Download - Wenn Google zu viel verrät !
![Page 1: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/1.jpg)
Wenn Google zu viel verrät ! Sichern Sie Ihre SAP Systeme
![Page 2: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/2.jpg)
SAP Security 2
Anforderugnen an sichere IT-Systeme
�Verfügbarkeit des Systems und der Daten
�Authentifizierung der Benutzer und Geschäftspartner
�Korrekte Autorisierung der Zugriffe
�Vertraulichkeit
�Nachvollziehbarkeit
�Wahrung der Datenintegrität
�Einhaltung regulatorischer Vorgaben
![Page 3: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/3.jpg)
SAP Security 3
SAP Komponenten im Internet
�SAP I T S (alt)
�Integrierter I T S in Netweaver
�WebGui
�SAP Portal
�SAP Business Connector, SAP Router
�SAP BW, SAP CRM, …
Strategie der SAP AG ist es, alle Dienste in Zukunft per Webservice zu realisieren.
![Page 4: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/4.jpg)
SAP Security 4
Sicherheit von SAP-Systemen
�SAP-Systeme sind bei korrekter Konfiguration sehr
sicher
�Internetzugang zu SAP-Systemen ist bei korrekter
Konfiguration vertretbar
�SAP liefert mittlerweile zu jedem Produkt
mindestens einen Security-Guide
(http://service.sap.com/security)
�Die Sicherheit der Systeme steht und fällt mit der
Qualität der Implementierung
![Page 5: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/5.jpg)
SAP Security 5
Was ist Google-Hacking?
�Google erlaubt eine komfortable Suche
� INURL (Token in URIs)
� INTEXT (Token im Text)
� INTITLE (Token im Titel)
�Systeme verraten Daten in Seiten und URLs
�Beispiel SAP I T S
<!-- This page was created by the SAP Internet Transaction Server(ITS, Version 6200.1017.50954.0, Build 730827, Virtual Server EBP400-EXT, Add. service info none,
WGate-AGate Host 10.242.66.142, WGate-Instance EBP400-EXT) All rights reserved.
Creation time: Sat Oct 13 15:19:27 2007 Charset: iso-8859-1
Template: zbbpmainnew/98/bbp_vendor_create_100.html -->
![Page 6: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/6.jpg)
SAP Security 6
Und wo ist das Problem?
� Problem 1: Standarduser und Kennwörter
� Problem 2: Unsichere Services sind aktiv
� Problem 3: Cross Side Scripting ist möglich
� Problem 4: Patches sind nicht installiert (Z.B. I T S)
� Problem 5: URLs werden nicht per ALIAS verkürzt
Als Ergebnis:
� Preisgabe sensitiver Informationen
� Denial of Service Attacken
� Vertrauens- und Datenverlust
![Page 7: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/7.jpg)
SAP Security 7
Beispiel 1: Webgui und Standarduser
� Der Webgui erlaubt einen Zugriff via Internet
� Notwendig: Dialoguser und Kennwort
� Standarduser und Kennwörter sind im Internet abrufbar
� Suchstring für Google:
� Inurl: /scripts/wgate/webgui (Alter I T S)
� Inurl: /sap/bc/gui (Neuer I T S)
![Page 8: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/8.jpg)
SAP Security 8
Suchen in Google und Logon mit Standarduser
![Page 9: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/9.jpg)
SAP Security 9
Und wir sind drin !
![Page 10: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/10.jpg)
SAP Security 10
Start SE38: Reporting
Jeder Report kann ausgeführt werden. You loose !
![Page 11: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/11.jpg)
SAP Security 11
Und weiter geht es einfach per RFC-Login !
!!! Niemals Dialoguser mit Kennwort in RFC-Verbindungen ablegen !!!
![Page 12: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/12.jpg)
SAP Security 12
Beispiel 2: Preisgabe interner Daten
� SAP empfiehlt nur die Web-Dienste zu aktivieren, die wirklich
benötigt werden
� Im WebAS 6.10 und 6.20 waren aber sensible Dienste per
Default aktiv !
� Ab 6.40 Policy DENY_ALL
� Problem:
� Kunden und Entwickler aktivieren sensitive Dienste
– Echo-Dienst
– Report-Dienst
– ICM
– INFO
� Keine Infos verfügbar, welche Dienste wirklich benötigt werden!
![Page 13: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/13.jpg)
SAP Security 13
Beispiel 2: Preisgabe interner Daten
� Suche nach inurl:/sap/bc/bsp
� ���� URI abändern in …/sap/public/info
� Bei falscher Serverkonfiguration zeigt das SAP-System
interne Konfigurationsdaten an
� Ca. 1/3 aller Systeme sind davon betroffen !
