NetWorker: Tarama yazılımının hala güvenlik açığını göstermesini önlemek için DSA-2018-120 için 5672 numaralı bağlantı noktasını devre dışı bırakma
Summary: Açık Metin Kimlik Doğrulama Güvenlik Açığı nedeniyle, 5672 numaralı bağlantı noktasının şifrelenmemiş kimlik bilgileri gönderdiği tespit edildi. Bir çözüm olarak, SSL şifrelerini kullanmak için 5671 numaralı bağlantı noktası tanıtıldı, ancak bazı NetWorker işlevlerinin çalışması için bu bağlantı noktasına ihtiyaç duyduğundan yine de 5672 numaralı bağlantı noktası açıldı; bu nedenle, bazı tarama yazılımları, güvenlik açığının NetWorker sunucusunda hâlâ var olduğunu gösterebilir. Bu makalede, bu bağlantı noktasının nasıl tamamen devre dışı bırakılacağı açıklanmaktadır. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Bu makaleyi okumadan önce aşağıdaki KB makalesini okuyup anladığınızdan emin olun 523985: DSA-2018-120: Ağ Güvenlik Açığı
Üzerinden Dell EMC NetWorker Açık Metin Kimlik DoğrulamasıCVE-2018-11050 hatasını düzeltmek için düzeltme uygulandıktan sonra yapılması gereken bazı eylemler daha vardır:
S: Güvenlik taramasının raporlamasını önlemek için Güvenlik Duvarımızda 5672 numaralı bağlantı noktasını engelleyebilir miyim?
A: Hayır, NMC sunucusundan NetWorker sunucusuna 5672 numaralı bağlantı noktası açılmalıdır. Bu, "Messmage Queue Adapter" bağlantı noktasıdır.
AMQP istemcileri 5672 numaralı bağlantı noktasındaki İleti Veri Yolu ile etkileşime girer ve açık olması gerekir. SSL için 5671 numaralı bağlantı noktası açılmalıdır.
NW sunucusundan açığa çıkan özellikler, yedeklerin İŞ durumudur; başka bir şey değildir. Bu nedenle, herhangi bir hileli bileşenin risk oluşturabileceği salt okunur bir işlemdir.
523985 numaralı KB makalesinde belirtilen sabit NetWorker sürümlerinden başlayarak: DSA-2018-120: Dell EMC Ağ Çalışanı Açık Metin Kimlik Doğrulaması Güvenlik Açığı Üzerinden NW, kimlik doğrulama için 5671 (SSL) kullanır ve kimlik bilgilerini belirtilen şifrelere göre şifreler. Ancak, 5672'nin engellenmesi kb makalesi 503523'i olumsuz etkileyecektir: NetWorker 9: Bir güvenlik duvarı 5672 numaralı bağlantı noktasını engellediğinde NMC İzleme, politikalar için Asla Çalıştırma durumunu görüntüler ve İş akışı durumuna tıklandığında mesaj veri yolu ana bilgisayara < soket bağlantısı açılamıyor mesajı> 5672 numaralı bağlantı noktasında NetWorker_server: istek zamanlandı \BRM\DPC\FLR vb.) dolayısıyla:
Taramada 5672 görünüyorsa, şimdilik tek seçenek, savunmasız kimlik bilgilerini göndermek için artık 5672 numaralı bağlantı noktasını kullanmadığımız için onu yok saymaktır. (Kimlik bilgileri artık 5671 numaralı bağlantı noktası üzerinden gönderilmektedir).
Bununla birlikte, bu makale yalnızca aşağıdaki durumlarda geçerlidir:
5672 numaralı bağlantı noktasını devre dışı bırakma adımları:
Üzerinden Dell EMC NetWorker Açık Metin Kimlik DoğrulamasıCVE-2018-11050 hatasını düzeltmek için düzeltme uygulandıktan sonra yapılması gereken bazı eylemler daha vardır:
- Geriye dönük uyumluluk nedeniyle SSL olmayan bağlantı noktası hala açık olduğundan tarama yazılımı güvenlik açığını göstermeye devam eder (Bu NMC, Hyper-V FLR/NMM'dir).
- NetWorker dahili hizmetleri (nsrd/nsrjobd), düzeltilen sürümlerde SSL özellikli bağlantı noktasını (5761) kullanmaya başladı, ancak bağlantı noktası hala açıktır ve NetWorker\NMM tarafından diğer işlemler için kullanılır.
- Bu sürümde, SSL olmayan 5672 numaralı bağlantı noktası üzerinden "Kullanıcı kimlik bilgileri uzak AMQP hizmetine şifrelenmemiş kullanıcı kimlik bilgileri" gönderilmeyerek düzeltilmiştir.
- SSL olmayan bağlantı noktasını kullanmak istiyorsanız, kullanmaya devam edebilirsiniz.
- SSL bağlantı noktasını kullanmak isteyenler için bu düzeltme mekanizmayı sağlar.
- 5672 numaralı bağlantı noktasını devre dışı bırakırsanız Hyper-V, NMM vb. (tüm uygulama istemcileri) gibi diğer NetWorker hizmetlerinin doğru çalışması etkilenir.
S: Güvenlik taramasının raporlamasını önlemek için Güvenlik Duvarımızda 5672 numaralı bağlantı noktasını engelleyebilir miyim?
A: Hayır, NMC sunucusundan NetWorker sunucusuna 5672 numaralı bağlantı noktası açılmalıdır. Bu, "Messmage Queue Adapter" bağlantı noktasıdır.
AMQP istemcileri 5672 numaralı bağlantı noktasındaki İleti Veri Yolu ile etkileşime girer ve açık olması gerekir. SSL için 5671 numaralı bağlantı noktası açılmalıdır.
