Baustein SAP System

BausteinSAP System

Stefan Fünfrocken

IT-GrundschutzhandbuchBaustein-Präsentation

27.06.2005

27.06.2005,© EUROSEC IT-Grundschutzhandbuch Baustein SAP System 2

Überblick

• Baustein– Ziele und Zielpublikum– Inhalt, Aufbau, Struktur– SAP Review– SAP Dokumentation

• Gefährdungen• Maßnahmen

– Exemplarische Maßnahmen


Baustein SAP System

• Erstellt durch EUROSEC• Grundabsicherung eines SAP System• Im Fokus SAP Basis

– Basis Administration• Nicht betrachtet:

– Module– Applikationen

• Gute SAP Dokumentation nicht replizieren• Wichtige Aspekte für Grundschutz nennen

Netz

Betriebssystem

SAP Basis

SAP Applikation

TCP/IP, RFC, DIAG

Dienste, Dateisystem

Basis-Berechtigungen, Services, Konfiguration

Applikationslogik,Appl.-Berechtigungen,Schnittstellen


Baustein Zielpublikum• Primär: Administrator

– SAP Wissen vorhanden• Aber auch:

– Revisor– IT-Sicherheitsverantwortlicher

• SAP Wissen u.U. wenig vorhanden

• Im Rahmen des IT-Grundschutz-Siegels:– Auditor

• SAP Wissen notwendig

• Einführungsmaßnahme „Einführung in SAP Systeme“– Liefert generellen Überblick


Baustein Inhalt• Schwierigkeiten

– SAP System Komplexität– SAP System Versionen

• Anforderungen: – Baustein soll lange anwendbar sein– Baustein soll durch möglichst viele Anwender nutzbar sein

• Umsetzung:– Möglichst auf versionsabhängige Details verzichtet– Keine kontextabhängigen Parametereinstellungen angeben– Hilfe zur Selbsthilfe

• „Was muss ich tun bzw. überlegen?“


Baustein Inhalt• Reduktion der Komplexität

– Kernkomponente betrachten– Grundabsicherung

• SAP System = SAP NetWeaver ApplicationServer– Aktuelles Basis System

• Grosse Teile der Maßnahmen auf ältere Systeme anwendbar– Z.B. SAP R/3 Basis– Insbesondere für ABAP-Stack

• Zentrale Frage: – Was muss ich tun, um eine Grundsicherung der SAP Basis

zu erreichen?


Baustein Aufbau und Struktur

• Entspricht der neuen Baustein-Ausrichtung – Lebenszyklus-orientiert

• Inhaltlich:– Aufteilung gemäß SAP System-Aufbau– ABAP-Stack– Java-Stack

• Szenarien: – Primär: SAP System einzeln betrachtet– Kurz: Internet-Szenario, Portal-Szenario


SAP Baustein Review

• Baustein-Review durch SAP

Ziele dabei:• Abdeckungsgrad der wichtigsten Themen

– Wurde nichts wesentliches vergessen?• Technische Korrektheit

– Ist alles korrekt dargestellt?• Baustein dennoch unabhängig von SAP erstellt


Referenzen auf SAP Dokumentation

• SAP Dokumentation sehr umfangreich– Sehr viel technische Detaildokumentation– Auch umfangreiche Sicherheitsleitfäden

• Häufig ein Problem: – Wo findet man was?– Was ist besonders wichtig?

• SAP Baustein verweist auf relevante SAP Dokumente– Wenn sinnvoll, auf relevante Unterkapitel

• Verweise auf SAP Dokumentation in einer Maßnahme zusammengefasst


Referenzen auf SAP Dokumentation

Vorteile: • SAP Baustein liefert Überblick über wichtige

Themen• SAP Dokumentation liefert ausführliche

technische Details • Relevante Dokumente müssen nicht gesucht

werden• URL-Link-Liste für SAP Help-Portal wird von

EUROSEC verfügbar sein


Überblick GefährdungenInsgesamt 10 neue Gefährdungen

Höhere Gewalt:- G 1.1 PersonalausfallOrganisatorische Mängel:- G 2.7 Unerlaubte Ausübung von Rechten- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen- G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen- G 2.sap1 Fehlende oder unzureichende Planung des SAP Einsatzes- G 2.sap2 Zugriffe unter Entwickler-Berechtigungen auf SAP Produktions-Systeme- G 2.sap3 Unberechtigter Aufruf von Transaktionen in einem SAP System- G 2.sap4 Unberechtigter Zugriff auf SAP Komponenten auf Betriebssystem-Ebene- G 2.sap5 Gefährdung durch Fehlinstallation und –konfiguration von SAP

