1 / 2013 SAST in Kürze Liebe Leserinnen und Leser, die Sicherheit von SAP®-Systemen ist und bleibt ein brisantes Thema. Viel zu oft offenbaren SAP-Audits Schwachstellen in Systemen. Risiken werden von SAP-Kunden und -Anwendern leider noch immer stark unterschätzt. Wir von akquinet wollen, dass Ihre Systeme und Ihre wertvollen Daten vor Angreifern geschützt sind. Speziell dafür haben wir zum Beispiel die „SAST GRC Suite für SAP“ entwickelt. Weil uns die Sicherheit Ihrer SAP-Systeme besonders am Herzen liegt, möchten wir Sie ab sofort auch mit einem eigenen Newsletter zu diesem Thema informieren. In „SAST Inside“ lesen Sie interessante Berichte über aktuelle Entwicklungen in Bezug auf die Sicherheit von SAP-Systemen. Wir bieten Ihnen hier Tipps und Guidebooks zu konkreten Einstellungen. Erfahren Sie in „SAST Inside“ frühzeitig von Neuerungen unsere Produkte betreffend. Gerne möchten wir Sie auch über Veranstaltungen informieren, an denen wir mitwirken dürfen. So ist akquinet auch 2013 wieder mit einem eigenen Partnerstand auf dem DSAG-Jahreskongress vertreten, der vom 17. bis 19. September in Nürnberg stattfinden wird. Besuchen Sie mich dort. Ich beantworte gerne Ihre Fragen persönlich und freue mich auf einen regen Erfahrungsaustausch. Viel Spaß beim Lesen von „SAST Inside“! SAST hautnah erleben! Tipps aus der Beratung SAP-Events mit akquinet: Optimal geschützt Sicherheit in SAP-Systemen ist ein Kernthema der bevorstehenden Veranstaltungen in der zweiten Jahreshälfte. Der DSAG Jahreskongress 2013 informiert über neue technische Herausforderungen in der SAP-Systemlandschaft. Praxistipps zum Umgang mit Sicherheitslücken liefern der Infotag von Virtual Forge und das Webinar von akquinet. Weiterlesen… SAP-Audit – Warum alle Ebenen betrachtet werden müssen Wann ist ein SAP-System sicher? Wann nicht? Das klärt eine umfassende Schutzbedarfsanalyse, die auch die technologische Absicherung eines Systems sowie die etablierten Kontrollprozesse des jeweiligen Unternehmens miteinbezieht. Zum Beispiel mit SAST System Track und SAST User Track. Weiterlesen... Produktinformationen Neue SAP-Funktion für die Auswertung des Berechtigungstrace SAST 3.1a: Das neue Release ist da Mehr Sicherheit mit SAST 3.1a: Unter anderem mit erweiterten Archivierungsmöglichkeiten, verbesserter Auswertung von Risikoanalysen sowie einer Reminder- und Eskalationsfunktion im UAM-Workflow. Weiterlesen… STAUTHTRACE heißt eine neue Erweiterung der ST01 Tracefunktion. Sie erleichtert die Arbeit im SAP-Alltag. Ein systemübergreifender Trace von Anwendern wird problemlos möglich. Weiterlesen... Herzlich Willkommen im SAST-Serviceportal SAST Info Center – Tipps und Infos 24/7 Das neue „SAST Info Center“ informiert Sie umfassend zu Themen aus dem Bereich „governance risk and compliance“. Immer aktuell und rund um die Uhr. Weiterlesen… Security Info Absicherung von Oracle-Datenbanken im SAP-Umfeld Softwareaktualisierung, Netzwerksicherheit, ListenerSicherheit: Die besten Tipps zur Härtung von OracleDatenbanken und wie Sie diese umsetzen. Weiterlesen... Ihr Bodo Kahl akquinet Geschäftsführer Seite 1 1 / 2013 SAST hautnah erleben! 20.06. Virtual Forge Infotag in München (Gastreferent Ralf Kempf, Geschäftsführer akquinet) 04.07. Live-Webinar „Schutz vor Datendiebstahl aus SAP-Systemen! - Download Observer“ 22.08. Live-Webinar „SAP Notfalluser-Konzept - Protokollierung lesender Zugriffe auf sensible SAP-Daten (HCM,Finance)“ 10.09. Live-Webinar "SAP Solution Manager - Segen oder Fluch für die Sicherheit Ihrer SAP-Systeme?" 