SAST in Kürze

Werbung
1 / 2013
SAST in Kürze
Liebe Leserinnen und Leser,
die Sicherheit von SAP®-Systemen ist und
bleibt ein brisantes Thema.
Viel zu oft offenbaren SAP-Audits Schwachstellen in Systemen. Risiken werden von SAP-Kunden und -Anwendern leider noch immer stark unterschätzt. Wir von akquinet wollen, dass Ihre Systeme und Ihre wertvollen Daten vor Angreifern geschützt sind. Speziell dafür haben wir zum Beispiel die „SAST GRC Suite für SAP“ entwickelt.
Weil uns die Sicherheit Ihrer SAP-Systeme besonders am
Herzen liegt, möchten wir Sie ab sofort auch mit einem eigenen Newsletter zu diesem Thema informieren. In „SAST
Inside“ lesen Sie interessante Berichte über aktuelle Entwicklungen in Bezug auf die Sicherheit von SAP-Systemen.
Wir bieten Ihnen hier Tipps und Guidebooks zu konkreten
Einstellungen. Erfahren Sie in „SAST Inside“ frühzeitig von
Neuerungen unsere Produkte betreffend.
Gerne möchten wir Sie auch über Veranstaltungen informieren, an denen wir mitwirken dürfen. So ist akquinet
auch 2013 wieder mit einem eigenen Partnerstand auf
dem DSAG-Jahreskongress vertreten, der vom 17. bis 19.
September in Nürnberg stattfinden wird.
Besuchen Sie mich dort. Ich beantworte gerne Ihre Fragen
persönlich und freue mich auf einen regen Erfahrungsaustausch.
Viel Spaß beim Lesen von „SAST Inside“!
SAST hautnah erleben!
Tipps aus der Beratung
SAP-Events mit akquinet: Optimal geschützt
Sicherheit in SAP-Systemen ist ein Kernthema der bevorstehenden Veranstaltungen in der zweiten Jahreshälfte. Der
DSAG Jahreskongress 2013 informiert über neue technische
Herausforderungen in der SAP-Systemlandschaft. Praxistipps zum Umgang mit Sicherheitslücken liefern der Infotag von Virtual Forge und das Webinar von akquinet.
Weiterlesen…
SAP-Audit – Warum alle Ebenen betrachtet werden müssen
Wann ist ein SAP-System sicher? Wann nicht? Das klärt eine umfassende Schutzbedarfsanalyse, die auch die technologische Absicherung eines Systems sowie die etablierten
Kontrollprozesse des jeweiligen Unternehmens miteinbezieht. Zum Beispiel mit SAST System Track und SAST User
Track.
Weiterlesen...
Produktinformationen
Neue SAP-Funktion für die Auswertung des Berechtigungstrace
SAST 3.1a: Das neue Release ist da
Mehr Sicherheit mit SAST 3.1a: Unter anderem mit erweiterten Archivierungsmöglichkeiten, verbesserter Auswertung von Risikoanalysen sowie einer Reminder- und Eskalationsfunktion im UAM-Workflow.
Weiterlesen…
STAUTHTRACE heißt eine neue Erweiterung der ST01
Tracefunktion. Sie erleichtert die Arbeit im SAP-Alltag. Ein
systemübergreifender Trace von Anwendern wird problemlos möglich.
Weiterlesen...
Herzlich Willkommen im SAST-Serviceportal
SAST Info Center – Tipps und Infos 24/7
Das neue „SAST Info Center“ informiert Sie umfassend zu
Themen aus dem Bereich „governance risk and compliance“. Immer aktuell und rund um die Uhr. Weiterlesen…
Security Info
Absicherung von Oracle-Datenbanken im SAP-Umfeld
Softwareaktualisierung, Netzwerksicherheit, ListenerSicherheit: Die besten Tipps zur Härtung von OracleDatenbanken und wie Sie diese umsetzen. Weiterlesen...
Ihr Bodo Kahl
akquinet Geschäftsführer
Seite 1
1 / 2013
SAST hautnah erleben!
20.06.
Virtual Forge Infotag in München (Gastreferent Ralf Kempf, Geschäftsführer akquinet)
04.07.
Live-Webinar „Schutz vor Datendiebstahl aus SAP-Systemen! - Download Observer“
22.08.
