Die Zugangskontrolle für SAP-Verbindungen muß für die verwendeten SAP-Komponenten verschiedene Funktionen ausführen:

Die Verwaltung der Computer und Ressourcen im Server-Netzwerk kann über eine Management-Konsole erfolgen, die sich in einem sicheren Raum im Rechenzentrum befindet. Sie hat unbeschränkten Zugriff auf Computer und Netzwerkkomponenten des Servernetzwerks.

Wenn für Ihr System eine strenge Zugangskontrolle erforderlich ist, dann sollte diese unbedingt mehrstufig ausgelegt werden. Die bedeutet, daß das Versagen einer einzigen Kontrolle nicht dazu führen darf, daß das System völlig ungeschützt ist. Hintereinander geschaltete Sicherheitssysteme erhöhen einerseits die Schwierigkeit, die ein potentieller Angreifer zu überwinden hat, um zu den geschützten Systemen vorzudringen. Ein weiterer sehr wichtiger Aspekt ist aber auch, daß mehrstufige Systeme im Fall einer falschen Konfiguration von einzelnen Komponenten noch Sicherheitsreserven haben. Fehlkonfigurationen sind der häufigste Grund für erfolgreiche Angriffe.

Die Zugangskontrolle für Netzwerkverbindungen in das Server-Netzwerk (und aus diesem heraus) kann auf verschiedene Weise erfolgen. Im folgenden werden drei Möglichkeiten vorgestellt, von denen nur die letzte Methode mehrstufig ist und somit auch in sicherheitskritischen Bereichen eingesetzt werden kann:

• Paketfilter
• SAProuter
• Firewall mit SAProuter

Die einfachste Möglichkeit zur Implementierung einer Zugangskontrolle ist die Verbindung der Subnetze durch einen Router, der Netzwerkpakete nach bestimmten Kriterien filtern kann. Hier unterscheiden sich Geräte, die auf der Netzwerkschicht (IP-Protokoll, Layer 3 im TCP/IP Protokoll-Stack) arbeiten, von solchen, die auch Filterung auf der Transportschicht (TCP-Protokoll, Layer 4) unterstützen.

Router, die eine Filterung auf der Netzwerkschicht unterstützen, können Pakete zwischen zwei Computern oder zwischen ganzen IP-Netzwerken erlauben oder unterbinden. Dies ist die einfachste Variante, bietet aber nur geringen Schutz. Externe Eindringlinge, die ihre IP-Adresse temporär auf eine zugelassene Adresse umsetzen (IP Spoofing) werden nicht bemerkt.

Geräte, die auf der Transportschicht arbeiten, können zusätzlich die TCP-Information in den Netzwerkpaketen untersuchen. Sie erlauben das Filtern nach bestimmten Services (TCP-Ports) und auch danach, welcher Partner eine Verbindung aufbauen bzw. einen Verbindungsaufbau akzeptieren darf.

Der SAProuter ist ein Programm, das SAP-Datenströme (SAPgui, Remote Function Call, CPI-C, SAPlpd...) zwischen verschiedenen IP-Subnetzen oder innerhalb eines Subnetzes weiterleitet. Ein SAProuter kann einen konventionellen Router nicht ersetzen. Vielmehr wird der SAProuter immer dann eingesetzt, wenn SAP Netzwerkverbindungen gezielt und abgesichert aus eigenem Netzwerk in ein anderes weitergeleitet werden sollen. Derartige Programme werden auch als "Application Level Gateway" bezeichnet

SAProuter wertet die ankommenden Datenpakete aus und schickt sie nach Prüfung der Route und der Berechtigungen an den spezifizierten Zielort weiter. Der Partner, der die Verbindung aufbaut, legt die Route fest (von SAProuter zu SAProuter und zum Zielpunkt). Dieses Verfahren wird "Source-Routing" genannt. Falls eine Verbindung, beispielsweise von einem SAPgui zu einem R/3-System, über einen SAProuter laufen soll, so muß die Route auf der Kommandozeile des SAPgui angegeben werden.

Der SAProuter kann verwendet werden, wenn zwischen den Kommunikationspartnern keine direkte IP-Verbindung möglich ist. Der SAProuter, der auf einem Rechner laufen muß, der mit beiden IP-Netzwerken verbunden ist, kann dann Daten vom SAPgui im einen IP-Netzwerk empfangen und zum R/3 Server im anderen IP-Netzwerk weiterleiten und umgekehrt. Zwischen den Anwendungsprogrammen und den SAProutern findet normales IP-Routing statt.

