NetWorker: Anleitung zum Deaktivieren von Port 5672 für DSA-2018-120, um zu vermeiden, dass Scansoftware die Sicherheitslücke weiterhin anzeigt
Summary: Aufgrund der Sicherheitslücke bezüglich der Klartextauthentifizierung wurde festgestellt, dass Port 5672 unverschlüsselte Anmeldeinformationen sendet. Als Abhilfe wurde Port 5671 eingeführt, um SSL-Chiffren zu verwenden, aber Port 5672 wird weiterhin geöffnet, da einige NetWorker-Funktionen diesen Port für den Betrieb benötigen. Aus diesem Grund kann einige Scan-Software anzeigen, dass die Sicherheitslücke auf dem NetWorker-Server noch vorhanden ist. In diesem Artikel wird beschrieben, wie Sie diesen Port vollständig deaktivieren. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Bevor Sie diesen Artikel lesen, stellen Sie sicher, dass Sie den folgenden KB-Artikel 523985 gelesen und verstanden haben: DSA-2018-120: Sicherheitslücke
bei Dell EMC NetWorker bei Klartextauthentifizierung über NetzwerkNachdem der Fix implementiert wurde, um CVE-2018-11050 zu korrigieren, müssen möglicherweise einige weitere Maßnahmen ergriffen werden:
F: Kann ich Port 5672 in unserer Firewall blockieren, um zu verhindern, dass der Sicherheitsscan dies meldet?
Ein: Nein, Port 5672 muss vom NMC-Server zum NetWorker-Server geöffnet werden. Dies ist der Anschluss "Messmage Queue Adapter".
Die AMQP-Clients interagieren mit dem Nachrichtenbus auf Port 5672 und dieser muss offen sein. Port 5671 muss für SSL geöffnet werden.
Die Funktionen, die vom NW-Server verfügbar gemacht werden, sind der JOB-Status von Backups und nichts weiter. Es handelt sich also um einen schreibgeschützten Vorgang, den jede nicht autorisierte Komponente als Risiko darstellen kann.
Beginnend mit den korrigierten NetWorker-Versionen, die in KB-Artikel 523985 angegeben sind: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW verwendet 5671 (SSL) für die Authentifizierung und verschlüsselt die Zugangsdaten gemäß den genannten Verschlüsselungen. Das Blockieren von 5672 wirkt sich jedoch nachteilig auf den 503523 von KB-Artikel aus: NetWorker 9: Wenn Port 5672 von einer Firewall blockiert wird, zeigt das NMC-Monitoring für Policies den Status Never Run an und ein Klick auf den Workflowstatus wird angezeigt. Nachrichtenbus kann keine Socket-Verbindung zum Host < öffnen> NetWorker_server auf Port 5672: Anfrage zeitgesteuert \BRM\DPC\FLR usw.), also:
Wenn 5672 im Scan angezeigt wird, besteht die einzige Option vorerst darin, sie zu ignorieren, da wir Port 5672 nicht mehr für das Senden anfälliger Anmeldeinformationen verwenden. (Anmeldeinformationen werden jetzt über Port 5671 gesendet) .
Dieser Artikel gilt jedoch nur, wenn:
Schritte zum Deaktivieren von Port 5672:
bei Dell EMC NetWorker bei Klartextauthentifizierung über NetzwerkNachdem der Fix implementiert wurde, um CVE-2018-11050 zu korrigieren, müssen möglicherweise einige weitere Maßnahmen ergriffen werden:
- Die Scansoftware zeigt die Sicherheitslücke weiterhin an, da der Nicht-SSL-Port aufgrund der Abwärtskompatibilität weiterhin geöffnet ist (dies ist NMC, Hyper-V FLR/NMM).
- Die internen NetWorker-Services (nsrd/nsrjobd) haben begonnen, den SSL-aktivierten Port (5761) auf den festen Versionen zu verwenden, der Port ist jedoch immer noch offen und wird von NetWorker\NMM für andere Vorgänge verwendet.
- Dieses Problem wird in diesen Versionen behoben, indem "Benutzerzugangsdaten unverschlüsselt an den AMQP-Remoteservice" nicht über den Nicht-SSL-Port 5672 gesendet werden.
- Wenn Sie den Nicht-SSL-Port verwenden möchten, können Sie ihn weiterhin verwenden.
- Für diejenigen, die den SSL-Port verwenden möchten, bietet dieser Fix den Mechanismus.
- Wenn Sie Port 5672 deaktivieren, wirkt sich dies auf den ordnungsgemäßen Betrieb anderer NetWorker-Services aus, z. B. Hyper-V, NMM usw. (alle App-Clients).
F: Kann ich Port 5672 in unserer Firewall blockieren, um zu verhindern, dass der Sicherheitsscan dies meldet?
Ein: Nein, Port 5672 muss vom NMC-Server zum NetWorker-Server geöffnet werden. Dies ist der Anschluss "Messmage Queue Adapter".
Die AMQP-Clients interagieren mit dem Nachrichtenbus auf Port 5672 und dieser muss offen sein. Port 5671 muss für SSL geöffnet werden.
