Polska

Strona główna SAP na świecie Log In Stwórz nowy profil Skontaktuj się z SAP online lub
zadzwoń 00 800 491 1525

   
Rozwiązania branżowe

Rozwiązania branżowe

Rozwiązania międzybranżowe

Rozwiązania międzybranżowe

Usługi

Usługi

Platforma

Platforma

Partnerzy

Partnerzy

O SAP

O SAP

Strategie Biznesu - archiwum

Strategie Biznesu - archiwum

21 (2/2005)

21 (2/2005)

20 (1/2005)

20 (1/2005)

19 (3/2004)

19 (3/2004)

18 (2/2004)

18 (2/2004)

17 (1/2004)

17 (1/2004)

16 (2/2003)

16 (2/2003)

15 (1/2003)

15 (1/2003)
  Twoje Centrum Zasobów

Analizy i doświadczenia

Bezpieczeństwo zdalnego połączenia

Zastanawiają się Państwo nad uzyskaniem dostępu do SAP Service Marketplace (dawniej SAPNet) i podłączeniem swoich systemów do sieci serwisowej SAP, ale niepokoi Was problem bezpieczeństwa użytkowanych w Waszej firmie systemów? Mają już Państwo zdalne połączenie do SAP i chcieliby sprawdzić, czy zastosowane zabezpieczenia po stronie SAP, jak i w Państwa sieci, są wystarczające, aby zapewnić należytą ochronę Waszej instalacji?

Takie wahania i pytania wydają się być całkowicie uzasadnione w dobie powszechnego wykorzystania komputerów i posługiwania się Internetem. Dlatego zagwarantowanie bezpieczeństwa podczas zdalnego dostępu do zasobów informacyjnych, programowych oraz sprzętowych Państwa organizacji jest jednym z ważniejszych wyzwań, przed którym stoją odpowiedzialne zespoły IT po stronie Państwa i firmy SAP. Pragniemy w tym miejscu zapewnić, że SAP razem ze współpracującymi z nią partnerami sieciowymi (network providers) dokłada wszelkich starań, aby oferować najwyższy możliwy poziom bezpieczeństwa połączeń w swojej sieci serwisowej. Na poparcie tego zapewnienia chcielibyśmy wskazać materiały opublikowane przez SAP, dotyczące zagadnień bezpieczeństwa zdalnego dostępu w sieci serwisowej SAP oraz omówić podstawowe zalecenia SAP podpowiadające, z jakich mechanizmów korzystać i jakich zasad przestrzegać, aby zminimalizować ryzyko nieautoryzowanego dostępu do Państwa systemu.

Pierwszy poziom zabezpieczeń

Połączenie pomiędzy siecią serwisową SAP a Państwa systemami realizowane jest poprzez sieć rozległą (WAN) przy użyciu zaaprobowanego przez SAP protokołu ISDN, za pośrednictwem infrastruktury dostarczanej Państwu przez certyfikowanego przez SAP dostawcę usług sieciowych (lista takich dostawców znajduje się w nocie 33953) bądź też przez wykorzystanie szyfrowanych połączeń internetowych SNC lub VPN.

Wymienione protokoły z założenia stanowią, dzięki wbudowanym w nie mechanizmom identyfikacji, pierwszy poziom zabezpieczeń przed nieautoryzowanym dostępem. Dodatkowo zalecany jest następujący sposób ich użytkowania:

  • ISDN - w przypadku tego rozwiązania połączenie nawiązywane jest tylko wtedy, gdy świadomie wybiorą Państwo numer ISDN po stronie SAP. W sieci ISDN numery służące do nawiązywania połączeń znane są tylko stronom nawiązującym pomiędzy sobą połączenie. Aby uniemożliwić dostęp do Państwa sieci poprzez Wasz numer ISDN, SAP nie przechowuje oraz nie rejestruje tego numeru podczas trwania połączenia. Dodatkowo urządzenia ISDN także mogą zostać skonfigurowane tak, aby możliwe były tylko połączenia wychodzące. W przypadku szczególnych wymagań można wykorzystać możliwość zablokowania połączeń w używanych do tego celu urządzeniach sieciowych poprzez dezaktywację mechanizmów Basic Rate Interaface lub Primary Rate Interface. Programowa dezaktywacja tych interfejsów odpowiada sytuacji braku fizycznego połączenia z Państwa siecią (uszkodzenie linii).
  • Secure Network Communications (SNC) - połączenie internetowe. Pakiety TCP są szyfrowane, a następnie przesyłane do sieci SAP przez Internet. Kodowanie przeprowadzane jest w strefie zdemilitaryzowanej (DMZ) przez specjalną bibliotekę. Analogicznie po stronie SAP pakiety są dekodowane w strefie zdemilitaryzowanej SAP i przesyłane do sieci wewnętrznej. Wysokiej klasy algorytmy szyfrujące oraz kontrola dostępu zapewniają bezpieczeństwo przesyłanych danych. Także połączenie SNC może być tak skonfigurowane, aby możliwe były tylko połączenia wychodzące. Schemat połączenia SNC obrazuje Rys. 1.

    Schemat połączenia SNC
    Rys. 1

  • Internet Virtual Private Network (VPN) - wirtualna sieć prywatna (Virtual Private Network) umożliwia połączenie odległych od siebie lokalnych sieci komputerowych za pośrednictwem sieci publicznych, umożliwiając przesyłanie danych między nimi. Sprzętowe szyfrowanie danych, kontrola dostępu oraz wykorzystanie "ścian ogniowych" zapewnia bezpieczeństwo przy korzystaniu z połączenia VPN. Dzięki zabezpieczeniu komunikacji w warstwie IP - leżąca bezpośrednio powyżej warstwa transportowa (TCP lub UDP) chroniona jest automatycznie. Schemat połączenia VPN obrazuje Rys. 2.

    Schemat połączenia VPN
    Rys. 2

  • Infrastruktura dostawców usług sieciowych - autoryzowani przez SAP dostawcy usług sieciowych wydzielają ze swojej infrastruktury zamkniętą sieć łączącą wyłącznie SAP i jego klientów. Połączenia w tej sieci mogą być realizowane tylko pomiędzy SAP a systemem klienta, nie ma możliwości nawiązywania połączeń pomiędzy klientami. Zawarte umowy gwarantują też bezpieczną izolację takiej sieci od Internetu. Na życzenie klienta konfiguracja takiej sieci może być przez niego sprawdzona.

SAProuter

Kolejnym, wymaganym przez SAP do ustanowienia komunikacji pomiędzy Państwa siecią a siecią serwisową SAP, elementem poprawiającym bezpieczeństwo zdalnego połączenia jest oprogramowanie SAProuter. Czym jest SAProuter? Jest on w pewnym stopniu programowym odpowiednikiem routera sprzętowego i jako proces współpracujący z oprogramowaniem TCP/IP pośredniczy w przekazywaniu danych, np. w formacie SAPGui lub RFC pomiędzy różnymi aplikacjami (np. SAP Frontend, procesy systemu R/3, SAPlpd). Procesy takie jak SAProuter określane są często jako application-level gateways.

Zasada działania programu SAProuter
Rys. 3

Jakie są zatem zadania programu SAProuter? Jeżeli program został zainstalowany w sieci pomiędzy np. aplikacją SAP Frontend a serwerem aplikacyjnym systemu R/3 (taka sytuacja ma miejsce w przypadku zdalnego logowania się specjalistów SAP do Państwa systemu), to nie jest możliwa bezpośrednia komunikacja w sieci TCP pomiędzy uczestniczącymi w niej stronami. Komunikacja odbywa się poprzez SAProuter. Odbiera on przesyłane przez nadawcę dane, a następnie po sprawdzeniu, czy w tabeli routingu znajdują się odpowiednie wpisy zezwalające na nawiązania komunikacji pomiędzy stronami, wysyła te dane do odbiorcy. Gdy brak jest takich wpisów, program informuje, że nawiązanie połączenia jest niemożliwe.