Der SAProuter unterhält zu jedem Kommunikationspartner eine eigene TCP-Verbindung. Es werden keine IP-Pakete direkt weitergeleitet. Die folgende Abbildung zeigt eine Verbindung zwischen einem SAPgui und einem R/3-System, die über einen SAProuter erfolgt:

Ein SAProuter ermöglicht die vollständige Entkoppelung von IP-Netzwerken oder Subnetzen. Er kann für die folgenden Aufgaben eingesetzt werden:

• Es soll aus sicherheitstechnischen Gründen eine vollständige Abschirmung von Teilnetzen erreicht werden (Beispiel: Firewall, siehe unten)
• Die kommunizierenden Programme können sich aufgrund der Netzwerkstruktur nicht direkt erreichen. Beispiele: Es existiert kein durchgängiges IP-Routing, es existieren keine registrierten IP-Adressen...
• Die R/3-Prozesse sollen von der Bedienung langsamer WAN-Verbindungen entlastet werden. Hintergrund: Da der SAProuter eine eigene TCP-Verbindung zu jeden Kommunikationspartner unterhält, kommuniziert das R/3-System auf Netzwerkebene nur noch mit dem direkt erreichbaren SAProuter. Dieser übernimmt beim Weiterleiten die Aufgabe der WAN-Kommunikation.

Mit dem SAProuter können Sie die Netzwerksicherheit verbessern, indem Sie

• nur zwischen bestimmten Frontend-Computern und/oder zu bestimmten Server-Computern Verbindungen zulassen
• nur Verbindungen zu bestimmten SAP-Diensten zulassen
• den Zugang nur von bestimmten anderen SAProutern aus zulassen
• Ihren SAProuter durch ein Kennwort gegen unberechtigte Zugriffe von außen schützen
• die Verbindungen zu Ihrem SAP-System in verschiedenen Detailstufen protokollieren

Der SAProuter wird mit einer Datei konfiguriert, die als Route Permission Table bezeichnet wird. In dieser Konfigurationsdatei geben Sie die IP-Adressen und Adreßmuster von Rechnern an, die auf Ihre SAP-Systeme zugreifen können, sowie die Dienste, mit denen sich die Rechner verbinden können. Sie können wichtige SAProuter-Aktivitäten, wie den Aufbau und die Beendigung einer Verbindung, auch protokollieren lassen.

Details zur Konfiguration des SAProuter finden Sie in der SAP-Online-Dokumentation BC-SAProuter oder in OSS-Hinweis 30289.

Die folgende Abbildung zeigt den Weg, den die Netzwerkverbindung über den SAProuter nimmt. Es handelt sich hierbei um zwei getrennte TCP-Verbindungen, da der SAProuter die Verbindung auf der Anwendungsschicht herstellt. Die Richtung des Verbindungsaufbaus wird durch die Pfeilspitzen gekennzeichnet. Als Beispiel sind die TCP-Ports für eine SAP-Instanz namens PRD mit der Instanznummer 00 dargestellt. Verbindungen zu diesen Ports müssen durch entsprechende Einträge in der Route Permission Table zugelassen werden.

Wenn der Zugriff auf bestimmte Netzwerkbereiche sehr stark gesichert werden muß, wie beispielsweise beim Übergang zu einem öffentlichen Netzwerk wie dem Internet, muß ein mehrstufiges Sicherungssystem eingesetzt werden. Solch ein System nennt man üblicherweise "Firewall". Auch zur Absicherung von sicherheitskritischen Bereichen im internen Netzwerk, beispielsweise eines hochsensiblen SAP-Systems, werden Firewalls eingesetzt.

Eine Firewall ist ein System aus Hardware- und Softwarekomponenten, die nur erwünschte Verbindungen zulassen und andere blockieren. Die Komponenten eines Firewall-Systems arbeiten auf verschiedenen Netzwerkschichten:

• IP-Paketfilter Berechtigten Kommunikationspartner werden auf Grundlage ihrer IP-Adresse bestimmt.
• Filter auf TCP-Port-Ebene Zusätzlich werden sämtliche TCP-Ports gesperrt bis auf diejenigen, die den benötigten Anwendungen zugeordnet sind (in der Regel werden alle Standard-Dienste gesperrt). Damit kann ein externes Programm nur noch mit einer zugelassenen Anwendung kommunizieren. In diesem Fall müssen diese Anwendungen zusätzliche Sicherheitsmaßnahmen treffen, um die externen Partner zu identifizieren (siehe unten).
• Application-Level-Gateways bieten eine Ergänzung zum TCP-Port-Filtering. Für jede Anwendung, deren TCP-Port zugelassen ist, wird in der Firewall ein Programm (Application-Level-Gateway) installiert, der die von außen ankommenden Daten entgegennimmt, eventuell den Absender mit Mitteln dieser Anwendung identifiziert und im Falle einer erfolgreichen Prüfung die Daten in das interne Netzwerk weiterleitet. Es existiert somit keine direkte TCP-Verbindung zwischen den Rechnern des internen Netzwerkes und der Außenwelt mehr. Der SAProuter übernimmt diese Funktion für den SAP-Datenverkehr. Die Berechtigungsprüfung erfolgt mit Hilfe des Route Permission Table.

