SNC-Verschlüsselung leicht gemacht: So geht SAP-Sicherheit auch ohne SSO

SAST Blog: SNC-Verschlüsselung leicht gemacht: So geht SAP-Sicherheit auch ohne SSOZur Absicherung von Netzwerken bietet SAP eine „Secure Network Communications“-Schnittstelle (SNC) zur Verschlüsselung an, mit der sich Benutzer ohne Eingabe eines Benutzernamens oder Passworts an SAP-Systemen anmelden können. Standardmäßig werden SAP-Anmeldedaten im Klartext übertragen. Die SNC-Schnittstelle leitet Aufrufe über die SAP Cryptographic Library, um die gesamte Kommunikation zwischen dem SAP GUI und dem SAP-Server zu verschlüsseln. So wird eine sichere Einzelanmeldung für SAP bereitgestellt.

SNC-Einführung ohne SSO, aber mit SSL, geht das?

Der Mindestsicherheitsgrad, den SNC anbietet, ist „Authentifizierung“. Wenn nur dieser Parameter verwendet wird, verifiziert das System die Identität der Kommunikationspartner und verschlüsselt die Anmeldedaten des Benutzers (Username und Passwort). In weiteren Schritten können auch die Datenübertragung und Datenpaketinhalte mit SNC verschlüsselt werden.

Damit wird ein wichtiger Schritt zur technischen Absicherung von SAP-Systemen vollzogen.

Im Folgenden möchte ich gerne erläutern, wie eine SNC-verschlüsselte Kommunikation eingerichtet werden kann, ohne zusätzlich einen kostenpflichtigen Single Sign On (SSO) zu implementieren.

Sichere Anmeldung über den SAP Secure Login Client

Für die sichere Anmeldung am SAP kann der SAP Secure Login Client genutzt werden. Der Secure Login Client ist eine Clientanwendung, die Sicherheitstoken (Kerberos- und X.509-Technologie) für eine Vielzahl von Anwendungen bereitstellt. Er verwendet die Funktionen der SAP Cryptographic Library (CommonCryptoLib).

Secure Login ermöglicht Benutzern unter anderem die Authentifizierung mit dem Authentifizierungsmechanismus der Windows-Domäne (Active Directory-Server) oder mit der Nutzung eines SSL (Secure Sockets Layer)-Zertifikats.

Mit SAP Single Sign-On 3.0 kann man sich mit der SAP GUI über eine verschlüsselte Kommunikation, jedoch auch ohne Single Sign-On anmelden!

Voraussetzungen hierfür sind:

  • Auf Client-PCs wird der Secure Login Client von SAP Single Sign-On 3.0 oder höher ausgeführt.
  • Auf den Backend-Systemen wird SAP NetWeaver Application Server für ABAP mit der Common CryptoLib 8.5 oder höher der SAP Cryptographic Library ausgeführt.

Folgende Optionen sind für die Einstellung des Secure Login Client verfügbar:

  • Aktivierung des Legacy-Kompatibilitätsmodus. Dies ist eine SNC-geschützte Anmeldung auf der Seite des Servers. Der Legacy-Kompatibilitätsmodus ist mit CommonCryptLib 8.5.x oder niedriger und SAPCRYPTOLIB 5.5.5 verfügbar.
  • Aktivierung des Secure Login Client, um eine Authentifizierungsmethode (Smart-Modus) auszuwählen, wenn die meisten Anwendungsserver die SAP Cryptographic Library CommonCryptoLib 8.5 oder höher verwenden. Diese Option wird seitens SAP empfohlen, da der Secure Login Client immer die beste Authentifizierungsmethode auswählt.
  • Verschlüsselung kann nur mithilfe von SNC für alle Benutzer oder eine Gruppe von Benutzern dauerhaft implementiert werden.
  • Benutzer können nur für die Anmeldung mit SNC manuell auf Verschlüsselung umschalten.