Die Funktionen, die vom NW-Server verfügbar gemacht werden, sind der JOB-Status von Backups und nichts weiter. Es handelt sich also um einen schreibgeschützten Vorgang, den jede nicht autorisierte Komponente als Risiko darstellen kann.
Beginnend mit den korrigierten NetWorker-Versionen, die in KB-Artikel 523985 angegeben sind: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW verwendet 5671 (SSL) für die Authentifizierung und verschlüsselt die Zugangsdaten gemäß den genannten Verschlüsselungen. Das Blockieren von 5672 wirkt sich jedoch nachteilig auf den 503523 von KB-Artikel aus: NetWorker 9: Wenn Port 5672 von einer Firewall blockiert wird, zeigt das NMC-Monitoring für Policies den Status Never Run an und ein Klick auf den Workflowstatus wird angezeigt. Nachrichtenbus kann keine Socket-Verbindung zum Host < öffnen> NetWorker_server auf Port 5672: Anfrage zeitgesteuert \BRM\DPC\FLR usw.), also:
- Der RabbitMQ-Bus ist weiterhin über unverschlüsseltes (kein TLS) amqp auf Port 5672 verfügbar
- Der RabbitMQ-Bus ist jetzt auch über verschlüsseltes (TLS) amqp auf Port 5671 verfügbar.
- Port 5671 muss auf dem NetWorker-Server eingehend geöffnet sein.
- NMC-Server stellt eine Verbindung zu Port 5671 her Es muss also von NMC zu NetWorker ausgehen.
Wenn 5672 im Scan angezeigt wird, besteht die einzige Option vorerst darin, sie zu ignorieren, da wir Port 5672 nicht mehr für das Senden anfälliger Anmeldeinformationen verwenden. (Anmeldeinformationen werden jetzt über Port 5671 gesendet) .
Dieser Artikel gilt jedoch nur, wenn:
- Sie führen keine der betroffenen NetWorker-Versionen aus, die im Wissensdatenbank-Artikel 523985 beschrieben werden: DSA-2018-120: Sicherheitslücke bei Dell EMC NetWorker bei Klartextauthentifizierung über Netzwerk
- Sie benötigen Port 5672 nicht, da Sie keine Hyper-V FLR/NMM-Vorgänge benötigen, um zu funktionieren.
Schritte zum Deaktivieren von Port 5672:
- Datei /nsr/rabbitmq-server-version<>/etc/rabbitmq.config bearbeiten/erstellen
Halten Sie die SSL-Optionen bereit, da dies der SSL-Port ist, den wir verwenden.
Die Zeilen, die sich auf tcp_listener beziehen, müssen kommentiert werden, mit Ausnahme der ersten unten:
{tcp_listeners, []}, %%dadurch wird {tcp_listeners, []} keinen Port
abhören%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
abhören%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Für mehr Sicherheit wird empfohlen, die folgenden Einstellungen zu verwenden (siehe rabbitmq.config.example im Anhang):
{honor_cipher_order, wahr},
{honor_ecc_order, wahr},
{Chiffren, [
"Liste der Chiffren"
]},
{honor_ecc_order, wahr},
{Chiffren, [
"Liste der Chiffren"
]},
Wie in https://www.rabbitmq.com/ssl.html angegeben:
Während der TLS-Verbindungsverhandlung handeln der Server und der Client aus, welche Cipher Suite verwendet wird. Es ist möglich, die TLS-Implementierung des Servers zu zwingen, ihre Präferenz (Cipher Suite-Reihenfolge) zu diktieren, um bösartige Clients zu vermeiden, die absichtlich schwache Cipher Suites aushandeln, um einen Angriff auf sie vorzubereiten. Konfigurieren Sie dazu honor_cipher_order und honor_ecc_order auf true.
- Der NSR-Service muss auf dem NetWorker-Server deaktiviert sein.
Nach jedem Neustart ist sie wieder standardmäßig aktiviert, daher muss sie erneut deaktiviert werden. Dies ist auf Bug 300070 zurückzuführen, der in 9.2.2 und höher behoben wurde.
Schritte zum Deaktivieren:
NSRADMIN
> P-Typ:NSR-Serviceaktualisierung
> aktiviert: Nein
> P-Typ:NSR-Serviceaktualisierung
> aktiviert: Nein
Additional Information
Aufgrund der Sicherheitslücke bezüglich der Klartextauthentifizierung wurde festgestellt, dass Port 5672 unverschlüsselte Anmeldeinformationen sendet. Als Abhilfe wurde Port 5671 eingeführt, um SSL-Chiffren zu verwenden, aber Port 5672 ist immer noch geöffnet, da einige NetWorker-Funktionen diesen Port für den Betrieb benötigen. Aus diesem Grund kann einige Scan-Software anzeigen, dass die Sicherheitslücke auf dem NetWorker-Server noch vorhanden ist. In diesem Artikel wird beschrieben, wie Sie diesen Port vollständig deaktivieren.
Weitere Informationen zu rabbitmq.configuration-Optionen finden Sie unter:
Weitere Informationen zu rabbitmq.configuration-Optionen finden Sie unter:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.