SAP Router: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
KKeine Bearbeitungszusammenfassung |
|||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 54: | Zeile 54: | ||
==== Ports ==== | ==== Ports ==== | ||
You need to open the port for SAP Router 3299 & Gateway Port 3399 3389 | You need to open the port for SAP Router 3299 & Gateway Port 3399 3389 | ||
==== Version ==== | |||
<syntaxhighlight lang="bash"> | |||
saprouter -v | |||
</syntaxhighlight> | |||
=== Härtung === | |||
Der '''SAProuter''' ist eine sicherheitskritische Komponente in der SAP-Architektur. Da er als Kommunikations-Gateway zwischen internen und externen SAP-Systemen dient, sind umfassende Sicherheitsmaßnahmen erforderlich. | |||
==== Betriebssystem- und Netzwerksicherheit ==== | |||
===== Firewall-Regeln und Port-Beschränkung ===== | |||
* Nur notwendige Ports öffnen (z. B. TCP 3299 für SAProuter). | |||
* '''IP-Whitelisting''': Nur autorisierte IP-Adressen dürfen kommunizieren. | |||
* SAProuter sollte in einer dedizierten '''DMZ''' platziert werden. | |||
===== Betriebssystem-Härtung ===== | |||
* Deaktivieren unnötiger Dienste und regelmäßige Updates. | |||
* Der SAProuter sollte mit einem minimalen Benutzerkonto laufen. | |||
* Aktivieren eines '''Audit-Logs''' zur Überwachung. | |||
==== SAProuter-spezifische Sicherheitsmaßnahmen ==== | |||
===== Zugriffskontrolle via `saprouttab` ===== | |||
Die Datei `saprouttab` definiert, welche Verbindungen erlaubt oder blockiert werden. | |||
'''Beispiel für eine sichere Konfiguration:''' | |||
<pre> | |||
# Syntax: P <SRC> <DEST> <PROTOCOL> <PORT> | |||
P * 192.168.1.100 * * | |||
P 192.168.1.10 192.168.1.100 * * | |||
D * * * * | |||
</pre> | |||
* '''"P" (Permit)''': Erlaubt eine Verbindung. | |||
* '''"D" (Deny)''': Blockiert eine Verbindung. | |||
* Die letzte Regel '''D * * * *''' verweigert alle nicht explizit erlaubten Verbindungen. | |||
===== Sicherheitsrelevante SAProuter-Parameter ===== | |||
Der SAProuter kann mit bestimmten Parametern gehärtet werden: | |||
<pre> | |||
saprouter -r -S 3299 -V 3 -K <Zertifikatspfad> | |||
</pre> | |||
* `-S 3299`: Legt den SAProuter-Port fest. | |||
* `-V 3`: Aktiviert detailliertes Logging. | |||
* `-K <Pfad>`: Aktiviert die Nutzung eines Sicherheitszertifikats. | |||
==== Verschlüsselung und Authentifizierung ==== | |||
===== SNC-Verschlüsselung aktivieren ===== | |||
Die Secure Network Communication (SNC) schützt die Kommunikation: | |||
<pre> | |||
saprouter -r -S 3299 -K <SNC Zertifikat> | |||
</pre> | |||
* Zertifikate müssen regelmäßig erneuert werden (`sapgenpse`). | |||
* Der Zugriff auf Zertifikate sollte strikt beschränkt sein. | |||
==== Logging und Monitoring ==== | |||
===== SAProuter-Logging aktivieren ===== | |||
Um verdächtige Aktivitäten zu erkennen, sollte Logging aktiviert sein: | |||
<pre> | |||
saprouter -r -S 3299 -V 3 -T /var/log/saprouter.log | |||
</pre> | |||
* `-V 3`: Logging-Level hochsetzen. | |||
* `-T <Pfad>`: Speicherort für Logs definieren. | |||
===== Integration in ein zentrales Monitoring ===== | |||
* Logs in ein '''SIEM-System''' (Splunk, Elastic Stack, SAP Solution Manager) integrieren. | |||
* '''Automatische Alerts''' bei ungewöhnlichen Zugriffen konfigurieren. | |||
==== Weitere Sicherheitsmaßnahmen ==== | |||
* '''Automatische Neustarts''' nach Fehlern über `systemd` oder `cron` einrichten. | |||