Zastosowanie programu SAProuter umożliwia całkowitą separację aplikacji pracujących w sieci, a w przypadku komunikacji poprzez stosunkowo mało wydajną sieć WAN wspomaga uczestniczące w niej procesy w zakresie buforowania danych i jednocześnie upraszcza model komunikacji pomiędzy tymi procesami. Nadawca kontaktuje się tylko ze wskazanym procesem SAProutera, a ten decyduje, czy połączenie może dojść do skutku, czyli odpowiada za jego bezpieczeństwo. Szczegółowych informacji o programie SAProuter dostarcza nota 30289.

SAProuter dzięki swoim możliwościom wpisuje się również w powszechnie dzisiaj stosowaną technikę zabezpieczania sieci przed nieautoryzowanym dostępem poprzez budowanie tak zwanych ścian ogniowych (firewalls). Integracja programu SAProuter z oprogramowaniem typu ściana ogniowa (nota 48243) umożliwia zastosowanie następujących poziomów zabezpieczeń:

  • Identyfikacja stron i filtracja ruchu w sieci na podstawie adresów IP. Poziom ten zapewnia jednak ograniczony zakres kontroli, gdyż może dojść do tymczasowej zamiany używanego adresu na adres posiadający niezbędne autoryzacje do nawiązania połączenia.
  • Filtracja na poziomie portów protokołu TCP, ponieważ można zablokować wszystkie porty oprócz tych, z których korzystają aplikacje przeznaczone do komunikacji (np. SAProuter). To programy zewnętrzne mogą nawiązywać połączenie wyłącznie ze wskazanymi aplikacjami wewnętrznymi, w które wbudowane są mechanizmy identyfikacji strony nawiązującej połączenie. Mechanizmem takim jest wspomniana tabela routingu wykorzystywana przez SAProuter.
  • Filtracji przy użyciu application-level gateways. Takie rozwiązanie umożliwia w środowisku systemów SAP właśnie SAProuter, skojarzony z aplikacją będącą stroną w komunikacji zdalnej i udostępniającej swoje zasoby poprzez określony port TCP. Rys. 3 ilustruje zastosowanie programu SAProuter zintegrowanego z oprogramowaniem typu ściana ogniowa do zabezpieczenia zdalnego połączenia pomiędzy Państwa systemem a siecią serwisową SAP.

Zalecenia dla klienta

Zapewnienie maksymalnego poziomu ochrony przed nieautoryzowanym dostępem do zasobów komputerowych klienta wymaga nie tylko starań ze strony SAP, ale również zaprojektowania, wdrożenia i przede wszystkim przestrzegania zasad polityki bezpieczeństwa po Państwa stronie.

Do podstawowych elementów takiej polityki należą:

Skonfigurowanie dostępu do sieci serwisowej SAP w taki sposób, aby możliwe były tylko połączenia wychodzące. Najlepiej w ogóle zablokować możliwość wykonywania połączeń przychodzących do Państwa sieci.

Tam, gdzie to tylko możliwe, powinni Państwo używać oddzielnych routerów sprzętowych do połączeń z siecią WAN. Wbudowane w nie mechanizmy i możliwość ich konfigurowania zwiększają poziom bezpieczeństwa dostępu do Państwa sieci.

Zalecany jest taki dobór sprzętu sieciowego, aby możliwe było konfigurowanie jego ustawień we własnym zakresie bądź tylko z niewielką pomocą firm zewnętrznych. Ważne jest także posiadanie aktualnej dokumentacji konfiguracji sieci.

Należy w maksymalnym stopniu wykorzystać wbudowane w urządzenia sieciowe mechanizmy bezpieczeństwa, np. funkcjonalność Access Control List.

Dostęp do sieci realizowany poprzez SAProuter należy zabezpieczyć odpowiednio skonstruowaną tabelą routingu dla SAProutera.

Ważna jest integracja SAProutera i oprogramowania typu proxy z oprogramowaniem typu ściana ogniowa (firewall).

Należy zabezpieczyć wszystkie ścieżki dostępu do Państwa systemu za pomocą haseł.

Konieczna jest zmiana domyślnych haseł po instalacji oprogramowania (system operacyjny, system R/3, baza danych).

Niezbędna jest ponadto regularna zmiana i wykorzystywanie haseł trudnych do złamania.

