NetWorker: 스캔 소프트웨어에 여전히 취약성이 표시되지 않도록 DSA-2018-120의 포트 5672를 비활성화하는 방법

Summary: 일반 텍스트 인증 취약성으로 인해 포트 5672가 암호화되지 않은 자격 증명을 전송하는 것으로 확인되었습니다. 이를 해결하기 위해 SSL 암호를 사용하도록 포트 5671이 도입되었지만, 일부 NetWorker 기능이 작동하려면 이 포트가 필요하므로 여전히 포트 5672가 열립니다. 따라서 일부 검사 소프트웨어는 NetWorker Server에 취약점이 여전히 존재함을 표시할 수 있습니다. 이 문서에서는 이 포트를 완전히 비활성화하는 방법에 대해 설명합니다. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

이 문서를 읽기 전에 다음 KB 문서 523985 읽고 이해했는지 확인하십시오. DSA-2018-120: 네트워크 취약성

에 대한 Dell EMC NetWorker 일반 텍스트 인증CVE-2018-11050 문제를 해결하기 위해 수정 사항을 구현한 후 수행해야 할 수 있는 몇 가지 추가 작업이 있습니다.   
  • 이전 버전과의 호환성(NMC, Hyper-V FLR/NMM임)으로 인해 비 SSL 포트가 여전히 열려 있기 때문에 스캔 소프트웨어에서 취약성이 계속 표시됩니다.
  • NetWorker 내부 서비스(nsrd/nsrjobd)가 고정 버전에서 SSL 지원 포트(5761)를 사용하기 시작했지만 포트가 여전히 열려 있고 NetWorker\NMM에서 다른 작업을 위해 사용됩니다.
  • 이 문제는 비 SSL 포트 5672를 통해 "원격 AMQP 서비스에 암호화되지 않은 사용자 자격 증명"을 전송하지 않음으로써 해결되었습니다.
  • 비 SSL 포트를 사용하려면 계속 사용할 수 있습니다.
  • SSL 포트를 사용하려는 사용자를 위해 이 수정 사항은 메커니즘을 제공합니다.
  • 포트 5672를 비활성화하면 Hyper-V, NMM 등과 같은 다른 NetWorker 서비스(모든 애플리케이션 클라이언트)의 올바른 작동에 영향을 미칩니다.

Q: 방화벽에서 포트 5672를 차단하여 보안 검사에서 보고하지 않도록 할 수 있습니까?
A: 아니요. NMC 서버에서 NetWorker Server로 포트 5672를 열어야 합니다. 이것은 "Messmage Queue Adapter" 포트입니다.

AMQP 클라이언트는 포트 5672의 메시지 버스와 상호 작용하며 이 포트는 열려 있어야 합니다. SSL을 사용하려면 포트 5671을 열어야 합니다.

NW 서버에서 제공되는 기능은 백업의 작업 상태이며 그 이상은 아닙니다. 따라서 이는 읽기 전용 작업이며, 모든 Rogue 구성 요소가 위험할 수 있습니다.

KB 문서 523985에 명시된 고정 NetWorker 버전부터 시작: DSA-2018-120: Dell EMC NetWorker 네트워크 취약성을 통한 일반 텍스트 인증, NW는 인증에 5671(SSL)을 사용하고 언급된 암호에 따라 자격 증명을 암호화합니다. 그러나 5672를 차단하면 kb 문서 503523에 부정적인 영향을 미칩니다. NetWorker 9: 방화벽이 포트 5672를 차단하는 경우 NMC 모니터링에 정책에 대한 Status Never Run이 표시되고 워크플로 상태를 클릭하면 메시지 버스가 호스트 < 에 대한 소켓 연결을 열 수 없음> 포트 5672의 NetWorker_server : \ BRM \ DPC \ FLR 등의 요청 시간 기준) 따라서 :
  • RabbitMQ 버스는 포트 5672에서 암호화되지 않은(TLS 없음) amqp를 통해 계속 사용할 수 있습니다.
  • 이제 포트 5671에서 encypted(TLS) amqp를 통해서도 RabbitMQ 버스를 사용할 수 있습니다.
  • 포트 5671은 NetWorker Server에서 인바운드로 열려 있어야 합니다.
  • NMC 서버가 포트 5671에 연결 따라서 NMC에서 Networker로 아웃바운드되어야 합니다.
요약: 5671 및 5672는 모두 인증 외에 여러 다른 작업에 사용되며, 이 취약성은 암호화되지 않은 방법을 사용하여 자격 증명이 전송되는 5672(비 SSL)에 보고됩니다. 
스캔에 5672가 표시되면 취약한 자격 증명을 보내는 데 포트 5672를 더 이상 사용하지 않으므로 무시하는 것이 유일한 옵션입니다. (자격 증명이 이제 포트 5671을 통해 전송됨)

즉, 이 문서는 다음과 같은 경우에만 적용됩니다.     포트 5672를 비활성화하기 전에 위의 요구 사항이 충족되었는지 확인합니다.

포트 5672를 비활성화하는 단계:  
  1. /nsr/rabbitmq-server-version<>/etc/rabbitmq.config 파일 편집/생성
우리가 사용하는 SSL 포트이므로 SSL 옵션을 준비하십시오.
아래의 첫 번째 줄을 제외하고 tcp_listener 참조하는 줄에 주석을 달아야 합니다.   
{tcp_listeners, []}, %%이렇게 하면 {tcp_listeners, []}가 port
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
  1. 보안을 강화하려면 다음 설정을 적용하는 것이 좋습니다(첨부된 rabbitmq.config.example 확인).    
{honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers, [
"암호 목록"
]},
 
https://www.rabbitmq.com/ssl.html 에 명시된 바와 같이 :     
TLS 연결 협상 중에 서버와 클라이언트는 사용되는 암호 그룹을 협상합니다. 공격을 실행하기 위해 취약한 암호 그룹을 의도적으로 협상하는 악의적인 클라이언트를 방지하기 위해 서버의 TLS 구현이 기본 설정(암호 그룹 순서)을 지시하도록 강제할 수 있습니다. 이렇게 하려면 honor_cipher_order 및 honor_ecc_order true로 구성합니다.
  1. NetWorker Server에서 NSR 서비스를 비활성화해야 합니다.
재부팅할 때마다 기본적으로 다시 활성화되므로 다시 비활성화해야 합니다. 이는 9.2.2 이상 릴리스에서 수정된 버그 300070 때문입니다.
 
비활성화 단계 :     
nsradmin
> p 유형: nsr 서비스
> 업데이트 활성화됨: No

Additional Information

일반 텍스트 인증 취약성으로 인해 포트 5672가 암호화되지 않은 자격 증명을 전송하는 것으로 확인되었습니다. 이를 해결하기 위해 SSL 암호를 사용하기 위해 포트 5671이 도입되었지만, 일부 NetWorker 기능이 작동하려면 이 포트가 필요하므로 포트 5672는 여전히 열려 있습니다. 따라서 일부 검사 소프트웨어는 NetWorker Server에 취약점이 여전히 존재함을 표시할 수 있습니다. 이 문서에서는 이 포트를 완전히 비활성화하는 방법에 대해 설명합니다.

rabbitmq.configuration 옵션에 대한 자세한 내용은 다음에서 확인할 수 있습니다.     
  • https://www.rabbitmq.com/configure.html.
  • https://www.rabbitmq.com/ssl.html
  • https://www.rabbitmq.com/networking.html

Affected Products

NetWorker

Products

NetWorker
Article Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.