NetWorker: Jak u DSA-2018-120 zakázat port 5672, aby skenovací software stále vykazoval chybu zabezpečení.
Summary: Z důvodu chyby zabezpečení ověřování pomocí prostého textu odesílá port 5672 nešifrované přihlašovací údaje. Jako nápravu byl zaveden port 5671, aby bylo možné používat šifry SSL, ale port 5672 je stále otevřený, protože některé funkce NetWorker tento port potřebují ke svému fungování. Proto může některý skenovací software ukázat, že chyba zabezpečení na serveru NetWorker stále existuje. Tento článek popisuje, jak tento port zcela zakázat. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Před přečtením tohoto článku se ujistěte, že jste si přečetli a porozuměli následujícímu článku znalostní databáze 523985: Označení normy: DSA-2018-120 Chyba
zabezpečení Dell EMC NetWorker Clear-Text Authentication over NetworkPo provedení opravy za účelem nápravy chyby CVE-2018-11050 může být nutné provést některé další akce:
Dotaz: Mohu v našem firewallu zablokovat port 5672, aby to bezpečnostní kontrola nenahlásila?
A: Ne, port 5672 musí být otevřen ze serveru NMC na server NetWorker. Jedná se o port
"Messmage Queue Adapter".Klienti AMQP komunikují se sběrnicí zpráv na portu 5672 a musí být otevřená. Port 5671 musí být otevřen pro SSL.
Funkce, které jsou vystaveny ze serveru NW, je stav JOB záloh a nic víc. Jedná se tedy o operaci jen pro čtení, kterou může jakákoli nepoctivá komponenta představovat jako riziko.
Počínaje opravenými verzemi nástroje NetWorker uvedenými v článku znalostní databáze 523985: Označení normy: DSA-2018-120 Chyba zabezpečení Dell EMC NetWorker Clear-Text Authentication Over Network, NW použije k ověření 5671 (SSL) a zašifruje přihlašovací údaje podle uvedených šifer. Zablokování 5672 však bude mít nepříznivý vliv na článek znalostní databáze 503523: NetWorker 9: Když brána firewall blokuje port 5672, monitorování NMC zobrazí stav Nikdy nespuštěno pro zásady a kliknutím na stav pracovního postupu se zobrazí Message bus unable to open socket connection to host <> NetWorker_server na portu 5672: načasovaný požadavek \BRM\DPC\FLR atd.) tedy:
Pokud se při kontrole zobrazí číslo 5672, jedinou možností je jej prozatím ignorovat, protože port 5672 již nepoužíváme k odesílání zranitelných přihlašovacích údajů. (přihlašovací údaje se nyní odesílají přes port 5671) .
Jak již bylo řečeno, tento článek platí pouze v případě, že:
Postup zakázání portu 5672:
zabezpečení Dell EMC NetWorker Clear-Text Authentication over NetworkPo provedení opravy za účelem nápravy chyby CVE-2018-11050 může být nutné provést některé další akce:
- Software kontroly nadále zobrazuje chybu zabezpečení, protože port bez protokolu SSL je stále otevřený kvůli zpětné kompatibilitě (to je NMC, Hyper-V FLR/NMM).
- Interní služby NetWorker (nsrd/nsrjobd) začaly v pevných verzích používat port s povoleným protokolem SSL (5761), port je však stále otevřený a NetWorker\NMM jej používá pro jiné operace.
- Tento problém je v těchto verzích opraven tím, že se neodesílají přihlašovací údaje uživatele nezašifrované do vzdálené služby AMQP přes port 5672 bez protokolu SSL.
- Pokud chcete používat port bez SSL, můžete jej nadále používat.
- Pro ty, kteří chtějí používat port SSL, tato oprava poskytuje mechanismus.
- Pokud port 5672 zakážete, bude ovlivněn správný provoz dalších služeb NetWorker, například Hyper-V, NMM atd. (všichni klienti aplikací).
Dotaz: Mohu v našem firewallu zablokovat port 5672, aby to bezpečnostní kontrola nenahlásila?
A: Ne, port 5672 musí být otevřen ze serveru NMC na server NetWorker. Jedná se o port
"Messmage Queue Adapter".Klienti AMQP komunikují se sběrnicí zpráv na portu 5672 a musí být otevřená. Port 5671 musí být otevřen pro SSL.
