Wenn Google zu viel verrät ! Sichern Sie Ihre SAP Systeme
SAP Security 2
Anforderugnen an sichere IT-Systeme
�Verfügbarkeit des Systems und der Daten
�Authentifizierung der Benutzer und Geschäftspartner
�Korrekte Autorisierung der Zugriffe
�Vertraulichkeit
�Nachvollziehbarkeit
�Wahrung der Datenintegrität
�Einhaltung regulatorischer Vorgaben
SAP Security 3
SAP Komponenten im Internet
�SAP I T S (alt)
�Integrierter I T S in Netweaver
�WebGui
�SAP Portal
�SAP Business Connector, SAP Router
�SAP BW, SAP CRM, …
Strategie der SAP AG ist es, alle Dienste in Zukunft per Webservice zu realisieren.
SAP Security 4
Sicherheit von SAP-Systemen
�SAP-Systeme sind bei korrekter Konfiguration sehr
sicher
�Internetzugang zu SAP-Systemen ist bei korrekter
Konfiguration vertretbar
�SAP liefert mittlerweile zu jedem Produkt
mindestens einen Security-Guide
(http://service.sap.com/security)
�Die Sicherheit der Systeme steht und fällt mit der
Qualität der Implementierung
SAP Security 5
Was ist Google-Hacking?
�Google erlaubt eine komfortable Suche
� INURL (Token in URIs)
� INTEXT (Token im Text)
� INTITLE (Token im Titel)
�Systeme verraten Daten in Seiten und URLs
�Beispiel SAP I T S
<!-- This page was created by the SAP Internet Transaction Server(ITS, Version 6200.1017.50954.0, Build 730827, Virtual Server EBP400-EXT, Add. service info none,
WGate-AGate Host 10.242.66.142, WGate-Instance EBP400-EXT) All rights reserved.
Creation time: Sat Oct 13 15:19:27 2007 Charset: iso-8859-1
Template: zbbpmainnew/98/bbp_vendor_create_100.html -->
SAP Security 6
Und wo ist das Problem?
� Problem 1: Standarduser und Kennwörter
� Problem 2: Unsichere Services sind aktiv
� Problem 3: Cross Side Scripting ist möglich
� Problem 4: Patches sind nicht installiert (Z.B. I T S)
� Problem 5: URLs werden nicht per ALIAS verkürzt
Als Ergebnis:
� Preisgabe sensitiver Informationen
� Denial of Service Attacken
� Vertrauens- und Datenverlust
SAP Security 7
Beispiel 1: Webgui und Standarduser
� Der Webgui erlaubt einen Zugriff via Internet
� Notwendig: Dialoguser und Kennwort
� Standarduser und Kennwörter sind im Internet abrufbar
� Suchstring für Google:
� Inurl: /scripts/wgate/webgui (Alter I T S)
� Inurl: /sap/bc/gui (Neuer I T S)
SAP Security 8
Suchen in Google und Logon mit Standarduser
SAP Security 9
Und wir sind drin !
SAP Security 10
Start SE38: Reporting
Jeder Report kann ausgeführt werden. You loose !
SAP Security 11
Und weiter geht es einfach per RFC-Login !
!!! Niemals Dialoguser mit Kennwort in RFC-Verbindungen ablegen !!!
SAP Security 12
Beispiel 2: Preisgabe interner Daten
� SAP empfiehlt nur die Web-Dienste zu aktivieren, die wirklich
benötigt werden
� Im WebAS 6.10 und 6.20 waren aber sensible Dienste per
Default aktiv !
� Ab 6.40 Policy DENY_ALL
� Problem:
� Kunden und Entwickler aktivieren sensitive Dienste
– Echo-Dienst
– Report-Dienst
– ICM
– INFO
� Keine Infos verfügbar, welche Dienste wirklich benötigt werden!
SAP Security 13
Beispiel 2: Preisgabe interner Daten
� Suche nach inurl:/sap/bc/bsp
� ���� URI abändern in …/sap/public/info
� Bei falscher Serverkonfiguration zeigt das SAP-System
interne Konfigurationsdaten an
� Ca. 1/3 aller Systeme sind davon betroffen !