17.09. - 19.09. DSAG Jahreskongress in Nürnberg 09.10. Live-Webinar "Automatisierte Überwachung aller relevanten SAP-Infrastrukturkomponenten" 05.11. Live-Webinar "Berechtigungs- und Funktionstrennungsanalysen in Echtzeit" Quelle: http://www.bmw-welt.com Zu Gast in der BMW Welt München 20. Juni: „Neue Lösungen für Sicherheit & Compliance in SAP-Systemen“ Investieren Sie in Ihre SAP-Sicherheit – und besuchen Sie den Infotag „Neue Lösungen für Sicherheit & Compliance in SAP-Systemen“ von Virtual Forge. In der BMW Welt in München wird am 20. Juni 2013 neben der Qualitätssicherung und dem Risikomanagement auch die Sicherheit thematisiert. Denn in einem SAP-System gibt es bis zu 3.000 Stellschrauben, die evaluiert werden müssen, um den sicheren Betrieb zu gewährleisten. Gemeinsam mit unserem Partner Virtual Forge zeigen wir Ihnen, wie Sie Sicherheitslücken in Ihrem SAP-System schnell und zuverlässig aufdecken und beheben können. Erkenntnisse und Zahlen aus der Praxis belegen, dass sich Investitionen in die SAP-Sicherheit wirklich lohnen. Seien Sie dabei und diskutieren Sie mit: Beim brisanten Vortrag mit dem Titel „5 Todsünden im Berechtigungswesen“ des akquinet-Geschäftsführers Ralf Kempf. Blocken Sie jetzt den Termin und seien Sie dabei! → Registrieren Sie sich jetzt! 4. Juli: Diebstahlsicher mit dem akquinet Live-Webinar „Schutz vor Datendiebstahl aus SAP-Systemen!" – SASTGRC Suite Download Observer” Sie wollen Ihre SAP-Systeme vor Datendiebstahl schützen? Sie suchen ein effizientes SAP-zertifiziertes Instrument zum Schutz Ihres Unternehmens gegen Betriebsspionage und gegen eine Verletzung der Datenschutzbestimmungen? Am 4. Juli 2013 informiert das 30-minütige Live-Webinar von akquinet über den „Schutz vor Datendiebstahl aus SAP -Systemen!". Das Webinar richtet sich an SAPVerantwortliche sowie -Mitarbeiter, die eine SAPintegrierte Lösung gegen vielfältige Sicherheitslücken suchen. Mit dem SAST-Download Observer wird das Herunterladen sensibler Daten (zum Beispiel von Patenten, technischen Zeichnungen, Kundendaten oder Finanzdaten) aus dem SAP-System automatisch überwacht und protokolliert. → Registrieren Sie sich jetzt! 17. bis 19. September: DSAG Jahreskongress 2013 Die größte SAP-Anwendergruppe weltweit lädt ein: zum DSAG Jahreskongress 2013. Vom 17. bis 19. September 2013 wird in Nürnberg über mobile Anwendungen, CloudLösungen und In-Memory diskutiert. Die Veranstaltung findet dieses Jahr unter dem Motto „Prozesse im Wandel – Fakt oder Fiktion?“ statt. Insbesondere Trends und zukünftige Herausforderungen im Zuge neuer Technologien stehen im Fokus. Wer Sicherheitsrisiken in der eigenen SAP-Systemlandschaft minimieren will, kann vor Ort mit unseren Experten sprechen – und erhält kompetente Beratung zu Compliance -Projekten. Mit unserer „SAST GRC Suite für SAP®“ schließen Sie zusätzlich Sicherheitslücken in Ihren SAP-Systemen und sorgen für ein Maximum an Sicherheit. Besuchen Sie auch unseren Partnervortrag „Die Entzauberung der SAP-Sicherheitsmythen“ am 17. September 2013 um 17:45 Uhr. Für Kurzentschlossene Rufen Sie uns einfach an +49 (0)40-88173-4625 oder schicken Sie uns eine Mail an [email protected] Seite 2 1 / 2013 PRODUKTINFORMATIONEN SAST 3.1a: Das neue Release ist da Eine optimierte Archivierung im SAST-Download Observer, verbesserte Auswertungsmöglichkeiten von Risikoanalysen, eine Reminder- und Eskalationsfunktion im UAM-Workflow sowie erste Web-Interfaces wichtiger UAM-Funktionen: Das sind noch lange nicht alle Ergänzungen, die das neue SAST-Release 3.1a bietet. Weitere Informationen erhalten Sie über das SASTServiceportal im Download-Bereich. Hier erhalten Sie auch immer die aktuellen Hinweise zu neuen Erweiterungen unserer Produkte (demnächst ein Tool im HR-Umfeld, mit dem lesende Zugriffe sensibler HR-Daten revisionssicher protokolliert werden). Seit April 2013 steht das Release SAST 3.1a allen akquinetKunden zur Verfügung. Das erste Servicepack SP01 zum Release 3.1a veröffentlichen wir Anfang Juli 2013. Wir freuen uns besonders auf Anregungen und Verbesserungsvorschläge von unseren Kunden und SAP-Anwendern. Denn wir arbeiten für Sie mit unserem Security-ExpertenTeam bereits an dem nächsten Release. Michael Kuschnik Fon: +49 (0)40-88173-2706 E-Mail: [email protected] Mit dem Release 3.1a ermöglicht akquinet in vier SASTProdukten eine Reihe neuer und überaus nützlicher Funktionen an (Auswahl siehe Grafik). Neben Deutsch und Englisch steht Ihnen unsere SAST GRC Suite ab sofort auch in folgenden Sprachen zur Verfügung*: Russisch Französisch Spanisch Tschechisch Chinesisch Portugiesisch (brasilianisches Portugiesisch) *Sprachpakete können als kostenpflichtige Zusatzpakete über unseren Vertrieb bestellt werden. Seite 3 1 / 2013 Herzlich Willkommen im SAST-Serviceportal SAST Info Center – Tipps und Infos 24/7 Das SAST-Serviceportal (https://sast.akquinet.de) hat Zuwachs bekommen: Mit dem neuen Bereich „Info Center“ bleiben Sie stets rundum informiert. Seit Jahresbeginn erfahren hier Kunden und Anwender der „SAST GRC Suite für SAP®“ alles Wissenswerte aus dem Bereich „governance risk and compliance“. Im neu hinzugekommenen Bereich stehen Ihnen Publikationen und viele weitere wertvolle Informationen zur Verfügung. Präsentationen, zum Beispiel von der TROOPERS 2012 oder der DSAG 2012 sowie interessante Charts, etwa wie „Breaking SAP® in 59 sec.“, können hier kostenlos heruntergeladen werden. Mit dem „SAST Info Center“ erweitert akquinet das SASTServiceportalangebot. Profitieren auch Sie von den Vorteilen, wie es bereits über 160 zufriedene Portal-Nutzer tun. Informieren Sie sich jederzeit, aktuell und umfassend – im „SAST Info Center“. Ihr Ansprechpartner bei Fragen rund um das SAST-Serviceportal ist: Florian Wunder Fon: +49 (0)40-881 73-4413 E-Mail: [email protected] Haben Sie eigene interessante Beiträge für uns, die wir im Sinne aller unserer Kunden veröffentlichen können, dann freuen wir uns über Ihre Einsendung an [email protected]. Seite 4 1 / 2013 TIPPS AUS DER BERATUNG SAP-Audit – Warum alle Ebenen betrachtet werden müssen Häufig werden Sicherheitsthemen ausschließlich auf der Berechtigungsebene innerhalb eines SAP-Systems diskutiert. Dass dies wichtig ist, ist unbestritten. Doch wie lässt sich ein SAP-System umfassend analysieren, um einen möglichst vollständigen Überblick des aktuellen Security Levels zu erhalten? Wann ist ein System sicher? Wann nicht? Um diese Fragen zu klären, muss ein System umfassend analysiert werden – auf sämtlichen Betrachtungsebenen. Eine Schutzbedarfsanalyse ist dann umfassend, wenn sie auch die technologische