Wenn Google zu viel verrät !

24
Wenn Google zu viel verrät ! Sichern Sie Ihre SAP Systeme

description

 

Transcript of Wenn Google zu viel verrät !

Page 1: Wenn Google zu viel verrät !

Wenn Google zu viel verrät ! Sichern Sie Ihre SAP Systeme

Page 2: Wenn Google zu viel verrät !

SAP Security 2

Anforderugnen an sichere IT-Systeme

�Verfügbarkeit des Systems und der Daten

�Authentifizierung der Benutzer und Geschäftspartner

�Korrekte Autorisierung der Zugriffe

�Vertraulichkeit

�Nachvollziehbarkeit

�Wahrung der Datenintegrität

�Einhaltung regulatorischer Vorgaben

Page 3: Wenn Google zu viel verrät !

SAP Security 3

SAP Komponenten im Internet

�SAP I T S (alt)

�Integrierter I T S in Netweaver

�WebGui

�SAP Portal

�SAP Business Connector, SAP Router

�SAP BW, SAP CRM, …

Strategie der SAP AG ist es, alle Dienste in Zukunft per Webservice zu realisieren.

Page 4: Wenn Google zu viel verrät !

SAP Security 4

Sicherheit von SAP-Systemen

�SAP-Systeme sind bei korrekter Konfiguration sehr

sicher

�Internetzugang zu SAP-Systemen ist bei korrekter

Konfiguration vertretbar

�SAP liefert mittlerweile zu jedem Produkt

mindestens einen Security-Guide

(http://service.sap.com/security)

�Die Sicherheit der Systeme steht und fällt mit der

Qualität der Implementierung

Page 5: Wenn Google zu viel verrät !

SAP Security 5

Was ist Google-Hacking?

�Google erlaubt eine komfortable Suche

� INURL (Token in URIs)

� INTEXT (Token im Text)

� INTITLE (Token im Titel)

�Systeme verraten Daten in Seiten und URLs

�Beispiel SAP I T S

<!-- This page was created by the SAP Internet Transaction Server(ITS, Version 6200.1017.50954.0, Build 730827, Virtual Server EBP400-EXT, Add. service info none,

WGate-AGate Host 10.242.66.142, WGate-Instance EBP400-EXT) All rights reserved.

Creation time: Sat Oct 13 15:19:27 2007 Charset: iso-8859-1

Template: zbbpmainnew/98/bbp_vendor_create_100.html -->

Page 6: Wenn Google zu viel verrät !

SAP Security 6

Und wo ist das Problem?

� Problem 1: Standarduser und Kennwörter

� Problem 2: Unsichere Services sind aktiv

� Problem 3: Cross Side Scripting ist möglich

� Problem 4: Patches sind nicht installiert (Z.B. I T S)

� Problem 5: URLs werden nicht per ALIAS verkürzt

Als Ergebnis:

� Preisgabe sensitiver Informationen

� Denial of Service Attacken

� Vertrauens- und Datenverlust

Page 7: Wenn Google zu viel verrät !

SAP Security 7

Beispiel 1: Webgui und Standarduser

� Der Webgui erlaubt einen Zugriff via Internet

� Notwendig: Dialoguser und Kennwort

� Standarduser und Kennwörter sind im Internet abrufbar

� Suchstring für Google:

� Inurl: /scripts/wgate/webgui (Alter I T S)

� Inurl: /sap/bc/gui (Neuer I T S)

Page 8: Wenn Google zu viel verrät !

SAP Security 8

Suchen in Google und Logon mit Standarduser

Page 9: Wenn Google zu viel verrät !

SAP Security 9

Und wir sind drin !

Page 10: Wenn Google zu viel verrät !

SAP Security 10

Start SE38: Reporting

Jeder Report kann ausgeführt werden. You loose !

Page 11: Wenn Google zu viel verrät !

SAP Security 11

Und weiter geht es einfach per RFC-Login !

!!! Niemals Dialoguser mit Kennwort in RFC-Verbindungen ablegen !!!

Page 12: Wenn Google zu viel verrät !

SAP Security 12

Beispiel 2: Preisgabe interner Daten

� SAP empfiehlt nur die Web-Dienste zu aktivieren, die wirklich

benötigt werden

� Im WebAS 6.10 und 6.20 waren aber sensible Dienste per

Default aktiv !

� Ab 6.40 Policy DENY_ALL

� Problem:

� Kunden und Entwickler aktivieren sensitive Dienste

– Echo-Dienst

– Report-Dienst

– ICM

– INFO

� Keine Infos verfügbar, welche Dienste wirklich benötigt werden!

Page 13: Wenn Google zu viel verrät !

