Netzwerksicherheit (SAP-Bibliothek)

Netzwerksicherheit

Ihre Netzwerkinfrastruktur ist für die Sicherheit Ihres Systems von entscheidender Bedeutung. Sie muß die für Ihre Anwendung erforderliche Kommunikation unterstützen, dabei aber unberechtigte Zugriffe möglichst unterbinden.

Eine durchdachte Netzwerktopologie ist Grundvoraussetzung für den Einsatz effektiver Sicherheitsmechanismen. Da sich grundlegende Entscheidungen nachträglich nur schwer revidieren lassen, sollten Sie Sicherheitsaspekte von vornherein bei der Planung berücksichtigen, selbst dann, wenn die Sicherheit zunächst nicht im Vordergrund steht.

Wenn Sie Sicherheitsmechanismen planen, ist es zunächst wichtig, daß Sie sich über die zu schützenden Ressourcen klar werden und mögliche Risiken abschätzen. Eine Sicherheitsstrategie bedeutet immer eine Abwägung zwischen den möglichen Schäden, die ein Angreifer im System verursachen könnte, und dem Aufwand, der getrieben werden muß, um die Gefährdung abzuwenden. Sie sollten sich über Ihre ganz individuelle Sicherheitsstrategie klar werden und diese schriftlich festhalten.

Sicherheit muß alle Schichten eines Systems umfassen:

Anwendung: Hier bietet das SAP-System eine breite Palette von Mechanismen wie zum Beispiel die Berechtigungsprüfung.

Hier wird nicht näher auf Sicherheitsaspekte der Anwendung eingegangen. Weitere Informationen finden Sie im R/3-Sicherheitsleitfaden (zu finden im SAPnet unter http://sapnet.SAP-ag.de/securityguide ).

Server: Die Betriebssystemkonfiguration der SAP-Server sollte einen sicheren Betrieb ermöglichen. Davon betroffen sind zum Beispiel alle Netzwerkdienste (nicht benötigte wie sendmail abschalten), Remote Login, Paßwortverwaltung, das Network File System (NFS) und das Network Information System (NIS).

Hier wird nicht näher auf die Serverkonfiguration eingegangen. Weitere Informationen finden Sie im R/3-Sicherheitsleitfaden (zu finden im SAPnet unter http://sapnet.SAP-ag.de/securityguide ).

Netzwerk: Das Netzwerk soll den berechtigten Zugang zu Ressourcen ermöglichen, unberechtigte Zugriffe aber verhindern. Zu schützen sind alle SAP-Server eines sicherheitskritischen Systems. Besonders wichtig ist der Datenbankserver, der sämtliche Anwendungsdaten enthält. Aber auch die Applikationsserver sind sicherheitsrelevant, da von auch ihnen ein Zugriff auf die Daten möglich ist.

Meist ist der Schutz der SAP-Server Teil einer umfassenden Strategie zur Sicherung der Ressourcen im Netzwerk. Im Abschnitt Zugangskontrolle beschreiben wir, wie sich der Schutz von SAP-Servern in eine solche Strategie integrieren läßt, und welche Mittel SAP zur Verfügung stellt.

Netzwerkverbindungen: Über die Netzwerkverbindung zwischen SAP-Frontends und den Applikationsservern werden alle Daten übermittelt, die der Benutzer eingibt oder anzeigen läßt. Dies geschieht zwar nicht im Klartext, aber prinzipiell lassen sich die Daten leicht extrahieren. Falls die Vertraulichkeit der Daten wirklich gesichert werden soll, kommen kryptographische Methoden (Verschlüsselung) zum Einsatz. Dasselbe gilt für die anderen SAP-Kommunikationsverbindungen wie CPI-C, RFC und Internet Transaction Server.

Besonders für Verbindungen über öffentliche Netzwerke, wie z.B. das Internet, ist Verschlüsselung meist eine Notwendigkeit. Aber auch im internen Netzwerk kann kryptographische Authentifizierung der Benutzer oder Verschlüsselung sensitiver Daten nötig sein.

In Abschnitt Kryptographische Sicherung der SAP-Netzwerkverbindungen beschreiben wir die Möglichkeiten, mit denen Sie die Vertraulichkeit von Kommunikationsverbindungen sichern können.