Live-Webinar „SAP Notfalluser-Konzept - Protokollierung lesender Zugriffe auf sensible SAP-Daten (HCM,Finance)“
10.09.
Live-Webinar "SAP Solution Manager - Segen oder Fluch für die Sicherheit Ihrer SAP-Systeme?"
17.09. - 19.09.
DSAG Jahreskongress in Nürnberg
09.10.
Live-Webinar "Automatisierte Überwachung aller relevanten SAP-Infrastrukturkomponenten"
05.11.
Live-Webinar "Berechtigungs- und Funktionstrennungsanalysen in Echtzeit"
Quelle: http://www.bmw-welt.com
Zu Gast in der BMW Welt München
20. Juni: „Neue Lösungen für Sicherheit & Compliance in
SAP-Systemen“
Investieren Sie in Ihre SAP-Sicherheit – und besuchen Sie
den Infotag „Neue Lösungen für Sicherheit & Compliance
in SAP-Systemen“ von Virtual Forge.
In der BMW Welt in München wird am 20. Juni 2013 neben
der Qualitätssicherung und dem Risikomanagement auch
die Sicherheit thematisiert. Denn in einem SAP-System gibt
es bis zu 3.000 Stellschrauben, die evaluiert werden müssen, um den sicheren Betrieb zu gewährleisten.
Gemeinsam mit unserem Partner Virtual Forge zeigen wir
Ihnen, wie Sie Sicherheitslücken in Ihrem SAP-System
schnell und zuverlässig aufdecken und beheben können.
Erkenntnisse und Zahlen aus der Praxis belegen, dass sich
Investitionen in die SAP-Sicherheit wirklich lohnen.
Seien Sie dabei und diskutieren Sie mit: Beim brisanten
Vortrag mit dem Titel „5 Todsünden im Berechtigungswesen“ des akquinet-Geschäftsführers Ralf Kempf.
Blocken Sie jetzt den Termin und seien Sie dabei!
→ Registrieren Sie sich jetzt!
4. Juli: Diebstahlsicher mit dem
akquinet Live-Webinar
„Schutz vor Datendiebstahl aus SAP-Systemen!" – SASTGRC Suite Download Observer”
Sie wollen Ihre SAP-Systeme vor Datendiebstahl schützen?
Sie suchen ein effizientes SAP-zertifiziertes Instrument zum
Schutz Ihres Unternehmens gegen Betriebsspionage und
gegen eine Verletzung der Datenschutzbestimmungen?
Am 4. Juli 2013 informiert das 30-minütige Live-Webinar
von akquinet über den „Schutz vor Datendiebstahl aus SAP
-Systemen!". Das Webinar richtet sich an SAPVerantwortliche sowie -Mitarbeiter, die eine SAPintegrierte Lösung gegen vielfältige Sicherheitslücken suchen. Mit dem SAST-Download Observer wird das Herunterladen sensibler Daten (zum Beispiel von Patenten, technischen Zeichnungen, Kundendaten oder Finanzdaten) aus
dem SAP-System automatisch überwacht und protokolliert.
→ Registrieren Sie sich jetzt!
17. bis 19. September: DSAG Jahreskongress 2013
Die größte SAP-Anwendergruppe weltweit lädt ein: zum
DSAG Jahreskongress 2013. Vom 17. bis 19. September
2013 wird in Nürnberg über mobile Anwendungen, CloudLösungen und In-Memory diskutiert.
Die Veranstaltung findet dieses Jahr unter dem Motto
„Prozesse im Wandel – Fakt oder Fiktion?“ statt. Insbesondere Trends und zukünftige Herausforderungen im Zuge
neuer Technologien stehen im Fokus.
Wer Sicherheitsrisiken in der eigenen SAP-Systemlandschaft minimieren will, kann vor Ort mit unseren Experten
sprechen – und erhält kompetente Beratung zu Compliance
-Projekten. Mit unserer „SAST GRC Suite für SAP®“ schließen Sie zusätzlich Sicherheitslücken in Ihren SAP-Systemen
und sorgen für ein Maximum an Sicherheit.
Besuchen Sie auch unseren Partnervortrag „Die Entzauberung der SAP-Sicherheitsmythen“ am 17. September 2013
um 17:45 Uhr.
