Show TOC

HintergrundSicherheitshinweis SAP Web Dispatcher

 

Um maximale Sicherheit beim Einsatz des Web Dispatchers zu gewährleisten, empfiehlt SAP folgende Maßnahmen beim Betrieb.

  • Halten Sie den Web Dispatcher immer auf dem aktuellem Stand. Wie Sie den neuesten Web Dispatcher holen und einspielen, ist unter Inbetriebnahme des SAP Web Dispatchers Einspielen des SAP Web Dispatchers beschrieben.

  • Benutzen Sie das verschlüsselte HTTPS-Protokoll statt HTTP

    Weitere Informationen finden Sie unter: SSL-Unterstützung des SAP Web Dispatcher konfigurieren

  • Um die Verwendung von unverschlüsselten HTTP komplett zu unterbinden benutzen Sie den Rewrite Handler um einenProtokollwechsel von HTTp zu HTTPS zu konfigurieren. Damit vermeiden Sie Fehlermeldungen im Browser, falls Benutzer versehentlich mit einer HTTP-Url auf das System zugreifen möchten. Beachten Sie hierbei, dass nicht alle HTTP-Clients diesen Redirects auch folgen. Während die Konfiguration des Redirects sicherstellt, dass kein HTTP Zugriff auf das System möglich ist, ist es möglich, dass einzelne Verwender des Systems, z.B. Web Service Endpunkte, von HTTP nach HTTPS umgestellt werden müssen.

  • Verwenden Sie HTTPS ebenfalls zwischen dem SAP Web Dispatcher und den Backendsystemen mittels dem Profilparameter wdisp/ssl_encrypt, sofern das Netzwerk zwischen dem SAP Web Dispatcher und dem Backendsystemen nicht anderwertig hinreichend abgesichert ist.

  • Konfigurieren Sie eigene Fehlerseiten, damit der technische Grund für den Fehler nicht am Endbenutzer ankommt, indem Sie

    icm/HTTP/error_templ_path = /usr/sap/B6M/D13/data/icmerror

    setzen.

    Alternativ dazu können Sie den Parameter is/HTTP/show_detailed_errors auf FALSE setzen. Dann werden keine Details über den Fehler an den Client weitergegeben.

    Weitere Informationen dazu finden Sie unter Fehlerbehandlung.

  • Verwenden Sie Filter um auf verschiedenen Ebenen den Zugriff auf ihr System einzuschränken. Der SAP Web Dispatcher bietet verschiedene Filtermechanismen an. Wir empfehlen den einfachsten Mechanismus zu verwenden, mit welchem sich die Sicherheitsanforderungen lösen lassen. Das heißt z.B. wenn ACLs ausreichen, verwenden Sie diese; die nächste Stufe wäre der Authentication Handler und die letzte Stufe schließlich der Rewrite Handler. Dadurch können Sie eine unnötig komplexe Konfiguration vermeiden, was wiederum auch zur Sicherheit des Systems beiträgt.

  • Wenn Sie Negativlisten (Deny-Einträge) in URL-Filtern angeben, verwenden Sie case-insensitive Filter, da der AS ABAP URLs case-insensitiv behandelt.

Filtermechanismus

ACL Dateien

Authentication Handler

HTTP Request Manipulation Handler

Verwendung

Verwenden Sie ACL-Dateien um Zugriffe auf bestimmte Client-IP-Adressen oder Client-IP-Adressbereiche einzuschränken, wenn die Beschränkung nicht vom Inhalt des HTTP-Requests (also auch nicht von der URL) abhängen, und keine HTTP-Fehlerseite gewünscht ist.

Weitere Informationen: Zugriffskontrolllisten (ACL) einrichten

Verwenden Sie den Authentication Handler, um URL-Filter einzurichten. Regeln im Authentication Handler können sich ebenfalls auf bestimmte Client-IP-Adressen, oder auf IP-Adressen des Servers beziehen.

Weitere Informationen:icm/HTTP/auth

Verwenden Sie den HTTP Rewrite Handler für Filter die nicht durch ACL Dateien oder den Authentication Handler abbilden lassen. Der Rewrite Handler ist ein mächtiges Werkzeug für unterschiedliche Filtermechanismen. Er ermöglicht es, anhand eines Regelwerks zahlreiche Daten eines HTTP-Request abzuprüfen und miteinander zu verknüpfen. Für passenden Request können verschiedene Aktionen ausgeführt werden.

Weitere Informationen:Modifizieren von HTTP-Requests

Dynamische Nachladen der Konfigurationsdatei

möglich

möglich

möglich

Positiv- bzw- Negativlisten

beides, auch gemischt möglich

beides, auch gemischt möglich

beides, auch gemischt möglich

Filterung auf URLs, Behandlung von Groß- und Kleinschreibung

-

ja, in der Defaulteinstellung case-insensitiv, ist konfigurierbar

ja, Groß- und Kleinschreibung ist pro Filterregel konfigurierbar

Security Logging

ja

ja

nein

Filterung auf Client IP Adressen, inklusive Netzmasken

ja

ja

ja

  • Verwenden Sie HTTP Logging und Security Logging

  • Nehmen Sie folgende Einstellungen zur Erhöhung der Sicherheit der Webadmin-Oberfläche vor:

    • Verwenden Sie HTTPS, um die Ausspähung des Passworts zu verhindern. Benutzen Sie hierzu in der URL einen HTTPS-Port, den Sie mit dem Parameter icm/server_port_<xx> eingerichtet haben.

    • Erlauben Sie die Administration des Web Dispatchers nur auf Ports mit einem sicheren Protokoll (HTTPS), indem Sie die Option PORT des Parameters icm/HTTP/admin_<xx> auf einen HTTPS-Port setzen.

    • Konfigurieren Sie als Admin-Port einen Port, der nur vom internen Netz erreichbar ist. Verwenden Sie dazu die Option PORT des Parameters icm/HTTP/admin_<xx>.

    • Lassen Sie die Administration nur unter einem bestimmten Rechnernamen / IP-Adresse zu, der nur vom internen Netz erreichbar ist. Verwenden Sie dazu die Option HOST des Parameters icm/HTTP/admin_<xx>.

    • Beschränken Sie die Administration auf Clients aus dem internen Netz. Verwenden Sie dazu die Option CLIENTHOST des Parameters icm/HTTP/admin_<xx>.

    Weitere Informationen dazu finden Sie unter Verwendung der Web-Administrations-Oberfläche.

Weitere Informationen

Die aktuellen Informationen zu den Sicherheitseinstellungen des Web Dispatchers finden Sie in SAP-Hinweis 870127Auf SAP-Site veröffentlichte Informationen.