NetWorker: Poort 5672 uitschakelen voor DSA-2018-120 om te voorkomen dat scansoftware nog steeds het beveiligingslek weergeeft
Summary: Vanwege een beveiligingslek in Clear-Text Authentication bleek poort 5672 niet-versleutelde referenties te verzenden. Als oplossing werd poort 5671 geïntroduceerd om gebruik te maken van SSL-cijfers, maar toch wordt poort 5672 geopend omdat sommige NetWorker-functies deze poort nodig hebben om te werken; daarom kunnen sommige scansoftware aantonen dat het beveiligingslek nog steeds bestaat op de NetWorker-server. In dit artikel wordt beschreven hoe u deze poort volledig uitschakelt. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Voordat u dit artikel leest, moet u ervoor zorgen dat u het volgende KB-artikel hebt gelezen en begrepen 523985: DSA-2018-120: Kwetsbaarheid
in Dell EMC NetWorker Clear-Text Authentication over NetworkNadat de oplossing is geïmplementeerd om CVE-2018-11050 op te lossen, zijn er nog enkele acties die mogelijk moeten worden uitgevoerd:
V: Kan ik poort 5672 in onze firewall blokkeren om te voorkomen dat de beveiligingsscan dit meldt?
Een: Nee, poort 5672 moet worden geopend vanaf de NMC server naar de NetWorker server. Dit is de "Messmage Queue Adapter"-poort.
De AMQP-clients communiceren met de berichtenbus op poort 5672 en deze moet open zijn. Poort 5671 moet worden geopend voor SSL.
De functies die worden weergegeven vanaf de NW-server zijn de taakstatus van back-ups en niets meer. Daarom is het een alleen-lezen bewerking die elk kwaadaardig onderdeel als een risico kan vormen.
Te beginnen met vaste NetWorker-versies die worden gespecificeerd in KB-artikel 523985: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW gebruikt 5671 (SSL) voor authenticatie en versleutelt de referenties volgens de vermelde cijfers. Het blokkeren van 5672 heeft echter een negatieve invloed op de 503523 van kb-artikelen: NetWorker 9: Wanneer een firewall poort 5672 blokkeert, geeft de NMC Monitoring de status Never Run weer voor beleid, en als u op Workflowstatus klikt, verschijnt Berichtenbus kan socketverbinding met host < niet openen> NetWorker_server op poort 5672: request timed \BRM\DPC\FLR etc) vandaar:
Als 5672 wordt weergegeven in de scan, is de enige optie voor nu om het te negeren omdat we poort 5672 niet meer gebruiken voor het verzenden van kwetsbare referenties. (Referenties worden nu verzonden via poort 5671).
Dit artikel is echter alleen van toepassing indien:
Stappen om poort 5672 uit te schakelen:
in Dell EMC NetWorker Clear-Text Authentication over NetworkNadat de oplossing is geïmplementeerd om CVE-2018-11050 op te lossen, zijn er nog enkele acties die mogelijk moeten worden uitgevoerd:
- De scansoftware blijft het beveiligingslek vertonen omdat de niet-SSL-poort nog steeds open is vanwege achterwaartse compatibiliteit (dit is NMC, Hyper-V FLR/NMM).
- NetWorker Internal Services (nsrd/nsrjobd) zijn begonnen met het gebruik van SSL-poort (5761) op de vaste versies, maar de poort is nog steeds open en wordt door NetWorker\NMM gebruikt voor andere bewerkingen.
- Dit probleem wordt in deze versies opgelost door User credentials unencrypted to the remote AMQP service niet te verzenden via niet-SSL-poort 5672.
- Als u een niet-SSL-poort wilt gebruiken, kunt u deze blijven gebruiken.
- Voor degenen die de SSL-poort willen gebruiken, biedt deze oplossing het mechanisme.
- Als u poort 5672 uitschakelt, heeft dit invloed op de correcte werking van andere NetWorker-services, zoals Hyper-V, NMM enzovoort (allemaal app-clients).
V: Kan ik poort 5672 in onze firewall blokkeren om te voorkomen dat de beveiligingsscan dit meldt?
Een: Nee, poort 5672 moet worden geopend vanaf de NMC server naar de NetWorker server. Dit is de "Messmage Queue Adapter"-poort.
De AMQP-clients communiceren met de berichtenbus op poort 5672 en deze moet open zijn. Poort 5671 moet worden geopend voor SSL.