![Page 14: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/14.jpg)
SAP Security 14
Das Ergebnis
Interne IP + Release
DB-SYS + BS
![Page 15: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/15.jpg)
SAP Security 15
Angriff auf das SAP Gateway
�Gateway erlaubt Start von Programmen ohne Benutzer und Kennwort !
�Mehr als 2/3 aller Systeme betroffen
�Schutz: Secinfo.dat und rfcexec.sec
![Page 16: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/16.jpg)
SAP Security 16
Übersicht Schutzmassnahmen
![Page 17: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/17.jpg)
SAP Security 17
Schutz durch Firewall ausreichend?
Nein, weil:Eine Firewall keine Angriffe auf Anwendungsebene bekämpfen kann !Eine Firewall keinen Schutz gegen Attacken von innen bietet !
![Page 18: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/18.jpg)
SAP Security 18
Die Lösung
� Lesen Sie den SAP-Security-Guide
� Beachten Sie alle relevanten OSS-Notes bezüglich kritischer
Dienste
� Aktivieren Sie nur benötigte Web-Services
� Setzen Sie aktuelle Software-Versionen ein
� Checken Sie täglich Logfiles auf verdächtige Inhalte
� Unterziehen Sie Ihre Systeme VOR der Anbindung an das
Internet einem Audit und einer Härtung
![Page 19: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/19.jpg)
SAP Security 19
Schutzmassnahmen 1
�Informieren Sie sich und Ihre Mitarbeiter
�Schützen Sie Ihre Systeme durch Firewalls und Proxies
�Installieren Sie Viren-Scanner
� Betriebssystem
� SAP XI, E-Recruiting, Portal, CFolders …
�Installieren Sie zeitnah verfügbare Patches
�Nutzen von Verschlüsselung (SNC / SSL) und Single Sign On
(SSO)
�Überwachen von Notfall- und Supportuser
![Page 20: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/20.jpg)
SAP Security 20
Schutzmassnahmen 2
�Standardkennwörter ändern
�Inaktive User sperren
�Absicherung/Härtung von Betriebssystem und Datenbank
�Minimale Berechtigungsvergabe.
� Kein SAP_ALL und S_RFC_ALL
� Prüfung von SoD-Konflikten
�Achtung: SM59, SU01, SICF, SMICM, STRUST, …
�Minimale Berechtigung für Serviceuser
�Nutzen Sie das Security Audit Log
�Schützen Sie das SAP Gateway, RFC und den SAPRouter !
![Page 21: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/21.jpg)
SAP Security 21
Schutzmassnahmen 3
�Achten Sie auf korrekte Parametrisierung und aktuelle Softwareversionen !
�Verbotene Services:
� /sap/public/info
� /sap/bc/echo
� /sap/bc/error
� /sap/bc/report
� /sap/bc/xrfc
� /sap/bc/FormToRfc
�Nutzen Sie ausschließlich SSL !
![Page 22: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/22.jpg)
SAP Security 22
Schutzmassnahmen 4 (Portal/Java)
�Deaktivieren Sie unnötige Services (Telnet)
�Security Zones und Rollen richtig einsetzen
�Verwenden Sie ausschließlich SSL
�Absicherung der Verwaltungs-Tools notwendig
�Keine Selbstregistrierung erlauben
�Aktivieren Sie die sicheren HTML-Editoren
�Löschen Sie alle Test IViews und Anwendungen
�Beschränken Sie die Anzahl der Administratoren
![Page 23: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/23.jpg)
SAP Security 23
Schutzmassnahmen 5 (I T S)
�Geben Sie nur notwendige Dienste frei
�Sichern Sie den Zugriff via Reverse Proxy
�Verwenden Sie ausschließlich SSL
�Parameter: ~generateDynpro = 0, ~DisableDynamicConnect = “1”
�Zugriff auf ADM-Port nur aus internem Netz !
�Ändern Sie das ADMIN-Kennwort
�Verwenden Sie ein eigenes WGATE für die ADM Instanz
�Keine anonymen Zugriffe erlauben !
�Keine Kennwörter in Service Files oder URLs ablegen
![Page 24: Wenn Google zu viel verrät !](https://reader034.vdokument.com/reader034/viewer/2022051317/568c4ae71a28ab49169a1601/html5/thumbnails/24.jpg)
SAP Security 24
Kontakt
akquinet AG
Paul-Stritter-Weg 5
22297 Hamburg
Tel: +49 40 88 173 303
Fax: +49 40 88 173 111
www.akquinet.de
Mail: [email protected]