Das Gateway ist als zentrale Kommunikationskomponente eines SAP-Systems ein attraktives Ziel für Hackerangriffe – und somit besonders schützenswert. Ist das Gateway nicht ausreichend gesichert, hat ein Angreifer leichtes Spiel. Jedoch werden System-Schnittstellen bei der Absicherung von IT-Systemen oftmals nicht berücksichtigt. Im Fall einer Cyberattacke ermöglicht man den Angreifern so den direkten Zugriff auf die sensiblen SAP-Systeme.
Als technische Komponente des SAP-Servers verwaltet das Gateway die Kommunikation für alle RFC-basierten Funktionen. Der Netzwerkdienst, der die RFC-Kommunikation verwaltet, wird vom RFC-Gateway bereitgestellt. Bei ABAP-Systemen enthält jede Instanz ein Gateway, das vom ABAP Dispatcher gestartet und überwacht wird. Ist das System mit einer ASCS-Instanz (ABAP Central Services, bestehend aus dem Nachrichtenserver und dem Standalone-Enqueue-Server) installiert, lässt sich immer noch ein Gateway auf der ASCS-Instanz konfigurieren. In der Standardkonfiguration enthält ein ASCS kein Gateway. In einem reinen Java-System reicht ein Gateway für das gesamte System aus, da die Instanzen miteinander ohne RFC-Nutzung kommunizieren. Das Gateway wird hier für RFC / JCo-Verbindungen zu anderen Systemen verwendet.
Allgemeine Gateway-Richtlinien
- Für alle Gateways müssen eine sec_info-ACL, eine prxy_info-ACL und eine reg_info-ACL-Datei vorhanden sein.
- Dokumentieren Sie immer die Änderungen in den ACL-Dateien.
- Die erste Zeile der Datei reginfo / secinfo muss „# VERSION = 2“ sein.
- Jede Zeile muss eine vollständige Regel sein (Sie können die Regel nicht in zwei oder mehr Zeilen aufteilen).
- Das Gateway wendet die Regeln in der gleichen Reihenfolge an, in der sie in der Datei angezeigt werden, und es wird nur die erste übereinstimmende Regel verwendet (ähnlich dem Verhalten einer Netzwerk-Firewall). Alle nachfolgenden Regeln werden nicht einmal geprüft. Dies bedeutet, dass die Reihenfolge der Regeln sehr wichtig ist, insbesondere wenn allgemeine Definitionen verwendet werden.
- Jede Instanz kann über eigene Sicherheitsdateien mit eigenen Regeln verfügen, da die Regeln vom Gateway-Prozess der lokalen Instanz angewendet werden.
- Der erste Buchstabe der Regel kann entweder P (für Permit) oder D (für Deny) sein. Sie müssen aber am Ende keine Regel „Alle ablehnen“ definieren, da dies bereits impliziert ist (außer im Simulations-Modus).
- In Produktionssystemen sollten keine generischen Regeln zulässig sein.
- Beachten Sie außerdem, dass das System alle Schlüsselwörter auf Groß- und Kleinschreibung überprüft und Schlüsselwörter nur berücksichtigt, wenn sie in Großbuchstaben geschrieben sind.
- Eine LINE mit einem HOST-Eintrag mit mehreren Hostnamen (z. B. HOST = Servername, 10. *. 2.20) wird nur berücksichtigt, wenn jeder einzelne durch Komma getrennte Eintrag in eine IP-Adresse aufgelöst werden kann.
- Wenn das Domain Name System (DNS) „Servername“ nicht in eine IP-Adresse auflösen kann, wird die gesamte Zeile verworfen und führt zu einer Ablehnung.
- Die internen und lokalen Regeln sollten sich am unteren Rand der ACL-Dateien befinden.
- Verwenden Sie Hostnamen anstelle der IP-Adresse.
- Überprüfen Sie die Verfügbarkeit und pingen Sie über SM59 alle TP-IDs.
- Bei einer SCS-/ASCS-Instanz ist ein erneutes Laden über SMGW nicht möglich. Daher muss ein Cluster-Switch oder ein Neustart ausgeführt werden, oder die Gateway-Dateien können über einen Betriebssystem-Befehl erneut gelesen werden.
SAP Gateway-Härtung
Folgende Schritte sind normalerweise manuell nötig, um ein SAP Gateway zu sichern:
- Aktivieren Sie die Gateway-Protokollierung.
- Werten Sie die Gateway-Protokolldateien aus und erstellen Sie ACL-Regeln.
- Gateway-Parameter einstellen.
- Speichern Sie die ACL-Dateien und starten Sie das System neu, um die Parameter zu aktivieren.
Sichere Gateway ACL-Dateien mit dem SAST Interface Management
Unser SAST Interface Management-Modul der SAST SUITE bietet Unterstützung zur Härtung des SAP Gateways, insbesondere in der Erstellung sicherer ACL-Dateien. Hierzu sind die Zugriffe über die ACL-Dateien einzuschränken. Auf Basis der originären Gateway-Logging-Dateien des Systems können Vorschlagswerte ermittelt und nach Auswertung der gewonnenen Daten Vorschläge für die ACL Dateien direkt generiert werden. So ist es möglich, Vorschläge für die Security-Steuerungs-Dateien des SAP Gateways (Reginfo; Secinfo; Proxyinfo) auf Basis statistischer Daten der Gateway Logs zu ermitteln. Um eine möglichst präzise Datenbasis der genutzten Verbindungen zu erhalten, ist hierzu die Aktivierung des Gateway Loggings sowie die Auswertung der Logfiles über geeignete Zeiträume (z.B. drei Monate) notwendig,
Aus den aggregierten Daten des Gateway Loggings lassen sich Vorschläge zur Bestückung der Steuerungsdaten ermitteln und hieraus die Inhalte für die Steuerungsdaten zur weiteren Verwendung generieren.
Sie sind an weiteren Informationen interessiert oder wollen mehr über die umfassende Absicherung Ihrer SAP-Systeme erfahren? Dann schauen Sie Sie sich auf unserer SAST SOLUTIONS Website um oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de
Matthias Anstötz (SAP Security Consultant, SAST SOLUTIONS)
Verwandte Beiträge im SAST BLOG
Ungeschützte SAP-Schnittstellen sind attraktive Ziele für Angreifer
SAP-Systeme laut Studie besonders anfällig für Insider-Attacken