NetWorker: Sådan deaktiveres port 5672 for DSA-2018-120 for at undgå, at scanningssoftware stadig viser sårbarheden
Summary: På grund af sårbarheden i forbindelse med klartekstgodkendelse viste det sig, at port 5672 sender ukrypterede loginoplysninger. Som et middel blev port 5671 introduceret for at gøre brug af SSL-cifre, men port 5672 åbnes stadig, da nogle NetWorker-funktioner har brug for denne port for at fungere; Derfor kan noget scanningssoftware vise, at sårbarheden stadig findes på NetWorker-serveren. Denne artikel beskriver, hvordan du deaktiverer denne port fuldstændigt. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Før du læser denne artikel, skal du sørge for, at du har læst og forstået følgende KB-artikel 523985: DSA-2018-120: Dell EMC NetWorker-klartekstgodkendelse over netværkssårbarhed
Efter rettelsen blev implementeret for at afhjælpe CVE-2018-11050, der er nogle yderligere handlinger, der muligvis skal gøres:
Sp.: Kan jeg blokere port 5672 i vores firewall for at undgå, at sikkerhedsscanningen rapporterer den?
En: Nej, port 5672 skal åbnes fra NMC-serveren til NetWorker-serveren. Dette er porten "Messmage Queue Adapter".
AMQP-klienterne interagerer med meddelelsesbussen på port 5672, og den skal være åben. Port 5671 skal være åbnet for SSL.
De funktioner, der eksponeres fra NW-serveren, er JOB-status for sikkerhedskopier og intet mere. Derfor er det en skrivebeskyttet operation, som enhver useriøs komponent kan udgøre som en risiko.
Starter med faste NetWorker-versioner, der er angivet i KB-artikel 523985: DSA-2018-120: Dell EMC NetWorker klartekstgodkendelse over netværkssårbarhed, NW bruger 5671 (SSL) til godkendelse og krypterer legitimationsoplysningerne i henhold til de nævnte cifre. Blokering af 5672 vil dog påvirke kb-artiklen 503523 negativt: NetWorker 9: Når en firewall blokerer port 5672, viser NMC-overvågningen Status Kør aldrig for politikker, og et klik på Status for arbejdsproces vises Meddelelsesbus kan ikke åbne sokkelforbindelse til vært <> NetWorker_server på port 5672: anmodning tidsindstillet \BRM\DPC\FLR osv.) dermed:
Hvis 5672 vises i scanningen, er den eneste mulighed for nu at ignorere det, da vi ikke længere bruger port 5672 til at sende sårbare legitimationsoplysninger. (Legitimationsoplysninger sendes nu via port 5671) .
Når det er sagt, gælder denne artikel kun, hvis:
Trin til at deaktivere port 5672:
Efter rettelsen blev implementeret for at afhjælpe CVE-2018-11050, der er nogle yderligere handlinger, der muligvis skal gøres:
- Scanningssoftwaren viser fortsat sårbarheden, da ikke-SSL-porten stadig er åben på grund af bagudkompatibilitet (Dette er NMC, Hyper-V FLR/NMM).
- NetWorkers interne tjenester (nsrd/nsrjobd) startede med at bruge SSL-aktiveret port (5761) på de faste versioner, men porten er stadig åben og bruges af NetWorker\NMM til andre handlinger.
- Dette problem løses i disse versioner ved ikke at sende "Brugeroplysninger ukrypteret til den eksterne AMQP-tjeneste" over ikke-SSL-port 5672.
- Hvis du vil bruge ikke-SSL-port, kan du fortsætte med at bruge den.
- For dem, der ønsker at bruge SSL-porten, giver denne rettelse mekanismen.
- Hvis du deaktiverer port 5672, påvirkes den korrekte funktion af andre NetWorker-tjenester, f.eks. Hyper-V, NMM osv. (alle programklienter).
Sp.: Kan jeg blokere port 5672 i vores firewall for at undgå, at sikkerhedsscanningen rapporterer den?
En: Nej, port 5672 skal åbnes fra NMC-serveren til NetWorker-serveren. Dette er porten "Messmage Queue Adapter".
AMQP-klienterne interagerer med meddelelsesbussen på port 5672, og den skal være åben. Port 5671 skal være åbnet for SSL.
