NetWorker: Como desativar a porta 5672 do DSA-2018-120 para evitar que o software de verificação ainda mostre a vulnerabilidade
Summary: Devido à vulnerabilidade de autenticação de texto não criptografado, foi identificado que a porta 5672 está enviando credenciais não criptografadas. Como solução, a porta 5671 foi introduzida para usar cifras SSL, mas ainda assim a porta 5672 é aberta, pois algumas funções do NetWorker precisam dessa porta para operar; portanto, alguns softwares de verificação podem mostrar que a vulnerabilidade ainda existe no servidor do NetWorker. Este artigo descreve como desativar completamente essa porta. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Antes de ler este artigo, certifique-se de ter lido e compreendido o seguinte artigo da base de conhecimento 523985: Versão impressa em inglês: DSA-2018-120 Vulnerabilidade
de autenticação de texto não criptografado na rede do Dell EMC NetWorkerDepois que a correção for implementada para corrigir o CVE-2018-11050, talvez seja necessário realizar algumas outras ações:
P: Posso bloquear a porta 5672 em nosso Firewall para evitar que a verificação de segurança o denuncie?
Um: Não, a porta 5672 deve ser aberta do servidor NMC para o servidor NetWorker. Esta é a porta "Messmage Queue Adapter".
Os clientes AMQP interagem com o barramento de mensagens na porta 5672 e ela deve estar aberta. A porta 5671 deve estar aberta para SSL.
Os recursos expostos do servidor NW são: status JOB dos backups e nada mais. Portanto, é uma operação somente leitura que qualquer componente invasor pode representar um risco.
Começando com versões fixas do NetWorker especificadas no artigo 523985 da KB: Versão impressa em inglês: DSA-2018-120 Vulnerabilidade de autenticação de texto não criptografado sobre rede do Dell EMC NetWorker, o NW usará o 5671 (SSL) para autenticação e criptografará as credenciais de acordo com as cifras mencionadas. No entanto, o bloqueio 5672 afetará negativamente o artigo 503523: NetWorker 9: Quando um firewall está bloqueando a porta 5672, o monitoramento do NMC exibe Status Never Run for policies, e o clique em Status do fluxo de trabalho é exibido Message bus unable to open socket connection to host <> NetWorker_server na porta 5672: solicitação cronometrada \BRM\DPC\FLR etc.) portanto:
Se o 5672 for exibido na verificação, a única opção por enquanto será ignorá-lo, pois não estamos mais usando a porta 5672 para enviar credenciais vulneráveis. (as credenciais agora são enviadas pela porta 5671).
Dito isto, este artigo só se aplica se:
Etapas para desativar a porta 5672:
de autenticação de texto não criptografado na rede do Dell EMC NetWorkerDepois que a correção for implementada para corrigir o CVE-2018-11050, talvez seja necessário realizar algumas outras ações:
- O software de verificação continua a mostrar a vulnerabilidade, pois a porta não SSL ainda está aberta devido à compatibilidade com versões anteriores (isto é, NMC, Hyper-V FLR/NMM).
- Os serviços internos do NetWorker (nsrd/nsrjobd) começaram a usar a porta habilitada para SSL (5761) nas versões fixas, no entanto, a porta ainda está aberta e é usada pelo NetWorker\NMM para outras operações.
- Esse problema é corrigido nessas versões ao não enviar "credenciais do usuário não criptografadas para o serviço AMQP remoto" pela porta não SSL 5672.
- Se você quiser usar uma porta que não seja SSL, poderá continuar a usá-la.
- Para aqueles que desejam usar a porta SSL, esta correção fornece o mecanismo.
- Se você desabilitar a porta 5672, a operação correta de outros serviços do NetWorker será afetada, como Hyper-V, NMM etc. (todos os clients de aplicativos).
P: Posso bloquear a porta 5672 em nosso Firewall para evitar que a verificação de segurança o denuncie?
Um: Não, a porta 5672 deve ser aberta do servidor NMC para o servidor NetWorker. Esta é a porta "Messmage Queue Adapter".
Os clientes AMQP interagem com o barramento de mensagens na porta 5672 e ela deve estar aberta. A porta 5671 deve estar aberta para SSL.