Klärung der Secure Login Client-Lizenzfrage bei der SAP

Um die Nutzung des Secure Login Clients zu klären, wurde folgende Frage an die SAP gestellt: „Die zu implementierende SNC-Verschlüsselung soll nur die SAP Cryptographic Library des Secure Login Client nutzen. SSO ist nicht vorgesehen. Entstehen dennoch Kosten?“

Die Antwort der SAP lautete: „Es handelt sich hierbei um die Secure Client Encryption. Diese Komponente kann kostenneutral genutzt werden. Damit gibt es aber „nur die Verschlüsselung“. Ein Single Sign-On kann damit nicht realisiert werden.“

In der Folge bedeutet dies, dass der Secure Login Client kostenfrei verwendet werden kann, solange kein SSO genutzt wird.

So funktioniert die Implementierung von SNC mit SSL-Verschlüsselung

Für die SNC-Verbindungsverschlüsselung wird ein schon für https vorhandenes SSL-Zertifikat verwendet. Es ist somit keine Anbindung an das Microsoft AD (Kerberos) notwendig. Die Verschlüsselung wird durch das SSL-Zertifikat in PSE und SNC-Library sichergestellt.

Allerdings muss in einem solchen Szenario der Zertifikatsablauf beachtet und rechtzeitig verlängert werden. Sollte das Zertifikat nicht rechtzeitig verlängert werden, kann SNC bis zu einer erfolgreichen Rezertifizierung nicht mehr genutzt werden.

So bereiten Sie ABAP richtig vor: Im SAP-System wird per Transaktion STRUST die PSE-Datei vom SSL-Server-Eintrag auf den Eintrag SNC SAPCryptolib „kopiert“. Der SNC-Name für den SAPGUI Eintrag wird daher von dem SSL-Server-Zertifikat bestimmt, z.B. „p:CN=<SID>.<Kunde>.de, OU=SAP Basis, O=<Dienstleister>, L=Frankfurt am Main, C=DE“.

IM SAP GUI Logon muss SNC für den einzelnen Benutzer aktiviert und der SNC-Name „p:CN=<SID>.<Kunde>.de, OU=SAP Basis, O=<Dienstleister>, L=Frankfurt am Main, C=DE“ eingetragen werden.

Das setzt voraus, dass alle Optionen korrekt gesetzt wurden und das SNC serverseitig vollständig funktional ist. Dann kann sich der Anwender über eine verschlüsselte Netzwerkverbindung anmelden.

Eine verschlüsselte Netzwerkverbindung kann man am Symbol „Schloss zu“ rechts unten im SAPGUI erkennen.

SAST Blog: SSL Verschlüsselung

Vorteile einer SNC-Verschlüsselung

Die SNC-Verschlüsselung per SSL bietet folgende Vorteile:

  • Keine Anbindung an das Microsoft AD notwendig, Pflege- und Administrationsaufwand sind somit geringer.
  • Externe Mitarbeiter und Dienstleister können SNC nur nutzen, wenn ein Zertifikat mit anerkanntem ROOT CA verwendet wird und Client Encrytion 2.0 oder Secure Login Client auf dem Frontend installiert ist.
  • Nur die SAP-GUI muss angepasst werden.
  • Keine zusätzlichen Kosten für Verschlüsselungssoftware, da das Zertifikat für https schon vorhanden ist.
  • Oftmals Richtlinienkonform, da SSL-Zertifikat für eine Anwendung SAP/ABAP gültig ist.
  • Keine Nacharbeiten nach Systemkopien bzgl. SNC-Parametern und Zertifikaten nötig.
  • Der SAP Secure Login Client kann genutzt werden.

Bei Verwendung von SSL muss allerdings der Zertifikatsablauf beachtet werden, sonst kann SNC nicht mehr genutzt werden.

Eine SNC-Einführung kann auch ohne große Lösung inklusive SSO mit überschaubarem Aufwand gelingen. Wir empfehlen in diesem Zusammenhang, SNC mit SSL-Verschlüsselung zu verwenden, denn das verringert den Implementierungsaufwand noch weiter.

Sie wollen mehr zum Thema der technischen Absicherung Ihrer SAP-Systeme erfahren? Dann informieren Sie sich gerne auf unserer SAST SOLUTIONS Website oder melden sich bei uns: sast@akquinet.de

Matthias Anstötz (SAST SOLUTIONS)
Matthias Anstötz (SAP Security Consultant, SAST SOLUTIONS)

 

Das könnte Sie auch interessieren:

Schritt für Schritt: So sichern und härten Sie Ihr SAP Gateway

SAP S/4HANA: So gelingt eine sichere S/4HANA-Migration