SAP Security 13

Beispiel 2: Preisgabe interner Daten

� Suche nach inurl:/sap/bc/bsp

� ���� URI abändern in …/sap/public/info

� Bei falscher Serverkonfiguration zeigt das SAP-System

interne Konfigurationsdaten an

� Ca. 1/3 aller Systeme sind davon betroffen !

Page 14: Wenn Google zu viel verrät !

SAP Security 14

Das Ergebnis

Interne IP + Release

DB-SYS + BS

Page 15: Wenn Google zu viel verrät !

SAP Security 15

Angriff auf das SAP Gateway

�Gateway erlaubt Start von Programmen ohne Benutzer und Kennwort !

�Mehr als 2/3 aller Systeme betroffen

�Schutz: Secinfo.dat und rfcexec.sec

Page 16: Wenn Google zu viel verrät !

SAP Security 16

Übersicht Schutzmassnahmen

Page 17: Wenn Google zu viel verrät !

SAP Security 17

Schutz durch Firewall ausreichend?

Nein, weil:Eine Firewall keine Angriffe auf Anwendungsebene bekämpfen kann !Eine Firewall keinen Schutz gegen Attacken von innen bietet !

Page 18: Wenn Google zu viel verrät !

SAP Security 18

Die Lösung

� Lesen Sie den SAP-Security-Guide

� Beachten Sie alle relevanten OSS-Notes bezüglich kritischer

Dienste

� Aktivieren Sie nur benötigte Web-Services

� Setzen Sie aktuelle Software-Versionen ein

� Checken Sie täglich Logfiles auf verdächtige Inhalte

� Unterziehen Sie Ihre Systeme VOR der Anbindung an das

Internet einem Audit und einer Härtung

Page 19: Wenn Google zu viel verrät !

SAP Security 19

Schutzmassnahmen 1

�Informieren Sie sich und Ihre Mitarbeiter

�Schützen Sie Ihre Systeme durch Firewalls und Proxies

�Installieren Sie Viren-Scanner

� Betriebssystem

� SAP XI, E-Recruiting, Portal, CFolders …

�Installieren Sie zeitnah verfügbare Patches

�Nutzen von Verschlüsselung (SNC / SSL) und Single Sign On

(SSO)

�Überwachen von Notfall- und Supportuser

Page 20: Wenn Google zu viel verrät !

SAP Security 20

Schutzmassnahmen 2

�Standardkennwörter ändern

�Inaktive User sperren

�Absicherung/Härtung von Betriebssystem und Datenbank

�Minimale Berechtigungsvergabe.

� Kein SAP_ALL und S_RFC_ALL

� Prüfung von SoD-Konflikten

�Achtung: SM59, SU01, SICF, SMICM, STRUST, …

�Minimale Berechtigung für Serviceuser

�Nutzen Sie das Security Audit Log

�Schützen Sie das SAP Gateway, RFC und den SAPRouter !

Page 21: Wenn Google zu viel verrät !

SAP Security 21

Schutzmassnahmen 3

�Achten Sie auf korrekte Parametrisierung und aktuelle Softwareversionen !

�Verbotene Services:

� /sap/public/info

� /sap/bc/echo

� /sap/bc/error

� /sap/bc/report

� /sap/bc/xrfc

� /sap/bc/FormToRfc

�Nutzen Sie ausschließlich SSL !

Page 22: Wenn Google zu viel verrät !

SAP Security 22

Schutzmassnahmen 4 (Portal/Java)

�Deaktivieren Sie unnötige Services (Telnet)

�Security Zones und Rollen richtig einsetzen

�Verwenden Sie ausschließlich SSL

�Absicherung der Verwaltungs-Tools notwendig

�Keine Selbstregistrierung erlauben

�Aktivieren Sie die sicheren HTML-Editoren

�Löschen Sie alle Test IViews und Anwendungen

�Beschränken Sie die Anzahl der Administratoren

Page 23: Wenn Google zu viel verrät !

SAP Security 23

Schutzmassnahmen 5 (I T S)

�Geben Sie nur notwendige Dienste frei

�Sichern Sie den Zugriff via Reverse Proxy

�Verwenden Sie ausschließlich SSL

�Parameter: ~generateDynpro = 0, ~DisableDynamicConnect = “1”

�Zugriff auf ADM-Port nur aus internem Netz !

�Ändern Sie das ADMIN-Kennwort

�Verwenden Sie ein eigenes WGATE für die ADM Instanz

�Keine anonymen Zugriffe erlauben !

�Keine Kennwörter in Service Files oder URLs ablegen

Page 24: Wenn Google zu viel verrät !

SAP Security 24

Kontakt

akquinet AG

Paul-Stritter-Weg 5

22297 Hamburg

Tel: +49 40 88 173 303

Fax: +49 40 88 173 111

www.akquinet.de

Mail: [email protected]