Für Kurzentschlossene
Rufen Sie uns einfach an +49 (0)40-88173-4625 oder
schicken Sie uns eine Mail an [email protected]
Seite 2
1 / 2013
PRODUKTINFORMATIONEN
SAST 3.1a: Das neue Release ist da
Eine optimierte Archivierung im SAST-Download Observer,
verbesserte Auswertungsmöglichkeiten von Risikoanalysen,
eine Reminder- und Eskalationsfunktion im UAM-Workflow
sowie erste Web-Interfaces wichtiger UAM-Funktionen:
Das sind noch lange nicht alle Ergänzungen, die das neue
SAST-Release 3.1a bietet.
Weitere Informationen erhalten Sie über das SASTServiceportal im Download-Bereich. Hier erhalten Sie auch
immer die aktuellen Hinweise zu neuen Erweiterungen unserer Produkte (demnächst ein Tool im HR-Umfeld, mit
dem lesende Zugriffe sensibler HR-Daten revisionssicher
protokolliert werden).
Seit April 2013 steht das Release SAST 3.1a allen akquinetKunden zur Verfügung.
Das erste Servicepack SP01 zum Release 3.1a veröffentlichen wir Anfang Juli 2013.
Wir freuen uns besonders auf Anregungen und Verbesserungsvorschläge von unseren Kunden und SAP-Anwendern.
Denn wir arbeiten für Sie mit unserem Security-ExpertenTeam bereits an dem nächsten Release.
Michael Kuschnik
Fon:
+49 (0)40-88173-2706
E-Mail: [email protected]
Mit dem Release 3.1a ermöglicht akquinet in vier SASTProdukten eine Reihe neuer und überaus nützlicher Funktionen an (Auswahl siehe Grafik).
Neben Deutsch und Englisch steht Ihnen unsere
SAST GRC Suite ab sofort auch in folgenden
Sprachen zur Verfügung*:

Russisch

Französisch

Spanisch

Tschechisch

Chinesisch

Portugiesisch (brasilianisches Portugiesisch)
*Sprachpakete können als kostenpflichtige Zusatzpakete über
unseren Vertrieb bestellt werden.
Seite 3
1 / 2013
Herzlich Willkommen im SAST-Serviceportal
SAST Info Center – Tipps und Infos 24/7
Das SAST-Serviceportal (https://sast.akquinet.de) hat Zuwachs bekommen: Mit dem neuen Bereich „Info Center“ bleiben Sie stets rundum
informiert. Seit Jahresbeginn erfahren hier Kunden und Anwender der
„SAST GRC Suite für SAP®“ alles Wissenswerte aus dem Bereich
„governance risk and compliance“.
Im neu hinzugekommenen Bereich stehen Ihnen Publikationen und viele weitere wertvolle Informationen zur Verfügung. Präsentationen, zum
Beispiel von der TROOPERS 2012 oder der DSAG 2012 sowie interessante Charts, etwa wie „Breaking SAP® in 59 sec.“, können hier kostenlos
heruntergeladen werden.
Mit dem „SAST Info Center“ erweitert akquinet das SASTServiceportalangebot. Profitieren auch Sie von den Vorteilen, wie es
bereits über 160 zufriedene Portal-Nutzer tun. Informieren Sie sich jederzeit, aktuell und umfassend – im „SAST Info Center“.
Ihr Ansprechpartner bei Fragen rund um das SAST-Serviceportal ist:
Florian Wunder
Fon:
+49 (0)40-881 73-4413
E-Mail: [email protected]
Haben Sie eigene interessante Beiträge für uns, die
wir im Sinne aller unserer Kunden veröffentlichen
können, dann freuen wir uns über Ihre Einsendung
an [email protected].
Seite 4
1 / 2013
TIPPS AUS DER BERATUNG
SAP-Audit – Warum alle Ebenen betrachtet werden müssen
Häufig werden Sicherheitsthemen ausschließlich auf der
Berechtigungsebene innerhalb eines SAP-Systems diskutiert. Dass dies wichtig ist, ist unbestritten. Doch wie lässt
sich ein SAP-System umfassend analysieren, um einen möglichst vollständigen Überblick des aktuellen Security Levels
zu erhalten? Wann ist ein System sicher? Wann nicht? Um
diese Fragen zu klären, muss ein System umfassend analysiert werden – auf sämtlichen Betrachtungsebenen.
