Im zweiten Teil der Serie „Howto SAP Security“ (Teil 1) wird die Netzwerksicherheit betrachtet. Hierbei sind zwei Punkte von besonderer Bedeutung. Zuerst ist die Zugriffskontrolle zu betrachten. Dann folgt die Verschlüsselung der Kommunikation.
SAP Netzwerksicherheit
SAP beinhaltet diverse Dienste, die größtenteils aus dem Netzwerk heraus erreichbar sind. Es ist wichtig die verfügbaren Dienste zu kennen, daher zeigt der folgende Screenshot einige wichtige Dienste.

Um Remote zu erkennen, welche Dienste konkret von einem SAP-System in Netzwerk angeboten werden, ist ein Netzwerkscan des Systems ein gutes Mittel. Ein Beispiel eines Scans kann wie folgt ausfallen:
PORT STATE SERVICE VERSION 21/tcp open ftp? 22/tcp open ssh SSH (SSH-2.0-WeOnlyDo 2.1.3) 445/tcp open microsoft-ds? 3200/tcp open sapdisp SAP ABAP Dispatcher release 7010, patch level 111, database release 701 (DB name T11) 3300/tcp open sapgateway SAP Gateway (Monitoring mode disabled) 3389/tcp open ms-wbt-server Microsoft Terminal Service 3600/tcp open sapms SAP Message Server (SID T11, ID 00) 3900/tcp open sapms SAP Message Server (SID T11, ID 00) 7210/tcp open maxdb SAP MaxDB 7.7.07 8000/tcp open sapicm SAP Internet Communication Manager 8100/tcp open sapmshttp SAP Message Server httpd release 701 (SID T11) 40080/tcp open sapigs SAP Internet Graphics Server 50013/tcp open sapstartservice SAP Management Console (SID T11, NR 00)
Hier sieht man neben typischen SAP Diensten auch noch weitere kritische Dienste wie SSH, MSRDP, SMB und FTP.
Technische Risiken und unsicherer Betrieb
Wenn die Netzwerkfilterung nicht korrekt greift und einige dieser Dienste im unsichere Netzwerke oder dem Internet angeboten werden, können Angreifer verschiedene Schwachstellen ausnutzen.
Zunächst existieren Sicherheitslücken ein einigen Diensten. Als Beispiel sei hier die Schwachstelle CVE-2012-2611 in dem SAP Dispatcher genannt. Dies ist der Dienst der die Verbindungen der SAP-GUI-Clienten entgegennimmt und diesen Zugriff auf das SAP-System gewährt. Diese Schwachstelle erlaubt die Ausführung von beliebigem Code auf dem SAP-System. Ein Angreifer kann über diesen Weg demnach problemlos eine Backdoor oder einen Trojaner in dem System einschleusen.
Ein entsprechender Exploit für diese Schwachstelle ist kostenlos und frei verfügbar im Internet erhältlich.

Doch auch abgesehen von technischen Schwachstellen, existieren weitere zu beachtende Risiken. In den Grundeinstellungen kommunizieren nicht alle Dienste sofort sicher mit den Gegenstellen.
An einigen bekannten Diensten lässt sich dies veranschaulichen. Diese besitzen im Standard weder eine funktionierende Verschlüsselung der übertragenen Zugangsdaten (Passwörter) noch eine sichere Verschlüsselung der übertragenen Daten. Die folgende Tabelle listet die Dienste und zeigt welche Betriebseinstellungen standardmäßig aktiv sind. In der letzten Spalte ist zu sehen mit welcher Einstellung eine Absicherung des Dienstes möglich ist.
Dienst | Port | Protokoll | PWD Enc | Daten Enc | Schutz |
SAPGUI | 32NN | DIAG | Kompression (Kann decomprimiert werden) |
Kompression (Kann decomprimiert werden) |
SNC |
WebGUI | 80NN | HTTP | Base64 | Keine | SSL |
RFC | 33NN | RFC | XOR | Keine | SNC |
sapstartservice | 5NN13 | HTTP | Base64 | Keine | SSL |
Zusammenfassung
SAP bietet diverse Dienste im Netzwerk an, um mit anderen Systemen kommunizieren zu können. Einen Überblick der tatsächlich aus dem Netzwerk erreichbaren Dienste offenbart ein Netzwerkscan.
Hierdurch entstehen Risiken für das System, weil die Dienste technische Schwachstellen enthalten können oder im unsicheren Modus betrieben werden.
Die Erkennung von Schwachstellen in den Diensten und das Einspielen von Patchen ist zur Absicherung des SAP-Systems von enormer Bedeutung. Weiterhin ist die Konfiguration für einen sicheren Betrieb anzupassen. Letztlich gilt es auch den Netzwerkzugriff der angebotenen Dienste zu reglementieren. Daher dürfen nur die in den jeweiligen Netzwerksegmenten benötigten Dienste im Netzwerk verfügbar sein.