Gesponsert
Share

SAP RFC-Bausteine richtig absichern

Podcast mit Thomas Fritsch, Content Manager bei Onapsis

Thema:  Eine scheinbar  häufig vernachlässigte Gefahrenquelle sind Remote Function Calls (RFCs). Denn, per RFC sind Verbindungen zu anderen Systemen möglich – ein hervorragendes Einfallstor für Angriffe. Welche Gefahren können durch eine falsche Konfiguration entstehen und welche Sicherungsmaßnahmen Sie ergreifen sollten – das ist das heutige Thema.

  1. Was sind RFC-Bausteine und warum muss man sie absichern?
  2. Welche Optionen bietet SAP zur Absicherung?
  3. Wie sollte man vorgehen, um eine komplette Absicherung zu erreichen?
  4. Wie kann man es verhindern, dass ein Angreifer anonym auf RFC-Funktionen zugreift?
  5. Die RFC-Schnittstelle bietet verschiedene Optionen zum Angriff auf ein SAP-System. SMB-Relay Angriffe – Server Message Block
  6. Was hat das jetzt mit Onapsis zu tun und was wäre evtl. eure Aufgabe dabei?

Weitere Informationen:

How to Securely Introduce Explicit AUTHORITY-CHECKS into Custom RFC-Enabled Function Modules

Wie man explizite AUTHORITY-CHECKS sicher in benutzerdefinierte RFC-fähige Funktionsbausteine einfügt

Compliance-Aspekte
Jede SAP-Anwendung verfügt über geschäftsbezogene Berechtigungsobjekte, die spezifische Aktivitäten für einzelne Geschäftseinheiten klar definieren. Sie sind so konzipiert, dass sie Audit-Anforderungen wie die Nachvollziehbarkeit der zugewiesenen Berechtigungen und die Aufgabentrennung leicht erfüllen und überwachen.

S_RFC-Berechtigungen sind nicht auf eine bestimmte Geschäftseinheit oder Aktivität bezogen. Sie beschreiben die Zugriffsberechtigung auf ein technisches Objekt (einen Funktionsbaustein oder eine Funktionsgruppe). Die implizite Prüfung der „technischen“ S_RFC-Berechtigung sollte Entwickler nicht davon abhalten, explizite AUTHORITY-CHECKs auf den vorgesehenen betriebswirtschaftlichen Berechtigungsobjekten hinzuzufügen. Andernfalls hängen die Aktivitäten, die ein Benutzer ausführen darf, nicht mehr nur von seiner Identität ab, sondern auch davon, wie der Benutzer auf das System zugegriffen hat, nämlich über die Haupttür (Dialog-Login) oder eine bestimmte Seitentür (RFC FM).

Music by BlueSwine