Eine Schutzbedarfsanalyse ist dann umfassend, wenn sie
auch die technologische Absicherung eines Systems sowie
die im Unternehmen über viele Jahre etablierten Kontrollprozesse miteinbezieht. Ein wesentlicher Bestandteil der
Analyse ist dementsprechend das Betriebssystem, das, bildlich gesprochen, wie bei einer Pyramide das Fundament der
IT-Infrastruktur bildet (siehe Grafik). Auch die Schnittstellen
auf der Betriebssystem-Ebene sind wichtige Analysebestandteile.
Jede Betriebssystemplattform offenbart eigene Schwachstellen, die aus den verschiedensten Quellen bekannt sind –
etwa dem jeweiligen Herstellerportal, aus Security-Portalen
oder zum Beispiel in Form von Hinweisen in Security Notes
im Service-Portal der SAP AG selbst.
Dies gilt generell für die in SAP-Systemen zugrundeliegenden Datenbankplattformen. Denn auch hier finden sich auf
unterschiedlichen Security Level weitreichende SecuritySchwächen – angefangen von Benutzer- und Berechtigungsstrukturen der zugrundeliegenden Datenbankschemen bis hin zu unsicheren Parametrisierungen.
Die direkt die SAP-Produkte umfassende Security-Ebene,
die Applikationsebene, beinhaltet neben der auf SAP
NetWeaver aufbauenden Plattform auch jene auf Applikationsebene, in der die Berechtigungen gemäß zugrundeliegender Berechtigungskonzepte vergeben werden.
Zur Prüfung dieser verschiedenen Ebenen, inklusive eines
verlässlichen und periodischen Reportings, eignen sich verschiedene Werkzeuge.
So bietet SAP über den Security Optimization Service (SOS)
als Funktionalität des SAP Solution Managers ein Prüfregelwerk an, das die Schwachstellen im Umfeld von SAP
NetWeaver sowie in Bezug auf SAP Security Patches systemübergreifend analysieren kann. Um Funktionstrennungskonflikte zu ermitteln, müssen Softwareprodukte anderer Hersteller zum Einsatz kommen.
Eine vollständige Analyse der dargestellten Security-Ebenen
lässt sich etwa durch den Einsatz der Komponenten SASTSystem Track sowie SAST-User Track durchführen. Die Ergebnisse münden in aussagekräftige Berichte. Diese bilden
das Grundgerüst für eine dauerhaft angelegte Security
Compliance der gesamten Systemlandschaft, die sich in
Form eines Auditplanes im Einsatz der Komponente SASTRisk Track zeigt.
Wer auf verschiedene Analysetools mit unterschiedlichen
Prüfschwerpunkten setzt, wird viel Zeit aufwenden müssen,
um Ergebnisse sinnvoll zusammenzuführen. Auch die Übersichtlichkeit der Daten wird sehr wahrscheinlich leiden. Die
Vorteile eines strukturierten SAST-Reportings über sämtliche Security-Ebenen liegen hingegen auf der Hand: Einzelergebnisse werden einheitlich dargestellt. Sie können leicht
zu einem ganzheitlichen Security Level zusammengeführt
werden. Dies spart Anwendern Zeit. Und Unternehmen
Geld.
Seite 5
1 / 2013
TIPPS AUS DER BERATUNG
SECURITY INFO
Neue SAP-Funktion für die Auswertung des Berechtigungstrace
Absicherung von Oracle-Datenbanken im SAPUmfeld
Ein leider allzu bekanntes Problem: Sie aktivieren den Trace
für einen Benutzer in ST01 und sehen keine Ergebnisse.
Denn: Der Benutzer war im Rahmen der SAP-Lastverteilung
auf einer anderen Instanz aktiv.
Aus der Erfahrung von über 100 SAP-Audits wissen wir,
dass bei nahezu jedem Kunden – mindestens mit einem Exploit – auf die SAP-Datenbank als DBA oder SAP SIDADM
zugegriffen werden kann.
Genau für dieses Problem stellt SAP in den aktuellen Hot
Packages eine Erweiterung der ST01-Tracefunktion bereit.