De funktioner, der eksponeres fra NW-serveren, er JOB-status for sikkerhedskopier og intet mere. Derfor er det en skrivebeskyttet operation, som enhver useriøs komponent kan udgøre som en risiko.
Starter med faste NetWorker-versioner, der er angivet i KB-artikel 523985: DSA-2018-120: Dell EMC NetWorker klartekstgodkendelse over netværkssårbarhed, NW bruger 5671 (SSL) til godkendelse og krypterer legitimationsoplysningerne i henhold til de nævnte cifre. Blokering af 5672 vil dog påvirke kb-artiklen 503523 negativt: NetWorker 9: Når en firewall blokerer port 5672, viser NMC-overvågningen Status Kør aldrig for politikker, og et klik på Status for arbejdsproces vises Meddelelsesbus kan ikke åbne sokkelforbindelse til vært <> NetWorker_server på port 5672: anmodning tidsindstillet \BRM\DPC\FLR osv.) dermed:
- RabbitMQ-bus er fortsat tilgængelig via ukrypteret (ingen TLS) amqp på port 5672
- RabbitMQ-bus er nu også tilgængelig via encypted (TLS) amqp på port 5671
- Port 5671 skal være åben indgående på NetWorker-serveren.
- NMC-serveren opretter forbindelse til port 5671, så den skal være udgående fra NMC til NetWorker.
Hvis 5672 vises i scanningen, er den eneste mulighed for nu at ignorere det, da vi ikke længere bruger port 5672 til at sende sårbare legitimationsoplysninger. (Legitimationsoplysninger sendes nu via port 5671) .
Når det er sagt, gælder denne artikel kun, hvis:
- Du kører ikke en af de berørte NetWorker-versioner, der er beskrevet i KB:-artikel 523985: DSA-2018-120: Dell EMC NetWorker-klartekstgodkendelse over netværkssårbarhed
- Du behøver ikke port 5672, da du ikke behøver Hyper-V FLR/NMM-handlinger for at fungere.
Trin til at deaktivere port 5672:
- Rediger/opret fil /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Har SSL-indstillingerne på plads, da dette er den SSL-port, vi bruger.
De linjer, der henviser til tcp_listener, skal kommenteres, undtagen den første nedenfor:
{tcp_listeners, []}, %%this will make {tcp_listeners, []} to not lytte to any port
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- For mere sikkerhed anbefales det at have følgende indstillinger på plads (tjek rabbitmq.config.example vedhæftet):
{honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers, [
"list of ciphers"
]},
{honor_ecc_order, true},
{ciphers, [
"list of ciphers"
]},
Som anført i https://www.rabbitmq.com/ssl.html:
Under TLS-forbindelsesforhandling forhandler serveren og klienten, hvilken chifferpakke der bruges. Det er muligt at tvinge serverens TLS-implementering til at diktere dens præference (cipher suite order) for at undgå ondsindede klienter, der med vilje forhandler svage chiffersuiter som forberedelse til at køre et angreb på dem. For at gøre det skal du konfigurere honor_cipher_order og honor_ecc_order til sand.
- NSR-tjenesten skal være deaktiveret på NetWorker-serveren.
Efter hver genstart aktiveres den som standard igen, så den skal deaktiveres igen. Dette skyldes fejl 300070, rettet i 9.2.2 og nyere versioner.
Trin til at deaktivere det:
NSRADMIN
> P Type:NSR-serviceopdatering
> aktiveret: Nej
> P Type:NSR-serviceopdatering
> aktiveret: Nej
Additional Information
På grund af sårbarheden i forbindelse med klartekstgodkendelse viste det sig, at port 5672 sender ukrypterede loginoplysninger. Som et middel blev port 5671 introduceret for at gøre brug af SSL-cifre, men port 5672 åbnes stadig, da nogle NetWorker-funktioner har brug for denne port for at fungere; Derfor kan noget scanningssoftware vise, at sårbarheden stadig findes på NetWorker-serveren. Denne artikel beskriver, hvordan du deaktiverer denne port fuldstændigt.
Mere info om rabbitmq.configuration muligheder er tilgængelige på:
Mere info om rabbitmq.configuration muligheder er tilgængelige på:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.