NetWorker: Slik deaktiverer du port 5672 for DSA-2018-120 for å unngå at skanneprogramvaren fremdeles viser sikkerhetsproblemet
Summary: På grunn av sikkerhetsproblemet med godkjenning i klartekst viser det seg at port 5672 sender ukryptert legitimasjon. Som et middel ble port 5671 introdusert for å bruke SSL-chiffer, men fortsatt er port 5672 åpnet ettersom noen NetWorker-funksjoner trenger denne porten for å fungere; Derfor kan noe skanneprogramvare vise at sikkerhetsproblemet fremdeles finnes på NetWorker-serveren. Denne artikkelen beskriver hvordan du deaktiverer denne porten fullstendig. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Før du leser denne artikkelen, må du sørge for at du har lest og forstått følgende KB-artikkel 523985: DSA-2018-120: Dell EMC NetWorker-godkjenning i klartekst over nettverkssårbarhet
Etter at reparasjonen ble implementert for å utbedre CVE-2018-11050, er det noen ytterligere handlinger som kanskje må gjøres:
Spm.: Kan jeg blokkere port 5672 i brannmuren vår for å unngå at sikkerhetsskanningen rapporterer den?
En: Nei, port 5672 må åpnes fra NMC-serveren til NetWorker-serveren. Dette er "Messmage Queue Adapter"-porten.
AMQP-klientene samhandler med Message Bus på port 5672, og den må være åpen. Port 5671 må åpnes for SSL.
Funksjonene som er eksponert fra NW-serveren er JOB-status for sikkerhetskopier og ingenting mer. Derfor, det er en skrivebeskyttet operasjon som enhver useriøs komponent kan utgjøre som en risiko.
Fra og med faste NetWorker-versjoner angitt i KB-artikkel 523985: DSA-2018-120: Dell EMC NetWorker klartekstgodkjenning over nettverkssårbarhet, NW vil bruke 5671 (SSL) for godkjenning og kryptere legitimasjonen i henhold til de nevnte chifferkodene. Blokkering av 5672 vil imidlertid påvirke kb-artikkel negativt 503523: NetWorker 9: Når en brannmur blokkerer port 5672, viser NMC Monitoring Status Never Run for policyer, og ved å klikke på Workflow status pops up Message bus unable to open socket connection to host <> NetWorker_server på port 5672: forespørsel tidsbestemt \BRM\DPC\FLR osv.) derav:
Hvis 5672 dukker opp i skanningen, er det eneste alternativet foreløpig å ignorere det, da vi ikke bruker port 5672 lenger for å sende sårbar legitimasjon. (legitimasjon sendes nå via port 5671) .
Når det er sagt, gjelder denne artikkelen bare hvis:
Trinn for å deaktivere port 5672:
Etter at reparasjonen ble implementert for å utbedre CVE-2018-11050, er det noen ytterligere handlinger som kanskje må gjøres:
- Skanneprogramvaren fortsetter å vise sikkerhetsproblemet ettersom ikke-SSL-porten fortsatt er åpen på grunn av bakoverkompatibilitet (Dette er NMC, Hyper-V FLR/NMM).
- NetWorkers interne tjenester (nsrd/nsrjobd) begynte å bruke SSL-aktivert port (5761) på de faste versjonene, men porten er fremdeles åpen og brukes av NetWorker\NMM til andre operasjoner.
- Dette problemet løses i disse versjonene ved ikke å sende "Brukerlegitimasjon ukryptert til den eksterne AMQP-tjenesten" over ikke-SSL-port 5672.
- Hvis du vil bruke ikke-SSL-port, kan du fortsette å bruke den.
- For de som ønsker å bruke SSL-porten, gir denne løsningen mekanismen.
- Hvis du deaktiverer port 5672, påvirkes riktig drift av andre NetWorker-tjenester, for eksempel Hyper-V, NMM osv. (all app client).
Spm.: Kan jeg blokkere port 5672 i brannmuren vår for å unngå at sikkerhetsskanningen rapporterer den?
En: Nei, port 5672 må åpnes fra NMC-serveren til NetWorker-serveren. Dette er "Messmage Queue Adapter"-porten.
AMQP-klientene samhandler med Message Bus på port 5672, og den må være åpen. Port 5671 må åpnes for SSL.