Diese erleichtert einen systemübergreifenden Trace von
Anwendern.
Alle Daten des SAP-Systems werden in der Datenbank abgelegt. Wenn sich ein Hacker direkt Zugriff auf die Datenbank verschafft und so Zugang zu den SAP-Tabellen erlangen kann, sind Datendiebstahl, Manipulationen und Sabotage möglich.
Mit der im Hinweis 1707841 ausgelieferten Erweiterung
können Sie den Systemtrace für Berechtigungsprüfungen
auf allen Servern sowie auf ausgewählten Servern eines
Systems starten oder stoppen (Neue Transaktion:
STAUTHTRACE).
Tipps zur Härtung von Oracle-Datenbanken
(Oracle 10/11)
Der Name des Servers wird bei den durchgeführten Berechtigungsprüfungen in einer zusätzlichen Spalte angezeigt.
Dank der neuen Transaktion, können Traces wesentlich
leichter vom Berechtigungsadministrator ausgewertet werden. Bequem, im Tagesbetrieb.
OSS Hinweise:
→ Hinweis 1603756 - Berechtigungsprüfungen aufzeichnen
mit STAUTHTRACE
→ Hinweis 1707841 - STAUTHTRACE: Systemweite
Traceauswertung
→ Hinweis 1793298 - STAUTHTRACE - Auswahl der Server
über eine Logon Gruppe
Sie haben Fragen?
Fon:
+49 (0)40-88173-4625
E-Mail: [email protected]
Softwareaktualisierung
Oracle stellt seinen Kunden zyklische Sicherheitspatches zur
Verfügung – die Service Critical Patch Updates (CPU). Kunden wird dringend empfohlen, die Patches stets zeitnah
einzuspielen.
Seit 2005 stellt Oracle CPUs für alle Produktangebote im
regelmäßigen Turnus zur Verfügung. Die umfangreichen
Patches beinhalten Korrekturen für signifikante Sicherheitsschwächen. Kunden sollten sie unbedingt einbauen, sofern
sie nicht mit einem anderen Patch kollidieren, der aus SAPSicht unbedingt notwendig ist.
CPU-Patches ab Oracle Version 10.2.0.4 bestehen nicht
mehr wie bisher aus einem einzigen großen Merge-Patch,
sondern aus mehreren voneinander unabhängigen sogenannten Patch-Molekülen. Ein Patch-Molekül ist prinzipiell
wie ein einzelner Patch zu sehen. Es kann entweder komplett installiert werden oder gar nicht.
Bei einem Konflikt zwischen einem bereits installierten
Patch und einem im CPU enthaltenen Patch-Molekül kann
der DBA entscheiden, den CPU entweder gar nicht zu installieren oder aber wenigstens die konfliktfreien PatchMoleküle zu installieren. Die konfliktverursachenden PatchMoleküle werden zu einem späteren Zeitpunkt nachinstalliert, wenn der Merge-Patch zur Verfügung steht.
Der wesentliche Vorteil dieses neuen Verfahrens ist eine
geringere Wahrscheinlichkeit für Patch-Konflikte. Wenn
trotzdem ein Patch-Konflikt auftritt, so verhindert das nicht
die Installation des gesamten CPUs, sondern nur des betroffenen Patch-Moleküls. Es ist jedoch durchaus möglich,
dass aufgrund technischer Probleme ein Merge nicht möglich ist. In diesem Fall liegt die Entscheidung wie bisher auf
Kundenseite, den CPU-Patch zu installieren oder den bereits empfohlenen funktionalen Patch.
akquinet empfiehlt dringend verfügbare Oracle-SecurityPatches zeitnah einzuspielen.
Mit dem Release 10.2.0.4 hat sich das Verfahren, wie CPUs
aufgebaut sind, grundlegend geändert. Oracle stellt das
CPU Patch Verfahren auf das sogenannte "n-apply" um.
Dies bedeutet, dass der CPU-Patch nur noch reine SecurityPatches beinhaltet – keine funktionalen Patches mehr.
Kommt es beim Einspielen des CPU-Patches zu einem Konflikt, wird vom Oracle Support für den Patch, der den Konflikt verursacht, ein Merge-Patch bereitgestellt. Da jedoch
nur Security-Patches im CPU-Patch enthalten sind, ist die
Wahrscheinlichkeit für Patch-Konflikte sehr gering.