Absicherung eines Systems sowie die im Unternehmen über viele Jahre etablierten Kontrollprozesse miteinbezieht. Ein wesentlicher Bestandteil der Analyse ist dementsprechend das Betriebssystem, das, bildlich gesprochen, wie bei einer Pyramide das Fundament der IT-Infrastruktur bildet (siehe Grafik). Auch die Schnittstellen auf der Betriebssystem-Ebene sind wichtige Analysebestandteile. Jede Betriebssystemplattform offenbart eigene Schwachstellen, die aus den verschiedensten Quellen bekannt sind – etwa dem jeweiligen Herstellerportal, aus Security-Portalen oder zum Beispiel in Form von Hinweisen in Security Notes im Service-Portal der SAP AG selbst. Dies gilt generell für die in SAP-Systemen zugrundeliegenden Datenbankplattformen. Denn auch hier finden sich auf unterschiedlichen Security Level weitreichende SecuritySchwächen – angefangen von Benutzer- und Berechtigungsstrukturen der zugrundeliegenden Datenbankschemen bis hin zu unsicheren Parametrisierungen. Die direkt die SAP-Produkte umfassende Security-Ebene, die Applikationsebene, beinhaltet neben der auf SAP NetWeaver aufbauenden Plattform auch jene auf Applikationsebene, in der die Berechtigungen gemäß zugrundeliegender Berechtigungskonzepte vergeben werden. Zur Prüfung dieser verschiedenen Ebenen, inklusive eines verlässlichen und periodischen Reportings, eignen sich verschiedene Werkzeuge. So bietet SAP über den Security Optimization Service (SOS) als Funktionalität des SAP Solution Managers ein Prüfregelwerk an, das die Schwachstellen im Umfeld von SAP NetWeaver sowie in Bezug auf SAP Security Patches systemübergreifend analysieren kann. Um Funktionstrennungskonflikte zu ermitteln, müssen Softwareprodukte anderer Hersteller zum Einsatz kommen. Eine vollständige Analyse der dargestellten Security-Ebenen lässt sich etwa durch den Einsatz der Komponenten SASTSystem Track sowie SAST-User Track durchführen. Die Ergebnisse münden in aussagekräftige Berichte. Diese bilden das Grundgerüst für eine dauerhaft angelegte Security Compliance der gesamten Systemlandschaft, die sich in Form eines Auditplanes im Einsatz der Komponente SASTRisk Track zeigt. Wer auf verschiedene Analysetools mit unterschiedlichen Prüfschwerpunkten setzt, wird viel Zeit aufwenden müssen, um Ergebnisse sinnvoll zusammenzuführen. Auch die Übersichtlichkeit der Daten wird sehr wahrscheinlich leiden. Die Vorteile eines strukturierten SAST-Reportings über sämtliche Security-Ebenen liegen hingegen auf der Hand: Einzelergebnisse werden einheitlich dargestellt. Sie können leicht zu einem ganzheitlichen Security Level zusammengeführt werden. Dies spart Anwendern Zeit. Und Unternehmen Geld. Seite 5 1 / 2013 TIPPS AUS DER BERATUNG SECURITY INFO Neue SAP-Funktion für die Auswertung des Berechtigungstrace Absicherung von Oracle-Datenbanken im SAPUmfeld Ein leider allzu bekanntes Problem: Sie aktivieren den Trace für einen Benutzer in ST01 und sehen keine Ergebnisse. Denn: Der Benutzer war im Rahmen der SAP-Lastverteilung auf einer anderen Instanz aktiv. Aus der Erfahrung von über 100 SAP-Audits wissen wir, dass bei nahezu jedem Kunden – mindestens mit einem Exploit – auf die SAP-Datenbank als DBA oder SAP SIDADM zugegriffen werden kann. Genau für dieses Problem stellt SAP in den aktuellen Hot Packages eine Erweiterung der ST01-Tracefunktion bereit. Diese erleichtert einen systemübergreifenden Trace von