Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien die Rechte, die Benutzer auf Applikationen haben, definieren. Applikationen müssen schon beim Deploy diesen Security Zones zugeordnet werden, daher ist die Planung von erforderlichen Security Zones eine der wichtigsten Arbeiten bei der Konfiguration eines SAP Systems mit JAVA Stack. Die Rechte der Benutzer, Rollen etc. werden dann ebenfalls diesen Security Zones zugeordnet, wodurch ein Sicherheitskonzept entsteht, in dem Applikationen im Idealfall nur für die Benutzer aufrufbar sind, die damit arbeiten müssen. Schon ausgehend von der Basisinstallation können noch einige Dienste optimiert werden, für das es auch ein eigenes Dokument von SAP gibt 33 . Hierbei muss allerdings auch erwähnt werden, dass eine solche optimierte Konfiguration Einschränkungen der Funktionalität zur Folge haben können. Daher gibt es gleich mehrere weitere Empfehlungen von SAP, wie Probleme bei Anwendung des Dokumentes behoben werden können. Ergänzend gibt es noch rudimentäre möglichkeiten, den Webzugriff zu konfigurieren; die wesentlichen Einstellungen sind hier das Deaktivieren von Directory Listings und das mögliche Entfernen von Links zu nicht öffentlichen Applikationen. Zusammenfassend lässt sich sagen, dass die Konfigurationsmöglichkeiten bei SAP, die die Sicherheit in Hinblick auf die Webapplikationen erhöhen, kaum vorhanden sind. Im ABAP Umfeld beschränken sich die meißten Informationen auf Empfehlung für die Arbeit mit der SAP GUI. Das Webumfeld, in das SAP immer mehr integriert wird, wird kaum oder gar nicht behandelt. Der Größte Anteil der Konfigurationsmöglichkeiten wird von Benutzer und Rechtemanagement bestimmt, das auch tatsächlich einen gewichtigen Anteil an einem so komplexen und von vielen Benutzern verwendetem System darstellt 34 . Programmieransätze Bei den Empfehlungen zur sicheren Programmierung gibt es große Unterschiede zu Empfehlungen für klassische Webapplikationen. Viele der Funktionen, die bei klassischen Webapplikationen erst implementiert 33 How To... Secure Permissions for Initial Content in SAP Enterprise Portal 34 Angemerkt sei hier nochmals die Komplexität, die sich durch alle Bereiche bei der Untersuchung oder Administration von SAP Systemen bemerkbar macht. Eine von SAP veröffentlichte Liste mit den von SAP verwendeten Ports erstreckt sich schon alleine über 14-Seiten, die die von den Systemen verwendeten Ports beschreibt und die sich über den beinahe gesamten Portbereich verteilen und gegenseitig überlagern. Damian Schlager Seite 78
Sicherheit von SAP in Bezug auf neue Technologien werden müssen, werden schon von dem SAP System bereitgestellt oder teilweise bereitgestellt. Gleichzeitig werden die von SAP bereitgestellten Programme, die bei Unternehmen angepasst werden, nicht vollständig verstanden, was ein zusätzliches Risiko darstellt. Dennoch können einige der Empfehlungen, wie sie bei klassischen Webapplikationen gelten, auch bei SAP verwendet werden, teilweise haben sie veränderter Form Gültigkeit. In Anhang B: Konfigurationsempfehlungen und Programmierrichtlinien ist eine Liste der Empfehlungen aufgeführt, wie sich im Laufe dieser Diplomarbeit erarbeitet werden konnte. Einsatz spezieller Sicherheitsprodukte Die exemplarische Absicherung von Webapplikationen auf Basis von SAP erfolgte mit denselben Webapplikationsfirewalls, die auch zur Absicherung der klassischen Webapplikation verwendet wurden. Die Konfiguration beider Webapplikationsfirewalls für Webapplikationen, die auf dem SAP ABAP Stack aufsetzen, konnte durch den Lernmodus sehr einfach erfolgen und benötigte nur sehr wenig manuelle Nacharbeit. Ein Grund hierfür ist, dass keine Veränderung von Clientparametern in den gesicherten ABAP-Applikationen stattfinden. Webapplikationen des SAP Systems mit ABAP Stack übertragen unter Umständen einige zusätzliche Informationen, wie z.B. die benutzte Sprache, in innerhalb URL. Diese Parameter sollte fest als Base64 String in die Regeln für den URL-Zugriff eingetragen werden und muss daher selbstverständlich für alle verwendete Parameter, die unterschiedlich sein können, z.B. verschiedene Sprachen unterschiedlicher Mitarbeiter, extra erfasst werden. Die NetContinuum hat bereits viele häufig verwendete Parameter hinterlegt, darunter auch Session Identifiers. Fälschlicherweise wird der Base64 String mit diesen Clientparametern von der Netcontinuum als Session Identifier betrachtet. Die Übertragung des Session Identifiers ist bei Webapplikationen von SAP mit ABAP Stack zwar in derselben Form möglich, wurde in der vorliegenden Applikation aber nicht verwendet. Durch die Kenntnis von bei SAP immer verfügbaren Parametern, die besondere Sicherheitsrelevanz besitzen, kann eine Absicherung dieser Sicherheitsprobleme erfolgen. Hier ist der Parameter sap-client hervorzuheben, dessen Absicherung unbedingt mit allen Webapplikationsfirewalls möglich sein muss und mit den hier getesteten Webapplikationsfirewalls auch möglich war. Damian Schlager Seite 79
Seite 1:
Diplomarbeit in Computer Networking
Seite 4 und 5:
Sicherheit von SAP in Bezug auf neu
Seite 6 und 7:
Seite 8 und 9:
Seite 10 und 11:
Seite 12 und 13:
Seite 14 und 15:
Seite 16 und 17:
Seite 18 und 19:
Seite 20 und 21:
Seite 22 und 23:
Seite 24 und 25:
Seite 26 und 27:
Seite 28 und 29:
Seite 30 und 31:
Seite 32 und 33:
Seite 34 und 35: Sicherheit von SAP in Bezug auf neu
Seite 108: Sicherheit von SAP in Bezug auf neu
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?