Show TOC

Dokumentation zur VorgehensweiseRegistrierung externer Serverprogramme einschränken Dieses Dokument in der Navigationsstruktur finden

 

Wenn Sie einen registrierten RFC-Server (auf der Basis von RFC SDK, SAP NetWeaver RFC SDK, JCo, .NET Connector oder Business Connector verwenden, besteht grundsätzlich die Gefahr, dass ein potentieller Angreifer ein externes Schadprogramm an einer RFC-Destination registriert und so RFC-Aufrufe abfängt, die an das korrekte externe RFC-Programm gesendet werden sollen.

Voraussetzungen

Um die folgenden Verfahren zu nutzen, muss das SAP-System folgende Voraussetzungen erfüllen:

  • SAP Kernel 7.00

  • Patch Level 119

  • ABAP Support Package 13

Vorgehensweise

Sie können zwei verschiedene Mechanismen verwenden, um die Registrierung unerwünschter externer Programme an einer RFC-Destination zu verhindern:

  • Verwendung der Datei reginfo

  • Verwendung von SNC (Secure Network Communications)

Gehen Sie dazu folgendermaßen vor:

Datei reginfo

  • Legen Sie im Verzeichnis $DIR_DATA eine Datei mit dem Namen reginfo an.

    Hinweis Hinweis

    Wenn Sie einen anderen Dateinamen und/oder ein anderes Verzeichnis verwenden möchten, können Sie den neuen Dateinamen im Profilparameter gw/reg_info hinterlegen.

    Ende des Hinweises.

  • Die Datei reginfo wird beim Systemstart eingelesen. Jede Zeile kann einen oder mehrere der folgenden Werte enthalten:

    • Die Programm-ID. Diese definiert die RFC-Destination, der die folgenden Sicherheitseinstellungen zugeordnet werden sollen.

    • Einen Hostnamen (bzw. IP-Adresse), von dem aus eine Registrierung an dieser RFC-Destination erfolgen darf.

    • Einen Hostnamen (bzw. IP-Adresse), von dem aus RFC-Aufrufe an diese RFC-Destination gesendet werden dürfen.

    • Einen Hostnamen (bzw. IP-Adresse), von dem aus die registrierten externen Programme deregistriert werden dürfen.

      Hinweis Hinweis

      Das Gateway erlaubt die entfernte Deregistrierung von registrierten Programmen. Grundsätzlich besteht die Gefahr, dass ein Angreifer diese Funktion für einen Denial Of Service-Angriff verwendet. Durch Einschränkung der hierfür zugelassenen Hosts kann ein solcher Angriff verhindert werden.

      Ende des Hinweises.

    • Die maximal Anzahl registrierter Server für die definierte Programm-ID.

      Hinweis Hinweis

      Sie können Aktivitäten (Registrierung, Deregistrierung, RFC-Aufrufe) mit der Datei reginfo sowohl explizit erlauben als auch ausschließen.

      Ende des Hinweises.
SNC

  • Aktivieren Sie beim Anlegen einer RFC-Destination (Transaktion SM59) SNC für diese Destination und definieren Sie einen SNC-Namen für das externe Programm.

    Dadurch lässt das Gateway eine Registrierung für die entsprechende Programm-ID nur dann zu, wenn ein externes Programm sich über SNC registriert, das über ein ein signiertes digitales Zertifikat verfügt und den definierten SNC-Namen enthält.

    Hinweis Hinweis

    Dieses Verfahren ist insbesondere geeignet, Angriffe durch IP Spoofing abzuwehren, die die Sicherheitseinstellungen in der reginfo-Datei umgehen könnten.

    Ende des Hinweises.

Weitere Informationen

Ausführliche Informationen zur Konfiguration des SAP-Gateway und der reginfo-Datei finden Sie unter:

Weitere Informationen zu SNC erhalten Sie im SNC-Benutzerhandbuch:

  • http://service.sap.com/security   Security in Detail   Secure User Access   Authentication & Single Sign-On