SAP Security 14
Das Ergebnis
Interne IP + Release
DB-SYS + BS
SAP Security 15
Angriff auf das SAP Gateway
�Gateway erlaubt Start von Programmen ohne Benutzer und Kennwort !
�Mehr als 2/3 aller Systeme betroffen
�Schutz: Secinfo.dat und rfcexec.sec
SAP Security 16
Übersicht Schutzmassnahmen
SAP Security 17
Schutz durch Firewall ausreichend?
Nein, weil:Eine Firewall keine Angriffe auf Anwendungsebene bekämpfen kann !Eine Firewall keinen Schutz gegen Attacken von innen bietet !
SAP Security 18
Die Lösung
� Lesen Sie den SAP-Security-Guide
� Beachten Sie alle relevanten OSS-Notes bezüglich kritischer
Dienste
� Aktivieren Sie nur benötigte Web-Services
� Setzen Sie aktuelle Software-Versionen ein
� Checken Sie täglich Logfiles auf verdächtige Inhalte
� Unterziehen Sie Ihre Systeme VOR der Anbindung an das
Internet einem Audit und einer Härtung
SAP Security 19
Schutzmassnahmen 1
�Informieren Sie sich und Ihre Mitarbeiter
�Schützen Sie Ihre Systeme durch Firewalls und Proxies
�Installieren Sie Viren-Scanner
� Betriebssystem
� SAP XI, E-Recruiting, Portal, CFolders …
�Installieren Sie zeitnah verfügbare Patches
�Nutzen von Verschlüsselung (SNC / SSL) und Single Sign On
(SSO)
�Überwachen von Notfall- und Supportuser
SAP Security 20
Schutzmassnahmen 2
�Standardkennwörter ändern
�Inaktive User sperren
�Absicherung/Härtung von Betriebssystem und Datenbank
�Minimale Berechtigungsvergabe.
� Kein SAP_ALL und S_RFC_ALL
� Prüfung von SoD-Konflikten
�Achtung: SM59, SU01, SICF, SMICM, STRUST, …
�Minimale Berechtigung für Serviceuser
�Nutzen Sie das Security Audit Log
�Schützen Sie das SAP Gateway, RFC und den SAPRouter !
SAP Security 21
Schutzmassnahmen 3
�Achten Sie auf korrekte Parametrisierung und aktuelle Softwareversionen !
�Verbotene Services:
� /sap/public/info
� /sap/bc/echo
� /sap/bc/error
� /sap/bc/report
� /sap/bc/xrfc
� /sap/bc/FormToRfc
�Nutzen Sie ausschließlich SSL !
SAP Security 22
Schutzmassnahmen 4 (Portal/Java)
�Deaktivieren Sie unnötige Services (Telnet)
�Security Zones und Rollen richtig einsetzen
�Verwenden Sie ausschließlich SSL
�Absicherung der Verwaltungs-Tools notwendig
�Keine Selbstregistrierung erlauben
�Aktivieren Sie die sicheren HTML-Editoren
�Löschen Sie alle Test IViews und Anwendungen
�Beschränken Sie die Anzahl der Administratoren
SAP Security 23
Schutzmassnahmen 5 (I T S)
�Geben Sie nur notwendige Dienste frei
�Sichern Sie den Zugriff via Reverse Proxy
�Verwenden Sie ausschließlich SSL
�Parameter: ~generateDynpro = 0, ~DisableDynamicConnect = “1”
�Zugriff auf ADM-Port nur aus internem Netz !
�Ändern Sie das ADMIN-Kennwort
�Verwenden Sie ein eigenes WGATE für die ADM Instanz
�Keine anonymen Zugriffe erlauben !
�Keine Kennwörter in Service Files oder URLs ablegen
SAP Security 24
Kontakt
akquinet AG
Paul-Stritter-Weg 5
22297 Hamburg
Tel: +49 40 88 173 303
Fax: +49 40 88 173 111
www.akquinet.de
Mail: [email protected]