Скачать презентацию SAP und Oracle Was das Internet über Anwender Скачать презентацию SAP und Oracle Was das Internet über Anwender

6e001f8dc1fbf978861cae2fb8448c94.ppt

  • Количество слайдов: 14

SAP und Oracle: Was das Internet über Anwender verrät Jochen Hein Senior Architekt SAP SAP und Oracle: Was das Internet über Anwender verrät Jochen Hein Senior Architekt SAP R/3 Basis Ser. Con Gmb. H, Mainz http: //www. jochen. org/~jochen/ -

Inhalt Wie bekomme ich heraus, ob das Ziel SAP und/oder einsetzt? Was kann ich Inhalt Wie bekomme ich heraus, ob das Ziel SAP und/oder einsetzt? Was kann ich über die Netzwerk-Infrastruktur lernen? Wie kann ich das Wissen ausnutzen? Was kann man tun um sich zu schützen?

Setzt das Ziel SAP ein? Suche auf der Web-Seite der SAP http: //www. sap. Setzt das Ziel SAP ein? Suche auf der Web-Seite der SAP http: //www. sap. com http: //www. google. de/search? as_q=&as _sitesearch=sap. com Suche in passenden Internet-Foren nach der Domain des Zieles news: de. alt. comp. sap-r 3 etc. Suche mit Hilfe des Internet-Archives http: //www. archive. org Firmen-Webseite, Stellenangebote

Setzt das Ziel Oracle ein? Analog zu den Optionen bei SAP Wird die Datenbank Setzt das Ziel Oracle ein? Analog zu den Optionen bei SAP Wird die Datenbank und/oder Oracle Applications eingesetzt? Welche Optionen der Datenbank werden verwendet (XML, Webserver, Java)?

SAP via Internet Zugriff auf SAP auf zwei Wegen: Internet Transaction Server (alt) Bekannte SAP via Internet Zugriff auf SAP auf zwei Wegen: Internet Transaction Server (alt) Bekannte Sicherheitslücken? Windows-Software Web Application Server (neu) Ist in der URL “sap/*/bsp/” enthalten? Java oder ABAP (SAP-Programmierung)

Netwerk-Struktur Wo stehen die zugreifbaren Rechner? Beim Anwender oder beim Provider? Welche Systeme werden Netwerk-Struktur Wo stehen die zugreifbaren Rechner? Beim Anwender oder beim Provider? Welche Systeme werden verwendet: http: //toolbar. netcraft. com/site_report ? url=http: //www. jochen. org Wo und wie wird der DNS betrieben? Sind dort nützliche Daten abfragbar?

Ausnutzen des Wissens Angriff von außen: Durchdringen der Firewall Ausnutzen von Sicherheitslücken in extern Ausnutzen des Wissens Angriff von außen: Durchdringen der Firewall Ausnutzen von Sicherheitslücken in extern angebotenen Diensten Cross-Site-Scripting SQL-Injection

Ausnutzen des Wissens Angriff von außen: Einschleusen von Trojanischen Pferden Ausspähen des internen Netzes Ausnutzen des Wissens Angriff von außen: Einschleusen von Trojanischen Pferden Ausspähen des internen Netzes Zugriff mit Rechten des Anwenders bzw. mit erspähter Kennung Auslesen/versenden/manipulieren von Daten

Ausnutzen des Wissens Angriff von innen: Einschleusen als Berater/Mitarbeiter Ausspähen des internen Netzes Zugriff Ausnutzen des Wissens Angriff von innen: Einschleusen als Berater/Mitarbeiter Ausspähen des internen Netzes Zugriff mit Rechten der zugewiesenen Kennung bzw. ausgespähtem Passwort Auslesen/versenden/manipulieren von Daten

Schutzmöglichkeiten Daten-Sparsamkeit: möglichste wenige Informationen veröffentlichen Verschleierung der Infrastruktur (z. B. Firewall unter Solaris, Schutzmöglichkeiten Daten-Sparsamkeit: möglichste wenige Informationen veröffentlichen Verschleierung der Infrastruktur (z. B. Firewall unter Solaris, Webserver unter Linux/AIX). Monitoring/Intrusion Detection: Je langsamer ein Angriff ist, desto unsichtbarer ist er.

Schutzmöglichkeiten Nicht jeder Anwender muss alle Daten sehen können Nur notwendige Rechte vergeben Nur Schutzmöglichkeiten Nicht jeder Anwender muss alle Daten sehen können Nur notwendige Rechte vergeben Nur die Dienste anbieten, die notwendig sind (Security-Policy) Change-Verfahren für Änderungen der Policy

Schutzmöglichkeiten (2) interne/externe Firewalls Intrusion Detection und Monitoring Definition eines Notfallplanes Rechtliche Würdigung? Schutzmöglichkeiten (2) interne/externe Firewalls Intrusion Detection und Monitoring Definition eines Notfallplanes Rechtliche Würdigung?

Fazit Auch ohne kriminelle Energie sind viele Daten einsehbar Je besser das Umfeld bekannt Fazit Auch ohne kriminelle Energie sind viele Daten einsehbar Je besser das Umfeld bekannt ist, desto einfacher und erfolgreicher ein Angriff Durch Suchmaschinen und Archive stehen viele Daten zur Verfügung Schutz ist nicht einfach, sondern andauernder Prozess

Fragen? Folien gibt es unter http: //www. jochen. org/vortraege. html Fragen? Folien gibt es unter http: //www. jochen. org/vortraege. html