1-3

VerteilteSAP-Systeme

und IT-Sicherheit

FH HRZFH DarmstadtClaus RodeSAP R/3 Basis

1-4

Übersicht

FH HRZ - Was ist das ?Aufgaben des FH HRZOrganisation der Institution FH HRZ

Sicherheit im SAP-UmfeldAusgangssituation im FH VerbundSecure Network CommunicationSAP-Landschaft FH HRZVerteilte SAP-Systeme der hess. HochschulenSicherheitsmanagement

Ausblick – neue Projekte

1-5

FH HRZ - Was ist das ?

FH HRZ

FFachachHHochschulenochschulen HHessens essens RRechenechenZZentrumentrum.

März 99 Entscheidung des Kabinetts zur Durchführung Projekt HR/3

April 1999 Gründung als gemeinsames Rechenzentrum der Fachhochschulen in Hessen(Beitritt der Kunsthochschulen im Aug. 2000)

Jan 2000 Produktivstart der Piloten Darmstadt, Giessen und Forschungsanstalt Geisenheim

Jan 2001 Produktivstart der Folgehochschulen

1-6

Aufgaben des FH HRZ

Projekt H R/3Einführung der Kosten- und Leistungsrechnung in der hessischen LandesverwaltungAblösung der kameralistischen Buchführung Kostenbudgets für die Hoch und FachhochschulenDezentralisierung und Eigenverantwortung

Aufgaben des FH HRZSAP R/3 BASIS

Konzepterstellung, Berechtigungswesen, dezentrale BenutzerverwaltungSupport, Unterstützung der lokalen RechenzentrenR/3 Operating

Neue Aufgaben IT-Sicherheit, IT-Projekte, IT-AusbildungR/3 Modulbetreuung

Kompetente Fachberatung in den ModulenFM, FI, FI-AA, MM, CO, HRCustomizing, Support

1-7

OrganisationFH HRZ – Leitung

Prof. Dr. WentzelReiner Göttmann

IT-Lösungen

SAP-AnwendungKarsten Kohl

Richard SimonHR N.NMM N.NSAP R/3 Basis

Roland EmmerichClaus Rode

IT-AusbildungRoland EmmerichMatthias Kohmann

Claus Rode

IT-Projekte

N.N.

IT-SicherheitJoachim Brandt

Matthias Kohmann

TeamassistentinSylvia Knapp

1-9

SAP-Landschaft FH HRZ Ausgangspunkt

SAP-Clients in mehreren Standorten, verschiedenen SubnetzenSAP-Clients in verschiedenen GebäudenSAP-Clients können nicht an allen Standorten in Subnetze zusammengefasst werden, die durch Firewall geschützt werden

Erhöhter Aufwand für die Grundsicherung der ClientsZiel: Ende-zu-Ende-Sicherheit – Starke Authentisierung und VerschlüsselungFlexible, erweiterbare LösungVon SAP zertifizierte Lösung

1-11

SAP und SicherheitSNC und die GSS-API v2

SAP Application Server

SNC (Secure Network Communication)

GSS-API v2(Generic Security Services)

GSS-API v2(Generic Security Services)

1-12

SNC und seine Einsatzmöglichkeiten

SAP GUI

SAPApplikationsserver

SAP Router

InternetRFC

SAP LPD

1-13

Komponenten von Secude für R/3

PKI – Public Key InfrastrukturCA (Certifcation Authority)Verwaltung der Zertifikate

Secude für R/3 – ServerkomponenteZertifikat des ServersVerschlüsselungAuthentifikation

Secude für R/3 – ClientkomponenteVerschlüsselungAuthentifikation

Secude für R/3 HardwarekomponentenSmartcardreader (B1, PC/SC)Smartcards (TCOS 2.0)

1-14

Secude Sicherheitstechnologie

Verwendete Verschlüsselungsfunktionensymmetrischer Verfahren (DES DES3, DES-EDE3-CBC) und kryptographische Funktionen (RSA, DAS)

Smartcards TCOS 2.0 (1024 Bit)Die Smartcard enthällt Rechner incl. Speicher. Der private Schlüssel für asymmetrische Kryptographie ist auf der Karte gespeichert. Wird dieser Schlüssel benötigt, werden die Daten zur Karte übertragen. Die Rechenoperationen finden auf der Karte statt.