De functies die worden weergegeven vanaf de NW-server zijn de taakstatus van back-ups en niets meer. Daarom is het een alleen-lezen bewerking die elk kwaadaardig onderdeel als een risico kan vormen.
Te beginnen met vaste NetWorker-versies die worden gespecificeerd in KB-artikel 523985: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW gebruikt 5671 (SSL) voor authenticatie en versleutelt de referenties volgens de vermelde cijfers. Het blokkeren van 5672 heeft echter een negatieve invloed op de 503523 van kb-artikelen: NetWorker 9: Wanneer een firewall poort 5672 blokkeert, geeft de NMC Monitoring de status Never Run weer voor beleid, en als u op Workflowstatus klikt, verschijnt Berichtenbus kan socketverbinding met host < niet openen> NetWorker_server op poort 5672: request timed \BRM\DPC\FLR etc) vandaar:
- RabbitMQ-bus blijft beschikbaar via niet-versleutelde (geen TLS) AMQP op poort 5672
- RabbitMQ-bus is nu ook beschikbaar via gecodeerde (TLS) AMQP op poort 5671
- Poort 5671 moet inkomend geopend zijn op de NetWorker-server.
- NMC Server maakt verbinding met poort 5671 Dus het moet uitgaand zijn van NMC naar Networker.
Als 5672 wordt weergegeven in de scan, is de enige optie voor nu om het te negeren omdat we poort 5672 niet meer gebruiken voor het verzenden van kwetsbare referenties. (Referenties worden nu verzonden via poort 5671).
Dit artikel is echter alleen van toepassing indien:
- U gebruikt niet een van de betreffende NetWorker-versies die worden beschreven in KB: artikel 523985: DSA-2018-120: Kwetsbaarheid in Dell EMC NetWorker Clear-Text Authentication over Network
- U hebt poort 5672 niet nodig, omdat u geen Hyper-V FLR/NMM-bewerkingen nodig hebt om te werken.
Stappen om poort 5672 uit te schakelen:
- Bestand bewerken/maken /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Zorg dat u over de SSL-opties beschikt, want dit is de SSL-poort die we gebruiken.
De regels die naar tcp_listener verwijzen, moeten worden becommentarieerd, met uitzondering van de eerste hieronder:
{tcp_listeners, []}, %%this will make {tcp_listeners, []} to not listen to some port
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Voor meer beveiliging wordt aanbevolen om de volgende instellingen in te voeren (controleer rabbitmq.config.example bijgevoegd):
{honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers, [
"list of ciphers"
]},
{honor_ecc_order, true},
{ciphers, [
"list of ciphers"
]},
Zoals vermeld in https://www.rabbitmq.com/ssl.html:
Tijdens de TLS-verbindingsonderhandelingen onderhandelen de server en de client over welke coderingssuite wordt gebruikt. Het is mogelijk om de TLS-implementatie van de server te dwingen zijn voorkeur te dicteren (cipher suite order) om kwaadaardige clients te vermijden die opzettelijk onderhandelen over zwakke cipher suites ter voorbereiding op het uitvoeren van een aanval op hen. Om dit te doen, configureert u honor_cipher_order en honor_ecc_order naar true.
- De NSR-service moet worden uitgeschakeld op de NetWorker-server.
Na elke herstart is het weer standaard ingeschakeld, dus het moet opnieuw worden uitgeschakeld. Dit wordt veroorzaakt door bug 300070, opgelost in releases van 9.2.2 en hoger.
Stappen om het uit te schakelen:
NSRadmin
> P Type: NSR service-update
> ingeschakeld: Nee
> P Type: NSR service-update
> ingeschakeld: Nee
Additional Information
Vanwege een beveiligingslek in Clear-Text Authentication bleek poort 5672 niet-versleutelde referenties te verzenden. Als oplossing werd poort 5671 geïntroduceerd om gebruik te maken van SSL-cijfers, maar poort 5672 is nog steeds geopend omdat sommige NetWorker-functies deze poort nodig hebben om te werken; daarom kunnen sommige scansoftware aantonen dat het beveiligingslek nog steeds bestaat op de NetWorker-server. In dit artikel wordt beschreven hoe u deze poort volledig uitschakelt.
Meer informatie over rabbitmq.configuration-opties is beschikbaar op:
Meer informatie over rabbitmq.configuration-opties is beschikbaar op:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.