Funksjonene som er eksponert fra NW-serveren er JOB-status for sikkerhetskopier og ingenting mer. Derfor, det er en skrivebeskyttet operasjon som enhver useriøs komponent kan utgjøre som en risiko.
Fra og med faste NetWorker-versjoner angitt i KB-artikkel 523985: DSA-2018-120: Dell EMC NetWorker klartekstgodkjenning over nettverkssårbarhet, NW vil bruke 5671 (SSL) for godkjenning og kryptere legitimasjonen i henhold til de nevnte chifferkodene. Blokkering av 5672 vil imidlertid påvirke kb-artikkel negativt 503523: NetWorker 9: Når en brannmur blokkerer port 5672, viser NMC Monitoring Status Never Run for policyer, og ved å klikke på Workflow status pops up Message bus unable to open socket connection to host <> NetWorker_server på port 5672: forespørsel tidsbestemt \BRM\DPC\FLR osv.) derav:
- RabbitMQ-bussen er fortsatt tilgjengelig via ukryptert (uten TLS) amqp på port 5672
- RabbitMQ-buss er nå også tilgjengelig over encypted (TLS) amqp på port 5671
- Port 5671 må være åpen innkommende på NetWorker-serveren.
- NMC Server kobles til port 5671 Det må derfor være utgående fra NMC til Networker.
Hvis 5672 dukker opp i skanningen, er det eneste alternativet foreløpig å ignorere det, da vi ikke bruker port 5672 lenger for å sende sårbar legitimasjon. (legitimasjon sendes nå via port 5671) .
Når det er sagt, gjelder denne artikkelen bare hvis:
- Du kjører ikke en av de berørte NetWorker-versjonene som er beskrevet i KB: artikkel 523985: DSA-2018-120: Dell EMC NetWorker-godkjenning i klartekst over nettverkssårbarhet
- Du trenger ikke port 5672, siden du ikke trenger Hyper-V FLR/NMM-operasjoner for å fungere.
Trinn for å deaktivere port 5672:
- Rediger/opprett fil /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Ha på plass SSL-alternativene, da dette er SSL-porten vi bruker.
Linjene som refererer tcp_listener må kommenteres, bortsett fra den første nedenfor:
{tcp_listeners, []}, %%this will make {tcp_listeners, []} to not listen to any port
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- For mer sikkerhet anbefales det å ha følgende innstillinger på plass (sjekk rabbitmq.config.example vedlagt):
{honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers, [
"liste over chiffer"
]},
{honor_ecc_order, true},
{ciphers, [
"liste over chiffer"
]},
som det fremgår av https://www.rabbitmq.com/ssl.html:
Under TLS-tilkoblingsforhandlinger forhandler serveren og klienten om hvilken chiffreringspakke som brukes. Det er mulig å tvinge serverens TLS-implementering til å diktere preferansen (chifferpakkerekkefølge) for å unngå ondsinnede klienter som med vilje forhandler svake chiffreringssuiter som forberedelse til å kjøre et angrep på dem. Dette gjør du ved å konfigurere honor_cipher_order og honor_ecc_order til sann.
- NSR-tjenesten må være deaktivert på NetWorker-serveren.
Etter hver omstart er den aktivert som standard igjen, så den må deaktiveres på nytt. Dette skyldes bug 300070, løst i 9.2.2 og nyere versjoner.
Trinn for å deaktivere det:
nsradmin
> p type:nsr service
> update enabled: Nei
> p type:nsr service
> update enabled: Nei
Additional Information
På grunn av sikkerhetsproblemet med godkjenning i klartekst viser det seg at port 5672 sender ukryptert legitimasjon. Som et middel ble port 5671 introdusert for å bruke SSL-chiffer, men port 5672 er fortsatt åpen ettersom noen NetWorker-funksjoner trenger denne porten for å fungere. Derfor kan noe skanneprogramvare vise at sikkerhetsproblemet fremdeles finnes på NetWorker-serveren. Denne artikkelen beskriver hvordan du deaktiverer denne porten fullstendig.
Mer informasjon om rabbitmq.configuration alternativer er tilgjengelig på:
Mer informasjon om rabbitmq.configuration alternativer er tilgjengelig på:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.