NetWorker: Як відключити порт 5672 для DSA-2018-120, щоб сканування програмного забезпечення все ще показувало вразливість
Summary: Через вразливість автентифікації за допомогою відкритого тексту було виявлено, що порт 5672 надсилає незашифровані облікові дані. Як засіб, був введений порт 5671 для використання шифрів SSL, але порт 5672 все ще відкритий, оскільки деякі функції NetWorker потребують цього порту для роботи; тому деяке програмне забезпечення для сканування може показати, що вразливість все ще існує на сервері NetWorker. У цій статті розповідається про те, як повністю відключити цей порт. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Перш ніж читати цю статтю, переконайтеся, що ви прочитали та зрозуміли наступну статтю KB 523985: ДСА-2018-120: Автентифікація Dell EMC NetWorker за чистим текстом через вразливість
мережіПісля виправлення помилки CVE-2018-11050 необхідно виконати деякі подальші дії:
Q: Чи можу я заблокувати порт 5672 у нашому брандмауері, щоб уникнути повідомлення про це під час сканування безпеки?
A: Ні, порт 5672 повинен бути відкритий з NMC-сервера на сервер NetWorker. Це порт "Messmage Queue Adapter".
Клієнти AMQP взаємодіють з шиною повідомлень на порту 5672, і вона повинна бути відкритою. Порт 5671 повинен бути відкритий для SSL.
Функції, які розкриваються з NW сервера, - це статус JOB резервних копій і нічого більше. Отже, будь-який шахрайський компонент може становити ризик лише для читання.
Починаючи з фіксованих версій NetWorker, зазначених у статті KB 523985: ДСА-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW використовуватиме 5671 (SSL) для автентифікації та шифруватиме облікові дані відповідно до згаданих шифрів. Однак блокування 5672 негативно вплине на 503523 статті kb: NetWorker 9: Коли брандмауер блокує порт 5672, моніторинг NMC відображає статус ніколи не виконується для політик, а при натисканні на статус робочого процесу вискакує шина повідомлень не може відкрити з'єднання сокета з хостом <> NetWorker_server на порту 5672: запит за часом \BRM\DPC\FLR і т.д.) звідси:
Якщо 5672 відображається під час сканування, єдиним варіантом наразі є його ігнорування, оскільки ми більше не використовуємо порт 5672 для надсилання вразливих облікових даних. (облікові дані тепер надсилаються через порт 5671) .
При цьому ця стаття застосовується лише у випадку, якщо:
Кроки для відключення порту 5672:
мережіПісля виправлення помилки CVE-2018-11050 необхідно виконати деякі подальші дії:
- Програмне забезпечення для сканування продовжує показувати вразливість, оскільки порт без SSL все ще відкритий через зворотну сумісність (це NMC, Hyper-V FLR/NMM).
- Внутрішні служби NetWorker (nsrd/nsrjobd) почали використовувати порт з підтримкою SSL (5761) на фіксованих версіях, однак порт все ще відкритий і використовується NetWorker\NMM для інших операцій.
- Цю проблему вирішено в цих версіях, якщо не надсилати «облікові дані користувача незашифрованими до віддаленої служби AMQP» через порт 5672, відмінний від SSL.
- Якщо ви хочете використовувати порт без SSL, ви можете продовжувати використовувати його.
- Для тих, хто хоче використовувати SSL-порт, цей фікс передбачає механізм.
- Якщо ви відключите порт 5672, це вплине на коректну роботу інших служб NetWorker, таких як Hyper-V, NMM і т.д. (всі клієнти програми).
Q: Чи можу я заблокувати порт 5672 у нашому брандмауері, щоб уникнути повідомлення про це під час сканування безпеки?
A: Ні, порт 5672 повинен бути відкритий з NMC-сервера на сервер NetWorker. Це порт "Messmage Queue Adapter".
Клієнти AMQP взаємодіють з шиною повідомлень на порту 5672, і вона повинна бути відкритою. Порт 5671 повинен бути відкритий для SSL.