Os recursos expostos do servidor NW são: status JOB dos backups e nada mais. Portanto, é uma operação somente leitura que qualquer componente invasor pode representar um risco.
Começando com versões fixas do NetWorker especificadas no artigo 523985 da KB: Versão impressa em inglês: DSA-2018-120 Vulnerabilidade de autenticação de texto não criptografado sobre rede do Dell EMC NetWorker, o NW usará o 5671 (SSL) para autenticação e criptografará as credenciais de acordo com as cifras mencionadas. No entanto, o bloqueio 5672 afetará negativamente o artigo 503523: NetWorker 9: Quando um firewall está bloqueando a porta 5672, o monitoramento do NMC exibe Status Never Run for policies, e o clique em Status do fluxo de trabalho é exibido Message bus unable to open socket connection to host <> NetWorker_server na porta 5672: solicitação cronometrada \BRM\DPC\FLR etc.) portanto:
- O barramento RabbitMQ continua disponível via amqp não criptografado (sem TLS) na porta 5672
- O barramento RabbitMQ agora também está disponível via altcipted (TLS) amqp na porta 5671
- A porta 5671 deve ser aberta de entrada no servidor do NetWorker.
- O servidor NMC se conecta à porta 5671 Portanto, ele precisa ser de saída do NMC para o NetWorker.
Se o 5672 for exibido na verificação, a única opção por enquanto será ignorá-lo, pois não estamos mais usando a porta 5672 para enviar credenciais vulneráveis. (as credenciais agora são enviadas pela porta 5671).
Dito isto, este artigo só se aplica se:
- Você não está executando uma das versões afetadas do NetWorker descritas na KB: artigo 523985: Versão impressa em inglês: DSA-2018-120 Vulnerabilidade de autenticação de texto não criptografado na rede do Dell EMC NetWorker
- Você não precisa da porta 5672, pois não precisa que as operações de FLR/NMM do Hyper-V funcionem.
Etapas para desativar a porta 5672:
- Editar/criar arquivo /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Tenha em vigor as opções SSL, pois esta é a porta SSL que usamos.
As linhas que fazem referência tcp_listener devem ser comentadas, exceto a primeira abaixo:
{tcp_listeners, []}, %%isso fará com que {tcp_listeners, []} não escutem nenhuma porta
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Para obter mais segurança, é recomendável ter as seguintes configurações em vigor (marque rabbitmq.config.example anexado):
{honor_cipher_order, true},
{honor_ecc_order, true},
{cifras, [
"lista de cifras"
]},
{honor_ecc_order, true},
{cifras, [
"lista de cifras"
]},
conforme consta em https://www.rabbitmq.com/ssl.html:
Durante a negociação de conexão TLS, o servidor e o client negociam qual suíte de codificação é usada. É possível forçar a implementação do TLS do servidor a ditar sua preferência (ordem do conjunto de codificações) para evitar clientes mal-intencionados que intencionalmente negociam conjuntos de codificações fracos em preparação para executar um ataque neles. Para fazer isso, configure honor_cipher_order e honor_ecc_order como true.
- O serviço NSR deve ser desativado no servidor NetWorker.
Após cada reinicialização, ele é ativado por padrão novamente, portanto, precisa ser desativado novamente. Isso se deve ao bug 300070, corrigido nas versões 9.2.2 e posteriores.
Etapas para desativá-lo:
nsradmin
> p type: nsr service
> update enabled: Não
> p type: nsr service
> update enabled: Não
Additional Information
Devido à vulnerabilidade de autenticação de texto não criptografado, foi identificado que a porta 5672 está enviando credenciais não criptografadas. Como solução, a porta 5671 foi introduzida para usar cifras SSL, mas a porta 5672 ainda está aberta, pois algumas funções do NetWorker precisam dessa porta para operar; portanto, alguns softwares de verificação podem mostrar que a vulnerabilidade ainda existe no servidor do NetWorker. Este artigo descreve como desativar completamente essa porta.
Mais informações sobre rabbitmq.configuration opções estão disponíveis em:
Mais informações sobre rabbitmq.configuration opções estão disponíveis em:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.