Viele Hersteller bieten komplette Firewall-Pakete an, in denen alle benötigten Hardware- und Software-Komponenten vorkonfiguriert ausgeliefert werden. Manche Firewalls unterstützen die Authentifizierung der Benutzer mit Einmal-Passwörtern, die von sogenannten "Token-Cards" erzeugt werden. Solche Verfahren sind dem Paßwortmechanismus, der im SAProuter implementiert ist, deutlich überlegen. Näheres entnehmen Sie bitte der Dokumentation des Herstellers. Da herkömmliche Firewalls keine speziellen Funktionen für SAP-Netzwerkverkehr aufweisen, müssen Sie die SAP-Verbindungen wie normale TCP-Verbindungen behandeln. Es empfiehlt sich nicht, für jeden Applikationsserver mehrere TCP-Verbindungen (Dispatcher, Gateway) zuzulassen. Einfacher wird die Konfiguration, wenn Sie einen SAProuter verwenden, der die Verbindungen bündelt. Wie sich der SAProuter in ein fertiges Fireall-Produkt integrieren läßt erfahren Sie von Ihrem Firewall-Hersteller.

Es ist durchaus möglich, aus herkömmlichen Komponenten wie Routern und normalen Computern ein Firewall-System selbst aufzubauen. Da wir hier nicht auf die Implementierung eines bestimmten Herstellers eingehen können, schildern wir im folgenden ein System, das aus einzelnen Komponenten aufgebaut ist. Dadurch wird der Zusammenhang zwischen den Komponenten klarer.

In den unteren Schichten blockieren Router und Paketfilter IP-Pakete auf der Basis von vordefinierten (einfachen) Regeln. Der SAProuter stellt die Funktion eines Anwendungs-Gateways für SAP-Verbindungen zur Verfügung. Die folgende Abbildung zeigt ein Beispiel für die Absicherung eines SAP-Server-Netzwerks mit einer solchen Firewall:

Nur auf die Rechner in der sogenannten "entmilitarisierten Zone" (engl. "demilitarized zone") kann aus Server- und Frontend-Netzwerk direkt zugegriffen werden. Die Router/Paketfilter sind so konfiguriert, daß sie nur Verbindungen für bestimmte Netzwerkdienste der Rechner in der entmilitarisierten Zone durchlassen, niemals jedoch von dem jeweils anderen Router. So wird sichergestellt, daß jede Netzwerkverbindung tatsächlich den SAProuter (oder ein anderes Anwendungs-Gateway) in der Firewall passiert hat. Weitere Anwendungs-Gateways, wie z.B. Web-Proxies, befinden sich auch in der entmilitarisierten Zone.

Wenn Sie den SAProuter verwenden, müssen Sie im Paketfilter des Routers im Frontend-Netzwerk lediglich Verbindungen zu dem Port auf dem Rechner, auf dem der SAProuter läuft, öffnen (standardmäßig 3299). Alle SAPgui- und RFC-Verbindungen müssen diesen Port passieren. Der zweite Router sorgt dafür, daß selbst in dem Fall, daß der SAProuter von einem Angreifer übernommen werden kann, keine direkten Angriffe auf andere Netzwerkdienste der SAP-Server-Computer möglich sind.

Die folgende Abbildung zeigt ein Beispiel dafür, wie Firewalls mit SAProuter eingesetzt werden können:

Im Beispiel werde SAP-Frontends sowohl im internen Firmennetzwerk, als auch im Netzwerk einer über Wide Area Network angeschlossenen Niederlassung und von mobilen Computern aus eingesetzt, die über Dial-In-Verbindungen zugreifen. Für alle Zugriffe von außen ist das Firmennetzwerk durch eine Firewall abgeschirmt, die einen SAProuter zum Weiterleiten der SAP-Verbindungen enthält. Weitere Application-Level-Gateways in der Firewall, beispielsweise für Web-Zugriff, sind möglich, aber hier nicht gezeigt. Das interne Netzwerk der Niederlassung ist ebenfalls durch eine Firewall vor Zugriffen aus dem WAN gesichert.

Alle SAP-Frontends greifen auf das zentrale SAP-System zu. Die SAP-Server befinden sich in einem separaten schnellen Netzwerk (hier ist nur ein Server gezeigt). Zusätzlicher Schutz der Systeme erfolgt durch einen SAProuter, der dieses Servernetzwerk mit dem Backbone im internen Netzwerk verbindet.