Funkce, které jsou vystaveny ze serveru NW, je stav JOB záloh a nic víc. Jedná se tedy o operaci jen pro čtení, kterou může jakákoli nepoctivá komponenta představovat jako riziko.
Počínaje opravenými verzemi nástroje NetWorker uvedenými v článku znalostní databáze 523985: Označení normy: DSA-2018-120 Chyba zabezpečení Dell EMC NetWorker Clear-Text Authentication Over Network, NW použije k ověření 5671 (SSL) a zašifruje přihlašovací údaje podle uvedených šifer. Zablokování 5672 však bude mít nepříznivý vliv na článek znalostní databáze 503523: NetWorker 9: Když brána firewall blokuje port 5672, monitorování NMC zobrazí stav Nikdy nespuštěno pro zásady a kliknutím na stav pracovního postupu se zobrazí Message bus unable to open socket connection to host <> NetWorker_server na portu 5672: načasovaný požadavek \BRM\DPC\FLR atd.) tedy:
- Sběrnice RabbitMQ je nadále dostupná přes nešifrovaný amqp (bez TLS) na portu 5672.
- Sběrnice RabbitMQ je nyní k dispozici také prostřednictvím protokolu TLS (encyklopedie) amqp na portu 5671.
- Port 5671 musí být otevřený pro příchozí provoz na serveru NetWorker.
- Server NMC se připojuje k portu 5671, takže musí být odchozí z konzole NMC do nástroje Networker.
Pokud se při kontrole zobrazí číslo 5672, jedinou možností je jej prozatím ignorovat, protože port 5672 již nepoužíváme k odesílání zranitelných přihlašovacích údajů. (přihlašovací údaje se nyní odesílají přes port 5671) .
Jak již bylo řečeno, tento článek platí pouze v případě, že:
- Nepoužíváte některou z dotčených verzí nástroje NetWorker, jak je popsáno v článku znalostní databáze: 523985: Označení normy: DSA-2018-120 Chyba zabezpečení Dell EMC NetWorker Clear-Text Authentication over Network
- Port 5672 nepotřebujete, protože ke svému fungování nepotřebujete operace Hyper-V FLR/NMM.
Postup zakázání portu 5672:
- Upravit/vytvořit soubor /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Použijte možnosti SSL, protože se jedná o port SSL, který používáme.
Řádky, které odkazují na tcp_listener, musí být okomentovány, s výjimkou prvního z níže uvedeného:
{tcp_listeners, []}, %%toto způsobí, že {tcp_listeners, []} nebude poslouchat žádný port
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Pro větší zabezpečení se doporučuje mít následující nastavení (zkontrolujte rabbitmq.config.example připojené):
{honor_cipher_order, true},
{honor_ecc_order, true},
{šifry, [
"seznam šifer"
]},
{honor_ecc_order, true},
{šifry, [
"seznam šifer"
]},
jak je uvedeno v https://www.rabbitmq.com/ssl.html:
Během vyjednávání připojení TLS server a klient vyjednávají, jaká šifrovací sada se používá. Je možné vynutit, aby implementace TLS serveru diktovala své preference (pořadí šifrovacích sad), aby se zabránilo škodlivým klientům, kteří záměrně vyjednávají slabé šifrovací sady v rámci přípravy na spuštění útoku na ně. Uděláte to tak, že nakonfigurujete honor_cipher_order a honor_ecc_order na true.
- Služba NSR musí být na serveru NetWorker zakázána.
Po každém restartování je ve výchozím nastavení opět povolena, takže je nutné ji znovu zakázat. To je způsobeno chybou 300070, opravenou ve verzích 9.2.2 a vyšších.
Postup zakázání:
Typ NSRADMIN
> P: Povolena aktualizace služby
> NSR: Ne
> P: Povolena aktualizace služby
> NSR: Ne
Additional Information
Z důvodu chyby zabezpečení ověřování pomocí prostého textu odesílá port 5672 nešifrované přihlašovací údaje. Jako nápravu byl zaveden port 5671, aby bylo možné používat šifry SSL, ale port 5672 je stále otevřený, protože některé funkce NetWorker tento port potřebují ke svému fungování. Proto může některý skenovací software ukázat, že chyba zabezpečení na serveru NetWorker stále existuje. Tento článek popisuje, jak tento port zcela zakázat.
Další informace o rabbitmq.configuration možnostech jsou k dispozici na adrese:
Další informace o rabbitmq.configuration možnostech jsou k dispozici na adrese:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.