Administration von SAP-Umgebungen, Teil 1

SAP-Sicherheit ist Einstellungssache

| Autor / Redakteur: Gerhard Unger* / Stephan Augsten

Beispiele für Fehlkonfigurationen

Angesichts dieser Konfigurationsgemengelage ist es nicht verwunderlich, wenn hier Fehler entstehen, die dann oft lange unbemerkt bleiben oder nur von den Falschen bemerkt werden. Einige Beispiele illustrieren typische Gefahren.

Eine Lücke sind falsche Parameter in Notfall-Mechanismen von SAP. Mit dem Profil Parameter login/no_automatic_user_sapstar steht eine Notfalltür bereit, die natürlich auch zum gefährlichen Backdoor werden kann. Wird nämlich der Super-User SAP* gelöscht, existiert er nicht in den auditierbaren Datenbanken, hat aber dann sofort eine Verbindung mit allen Autorisierungen. Zudem kann das Standard-Passwort nicht geändert werden.

Das Ergebnis bei Missbrauch ist die Kompromittierung entweder eines oder mehrerer Clients, eines oder mehrere Applikationsserver oder gar des ganzen SAP-Systems. Abhilfe ist eigentlich einfach möglich, in dem man den Super-User niemals löscht, den User SAP* zusätzlich sichert und den Wert login/no_automatic_user_sapstar mit 1 festlegt.

Ein anderes Beispiel betrifft das Load Balancing. Die Lastenverteilung bei SAP-Systemen erfolgt hauptsächlich durch die Implementierung von neuen Applications-Servern auf dem Messaging Server. Der Zugang zum Messaging Server ist durch die Parameter ms/acl_info und durch die Inhalte der ms_acl_info-Datei eingeschränkt. Bei entsprechender Fehlkonfiguration kann man sich aber auch hier einen Zugriff auf das ganze SAP-System verschaffen.

Nur vermeintlich einfach, aber doch komplex und zugleich höchst sicherheitsrelevant sind Passwortrichtlinien. Richtlinien hängen hier von verschiedenen Faktoren ab, bspw. der Art der Verbindung – komprimierte RFC-Verbindungen oder das relativ offene DIAG (Dynamic Information and Action Gateway-Protokoll) – , dem User oder auch von Parametern zur Regelung des Umgangs mit nicht mehr gültigen Passwörtern (rfc/reject_expired_passwd).

Andere Einstellungen erzwingen – richtig konfiguriert! – die Anpassung von Passworten an verstärkte Richtlinien (login/password_compliance_to_current_policy). Der Anwender und das Übertragungsprotokoll sind dabei die entscheidenden Kriterien, was Brute-Force-Attacken eine gewisse Erfolgsaussicht gibt.

Schnell entstehen auch Sicherheitslücken durch Fehleinstellungen bei Schnittstellen zwischen SAP-Systemen: Parameter definieren hier, welche externen Programme registriert (gw/reg_info) oder auch gestartet werden können (gw/sec_info) oder auch eine Verbindung mit der Gateway aufnehmen dürfen (gw/acl_mode). Gw/sim_mode vereinfacht die Konfigurationsmöglichkeiten, lässt aber auch generell alle Anwendungen zu, wenn keine Einschränkungen eingeführt sind.

Konfigurationskontrolle

Angesichts der Komplexität und Dimension der Konfigurationsproblematik können Fehler fast gar nicht vermieden werden. Es gilt aber, sie so schnell wie möglich zu finden und zu beheben. Nötig ist daher vor allem ein Scannen möglicher Konfigurationsfehler sowie ein Echtzeitschutz gegen Probleme.

Die Inventarisierung von Sicherheitslücken kann dabei nur durch automatisierte Assessment-Lösungen erfolgen, die jede ABAP- und Java-Instanz auf unsichere Konfigurationen überprüft. Insbesondere sind gefährliche Autorisierungen von Usern, potentiell offene Schnittstellen sowie SAP HANA Deployments und SAP Mobile Deployments zu untersuchen.

Wichtig ist dabei eine periodische regelmäßige Überprüfung, um neu aufgekommene Fehleinstellungen schnell zu bemerken. Dabei müssen nicht nur Produktiv-Systeme sondern auch Testsysteme berücksichtigt werden, denn gerade hier befinden sich default konfigurierte und oft vergessene User-Accounts, die von ungewünschten Besuchern ausgenutzt werden.

Konfigurationen lassen sich dabei nach verschiedenen Richtlinien (SAP Sicherheitsrichtlinie, PCI, SOX, NERC, Custom oder anderen) überprüfen. Eine Assessment-Lösung gibt dann eine schrittweise und so schnell umsetzbare Anleitung zur Behebung der Lücken. Gegen unbekannte Bedrohungen, die auch durch Konfigurationen bedingte Risiken entstehen, bieten Lösungen nun auch einen Fast-Echtzeit-Schutz durch Blockieren von Angriffen, bis eine SAP Security Note dafür verfügbar ist.

Vorbeugend hilft natürlich auch die erhöhte Aufmerksamkeit bei der Konfiguration. So sollten – so weit möglich – Default-Einstellungen vermieden werden. Ein besonderes Augenmerk ist auch auf die Instanz-Profile zu richten, die solche Default-Profile überschreiben. Gerade dynamische Profile sollen in ihrer Konfiguration immer überprüft werden, da deren Veränderung sonst gerne unbeachtet bleibt.

SAP-Sicherheit ist zu einem Teil also auch „Einstellungssache“. Und daran lässt sich ja bekanntlich ohne weiteres arbeiten.

* Gerhard Unger ist Vice President EMEA bei Onapsis.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43152921 / SAP-Sicherheit)