Функції, які розкриваються з NW сервера, - це статус JOB резервних копій і нічого більше. Отже, будь-який шахрайський компонент може становити ризик лише для читання.
Починаючи з фіксованих версій NetWorker, зазначених у статті KB 523985: ДСА-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW використовуватиме 5671 (SSL) для автентифікації та шифруватиме облікові дані відповідно до згаданих шифрів. Однак блокування 5672 негативно вплине на 503523 статті kb: NetWorker 9: Коли брандмауер блокує порт 5672, моніторинг NMC відображає статус ніколи не виконується для політик, а при натисканні на статус робочого процесу вискакує шина повідомлень не може відкрити з'єднання сокета з хостом <> NetWorker_server на порту 5672: запит за часом \BRM\DPC\FLR і т.д.) звідси:
- Шина RabbitMQ продовжує бути доступною через незашифрований (без TLS) amqp на порту 5672
- Автобус RabbitMQ тепер також доступний через encypted (TLS) amqp на порту 5671
- Порт 5671 повинен бути відкритий на вхідному сервері NetWorker.
- NMC-сервер підключається до порту 5671, тому він повинен бути вихідним з NMC до Networker.
Якщо 5672 відображається під час сканування, єдиним варіантом наразі є його ігнорування, оскільки ми більше не використовуємо порт 5672 для надсилання вразливих облікових даних. (облікові дані тепер надсилаються через порт 5671) .
При цьому ця стаття застосовується лише у випадку, якщо:
- Ви не використовуєте одну з версій NetWorker, яких це стосується, описаних у КБ: стаття 523985: ДСА-2018-120: Автентифікація Dell EMC NetWorker за чистим текстом через вразливість мережі
- Вам не потрібен порт 5672, оскільки для роботи вам не потрібні операції Hyper-V FLR/NMM.
Кроки для відключення порту 5672:
- Редагувати/створити файл /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Майте на місці параметри SSL, оскільки це порт SSL, який ми використовуємо.
Рядки, що посилаються на tcp_listener, повинні бути прокоментовані, крім першого нижче:
{tcp_listeners, []}, %%це змусить {tcp_listeners, []} не слухати жодного порту
%% {tcp_listeners, [{"127.0.0.1", 5672}
,%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672}
,%% {"::1", 5672}]},
- Для більшої безпеки рекомендується мати наступні налаштування (перевірте rabbitmq.config.example, що додається):
{honor_cipher_order, true},
{honor_ecc_order, true},
{шифри, [
"список шифрів"
]},
{honor_ecc_order, true},
{шифри, [
"список шифрів"
]},
Як зазначено в https://www.rabbitmq.com/ssl.html:
Під час узгодження підключення TLS сервер і клієнт домовляються про те, який набір шифрів використовується. Можна змусити реалізацію TLS сервера диктувати свої переваги (порядок набору шифрів), щоб уникнути шкідливих клієнтів, які навмисно домовляються про слабкі набори шифрів, готуючись до запуску атаки на них. Для цього налаштуйте honor_cipher_order і honor_ecc_order на true.
- На сервері NetWorker повинна бути відключена служба NSR.
Після кожного перезавантаження він знову включений за замовчуванням, тому його потрібно знову відключати. Це пов'язано з вадою 300070, виправленою у випусках 9.2.2 та вище.
Кроки для його відключення:
Тип NSradmin
> P:Оновлення служби
> NSR увімкнено: Ні
> P:Оновлення служби
> NSR увімкнено: Ні
Additional Information
Через вразливість автентифікації за допомогою відкритого тексту було виявлено, що порт 5672 надсилає незашифровані облікові дані. Як засіб, був введений порт 5671 для використання шифрів SSL, але порт 5672 все ще відкритий, оскільки деякі функції NetWorker потребують цього порту для роботи; тому деяке програмне забезпечення для сканування може показати, що вразливість все ще існує на сервері NetWorker. У цій статті розповідається про те, як повністю відключити цей порт.
Більше інформації про rabbitmq.параметри конфігурації доступні за посиланням:
Більше інформації про rabbitmq.параметри конфігурації доступні за посиланням:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.