Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

SAP und Oracle: Was das Internet über Anwender verrät Jochen Hein Senior Architekt SAP R/3 Basis SerCon GmbH, Mainz

Ähnliche Präsentationen


Präsentation zum Thema: "SAP und Oracle: Was das Internet über Anwender verrät Jochen Hein Senior Architekt SAP R/3 Basis SerCon GmbH, Mainz"—  Präsentation transkript:

1 SAP und Oracle: Was das Internet über Anwender verrät Jochen Hein Senior Architekt SAP R/3 Basis SerCon GmbH, Mainz -

2 Inhalt Wie bekomme ich heraus, ob das Ziel SAP und/oder einsetzt? Was kann ich über die Netzwerk-Infrastruktur lernen? Wie kann ich das Wissen ausnutzen? Was kann man tun um sich zu schützen?

3 Setzt das Ziel SAP ein? Suche auf der Web-Seite der SAP &as_ sitesearch=sap.com Suche in passenden Internet-Foren nach der Domain des Zieles news:de.alt.comp.sap-r3 etc.news:de.alt.comp.sap-r3 Suche mit Hilfe des Internet-Archives Firmen-Webseite, Stellenangebote

4 Setzt das Ziel Oracle ein? Analog zu den Optionen bei SAP Wird die Datenbank und/oder Oracle Applications eingesetzt? Welche Optionen der Datenbank werden verwendet (XML, Webserver, Java)?

5 SAP via Internet Zugriff auf SAP auf zwei Wegen: Internet Transaction Server (alt) Bekannte Sicherheitslücken? Windows-Software Web Application Server (neu) Ist in der URL “sap/*/bsp/” enthalten? Java oder ABAP (SAP-Programmierung)

6 Netwerk-Struktur Wo stehen die zugreifbaren Rechner? Beim Anwender oder beim Provider? Welche Systeme werden verwendet: ?url=http://www.jochen.org Wo und wie wird der DNS betrieben? Sind dort nützliche Daten abfragbar?

7 Ausnutzen des Wissens Angriff von außen: Durchdringen der Firewall Ausnutzen von Sicherheitslücken in extern angebotenen Diensten Cross-Site-Scripting SQL-Injection

8 Ausnutzen des Wissens Angriff von außen: Einschleusen von Trojanischen Pferden Ausspähen des internen Netzes Zugriff mit Rechten des Anwenders bzw. mit erspähter Kennung Auslesen/versenden/manipulieren von Daten

9 Ausnutzen des Wissens Angriff von innen: Einschleusen als Berater/Mitarbeiter Ausspähen des internen Netzes Zugriff mit Rechten der zugewiesenen Kennung bzw. ausgespähtem Passwort Auslesen/versenden/manipulieren von Daten

10 Schutzmöglichkeiten Daten-Sparsamkeit: möglichste wenige Informationen veröffentlichen Verschleierung der Infrastruktur (z.B. Firewall unter Solaris, Webserver unter Linux/AIX). Monitoring/Intrusion Detection: Je langsamer ein Angriff ist, desto unsichtbarer ist er.

11 Schutzmöglichkeiten Nicht jeder Anwender muss alle Daten sehen können Nur notwendige Rechte vergeben Nur die Dienste anbieten, die notwendig sind (Security-Policy) Change-Verfahren für Änderungen der Policy

12 Schutzmöglichkeiten (2) interne/externe Firewalls Intrusion Detection und Monitoring Definition eines Notfallplanes Rechtliche Würdigung?

13 Fazit Auch ohne kriminelle Energie sind viele Daten einsehbar Je besser das Umfeld bekannt ist, desto einfacher und erfolgreicher ein Angriff Durch Suchmaschinen und Archive stehen viele Daten zur Verfügung Schutz ist nicht einfach, sondern andauernder Prozess

14 Fragen? Folien gibt es unter


Herunterladen ppt "SAP und Oracle: Was das Internet über Anwender verrät Jochen Hein Senior Architekt SAP R/3 Basis SerCon GmbH, Mainz"

Ähnliche Präsentationen


Google-Anzeigen