Anwendern. Alle Daten des SAP-Systems werden in der Datenbank abgelegt. Wenn sich ein Hacker direkt Zugriff auf die Datenbank verschafft und so Zugang zu den SAP-Tabellen erlangen kann, sind Datendiebstahl, Manipulationen und Sabotage möglich. Mit der im Hinweis 1707841 ausgelieferten Erweiterung können Sie den Systemtrace für Berechtigungsprüfungen auf allen Servern sowie auf ausgewählten Servern eines Systems starten oder stoppen (Neue Transaktion: STAUTHTRACE). Tipps zur Härtung von Oracle-Datenbanken (Oracle 10/11) Der Name des Servers wird bei den durchgeführten Berechtigungsprüfungen in einer zusätzlichen Spalte angezeigt. Dank der neuen Transaktion, können Traces wesentlich leichter vom Berechtigungsadministrator ausgewertet werden. Bequem, im Tagesbetrieb. OSS Hinweise: → Hinweis 1603756 - Berechtigungsprüfungen aufzeichnen mit STAUTHTRACE → Hinweis 1707841 - STAUTHTRACE: Systemweite Traceauswertung → Hinweis 1793298 - STAUTHTRACE - Auswahl der Server über eine Logon Gruppe Sie haben Fragen? Fon: +49 (0)40-88173-4625 E-Mail: [email protected] Softwareaktualisierung Oracle stellt seinen Kunden zyklische Sicherheitspatches zur Verfügung – die Service Critical Patch Updates (CPU). Kunden wird dringend empfohlen, die Patches stets zeitnah einzuspielen. Seit 2005 stellt Oracle CPUs für alle Produktangebote im regelmäßigen Turnus zur Verfügung. Die umfangreichen Patches beinhalten Korrekturen für signifikante Sicherheitsschwächen. Kunden sollten sie unbedingt einbauen, sofern sie nicht mit einem anderen Patch kollidieren, der aus SAPSicht unbedingt notwendig ist. CPU-Patches ab Oracle Version 10.2.0.4 bestehen nicht mehr wie bisher aus einem einzigen großen Merge-Patch, sondern aus mehreren voneinander unabhängigen sogenannten Patch-Molekülen. Ein Patch-Molekül ist prinzipiell wie ein einzelner Patch zu sehen. Es kann entweder komplett installiert werden oder gar nicht. Bei einem Konflikt zwischen einem bereits installierten Patch und einem im CPU enthaltenen Patch-Molekül kann der DBA entscheiden, den CPU entweder gar nicht zu installieren oder aber wenigstens die konfliktfreien PatchMoleküle zu installieren. Die konfliktverursachenden PatchMoleküle werden zu einem späteren Zeitpunkt nachinstalliert, wenn der Merge-Patch zur Verfügung steht. Der wesentliche Vorteil dieses neuen Verfahrens ist eine geringere Wahrscheinlichkeit für Patch-Konflikte. Wenn trotzdem ein Patch-Konflikt auftritt, so verhindert das nicht die Installation des gesamten CPUs, sondern nur des betroffenen Patch-Moleküls. Es ist jedoch durchaus möglich, dass aufgrund technischer Probleme ein Merge nicht möglich ist. In diesem Fall liegt die Entscheidung wie bisher auf Kundenseite, den CPU-Patch zu installieren oder den bereits empfohlenen funktionalen Patch. akquinet empfiehlt dringend verfügbare Oracle-SecurityPatches zeitnah einzuspielen. Mit dem Release 10.2.0.4 hat sich das Verfahren, wie CPUs aufgebaut sind, grundlegend geändert. Oracle stellt das CPU Patch Verfahren auf das sogenannte "n-apply" um. Dies bedeutet, dass der CPU-Patch nur noch reine SecurityPatches beinhaltet – keine funktionalen Patches mehr. Kommt es beim Einspielen des CPU-Patches zu einem Konflikt, wird vom Oracle Support für den Patch, der den Konflikt verursacht, ein Merge-Patch bereitgestellt. Da jedoch nur Security-Patches im CPU-Patch enthalten sind, ist die