Datei-PSE

1-15

Mögliche Angriffe

Angriff SchutzMan-in-the-middle attack AuthentizitätUnauthorisierte Änderung Integrität der DatenNicht authentifizierte Absender HerkunftsnachweisAbhören des Netzes Vertraulichkeit

Sicherheitsmechanismus3-Wege AuthentifikationDigitale SignaturDigitale SignaturVerschlüsselung

1-16

HybridverfahrenKlartext

symetrischeVerschlüsselung

symetrischeVerschlüsselung

symetrisches Chiffratdes Klartexts

asymetrischverschlüsselter Sitzungsschlüssel

Absender

Empfänger

Klartext

asymetrischeVerschlüsselung

asymetrischeVerschlüsselung

Sitzungsschlüssel(symetrisch)

Sitzungsschlüssel(symetrisch)

Öffentliche SchlüsselEmpfänger

Privater SchlüsselEmpfänger

1-18

SAP-Landschaft FH HRZ

FH-Frankfurt

FH-Wiesbaden

FA-Geisenheim

FH-Fulda

FH-Gießen/Friedberg

FH-Darmstadt

SAP R/3 Applikations-server

SAP-Router

FH HRZ

HFMDK

HFGO

SAP-Router

1-19

SAP-Landschaft FH HRZ

Applikationsebene

Gateway-Gateway

(Herstellerabhängig)

Saprouter-Saprouter

1-27

Verteilte SAP-Systeme der hess. Hochschulen Projekt H R/3 im Hochschulverbund

t

Standort

100 100

DEV QA

100 100 100 100 100 100

200 200 200 200 200200

900...

200

900

...200 200 200 200 200

FH’s und KunsthochschulenUniversitäten

HOCHSCHUL-REFERENZMODELL

PCC Physikalisches

Competence Centrum

VCC Virtuelles

Competence Centrum

PCC Physikalisches

Competence Centrum

VCC Virtuelles

Competence Centrum

1-28

Verteilte SAP-SystemeSicherheit durch FH HRZ als Secude Root CA

SAPROUTERPCC Darmstadt

SAPROUTERTU Darmstadt

SAPROUTERUni Frankfurt

SAPROUTERUni Gießen

SAPROUTERUni Marburg

SAPROUTERUni Kassel

SAPROUTERFA Geisenheim

SAPROUTERFH Frankfurt

SAPROUTERFH Giessen

SAPROUTERFH Wiesbaden

SAPROUTERFH Darmstadt

SAPROUTERHFMDK SAPROUTER

HFGO

SAPROUTERFH HRZ

1-30

1. Entwicklung einer IT-Sicherheitspolitik

2. Erstellung eines IT-Sicherheitskonzeptes

3. Realisierung der IT-Sicherheitsmaßnahmen

4. Schulung Sensibilisierung

5. IT-Sicherheit im laufenden Betrieb

Planung

Realisierung

Aufrechterhaltung

IT-Security-Management

1-31

FH HRZ Benutzermanagement

SAP-USER

FHHRZ TRUST CENTER

Vorgesetzter Personalabteilung

LokaleBenutzer-verwaltung

1-32

Literatur des FH HRZ zur SAP-Sicherheit

1-37

Problemstellungen im SAP Umfeld

Unzureichende Clientgerät InfrastrukturProblematik des Softwarerollouts und –upgradesHeterogene ClientsUnzureichende Grundsicherheit des ClientsHoher administrativer Aufwand der “PC-Landschaft”Teilweise geringe Bandbreite zu den Clients Security der KomunikationNeue Anforderungen

1-38

Access

Ausblick - Citrix im SAP-Umfeld

Client PC

Client PC

R/3

MetaFramePresentation Servers

Giga BitLAN

Internet

SAPGUI läuft auf der MetaFramePresentation Server Farm

- Konsolidierung von Client Software- Single Point of Installation & Administration- Integration 3rd party / alte Legacy Systeme- Minimierung von Infrastruktur Kosten f. Clients - Applikationen nutzen Backbone Bandbreite- Secure connection (128Bit key)- Workload balancing

R/3

R/3

Active DirectoryActive Directory

1-39

Erweiterung der Smartcardlösung

SAP R/3

WindowsDomainLogon

Email- und Datei-verschlüsselung

DigitaleSignatur

1-40

Migration

Windows NT 4

HP Integrity ServerRX 2600

HP NetserverLxr8000

HP NetserverLH4

HP Integrity ServerRX 2600

1-41

ÜÜberprberprüüfungfungVersionsVersions--

bereitschaftbereitschaft

ÜÜberprberprüüfungfungGenehmigteGenehmigte

VersionVersion

SLASLAReviewReview

ÜÜberprberprüüfungfungBetriebBetrieb

Änderung

BetriebSupport

Optimierung

Service Level ManagementService Level ManagementCapacity ManagementCapacity Management

Availability ManagementAvailability ManagementFinancial ManagementFinancial Management

Workforce ManagementWorkforce ManagementService Continuity MgtService Continuity Mgt

Change ManagementChange ManagementConfiguration ManagementConfiguration ManagementRelease ManagementRelease Management

Security AdministrationSecurity AdministrationSystem AdministrationSystem AdministrationNetwork AdministrationNetwork AdministrationService Monitoring & Control Service Monitoring & Control Directory Services Directory Services

AdministrationAdministrationStorage ManagementStorage ManagementJob SchedulingJob SchedulingPrint and Output ManagementPrint and Output Management

Service DeskService DeskIncident ManagementIncident ManagementProblem ManagementProblem Management

MOF = Microsoft Operations FrameworkMOF = Microsoft Operations FrameworkITIL=IT ITIL=IT InfrastructureInfrastructure LibraryLibrary

Ausrichtung nach ITIL und MOF