Seite 6
1 / 2013
SECURITY INFO
Netzwerksicherheit und Oracle-Listener
In SAP-Umgebungen verbinden sich alle SAP-Systeme über
den Oracle-Listener auf die Datenbank. Von daher ist der
Schutz des Netzzugriffs einer der wichtigsten Punkte im Sicherheitskonzept für Oracle.
Listener Sicherheit: Unterschied ORACLE 10 /11 G LOCAL
OS AUTHENTICATION vs. Passwort und Admin Restriction
(Oracle 8/9)
Ab Oracle 10 ist die Administration des Listener nur noch
für Benutzer der Gruppe DBA möglich.
Listener gegen Poisoning-Attacken schützen
Der Oracle-Datenbankserver hat einen separaten ListenerProzess, der normalerweise auf TCP-Port 1521 läuft. Er leitet die Anfragen der Clients an das eigentliche DatenbankSystem weiter, das für die angefragte Datenbank-Instanz
zuständig ist. Bereits seit Version 8i ist es möglich, über eine solche Netzwerk-Verbindung auch weitere Listener anzumelden.
Das Setzen eines Listener-Passworts sowie der Option ADMIN_RESTRICTION ist aus diesem Grund normalerweise
nicht mehr notwendig.
Ein weiterer Listener kann sich sogar für eine bereits existierende Datenbank-Instanz registrieren. Der bereits aktive
Listener interpretiert das als neuen Knoten eines Oracle
Real Application Clusters (RAC) und nutzt den neuen Listener für Load-Balancing. Sprich: Jede zweite DatenbankVerbindung wird ab dann über den neuen Listener umgeleitet.
Da jedoch Exploits zur Umgehung dieser Authentifizierung
bekannt sind, wird für Systeme mit einem hohen Schutzbedarf empfohlen, die Option ADMIN_RESTRICTION unbedingt zu verwenden. Nur so wird zuverlässig verhindert,
dass ein Oracle DB Listener durch lsnrctl-Aufrufe administriert werden kann.
Deshalb sollten Oracle-Admins möglichst bald selbst aktiv
werden, um ihre Installationen abzusichern. Wer kein Clustering nutzt, hat es da noch relativ einfach. In diesem Fall
kann man über die Anweisung dynamic_registration = off
in der Konfigurationsdatei listener.ora das nicht notwendige Feature deaktivieren.
Absicherung der SQL*Net bei Zugriff durch eine Firewall
In SAP-Umgebungen benötigen nur die SAP-Server Zugriff
auf die Oracle-Datenbank. Etablieren Sie einen netzwerkseitigen Schutz, der folgende Anforderungen erfüllt:
Listener Logging aktivieren
So aktivieren Sie das Logging mit den Listener-Trace in der
Datei listener.ora:
1. Kein Zugriff auf die Datenbank oder den Listener durch
SQL*Net aus PC- oder nicht vertrauenswürdigen Server
-Segmenten
LSNRCTL> set current_listener <listener name>
LSNRCTL> set log_directory <oracle_home path>/network/admin
LSNRCTL> set log_file <sid name>.log
LSNRCTL> set log_status on LSNRCTL> save_config
Entfernen von Klartext-Kennwörtern aus der ListenerDatei Listener.ora
Entfernen Sie alle Klartext-Kennwörter aus der Datei Listener.ora und setzen Sie abhängig vom Schutzbedarf ein
komplexes Listener-Kennwort sowie die Option ADMIN_RESTRICTION. Durch das Setzen dieser Option sind
keine Änderungen des Listener-Status per lsnrctlKommando mehr möglich. Alle Änderungen müssen lokal in
der Datei listener.ora durchgeführt werden.
Beispiel:
LSNRCTL> set password Password: mypassword
Absicherung des $TNS_ADMIN Verzeichnisses
Folgende Oracle-Dateien im Verzeichnis $TNS_ADMIN sind
kritisch in Hinblick auf die Sicherheit des Systems:



Listener.ora
Sqlnet.ora
Protocol.ora
Die Datei Listener.ora kann in SAP-Umgebungen an verschiedenen Orten gespeichert werden. Je nach Version des
Systems kann dies der Share SAPMNT oder das TNS_ADMIN
-Verzeichnis sein. Alle Dateien dürfen nur für DBAs oder
ROOT anzeigbar und pflegbar sein.
