Um in SAP-Umgebungen einen möglichst umfassenden Schutz vor potenziellen Angriffen zu erreichen und möglichen Attacken zu begegnen, ist die Verwendung von Verschlüsselungsmechanismen und möglichst aktuellen Kryptographie-Bibliotheken mittels TLS notwendig.
Die Verschlüsselung über das Transport Layer Security Protokoll (TLS) – früher Secure Sockets Layer (SSL) wird gegenwärtig im SAP-Umfeld vor allem mit HTTPS eingesetzt. Die meisten Webserver unterstützen TLS 1.0 und höher mit einer Vielzahl von Verschlüsselungsmethoden. Fast alle Browser und Server setzen bevorzugt TLS mit Verschlüsselungsalgorithmen (Cipher-Suites) wie RSA- oder AES- Verschlüsselung ein.
Verwendung betriebs- und sicherheitsoptimaler TLS-Einstellungen
Die Steuerung und Verschlüsselung durch aktuell verfügbare TLS-Protokollversionen in SAP Application Servern wird durch den Einsatz von Kryptographie-Bibliotheken (CommonCryptoLib) erreicht. Um möglichst aktuelle Protokollversionen und Verschlüsselungsalgorithmen zu unterstützen, empfiehlt SAP den Einsatz einer CommonCryptoLib 8.5.2 und höher (aktuell 8.5.22).
Aktuelle verfügbare Protokollversionen, die in gängigen Web-Browsern unterstützt werden, sind TLS v1.1 sowie v1.2, sowie seit März 2018 die v1.3.
Die Steuerung der Cipher-Suites erfolgt über die folgenden Profilparameter:
- ssl/ciphersuites(Standardwert HIGH:MEDIUM:+e3DES:!aNULL)
- ssl/client_ciphersuites (Standardwert HIGH:MEDIUM:+e3DES:!aNULL)
Um eine bestmögliche Interoperabilität innerhalb der SAP-betriebenen Landschaften bei gleichzeitiger Ausnutzung bestmöglicher Verschlüsselungsalgorithmen zu ermöglichen, sind gemäß Empfehlung der SAP folgende Werte für die Profilparameter zu setzen bzw. anzupassen, die dann den aktuellen Standard TLS v1.2 unterstützen:
- SAP Application Server:
ssl/ciphersuites = 135:PFS:HIGH::EC_P256:EC_HIGH
ssl/client_ciphersuites=150:PFS:HIGH::EC_P256:EC_HIGH - SAP Solution Manager abweichend:
ssl/client_ciphersuites = 918:PFS:HIGH::EC_P256:EC_HIGH
Die Codierung setzt sich aus einem errechneten Bit-Wert zusammen, der aus folgender Übersicht entnommen werden kann:
| Wert | Beschreibung |
| 1 | „BC“- Option (Akzeptieren von SSL Version 2.0 CLIENT-HELLO / SSLv2Hello für TLSv1.x-Handshake) |
| 2 | „BEST“- Option (Aktivieren der höchsten verfügbaren TLS-Protokollversion, d.h. TLSv1.2 für CCL 8.4.31+) |
| 4 | „NO_GAP“- Option (keine Lücken zwischen TLS-Protokollversionen; wird bisher erzwungen) |
| 16 | Erlaubt das blinde Senden eines Client-Zertifikats (5.5.5pl36+ und alle CCL 8.x.x) |
| 32 | „Strict protocol version configuration“-Option – TLSv1.0 nicht automatisch aktivieren (erkannt/unterstützt nur von CommonCryptoLib (CCL) 8.4.48 oder höher) |
| 64 | SSLv3 |
| 128 | TLSv1.0 |
| 256 | TLSv1.1 (nur mit CommonCryptoLib (CCL) 8.4.31 oder höher) |
| 512 | TLSv1.2 (nur mit CommonCryptoLib (CCL) 8.4.31 oder höher) |
Beispiel: 135:PFS:HIGH::EC_P256:EC_HIGH
- 135 = 128 (TLS >= 1.0) + 2 (BEST Protocol Option) + 1 (SSL 2.0-Handshake Akzeptanz + 4 (NoGap Option)
- PFS: Unterstützung von Perfect Forward Secrecy Cyper-Suites
- HIGH: Ausschließliche Unterstützung von Cipher-Suites der Klasse HIGH (ohne PFS Suites)
- EC_HIGH: Verwendung von High security elliptic curves
- EC_P256: Definierte elliptic curve
Die Verwendung dieser Werte erlauben die Nutzung von sowohl TLS 1.2 als auch 1.0 als Fallback-Lösung, um Probleme durch Interoperabiltät zu minimieren.
Die Deaktivierung des nicht aktuellen TLS v1.0 wird ohne erforderliche Zusatzmaßnahmen durch SAP ausdrücklich nicht empfohlen. Denn hierzu muss die gesamte SAP Software aktualisiert und analysiert werden, um mit Unterstützung von http Logging nicht kompatible bzw. auf TLS v1.0 beschränkte Komponenten ausfindig zu machen.
Sie haben Fragen zu diesem Thema oder sind an weiteren Informationen über unser Portfolio interessiert. Das schauen Sie sich gerne auf unserer SAST SOLUTIONS Website um oder sprechen Sie uns an: sast@akquinet.de
Axel Giese (SAP Security Consulting)
Diese Beiträge könnten Sie ebenfalls interessieren:
Audit oder Penetrationstest? So finden Sie Ihre Schwachstellen bevor es weh tut!
Berechtigungen für Batch-Verarbeitung im SAP NetWeaver und S/4HANA-Umfeld