Howto: SAP Security #2 – Netzwerksicherheit

Im zweiten Teil der  Serie „Howto SAP Security“ (Teil 1) wird die Netzwerksicherheit betrachtet. Hierbei sind zwei Punkte  von besonderer Bedeutung. Zuerst ist die Zugriffskontrolle zu betrachten. Dann folgt die Verschlüsselung der Kommunikation.

SAP Netzwerksicherheit

SAP beinhaltet diverse Dienste, die größtenteils aus dem Netzwerk heraus erreichbar sind. Es ist wichtig die verfügbaren Dienste zu kennen, daher zeigt der folgende Screenshot einige wichtige Dienste.

Netzwerksicherheit: SAP Portliste
SAP Portliste, Quelle: https://help.sap.com/viewer/ports

Um Remote zu erkennen, welche Dienste konkret von einem SAP-System in Netzwerk angeboten werden, ist ein Netzwerkscan des Systems ein gutes Mittel. Ein Beispiel eines Scans kann wie folgt ausfallen:

PORT STATE SERVICE VERSION
21/tcp open ftp?
22/tcp open ssh SSH (SSH-2.0-WeOnlyDo 2.1.3)
445/tcp open microsoft-ds?
3200/tcp open sapdisp SAP ABAP Dispatcher release 7010, patch level 111, database release 701 (DB name T11)
3300/tcp open sapgateway SAP Gateway (Monitoring mode disabled)
3389/tcp open ms-wbt-server Microsoft Terminal Service
3600/tcp open sapms SAP Message Server (SID T11, ID 00)
3900/tcp open sapms SAP Message Server (SID T11, ID 00)
7210/tcp open maxdb SAP MaxDB 7.7.07
8000/tcp open sapicm SAP Internet Communication Manager
8100/tcp open sapmshttp SAP Message Server httpd release 701 (SID T11)
40080/tcp open sapigs SAP Internet Graphics Server
50013/tcp open sapstartservice SAP Management Console (SID T11, NR 00)

Hier sieht man neben typischen SAP Diensten auch noch weitere kritische Dienste wie SSH, MSRDP, SMB und FTP.

Technische Risiken und unsicherer Betrieb

Wenn die Netzwerkfilterung nicht korrekt greift und einige dieser Dienste im unsichere Netzwerke oder dem Internet angeboten werden, können Angreifer verschiedene Schwachstellen ausnutzen.

Zunächst existieren Sicherheitslücken ein einigen Diensten. Als Beispiel sei hier die Schwachstelle CVE-2012-2611 in dem SAP Dispatcher genannt. Dies ist der Dienst der die Verbindungen der SAP-GUI-Clienten entgegennimmt und diesen Zugriff auf das SAP-System gewährt. Diese Schwachstelle erlaubt die Ausführung von beliebigem Code auf dem SAP-System. Ein Angreifer kann über diesen Weg demnach problemlos eine Backdoor oder einen Trojaner in dem System einschleusen.

Ein entsprechender Exploit für diese Schwachstelle ist kostenlos und frei verfügbar im Internet erhältlich.

Netzwerksicherheit: Exploit CVE-2012-2611
Angriffsmodul für CVE-2012-2611

Doch auch abgesehen von technischen Schwachstellen, existieren weitere zu beachtende Risiken. In den Grundeinstellungen kommunizieren nicht alle Dienste sofort sicher mit den Gegenstellen.

An einigen bekannten Diensten lässt sich dies veranschaulichen. Diese besitzen im Standard weder eine funktionierende Verschlüsselung der übertragenen Zugangsdaten (Passwörter) noch eine sichere Verschlüsselung der übertragenen Daten. Die folgende Tabelle listet die Dienste und zeigt welche Betriebseinstellungen standardmäßig aktiv sind. In der letzten Spalte ist zu sehen mit welcher Einstellung eine Absicherung des Dienstes möglich ist.

Dienst Port Protokoll PWD Enc Daten Enc Schutz
SAPGUI 32NN DIAG Kompression
(Kann decomprimiert werden)
Kompression
(Kann decomprimiert werden)
SNC
WebGUI 80NN HTTP Base64 Keine SSL
RFC 33NN RFC XOR Keine SNC
sapstartservice 5NN13 HTTP Base64 Keine SSL

Zusammenfassung

SAP bietet diverse Dienste im Netzwerk an, um mit anderen Systemen kommunizieren zu können. Einen Überblick der tatsächlich aus dem Netzwerk erreichbaren Dienste offenbart ein Netzwerkscan.

Hierdurch entstehen Risiken für das System, weil die Dienste technische Schwachstellen enthalten können oder im unsicheren Modus betrieben werden.

Die Erkennung von Schwachstellen in den Diensten und das Einspielen von Patchen ist  zur Absicherung des SAP-Systems von enormer Bedeutung. Weiterhin ist die Konfiguration für einen sicheren Betrieb anzupassen. Letztlich gilt es auch den Netzwerkzugriff der angebotenen Dienste zu reglementieren. Daher dürfen nur die in den jeweiligen Netzwerksegmenten benötigten Dienste im Netzwerk verfügbar sein.