* '''Regelmäßige Penetrationstests''' durchführen. | |||
* Zeitlich begrenzte Regeln in `saprouttab` nutzen und anschließend entfernen. | |||
==== Fazit: Härtungsstrategie für SAProuter ==== | |||
'''Empfohlene Maßnahmen:''' | |||
# Betriebssystem absichern (Firewall, minimale Rechte). | |||
# Restriktive Regeln in `saprouttab` setzen. | |||
# SNC-Verschlüsselung und Zertifikate nutzen. | |||
# Sichere SAProuter-Parameter konfigurieren. | |||
# Logging und Monitoring für Angriffserkennung aktivieren. | |||
# Regelmäßige Updates, Audits und Penetrationstests durchführen. | |||
Mit diesen Maßnahmen wird der SAProuter maximal abgesichert und gegen Angriffe geschützt. | |||
====== Nützliche Links ====== | ====== Nützliche Links ====== | ||
[https://kshitij-sap.wixsite.com/sapbasis/single-post/2017/08/03/install-sap-router-in-linux https://kshitij-sap.wixsite.com] | [https://kshitij-sap.wixsite.com/sapbasis/single-post/2017/08/03/install-sap-router-in-linux https://kshitij-sap.wixsite.com] | ||
[https://support.sap.com/en/tools/connectivity-tools/saprouter/install-saprouter.html sap.com] | [https://support.sap.com/en/tools/connectivity-tools/saprouter/install-saprouter.html sap.com] | ||
Aktuelle Version vom 5. Februar 2025, 13:57 Uhr
Beschreibung
Ein SAP-Router ist eine Softwarekomponente, die von SAP-Kunden verwendet wird, um eine sichere Verbindung zwischen ihren internen SAP-Systemen und externen Netzwerken wie dem Internet herzustellen. Der Router agiert als Proxy-Server und dient als Gateway, das den Datenverkehr von und zu den SAP-Systemen steuert.
Der SAP-Router kann verwendet werden, um eine sichere Verbindung zwischen SAP-Systemen innerhalb eines Unternehmens und zwischen verschiedenen Unternehmen herzustellen. Es kann auch verwendet werden, um den Datenverkehr zwischen SAP-Systemen und anderen Nicht-SAP-Systemen zu sichern.
Der SAP-Router bietet eine Reihe von Sicherheitsfunktionen wie Verschlüsselung und Authentifizierung, um sicherzustellen, dass der Datenverkehr sicher und geschützt bleibt.
Download
Installation
Der SAP Router kann schnell installiert werden. Es müssen lediglich die Dateien aus dem heruntergeladenen Archiv mit SAPCAR an dem gewünschten Installationsort (z.B. /usr/sap/SR0 oder /usr/sap/saprouter) entpackt werden.
Konfiguration
Route zum Kundennetz hinzufügen
Temporär:
ip r add <Netz/Subnetzmask> via <dzna9002 IP Adresse> dev eth0Persistent hier eintragen:
vim /etc/sysconfig/network/ifroute-eth0Autostart einrichten
Linux
[Unit]
Description=SAP Router
After=network.target
[Service]
Type=simple
RemainAfterExit=yes
WorkingDirectory=/usr/sap/SR0
User=sapadm
Group=sapsys
Environment="SECUDIR=/usr/sap/SR0" "SNC_LIB=/usr/sap/SR0/libsapcrypto.so"
#ExecStart=/usr/sap/SR0/sr_start.sh
ExecStart=/usr/sap/SR0/saprouter -r -R /usr/sap/SR0/saprouttab -G /usr/sap/SR0/saprouter.log -V1 -T /usr/sap/SR0/saprouter.trc -J 5000000
ExecStop=/usr/sap/SR0/saprouter -s
ExecReload=/usr/sap/SR0/saprouter -n
Restart=on-failure
[Install]
WantedBy=multi-user.targetsystemctl daemon-reload
systemctl enable saprouter.service
systemctl start saprouter.servicePorts
You need to open the port for SAP Router 3299 & Gateway Port 3399 3389
Version
saprouter -vHärtung
Der SAProuter ist eine sicherheitskritische Komponente in der SAP-Architektur. Da er als Kommunikations-Gateway zwischen internen und externen SAP-Systemen dient, sind umfassende Sicherheitsmaßnahmen erforderlich.