Czego przestrzega SAP

Ze swojej strony SAP zwraca szczególną uwagę na następujące elementy:

  • Routery sprzętowe są skonfigurowane w taki sposób, aby uniemożliwić nawiązywanie połączeń pomiędzy systemami klientów.
  • Protokoły takie jak RIP, IGRP i OSPF są zablokowane, połączenia do Państwa sieci realizowane są statycznie, dzięki czemu nie ma dostępu z sieci WAN do danych o połączeniu pomiędzy systemami.

Utrzymywane są listy kontrolne dostępu (ACL) do sieci serwisowej. Tylko niezbędne porty TCP są aktywne, niewykorzystywane porty pozostają zablokowane.

Dostęp do Państwa sieci możliwy jest wyłącznie poprzez jeden z regionalnych serwerów serwisowych sapserv(x), np. sapserv3 dla Europy, na którym zainstalowany jest program SAProuter. Jego tabela routingu zawiera informacje o wszystkich dozwolonych połączeniach. Dzięki takiemu rozwiązaniu klient, aby uzyskać dostęp do sieci serwisowej SAP, wykorzystuje tylko jeden adres IP z sieci SAP.

Korzystanie z dodatkowych zdalnych usług serwisowych nie jest możliwe przez Internet. Z usług tych, a także ze zdalnego logowania do Państwa systemu można skorzystać tylko wtedy, gdy istnieje skonfigurowane połączenie poprzez SAProuter oraz pod warunkiem, że Państwa system został dla takiej usługi świadomie otwarty w SAPNet R/3 Frontend lub SAP Service Marketplace.

Zasady dla serwisu

W przypadku zdalnego logowania się do Państwa systemu przez specjalistów SAP w celu wykonania dodatkowej usługi serwisowej lub przeprowadzenia diagnozy problemu obowiązują następujące zasady:

Specjaliści SAP nie mają możliwości logowania się do Państwa systemu bez Państwa wiedzy, gdyż aby doszło do zalogowania muszą otrzymać od Państwa dane takie jak identyfikator systemu (SID), nazwę serwera aplikacyjnego, numer mandanta, identyfikator użytkownika oraz hasło. Podanie hasła powinno odbywać się wyłącznie drogą telefoniczną, system musi zostać wcześniej otwarty; to Państwo określają na jak długo.

Dostęp może zostać dodatkowo zabezpieczony hasłem dla programu SAProuter, hasło to także powinno być podawane wyłącznie telefonicznie.

W systemie SAPNet R/3 Frontend istnieje możliwość skonfigurowania różnych typów połączeń w zależności od celu logowania się (R/3 Support, Remote Consulting, Early Watch, Telnet Connection, szczegóły znajdują się w nocie 31515). Ich wykorzystanie wymaga posiadania odpowiednich autoryzacji przez specjalistów SAP, np. pracownik lokalnego supportu nie ma uprawnień do korzystania z połączenia typu EarlyWatch.

Wszystkie działania wykonywane przez specjalistów SAP są rejestrowane w logu zdalnego połączenia i mogą być przez Państwa w dowolnym momencie analizowane.

Pracownicy SAP zobowiązują się do zachowania w tajemnicy wszystkich informacji należących do Państwa, a do których mogą mieć dostęp w trakcie świadczenia usług.

Pracownicy zmieniający pracę i opuszczający SAP w dniu odejścia tracą wszystkie posiadane uprawnienia do korzystania z wewnętrznych systemów serwisowych, przez co nie mają dłużej dostępu do Państwa systemów.

Zainteresowanym tematyką bezpieczeństwa w środowisku systemów SAP polecamy również lekturę materiału "Security of Customer Connections" oraz podręcznika "SAP Security Guide", oba dostępne są w SAP Service Marketplace (http://service.sap.com).

Leszek Strumiłowski, SAP Polska

Czy chcą się Państwo dowiedzieć więcej? W celu otrzymania dodatkowych informacji proszę skontaktować się z SAP.
Zapamiętaj
Prześlij znajomemu
Kariera@SAP  Kontakt z SAP
Prawa autorskie/Znak towarowy  Polityka prywatności  Stopka redakcyjna  Podgląd tylko tekstu  Podgląd wydruku

Pytania lub komentarze na temat stron WWW?
Skontaktuj się z webmaster@sap.com.