Komponenten- G 2.sap6 Unberechtigter Administrator-Zugriff auf ein SAP System- G 2.sap7 Unberechtigte RFC-Aufrufe über die Web-Schnittstelle eines SAP Systems- G 2.sap8 Mangelnde Überwachung eines SAP Systems- G 2.sap10 Übernahme der Identität eines SAP Systems nach unvollständiger

Aussonderung


Überblick GefährdungenMenschliche Fehlhandlungen:- G 3.8 Fehlerhafte Nutzung des IT-Systems- G 3.9 Fehlerhafte Administration des IT-Systems- G 3.16 Fehlerhafte Administration von Zugangs- und

ZugriffsrechtenVorsätzliche Handlungen:- G 5.2 Manipulation an Daten oder Software- G 5.7 Abhören von Leitungen- G 5.9 Unberechtigte IT-Nutzung- G 5.21 Trojanische Pferde- G 5.23 Computer-Viren- G 5.sap1 Unberechtigter Zugriff auf Daten durch Einbringen von

Code in ein SAP System


Überblick MaßnahmenInsgesamt 36 neue Maßnahmen

Planung und Konzeption

• M 2.sap1 Planung des SAP Einsatzes • M 2.sap7 Planung von SAP Berechtigungen• M 2.sap2 Absicherung eines SAP Systems im Portal-

Szenario • M 2.sap3 Sicherer Betrieb von SAP Systemen im Internet • M 2.sap4 Outsourcing eines SAP Systems• M 3.sap1 Schulung zu SAP Systemen• M 3.sap2 Einführung in SAP Systeme


Überblick MaßnahmenUmsetzung

• M 4.sap1 Sichere Installation von SAP Systemen• M 4.sap2 Absicherung des SAP Installationsverzeichnisses auf

Betriebssystemebene • M 4.sap3 Sichere Konfiguration des SAP ABAP-Stacks• M 4.sap4 Sicherer Einsatz der ABAP-Stack Benutzerverwaltung • M 4.sap5 Berechtigungsverwaltung für SAP Systeme • M 4.sap6 Sicherer Umgang mit kritischen SAP Berechtigungen• M 4.sap7 Konfiguration zusätzlicher SAP Berechtigungsprüfungen• M 4.sap8 Absicherung von SAP Destinationen • M 4.sap9 Einschränkung von direkten Tabellenveränderungen in SAP

Systemen • M 4.sap10 Sichere Konfiguration der Batch-Verarbeitung im SAP System


Überblick MaßnahmenUmsetzung

• M 4.sap12 Sichere Konfiguration des SAP Java-Stacks• M 4.sap13 Sicherer Einsatz der SAP Java-Stack Benutzerverwaltung • M 4.sap14 Sichere Konfiguration der SAP Java-Stack Berechtigungen • M 4.sap15 Sichere Konfiguration der SAP System Datenbank• M 5.sap1 Absicherung der Kommunikation von und zu SAP Systemen• M 5.sap2 Absicherung der SAP RFC-Schnittstelle • M 5.sap3 Absicherung des SAP Internet Connection Framework (ICF) • M 5.sap4 Absicherung der SAP ALE (IDoc/BAPI) Schnittstelle • M 5.sap5 Sichere Konfiguration der HTTP-basierten Dienste von SAP

Systemen


Überblick MaßnahmenBetrieb

• M 4.sap16 SAP Logging und Auditing • M 2.sap5 Regelmäßige Sicherheitsprüfungen für SAP Systeme • M 4.sap17 Virenschutz für SAP Systeme • M 4.sap18 Sicherheit beim Customizing von SAP Systemen• M 4.sap19 Sicherheit bei der Softwareentwicklung für SAP Systeme• M 4.sap20 Änderungsmanagement für SAP Systeme • M 4.sap21 Sichere Nutzung des SAP Transportsystems • M 4.sap22 Sichere Nutzung der SAP Java-Stack Software-Verteilung