Absicherung der Zugriffsrechte auf ORCALE-Binaries
Oracle-Binaries in $ORACLE_HOME/bin dürfen nur für den
primären Oracle-Account ausführbar sein. Die Rechte auf
die tnslsnr und lsnrctl sollten im Unix Umfeld auf 0700 gesetzt werden.
2. Keine Filterung der SQL-Zugriffe von den SAP-Servern,
um Performanceeinbußen zu vermeiden
Seite 7
1 / 2013
SECURITY INFO
Entfernung gefährlicher Dienste aus der ListenerKonfigurationsdatei listener.ora
In der Datei Listener.ora dürfen keine externen Dienste
(ExtProc or PLSExtProc ) aktiviert sein, um den Zugriff auf
das Betriebssystem zu verhindern.
Aktivierung der Validnode-Checking-Option
Der Zugriff auf die Datenbank muss unbedingt für alle Server, außer den SAP-Anwendungsservern, verboten werden.
Aktivieren Sie hierzu die Validnode-Check-Option in der Datei sqlnet.ora.
Beispiel:
tcp.validnode_checking = yes
tcp.invited_nodes = (x.x.x.x | name, x.x.x.x | name)
tcp.excluded_nodes=( x.x.x.x | name, x.x.x.x | name)
Änderung der Portnummer (SQL*NET) (Optional)
Verwenden Sie möglichst keine Portnummern im Bereich
15xx, da diese durch Portscan-Programme automatisch mit
Oracle assoziiert werden.
Überprüfung der Logfiles
Die Logfiles der Datenbank sowie des Listeners sollten zeitnah überwacht werden, um Angriffe möglichst frühzeitig
entdecken zu können.
Standarduser und Kennwörter
Ändern Sie umgehend nach der Installation die Kennwörter
aller in der Datenbank verwendeten User. Eine Übersicht
der definierten User finden Sie in der Tabelle DBA_USERS .
Deaktivieren Sie unnötige User wie OUTLN und DBSNMP.
Oracle-Rechte /DBA-Rechte
Kein User aus den Usern SYS und SYSTEM darf über DBARechte verfügen. Die SAP-Systemuser müssen der Rolle
SAP_DBA zugewiesen sein.
Rechte auf Oracle-Dateien
Die Rechte auf den Oracle-Binaries und Datenbankdateien
sollten gemäß SAP-Empfehlungen gesetzt sein. Wir empfehlen generell die Rechtevergabe 0750, um einen Zugriff
durch Dritte zu verhindern.
Archive Log Modus
SAP-Systeme (auch Testsysteme) müssen generell mit einem ständig aktiviertem Archive Log Mode betrieben werden, um Datenverlust zu verhindern.
SQL> select log_mode
from v$database;
LOG_MODE
-----------ARCHIVELOG
Sie haben Fragen zur Absicherung Ihrer OracleSysteme? Unsere Fachberater helfen Ihnen gerne.
Fon:
+49 (40) 88 173-4625
E-Mail: [email protected]
Remote-Authentifizierung des SYS Logins
Weil bei der Anmeldung an der Datenbank mit SYS-Rechten
von einem anderen Rechner keine Kontrolle über das Betriebssystembenutzerkonto vorhanden ist, sollte man diese
Art der Verbindung verhindern.
Dazu müssen der init.ora-Parameter remote_login_passwordfile auf none gesetzt und die OraclePasswortdatei entfernt sein. Ein Benutzer ist somit nur berechtigt, sich mit SYSDBA-Rechten anzumelden, wenn er
der lokalen Unix-Gruppe DBA angehört. Bei Windows heißt
diese Gruppe ORA_<SID>_DBA.
Datensicherung
Ein ausreichendes Verfahren zur Datensicherung muss
etabliert sein. Datensicherungsmedien müssen getrennt
von den produktiven Systemen in einem anderen Schutzbereich gelagert werden.
Kontakt: akquinet AG · Paul-Stritter-Weg 5 · 22297 Hamburg · Fon: +49 (0)40-88173-0 · Impressum · SAST Inside Newsletter abbestellen
Seite 8
Herunterladen