Maria Joanna Born
 - 30. Oktober 2018

SAP Web Dispatcher Security – Einschränkung des Admin-Zugriffs

cyber-security-3400657_1920 Falls Anwendungen Ihres SAP-Systems aus dem Internet erreichbar sind, setzen Sie im Idealfall einen SAP Web Dispatcher ein, um Ihr System gegen Angriffe von außen zu schützen. Der SAP Web Dispatcher bildet die Schnittstelle zwischen dem Internet und Ihrem SAP-System. Ist diese nicht korrekt abgesichert, können sich potentielle Angreifer Zugriff auf ihr SAP System und die darin enthaltenen sensiblen Daten verschaffen. Erfahren Sie hier, wie Sie den Admin-Zugriff Ihres SAP Web Dispatchers zusätzlich absichern können.

Warum sollte der Admin-Zugriff für den SAP Web Dispatcher eingeschränkt werden?

Der Zugriff auf die Administrationskonsole des SAP Web Dispatchers erfolgt über den Browser. In der standardmäßig ausgelieferten Konfiguration Ihres Web Dispatchers erfolgt hier bis auf die Abfrage von Usernamen und Passwort keine Zugriffskontrolle. Hierbei handelt es sich jedoch um eine besonders kritische Komponente, denn von der Administrationskonsole aus können Verbindungen eingerichtet werden, denen vertraut wird, HTTPS deaktiviert werden und die Whitelist konfiguriert werden. Außerdem sind hier Informationen über Ihre Backend-Systeme einsehbar. Alles in allem öffnet ein Zugang zur Administrationskonsole Angreifern Tür und Tor. Daher sollte diese gesondert abgesichert werden. Zusätzliche Sicherheit können Sie über eine Einschränkung der Administrationsclients, also der PCs von denen aus ein Zugriff auf diese Konsole erfolgen kann, gewinnen.

Wie wird die Einschränkung konfiguriert?

Um diese Einschränkung vorzunehmen setzen Sie einfach den Profilparameter icm/HTTP/admin_0 . Über diesen Parameter können Sie zusätzlich steuern unter welchen Adressen die Administrationskonsole überhaupt erreichbar ist, indem Sie auch einen Host angeben. Verwenden Sie dafür den Parameter wie folgt:

  icm/HTTP/admin_0 = CLIENTHOST=Admin-Client, HOST=Web Dispatcher Host, PORT=HTTPS Port 

Selbstverständlich ist es möglich hier eine Liste von Hosts anzugeben. Damit der Parameter wirksam wird, müssen Sie anschließend den SAP Web Dispatcher neustarten.

Wenn also Ihre SAP Administratoren die IPs 152.12.23.1 und 152.12.23.2 haben und ihr SAP Web Dispatcher unter der Adresse 168.12.23.4 erreichbar sein soll, wäre die richtige Konfiguration:

 icm/HTTP/admin_0 = CLIENTHOST=localhost;152.12.23.1;152.12.23.2,  HOST=localhost;168.12.23.4, PORT=8080

Mit dem Stichwort localhost lassen Sie dabei den Zugriff auf die Adminkonsole vom Host des SAP Web Dispatcher aus zu. Auch wenn die Angabe des HTTPS Ports hier optional ist, wird es dringend empfohlen, da im Falle eines HTTP-Zugriffs die Passwörter Ihrer Administratoren im Klartext übertragen werden.

Erfahren Sie im SAP Help Portal mehr über diesen Parameter.

Haben Sie Fragen zu dieser Sicherheitseinstellung oder haben Sie bereits Erfahrungen mit dieser Konfiguration sammeln können? Ich freue mich über Ihre Kommentare!

Maria Joanna Born

Mein Name ist Maria Joanna Born und ich bin SAP Consultant für Basis und Security bei mindsquare. Das bedeutet für mich vor allem Sie als vertrauter Ansprechpartner bei der Lösung Ihrer Probleme zu unterstützen.

Sie haben Fragen? Kontaktieren Sie mich!

Jetzt das kostenlose E-Book zum Thema SAP Basis herunterladen:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




Das könnte Sie auch interessieren


2 Kommentare zu "SAP Web Dispatcher Security – Einschränkung des Admin-Zugriffs"

Manuel van der Laan - 30. Oktober 2018 | 11:27

Hallo,
kann mir jemand sagen, ob ich den Web Dispatcher um die Einschränkung zu konfigurieren neu starten muss? Und gibt es eine maximale Anzahl an Hosts die ich angeben kann?

Antworten
Maria Joanna Born - 5. November 2018 | 17:58

Hallo Herr van der Laan,

da die Einstellung im Profil getätigt wird, muss der Web Dispatcher in der Tat neugestartet werden. Danke für den Hinweis! Eine Maximale Anzahl an Hosts ist mir nicht bekannt. Jedoch sollten Sie diese Liste so restriktiv wie möglich halten.

Mit freundlichen Grüßen,
Maria Joanna Born.

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support