NW sunucusundan açığa çıkan özellikler, yedeklerin İŞ durumudur; başka bir şey değildir. Bu nedenle, herhangi bir hileli bileşenin risk oluşturabileceği salt okunur bir işlemdir.
523985 numaralı KB makalesinde belirtilen sabit NetWorker sürümlerinden başlayarak: DSA-2018-120: Dell EMC Ağ Çalışanı Açık Metin Kimlik Doğrulaması Güvenlik Açığı Üzerinden NW, kimlik doğrulama için 5671 (SSL) kullanır ve kimlik bilgilerini belirtilen şifrelere göre şifreler. Ancak, 5672'nin engellenmesi kb makalesi 503523'i olumsuz etkileyecektir: NetWorker 9: Bir güvenlik duvarı 5672 numaralı bağlantı noktasını engellediğinde NMC İzleme, politikalar için Asla Çalıştırma durumunu görüntüler ve İş akışı durumuna tıklandığında mesaj veri yolu ana bilgisayara < soket bağlantısı açılamıyor mesajı> 5672 numaralı bağlantı noktasında NetWorker_server: istek zamanlandı \BRM\DPC\FLR vb.) dolayısıyla:
- RabbitMQ veri yolu, 5672 numaralı bağlantı noktasında şifrelenmemiş (TLS siz) amqp üzerinden kullanılabilir olmaya devam eder
- RabbitMQ veri yolu artık 5671 numaralı bağlantı noktasında şifrelenmiş (TLS) amqp üzerinden de kullanılabilir
- 5671 numaralı bağlantı noktası, NetWorker sunucusunda gelen açık olmalıdır.
- NMC Server, 5671 numaralı bağlantı noktasına bağlanır Bu nedenle NMC'den Networker'a giden olması gerekir.
Taramada 5672 görünüyorsa, şimdilik tek seçenek, savunmasız kimlik bilgilerini göndermek için artık 5672 numaralı bağlantı noktasını kullanmadığımız için onu yok saymaktır. (Kimlik bilgileri artık 5671 numaralı bağlantı noktası üzerinden gönderilmektedir).
Bununla birlikte, bu makale yalnızca aşağıdaki durumlarda geçerlidir:
- KB: makale 523985'te açıklanan etkilenen NetWorker sürümlerinden birini çalıştırmıyorsunuz: DSA-2018-120: Ağ Güvenlik Açığı Üzerinden Dell EMC NetWorker Açık Metin Kimlik Doğrulaması
- Çalışmak için Hyper-V FLR/NMM işlemlerine ihtiyacınız olmadığı için 5672 numaralı bağlantı noktasına ihtiyacınız yoktur.
5672 numaralı bağlantı noktasını devre dışı bırakma adımları:
- /nsr/rabbitmq-server-version<>/etc/rabbitmq.config dosyasını düzenleyin/oluşturun
Kullandığımız SSL bağlantı noktası olduğu için SSL seçeneklerini yerinde bulundurun.
Aşağıdaki ilki hariç, tcp_listener atıfta bulunan satırlar yorumlanmalıdır:
{tcp_listeners, []}, %%bu, {tcp_listeners, []} öğesinin herhangi bir bağlantı noktasını
dinlememesine neden olur%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
dinlememesine neden olur%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Daha fazla güvenlik için aşağıdaki ayarların yapılması önerilir (rabbitmq.config.example ekli olup olmadığını kontrol edin):
{honor_cipher_order, doğru},
{honor_ecc_order, doğru},
{şifreler, [
"şifreler listesi"
]},
{honor_ecc_order, doğru},
{şifreler, [
"şifreler listesi"
]},
https://www.rabbitmq.com/ssl.html'da belirtildiği gibi:
TLS bağlantı anlaşması sırasında, sunucu ve istemci hangi şifreleme paketinin kullanıldığı konusunda anlaşır. Sunucunun TLS uygulamasını, onlara bir saldırı çalıştırmaya hazırlanırken zayıf şifre paketlerini kasıtlı olarak müzakere eden kötü niyetli istemcilerden kaçınmak için tercihini (şifre paketi sırası) dikte etmeye zorlamak mümkündür. Bunu yapmak için honor_cipher_order ve honor_ecc_order true olarak yapılandırın.
- NSR hizmeti, NetWorker sunucusunda devre dışı bırakılmalıdır.
Her yeniden başlatmanın ardından varsayılan olarak yeniden etkinleştirilir, bu nedenle yeniden devre dışı bırakılması gerekir. Bunun nedeni, 9.2.2 ve üzeri sürümlerde düzeltilen 300070 hatasıdır.
Devre dışı bırakma adımları:
nsradmin
> p type:NSR service
> update enabled: Hayır
> p type:NSR service
> update enabled: Hayır
Additional Information
Açık Metin Kimlik Doğrulama Güvenlik Açığı nedeniyle, 5672 numaralı bağlantı noktasının şifrelenmemiş kimlik bilgileri gönderdiği tespit edildi. Bir çözüm olarak, SSL şifrelerini kullanmak için 5671 numaralı bağlantı noktası tanıtıldı, ancak bazı NetWorker işlevlerinin çalışması için bu bağlantı noktasına ihtiyaç duyduğundan 5672 numaralı bağlantı noktası hala açık; bu nedenle, bazı tarama yazılımları, güvenlik açığının NetWorker sunucusunda hâlâ var olduğunu gösterebilir. Bu makalede, bu bağlantı noktasının nasıl tamamen devre dışı bırakılacağı açıklanmaktadır.
rabbitmq.configuration seçenekleri hakkında daha fazla bilgiyi şu adreste bulabilirsiniz:
rabbitmq.configuration seçenekleri hakkında daha fazla bilgiyi şu adreste bulabilirsiniz:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.