[1550] in SAPr3-news
Re: Systemsicherheit
daemon@ATHENA.MIT.EDU (Ralf Kempf)
Tue Jul 9 20:57:25 1996
To: sapr3-news@MIT.EDU
Date: 9 Jul 1996 20:00:51 GMT
From: Ralf Kempf <rkempf@hphh1.apcon.de>
roger@larry.westfalen.de (Roger Schwentker) wrote:
>kempf (rkempf@hphh1.apcon.de) schrieb am 29 Jun 1996 00:10:31 GMT:
>> R/3 hat zur Zeit sehr viele L=3DFCcken.
>
>nicht nur r/3, auch die darunter liegende datenbank
>wird aufgemacht wie ein scheunentor, damit sap l=E4uft.
>nicht umsonst ist die release von informix, die von
>sap vertrieben wird, sonst nicht zu erhalten.
Gegen die offenen Datenbanken kann man ab 2.2D+ etwas tun,
die Mittel sind jedoch noch nicht voll ausreicheiden. Wichtig ist,
das die DB so konfiguriert wird, dass sie nur den APPLICATION-Servern antwortet.
(Kann man bei den meisten DB's in der Netzkonfiguration)
ODBC und andere (mittlerweile wie Sauerbier ) angebotene Requester/Tools sind absoluter
Wahnsinn aus Sicherheitssicht.Da kann man die Daten gleich nach /tmp stellen.
>
>> Auf die offenen Filesysteme und Tabellen wurde hier schon hingewiesen.
>> =3DDCber das Netz steht R/3 auch sehr weit offen. Als das ist SAP bekannt und daher wird in K=3DFCrze
>> ein ausf=3DFChrliches Sicherheitshandbuch f=3DFCr die Admins erscheinen.
>
>... welches sicherlich nicht an alle nutzer versand
>wird, sondern erst f=FCr dm XXXXX,- k=E4uflich erworben
>werden mu=DF, wie ich sap kenne. dazu die passende
>sicherheitssoftware, um die l=F6cher zu stopfen f=FCr
>nur noch dm XXXXXX,-
Das ist nicht richtig ... SAP wird den Leitfaden an alle bekannten Systembetreuer
verschicken oder diesen den Zugriff erm=F6glichen. Enduser sollen da nicht ohne weiteres ran
kommen. Es sei denn, das irgendein d=F6siger Admin den Leitfaden ins W3 stellt.
>
>und ob sap alle l=FCcken kennt, wage ich zu bezweifeln.
Ich habe mich sehr ausf=FChrlich mit den L=FCcken besch=E4ftigt und finde bei weiteren Recherchen
und Diskussionen mit Anwendern immer neue ... die ganz gro=DFen und wichtigen kennt die SAP aber.
Das ganze hat dazu gef=FChrt,dass ich einen Grossteil meines Beraterjobs mit Sicherheitsberatung
im R/3-Umfeld verbringe und Auditing-Tools (f=FCr R/3) entwickle.
R. Kempf
>
> gru=DF
> roger schwentker
> roger@larry.westfalen.de
>
>Bei dem Brand im Rathaus wurden f=FCnf Beamte verletzt.
>Menschen kamen nicht zu Schaden [Wie Bitte, RTL]
