NetWorker: Come disabilitare la porta 5672 per DSA-2018-120, per evitare che il software di scansione mostri ancora la vulnerabilità
Summary: A causa di una vulnerabilità di autenticazione in chiaro, è stato rilevato che la porta 5672 invia credenziali non crittografate. Come rimedio, è stata introdotta la porta 5671 per utilizzare le crittografie SSL, ma la porta 5672 è ancora aperta poiché alcune funzioni di NetWorker necessitano di questa porta per funzionare; pertanto, alcuni software di scansione potrebbero mostrare che la vulnerabilità esiste ancora sul server NetWorker. Questo articolo descrive come disabilitare completamente questa porta. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Prima di leggere questo articolo, assicurarsi di aver letto e compreso il seguente articolo della Knowledge Base 523985: DSA-2018-120: Vulnerabilità dell'autenticazione in chiaro su rete di Dell EMC NetWorker
Dopo l'implementazione della correzione per risolvere CVE-2018-11050, potrebbero essere necessarie alcune ulteriori azioni:
D. Posso bloccare la porta 5672 nel nostro firewall per evitare che la scansione di sicurezza la segnali?
Un: No, la porta 5672 deve essere aperta dal server NMC al server NetWorker. Questa è la porta "Messmage Queue Adapter".
I client AMQP interagiscono con Message Bus sulla porta 5672 e questa deve essere aperta. La porta 5671 deve essere aperta per SSL.
Le funzionalità esposte dal server NW sono lo stato JOB dei backup e nient'altro. Pertanto, si tratta di un'operazione read-only che qualsiasi componente non autorizzato può rappresentare un rischio.
A partire dalle versioni fisse di NetWorker specificate nell'articolo 523985 della Knowledge Base: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW utilizzerà 5671 (SSL) per l'autenticazione e crittograferà le credenziali secondo le modalità crittografiche menzionate. Tuttavia, il blocco 5672 influirà negativamente sull'articolo 503523 della Knowledge Base: NetWorker 9: Quando un firewall blocca la porta 5672, il monitoraggio NMC visualizza Status Never Run per le policy e cliccando su Workflow status viene visualizzata la finestra pop-up Message bus unable to open socket connection to host <> NetWorker_server sulla porta 5672: richiesta temporizzata \BRM\DPC\FLR ecc.) di conseguenza:
Se il codice 5672 viene visualizzato nella scansione, l'unica opzione per il momento è ignorarlo poiché non si usa più la porta 5672 per l'invio di credenziali vulnerabili. (le credenziali vengono ora inviate tramite la porta 5671).
Detto questo, questo articolo si applica solo se:
Procedura per disabilitare la porta 5672:
Dopo l'implementazione della correzione per risolvere CVE-2018-11050, potrebbero essere necessarie alcune ulteriori azioni:
- Il software di scansione continua a mostrare la vulnerabilità poiché la porta non SSL è ancora aperta a causa della compatibilità con le versioni precedenti (si tratta di NMC, Hyper-V FLR/NMM).
- I servizi interni di NetWorker (nsrd/nsrjobd) hanno iniziato a utilizzare la porta abilitata per SSL (5761) nelle versioni fisse, tuttavia la porta è ancora aperta e viene utilizzata da NetWorker\NMM per altre operazioni.
- Questo problema viene risolto in tali versioni non inviando "Credenziali utente non crittografate al servizio AMQP remoto" sulla porta non SSL 5672.
- Se si desidera utilizzare una porta non SSL, è possibile continuare a utilizzarla.
- Per coloro che desiderano utilizzare la porta SSL, questa correzione fornisce il meccanismo.
- Se si disabilita la porta 5672, ne risente il corretto funzionamento di altri servizi di NetWorker, come Hyper-V, NMM e così via (tutti i client delle app).
D. Posso bloccare la porta 5672 nel nostro firewall per evitare che la scansione di sicurezza la segnali?
Un: No, la porta 5672 deve essere aperta dal server NMC al server NetWorker. Questa è la porta "Messmage Queue Adapter".
I client AMQP interagiscono con Message Bus sulla porta 5672 e questa deve essere aperta. La porta 5671 deve essere aperta per SSL.
Le funzionalità esposte dal server NW sono lo stato JOB dei backup e nient'altro. Pertanto, si tratta di un'operazione read-only che qualsiasi componente non autorizzato può rappresentare un rischio.