Aussonderung• M 2.sap6 Aussonderung von SAP Systemen

Notfallvorsorge• M 6.sap1 Notfallvorsorge für SAP Systeme


Einige Maßnahmen exemplarisch

• M 2.sap1 Planung des SAP Einsatzes

• M 2.sap7 Planung von SAP Berechtigungen

• M 3.sap2 Einführung in SAP Systeme

• M 4.sap1 Sichere Installation von SAP Systemen

• M 4.sap3 Sichere Konfiguration des SAP ABAP-Stacks

• M 4.sap12 Sichere Konfiguration des SAP Java-Stacks

• M 5.sap2 Absicherung der SAP RFC-Schnittstelle


M 2.sap1 Planung des SAP Einsatzes

• Typische Planungsmaßnahme• Überblick über zu planende Konzepte

– Planen der technischen Konfiguration– Administrations-Konzept– Konzept zur Benutzerverwaltung– Berechtigungs-Konzept– Ressourcen-Planung– Planen der SAP Systemlandschaft– Audit- und Logging-Konzept– Änderungsmanagement-Konzept– Backup-Konzept– Notfallvorsoge-Konzept

• Auch Anforderungen an Prozesse


M 2.sap7 Planung von SAP Berechtigungen

• Wichtige Maßnahme• Berechtigungen müssen konzipiert werden• Formuliert Anforderungen an

– Berechtigungskonzept– Konzept der Berechtigungsverwaltung

• Liefert Hilfestellungen– Welche Fragestellungen sind beim Konzipieren zu

berücksichtigen


M 3.sap2 Einführung in SAP Systeme

• Liefert einen groben Überblick über SAP System

• Architektur-Überblick– SAP NetWeaver ApplicationServer

• Wichtige SAP Begriffe werden kurz erläutert:– Instanz, Mandant, ABAP-Stack, Java-Stack– Transaktion, DDIC, Benutzertypen

• Gedacht als initiale Information– Personen ohne tiefere SAP Vorkenntnisse


M 4.sap1 Sichere Installation von SAP Systemen

Deckt die Sicherheit vor/während der Installation ab

• Verwendete Betriebssysteme absichern• Nur benötigte Komponenten installieren• Wahl von sicheren Passwörtern• Installationsquellen absichern• SAP Hinweise für die Installation umsetzen• Aktuelle SAP Sicherheitsleitfäden berücksichtigen• Sichere Installation und Konfiguration der Datenbank• Sichere Installation und Konfiguration der SAP

Systemlandschaft


M 4.sap3 Sichere Konfiguration des SAP ABAP-Stacks

Bereiche für die Absicherung nach der Installation

• Mandant für den Betrieb festlegen• Sicherheitsrelevante IMG-Aktivitäten durchführen• Profilparameter anpassen• Systemänderbarkeit konfigurieren• Mandanten Konfiguration durchführen• Ausführbare Betriebssystemkommandos absichern• Passwortqualität sicherstellen• Schutz vor Passwort-Attacken konfigurieren• Mehrfachanmeldungen verhindern• Single Sign-On sicher konfigurieren


M 4.sap12 Sichere Konfiguration des SAP Java-Stacks

• Bereiche für die Absicherung nach der Installation

• Java-Stack Installation• Schulung zum Java-Stack• Nicht benötigte Dienste abschalten• Standardinhalte entfernen• HTTP-Dienst absichern• Kryptographische Funktionsbibliothek installieren• Authentisierungsmodule konfigurieren• Zugriff auf Systemressourcen beschränken• Zugriff auf die Administrations-Schnittstelle einschränken• Passwortqualität sicherstellen• Java-Stack Single Sign-On sicher konfigurieren


M 5.sap2 Absicherung der SAP RFC-Schnittstelle

• Sicherheitsthemen rund um RFC

• RFC-Berechtigung minimal vergeben• Java-Stack RFC (JCo)• Absicherung der RFC-Kommunikation mit SNC• Sichere Verwendung von "Trusted System"-Beziehungen• RFC-Client-Programme: Konfiguration der sideinfo-Datei• Externe (non-SAP) RFC-Server sicher nutzen• secinfo-Datei für SAP Gateway konfigurieren


Zusammenfassung

• IT-Grundschutzhandbuch um SAP Baustein erweitert

• Grund-Absicherung eines SAP Basis Systems• Basiert auf aktueller NetWeaver Version des

SAP NetWeaver ApplicationServer• Anwendbar für ältere SAP Systeme• Verweise auf relevante SAP Detail-

Dokumentation


Kontakt

EUROSEC GmbH Chiffriertechnik & Sicherheit

Sodener Strasse 82a D-61476 Kronberg, Germany

Tel: 06173 / 60 85 - 0

[email protected]@eurosec.com

Documents

Baustein SAP System