dargestellt haben. Der Account DDIC darf allerdings unter Umständen nicht gelöscht werden, genau so EARLYWATCH, so dass im Vorfeld eine Überprüfung, ob das Löschen hier möglich ist, vorgenommen werden muss. Als letzten, immer vorhandenen Account mit bekanntem Passwort sollte SAP* deaktiviert werden. Löschen ist wie in Kapitel 3.3.3 beschrieben nicht möglich, jedoch die Deaktivierung. Das zweite übliche Element bei der Absicherung durch Konfigurationseinstellungen ist das klare Setzen von Rollen, Gruppen und Userrechten, inklusive deren Zuordnung zu Gruppen/Rollen. Für RFC, das SAP eigene Kommunikationsprotokoll muss auth/rfc_authority_check aktiv sein, da sonst Berechtigungen nicht geprüft werden. Sogenannte Bausteine können RFC-fähig gemacht werden, womit sie entfernt aufgerufen werden können. Dies sollte nur für Bausteine geschehen, für die das notwendig ist, da fehlerhafte, über RFC aufrufbare Bausteine ein nicht zu unterschätzendes Risiko darstellen (siehe Anhang C: Sicherheit on RFC). Dasselbe gilt für das Aufrufen von RFC über SOAP, das ebenfalls restriktiv konfiguriert werden sollte. Damian Schlager Seite 76
Sicherheit von SAP in Bezug auf neue Technologien Allerdings wird im Security Guide selbst eine Einschränkung der Authorisationsprüfungen zu Gunsten der Performance empfohlen, was vom Standpunkt der Sicherheit in so allgemeiner Form nicht nachvollziehbar ist. Was in offiziellen Information von SAP selbst, also auch dem Security guide fehlt, ist das restriktive Aktivieren von über HTTP erreichbare Dienste. Dies wird vom Verfasser dieser Diploarbeit als eine zentrale Konfigurationseinstellung betrachtet, da hier das große Risiko besteht, dass Funktionen, die nicht notwendig sind, aber Informationen preisgeben oder neue Sicherheitsprobleme darstellen, aufrufbar sind. Da häufig gar nicht bekannt ist, welche Dienste tatsächlich aktiv sind, ist auch die korrekte Rechtevergabe fraglich. Das grosszügige Aktivieren von Diensten wird hier über die SAP GUI leider sehr einfach gemacht, da ganze Bäume mit nur einem Klick aktiviert werden können, wie der 2. ‚Yes’ Schalter in Abbildung 35: Einfache Diensteaktivierung im SAP GUI zeigt. Abbildung 35: Einfache Diensteaktivierung im SAP GUI Die Empfehlung beim Portal-Umfeld des SAP JAVA Stacks fällt weniger umfangreich aus, da sich die Konfigurationsmöglichkeiten hauptsächlich auf die Rechtevergabe beschränken 9 . Im Vorfeld sollte jedoch darauf geachtet werden, nur benötigte Komponenten zu installieren, um den zukünftigen Konfigurationsaufwand zu minimieren. Auch beim JAVA Stack sollte, wie beim ABAP-Stack beschrieben, die Rechtevergabe von Benutzern und Rollen etc. wohldurchdacht erfolgen. Das zentrale Element sind allerdings die sogenannten Security Zones, die Damian Schlager Seite 77
Seite 1:
Diplomarbeit in Computer Networking
Seite 4 und 5:
Sicherheit von SAP in Bezug auf neu
Seite 6 und 7:
Seite 8 und 9:
Seite 10 und 11:
Seite 12 und 13:
Seite 14 und 15:
Seite 16 und 17:
Seite 18 und 19:
Seite 20 und 21:
Seite 22 und 23:
Seite 24 und 25:
Seite 26 und 27:
Seite 28 und 29:
Seite 30 und 31:
Seite 32 und 33: Sicherheit von SAP in Bezug auf neu
Seite 108: Sicherheit von SAP in Bezug auf neu
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?