SAP Web Dispatcher Security – Einschränkung des Admin-Zugriffs
Autor: Maria Joanna Born | 30. Oktober 2018
Falls Anwendungen Ihres SAP-Systems aus dem Internet erreichbar sind, setzen Sie im Idealfall einen SAP Web Dispatcher ein, um Ihr System gegen Angriffe von außen zu schützen. Der SAP Web Dispatcher bildet die Schnittstelle zwischen dem Internet und Ihrem SAP-System. Ist diese nicht korrekt abgesichert, können sich potentielle Angreifer Zugriff auf ihr SAP System und die darin enthaltenen sensiblen Daten verschaffen. Erfahren Sie hier, wie Sie den Admin-Zugriff Ihres SAP Web Dispatchers zusätzlich absichern können.
Warum sollte der Admin-Zugriff für den SAP Web Dispatcher eingeschränkt werden?
Der Zugriff auf die Administrationskonsole des SAP Web Dispatchers erfolgt über den Browser. In der standardmäßig ausgelieferten Konfiguration Ihres Web Dispatchers erfolgt hier bis auf die Abfrage von Usernamen und Passwort keine Zugriffskontrolle. Hierbei handelt es sich jedoch um eine besonders kritische Komponente, denn von der Administrationskonsole aus können Verbindungen eingerichtet werden, denen vertraut wird, HTTPS deaktiviert werden und die Whitelist konfiguriert werden. Außerdem sind hier Informationen über Ihre Backend-Systeme einsehbar. Alles in allem öffnet ein Zugang zur Administrationskonsole Angreifern Tür und Tor. Daher sollte diese gesondert abgesichert werden. Zusätzliche Sicherheit können Sie über eine Einschränkung der Administrationsclients, also der PCs von denen aus ein Zugriff auf diese Konsole erfolgen kann, gewinnen.
Die SAP Security Challenge - Stellen Sie sich der Herausforderung
Wir beherrschen die neuesten Sicherheitstechnologien - Security Spezialisten. Nehmen Sie die SAP Security Challenge an und verbessern Sie Ihre Sicherheit!
Wie wird die Einschränkung konfiguriert?
Um diese Einschränkung vorzunehmen setzen Sie einfach den Profilparameter icm/HTTP/admin_0 . Über diesen Parameter können Sie zusätzlich steuern unter welchen Adressen die Administrationskonsole überhaupt erreichbar ist, indem Sie auch einen Host angeben. Verwenden Sie dafür den Parameter wie folgt:
icm/HTTP/admin_0 = CLIENTHOST=Admin-Client, HOST=Web Dispatcher Host, PORT=HTTPS Port
Selbstverständlich ist es möglich hier eine Liste von Hosts anzugeben. Damit der Parameter wirksam wird, müssen Sie anschließend den SAP Web Dispatcher neustarten.
Wenn also Ihre SAP Administratoren die IPs 152.12.23.1 und 152.12.23.2 haben und ihr SAP Web Dispatcher unter der Adresse 168.12.23.4 erreichbar sein soll, wäre die richtige Konfiguration:
icm/HTTP/admin_0 = CLIENTHOST=localhost;152.12.23.1;152.12.23.2, HOST=localhost;168.12.23.4, PORT=8080
Mit dem Stichwort localhost lassen Sie dabei den Zugriff auf die Adminkonsole vom Host des SAP Web Dispatcher aus zu. Auch wenn die Angabe des HTTPS Ports hier optional ist, wird es dringend empfohlen, da im Falle eines HTTP-Zugriffs die Passwörter Ihrer Administratoren im Klartext übertragen werden.
Erfahren Sie im SAP Help Portal mehr über diesen Parameter.
Haben Sie Fragen zu dieser Sicherheitseinstellung oder haben Sie bereits Erfahrungen mit dieser Konfiguration sammeln können? Ich freue mich über Ihre Kommentare!
2 Kommentare zu "SAP Web Dispatcher Security – Einschränkung des Admin-Zugriffs"
Hallo,
kann mir jemand sagen, ob ich den Web Dispatcher um die Einschränkung zu konfigurieren neu starten muss? Und gibt es eine maximale Anzahl an Hosts die ich angeben kann?
Hallo Herr van der Laan,
da die Einstellung im Profil getätigt wird, muss der Web Dispatcher in der Tat neugestartet werden. Danke für den Hinweis! Eine Maximale Anzahl an Hosts ist mir nicht bekannt. Jedoch sollten Sie diese Liste so restriktiv wie möglich halten.
Mit freundlichen Grüßen,
Maria Joanna Born.