Wahrscheinlichkeit für Patch-Konflikte sehr gering. Seite 6 1 / 2013 SECURITY INFO Netzwerksicherheit und Oracle-Listener In SAP-Umgebungen verbinden sich alle SAP-Systeme über den Oracle-Listener auf die Datenbank. Von daher ist der Schutz des Netzzugriffs einer der wichtigsten Punkte im Sicherheitskonzept für Oracle. Listener Sicherheit: Unterschied ORACLE 10 /11 G LOCAL OS AUTHENTICATION vs. Passwort und Admin Restriction (Oracle 8/9) Ab Oracle 10 ist die Administration des Listener nur noch für Benutzer der Gruppe DBA möglich. Listener gegen Poisoning-Attacken schützen Der Oracle-Datenbankserver hat einen separaten ListenerProzess, der normalerweise auf TCP-Port 1521 läuft. Er leitet die Anfragen der Clients an das eigentliche DatenbankSystem weiter, das für die angefragte Datenbank-Instanz zuständig ist. Bereits seit Version 8i ist es möglich, über eine solche Netzwerk-Verbindung auch weitere Listener anzumelden. Das Setzen eines Listener-Passworts sowie der Option ADMIN_RESTRICTION ist aus diesem Grund normalerweise nicht mehr notwendig. Ein weiterer Listener kann sich sogar für eine bereits existierende Datenbank-Instanz registrieren. Der bereits aktive Listener interpretiert das als neuen Knoten eines Oracle Real Application Clusters (RAC) und nutzt den neuen Listener für Load-Balancing. Sprich: Jede zweite DatenbankVerbindung wird ab dann über den neuen Listener umgeleitet. Da jedoch Exploits zur Umgehung dieser Authentifizierung bekannt sind, wird für Systeme mit einem hohen Schutzbedarf empfohlen, die Option ADMIN_RESTRICTION unbedingt zu verwenden. Nur so wird zuverlässig verhindert, dass ein Oracle DB Listener durch lsnrctl-Aufrufe administriert werden kann. Deshalb sollten Oracle-Admins möglichst bald selbst aktiv werden, um ihre Installationen abzusichern. Wer kein Clustering nutzt, hat es da noch relativ einfach. In diesem Fall kann man über die Anweisung dynamic_registration = off in der Konfigurationsdatei listener.ora das nicht notwendige Feature deaktivieren. Absicherung der SQL*Net bei Zugriff durch eine Firewall In SAP-Umgebungen benötigen nur die SAP-Server Zugriff auf die Oracle-Datenbank. Etablieren Sie einen netzwerkseitigen Schutz, der folgende Anforderungen erfüllt: Listener Logging aktivieren So aktivieren Sie das Logging mit den Listener-Trace in der Datei listener.ora: 1. Kein Zugriff auf die Datenbank oder den Listener durch SQL*Net aus PC- oder nicht vertrauenswürdigen Server -Segmenten LSNRCTL> set current_listener <listener name> LSNRCTL> set log_directory <oracle_home path>/network/admin LSNRCTL> set log_file <sid name>.log LSNRCTL> set log_status on LSNRCTL> save_config Entfernen von Klartext-Kennwörtern aus der ListenerDatei Listener.ora Entfernen Sie alle Klartext-Kennwörter aus der Datei Listener.ora und setzen Sie abhängig vom Schutzbedarf ein komplexes Listener-Kennwort sowie die Option ADMIN_RESTRICTION. Durch das Setzen dieser Option sind keine Änderungen des Listener-Status per lsnrctlKommando mehr möglich. Alle Änderungen müssen lokal in der Datei listener.ora durchgeführt werden. Beispiel: LSNRCTL> set password Password: mypassword Absicherung des $TNS_ADMIN Verzeichnisses Folgende Oracle-Dateien im Verzeichnis $TNS_ADMIN sind kritisch in Hinblick auf die Sicherheit des Systems: Listener.ora Sqlnet.ora Protocol.ora Die Datei Listener.ora kann in SAP-Umgebungen an verschiedenen Orten gespeichert werden. Je nach Version des Systems kann dies der Share SAPMNT oder das TNS_ADMIN -Verzeichnis sein. Alle Dateien dürfen nur für DBAs oder ROOT anzeigbar und pflegbar sein. Absicherung der Zugriffsrechte auf ORCALE-Binaries Oracle-Binaries in $ORACLE_HOME/bin dürfen nur für den primären Oracle-Account ausführbar sein. Die Rechte auf die tnslsnr und lsnrctl sollten im Unix Umfeld auf 0700 gesetzt werden. 