Betriebssystem- und Netzwerksicherheit
Firewall-Regeln und Port-Beschränkung
- Nur notwendige Ports öffnen (z. B. TCP 3299 für SAProuter).
- IP-Whitelisting: Nur autorisierte IP-Adressen dürfen kommunizieren.
- SAProuter sollte in einer dedizierten DMZ platziert werden.
Betriebssystem-Härtung
- Deaktivieren unnötiger Dienste und regelmäßige Updates.
- Der SAProuter sollte mit einem minimalen Benutzerkonto laufen.
- Aktivieren eines Audit-Logs zur Überwachung.
SAProuter-spezifische Sicherheitsmaßnahmen
Zugriffskontrolle via `saprouttab`
Die Datei `saprouttab` definiert, welche Verbindungen erlaubt oder blockiert werden.
Beispiel für eine sichere Konfiguration:
# Syntax: P <SRC> <DEST> <PROTOCOL> <PORT> P * 192.168.1.100 * * P 192.168.1.10 192.168.1.100 * * D * * * *
- "P" (Permit): Erlaubt eine Verbindung.
- "D" (Deny): Blockiert eine Verbindung.
- Die letzte Regel D * * * * verweigert alle nicht explizit erlaubten Verbindungen.
Sicherheitsrelevante SAProuter-Parameter
Der SAProuter kann mit bestimmten Parametern gehärtet werden:
saprouter -r -S 3299 -V 3 -K <Zertifikatspfad>
- `-S 3299`: Legt den SAProuter-Port fest.
- `-V 3`: Aktiviert detailliertes Logging.
- `-K <Pfad>`: Aktiviert die Nutzung eines Sicherheitszertifikats.
Verschlüsselung und Authentifizierung
SNC-Verschlüsselung aktivieren
Die Secure Network Communication (SNC) schützt die Kommunikation:
saprouter -r -S 3299 -K <SNC Zertifikat>
- Zertifikate müssen regelmäßig erneuert werden (`sapgenpse`).
- Der Zugriff auf Zertifikate sollte strikt beschränkt sein.
Logging und Monitoring
SAProuter-Logging aktivieren
Um verdächtige Aktivitäten zu erkennen, sollte Logging aktiviert sein:
saprouter -r -S 3299 -V 3 -T /var/log/saprouter.log
- `-V 3`: Logging-Level hochsetzen.
- `-T <Pfad>`: Speicherort für Logs definieren.
Integration in ein zentrales Monitoring
- Logs in ein SIEM-System (Splunk, Elastic Stack, SAP Solution Manager) integrieren.
- Automatische Alerts bei ungewöhnlichen Zugriffen konfigurieren.
Weitere Sicherheitsmaßnahmen
- Automatische Neustarts nach Fehlern über `systemd` oder `cron` einrichten.
- Regelmäßige Penetrationstests durchführen.
- Zeitlich begrenzte Regeln in `saprouttab` nutzen und anschließend entfernen.
Fazit: Härtungsstrategie für SAProuter
Empfohlene Maßnahmen:
- Betriebssystem absichern (Firewall, minimale Rechte).
- Restriktive Regeln in `saprouttab` setzen.
- SNC-Verschlüsselung und Zertifikate nutzen.
- Sichere SAProuter-Parameter konfigurieren.
- Logging und Monitoring für Angriffserkennung aktivieren.
- Regelmäßige Updates, Audits und Penetrationstests durchführen.
Mit diesen Maßnahmen wird der SAProuter maximal abgesichert und gegen Angriffe geschützt.