A partire dalle versioni fisse di NetWorker specificate nell'articolo 523985 della Knowledge Base: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW utilizzerà 5671 (SSL) per l'autenticazione e crittograferà le credenziali secondo le modalità crittografiche menzionate. Tuttavia, il blocco 5672 influirà negativamente sull'articolo 503523 della Knowledge Base: NetWorker 9: Quando un firewall blocca la porta 5672, il monitoraggio NMC visualizza Status Never Run per le policy e cliccando su Workflow status viene visualizzata la finestra pop-up Message bus unable to open socket connection to host <> NetWorker_server sulla porta 5672: richiesta temporizzata \BRM\DPC\FLR ecc.) di conseguenza:
- Il bus RabbitMQ continua a essere disponibile su amqp non crittografato (senza TLS) sulla porta 5672
- Il bus RabbitMQ è ora disponibile anche su amqp crittografato (TLS) sulla porta 5671
- La porta 5671 deve essere aperta in entrata sul server NetWorker.
- Il server NMC si connette alla porta 5671 Quindi deve essere in uscita da NMC a NetWorker.
Se il codice 5672 viene visualizzato nella scansione, l'unica opzione per il momento è ignorarlo poiché non si usa più la porta 5672 per l'invio di credenziali vulnerabili. (le credenziali vengono ora inviate tramite la porta 5671).
Detto questo, questo articolo si applica solo se:
- Non è in esecuzione una delle versioni di NetWorker interessate descritte nell'articolo 523985 della Knowledge Base: DSA-2018-120: Vulnerabilità dell'autenticazione in chiaro su rete di Dell EMC NetWorker
- Non è necessaria la porta 5672 in quanto non sono necessarie le operazioni FLR/NMM di Hyper-V per funzionare.
Procedura per disabilitare la porta 5672:
- Modificare/creare il file /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Tenere disponibili le opzioni SSL, in quanto questa è la porta SSL che utilizziamo.
Le righe che fanno riferimento a tcp_listener devono essere commentate, tranne la prima qui sotto:
{tcp_listeners, []}, %%questo farà sì che {tcp_listeners, []} non ascolti alcuna porta
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Per una maggiore sicurezza, si consiglia di disporre delle seguenti impostazioni (controllare rabbitmq.config.example allegato):
{honor_cipher_order, vero},
{honor_ecc_order, vero},
{cifrari, [
"elenco dei cifrari"
]},
{honor_ecc_order, vero},
{cifrari, [
"elenco dei cifrari"
]},
Come indicato in https://www.rabbitmq.com/ssl.html:
Durante la negoziazione della connessione TLS, il server e il client negoziano la suite di crittografia utilizzata. È possibile forzare l'implementazione TLS del server a dettare la sua preferenza (ordine del pacchetto di crittografia) per evitare client dannosi che negoziano intenzionalmente pacchetti di crittografia deboli in preparazione dell'esecuzione di un attacco contro di essi. A tale scopo, configurare honor_cipher_order e honor_ecc_order su true.
- Il servizio NSR deve essere disabilitato sul server NetWorker.
Dopo ogni riavvio, è di nuovo abilitata per impostazione predefinita, quindi deve essere disabilitata nuovamente. Ciò è dovuto al bug 300070, corretto nella versione 9.2.2 e successive.
Passaggi per disabilitarlo:
NSRadmin
> P Type:NSR Service
> Update Enabled: No
> P Type:NSR Service
> Update Enabled: No
Additional Information
A causa di una vulnerabilità di autenticazione in chiaro, è stato rilevato che la porta 5672 invia credenziali non crittografate. Come rimedio, la porta 5671 è stata introdotta per utilizzare le crittografie SSL, ma la porta 5672 è ancora aperta poiché alcune funzioni di NetWorker necessitano di questa porta per funzionare; pertanto, alcuni software di scansione potrebbero mostrare che la vulnerabilità esiste ancora sul server NetWorker. Questo articolo descrive come disabilitare completamente questa porta.
Ulteriori informazioni su rabbitmq.le opzioni di configurazione sono disponibili all'indirizzo:
Ulteriori informazioni su rabbitmq.le opzioni di configurazione sono disponibili all'indirizzo:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.