2. Keine Filterung der SQL-Zugriffe von den SAP-Servern, um Performanceeinbußen zu vermeiden Seite 7 1 / 2013 SECURITY INFO Entfernung gefährlicher Dienste aus der ListenerKonfigurationsdatei listener.ora In der Datei Listener.ora dürfen keine externen Dienste (ExtProc or PLSExtProc ) aktiviert sein, um den Zugriff auf das Betriebssystem zu verhindern. Aktivierung der Validnode-Checking-Option Der Zugriff auf die Datenbank muss unbedingt für alle Server, außer den SAP-Anwendungsservern, verboten werden. Aktivieren Sie hierzu die Validnode-Check-Option in der Datei sqlnet.ora. Beispiel: tcp.validnode_checking = yes tcp.invited_nodes = (x.x.x.x | name, x.x.x.x | name) tcp.excluded_nodes=( x.x.x.x | name, x.x.x.x | name) Änderung der Portnummer (SQL*NET) (Optional) Verwenden Sie möglichst keine Portnummern im Bereich 15xx, da diese durch Portscan-Programme automatisch mit Oracle assoziiert werden. Überprüfung der Logfiles Die Logfiles der Datenbank sowie des Listeners sollten zeitnah überwacht werden, um Angriffe möglichst frühzeitig entdecken zu können. Standarduser und Kennwörter Ändern Sie umgehend nach der Installation die Kennwörter aller in der Datenbank verwendeten User. Eine Übersicht der definierten User finden Sie in der Tabelle DBA_USERS . Deaktivieren Sie unnötige User wie OUTLN und DBSNMP. Oracle-Rechte /DBA-Rechte Kein User aus den Usern SYS und SYSTEM darf über DBARechte verfügen. Die SAP-Systemuser müssen der Rolle SAP_DBA zugewiesen sein. Rechte auf Oracle-Dateien Die Rechte auf den Oracle-Binaries und Datenbankdateien sollten gemäß SAP-Empfehlungen gesetzt sein. Wir empfehlen generell die Rechtevergabe 0750, um einen Zugriff durch Dritte zu verhindern. Archive Log Modus SAP-Systeme (auch Testsysteme) müssen generell mit einem ständig aktiviertem Archive Log Mode betrieben werden, um Datenverlust zu verhindern. SQL> select log_mode from v$database; LOG_MODE -----------ARCHIVELOG Sie haben Fragen zur Absicherung Ihrer OracleSysteme? Unsere Fachberater helfen Ihnen gerne. Fon: +49 (40) 88 173-4625 E-Mail: [email protected] Remote-Authentifizierung des SYS Logins Weil bei der Anmeldung an der Datenbank mit SYS-Rechten von einem anderen Rechner keine Kontrolle über das Betriebssystembenutzerkonto vorhanden ist, sollte man diese Art der Verbindung verhindern. Dazu müssen der init.ora-Parameter remote_login_passwordfile auf none gesetzt und die OraclePasswortdatei entfernt sein. Ein Benutzer ist somit nur berechtigt, sich mit SYSDBA-Rechten anzumelden, wenn er der lokalen Unix-Gruppe DBA angehört. Bei Windows heißt diese Gruppe ORA_<SID>_DBA. Datensicherung Ein ausreichendes Verfahren zur Datensicherung muss etabliert sein. Datensicherungsmedien müssen getrennt von den produktiven Systemen in einem anderen Schutzbereich gelagert werden. Kontakt: akquinet AG · Paul-Stritter-Weg 5 · 22297 Hamburg · Fon: +49 (0)40-88173-0 · Impressum · SAST Inside Newsletter abbestellen Seite 8