NetWorker: Wyłączanie portu 5672 dla DSA-2018-120 w celu uniknięcia skanowania oprogramowania wciąż wykazującego lukę w zabezpieczeniach
Summary: Ze względu na lukę w zabezpieczeniach uwierzytelniania zwykłego tekstu stwierdzono, że port 5672 wysyła niezaszyfrowane poświadczenia. Jako środek zaradczy wprowadzono port 5671 w celu korzystania z szyfrów SSL, ale nadal port 5672 jest otwarty, ponieważ niektóre funkcje NetWorker wymagają tego portu do działania; w związku z tym niektóre programy do skanowania mogą pokazywać, że luka nadal istnieje na serwerze NetWorker. W tym artykule opisano, jak całkowicie wyłączyć ten port. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Przed przeczytaniem tego artykułu upewnij się, że przeczytałeś i zrozumiałeś następujący artykuł bazy wiedzy 523985: DSA-2018-120: Luka w zabezpieczeniach
interfejsu Dell EMC NetWorker umożliwiającego uwierzytelnianie w postaci zwykłego tekstu w sieciPo wdrożeniu poprawki w celu naprawienia luki CVE-2018-11050 może być konieczne wykonanie pewnych dalszych czynności:
Pytanie: Czy mogę zablokować port 5672 w naszej zaporze sieciowej, aby skanowanie bezpieczeństwa nie zgłosiło tego problemu?
A: Nie, port 5672 musi być otwarty z serwera NMC na serwer NetWorker. Jest to port "Messmage Queue Adapter".
Klienci AMQP wchodzą w interakcję z magistralą komunikatów na porcie 5672 i musi być otwarta. Port 5671 musi być otwarty dla SSL.
Funkcje, które są udostępniane z serwera NW to status JOB kopii zapasowych i nic więcej. W związku z tym jest to operacja tylko do odczytu, którą każdy nieautoryzowany komponent może stanowić zagrożenie.
Począwszy od stałych wersji NetWorker określonych w artykule bazy wiedzy 523985: DSA-2018-120: Luka w zabezpieczeniach Dell EMC NetWorker Clear-Text Authentication Over Network, NW użyje 5671 (SSL) do uwierzytelniania i zaszyfruje poświadczenia zgodnie z wymienionymi szyframi. Jednak zablokowanie 5672 negatywnie wpłynie na artykuł bazy wiedzy 503523: NetWorker 9: Gdy zapora blokuje port 5672, monitorowanie NMC wyświetla stan Nigdy nie uruchamiaj dla zasad, a kliknięcie stanu przepływu pracy powoduje wyświetlenie komunikatu "Message bus unable to open socket connection to host"<> NetWorker_server na porcie 5672: żądanie czasowe \BRM\DPC\FLR itd.) stąd:
Jeśli 5672 pojawi się w skanowaniu, jedyną opcją na razie jest zignorowanie go, ponieważ nie używamy już portu 5672 do wysyłania wrażliwych poświadczeń. (poświadczenia są teraz wysyłane przez port 5671).
Biorąc to pod uwagę, niniejszy artykuł ma zastosowanie tylko wtedy, gdy:
Kroki wyłączania portu 5672:
interfejsu Dell EMC NetWorker umożliwiającego uwierzytelnianie w postaci zwykłego tekstu w sieciPo wdrożeniu poprawki w celu naprawienia luki CVE-2018-11050 może być konieczne wykonanie pewnych dalszych czynności:
- Oprogramowanie do skanowania nadal wykazuje lukę w zabezpieczeniach, ponieważ port inny niż SSL jest nadal otwarty ze względu na zgodność wsteczną (jest to NMC, Hyper-V FLR/NMM).
- Usługi wewnętrzne NetWorker (nsrd/nsrjobd) rozpoczęły korzystanie z portu SSL enabled (5761) w wersjach stałych, jednak port jest nadal otwarty i jest używany przez NetWorker\NMM do innych operacji.
- Ten problem został rozwiązany w tych wersjach przez niewysyłanie komunikatu "Dane uwierzytelniające użytkownika niezaszyfrowane do zdalnej usługi AMQP" przez port inny niż SSL 5672.
- Jeśli chcesz korzystać z portu innego niż SSL, możesz nadal z niego korzystać.
- Dla tych, którzy chcą korzystać z portu SSL, ta poprawka zapewnia mechanizm.
- Wyłączenie portu 5672 wpływa na poprawne działanie innych usług NetWorker, takich jak Hyper-V, NMM itp. (klient wszystkich aplikacji).
Pytanie: Czy mogę zablokować port 5672 w naszej zaporze sieciowej, aby skanowanie bezpieczeństwa nie zgłosiło tego problemu?
A: Nie, port 5672 musi być otwarty z serwera NMC na serwer NetWorker. Jest to port "Messmage Queue Adapter".
Klienci AMQP wchodzą w interakcję z magistralą komunikatów na porcie 5672 i musi być otwarta. Port 5671 musi być otwarty dla SSL.
Funkcje, które są udostępniane z serwera NW to status JOB kopii zapasowych i nic więcej. W związku z tym jest to operacja tylko do odczytu, którą każdy nieautoryzowany komponent może stanowić zagrożenie.
Począwszy od stałych wersji NetWorker określonych w artykule bazy wiedzy 523985: DSA-2018-120: Luka w zabezpieczeniach Dell EMC NetWorker Clear-Text Authentication Over Network, NW użyje 5671 (SSL) do uwierzytelniania i zaszyfruje poświadczenia zgodnie z wymienionymi szyframi. Jednak zablokowanie 5672 negatywnie wpłynie na artykuł bazy wiedzy 503523: NetWorker 9: Gdy zapora blokuje port 5672, monitorowanie NMC wyświetla stan Nigdy nie uruchamiaj dla zasad, a kliknięcie stanu przepływu pracy powoduje wyświetlenie komunikatu "Message bus unable to open socket connection to host"<> NetWorker_server na porcie 5672: żądanie czasowe \BRM\DPC\FLR itd.) stąd:
- Magistrala RabbitMQ jest nadal dostępna za pośrednictwem nieszyfrowanego (bez TLS) protokołu AMQP na porcie 5672
- Magistrala RabbitMQ jest teraz również dostępna za pośrednictwem protokołu AMQP szyfrowanego (TLS) na porcie 5671
- Port 5671 musi być otwarty przychodzący na serwerze NetWorker.
- Serwer NMC łączy się z portem 5671 Dlatego dane muszą być wychodzące z NMC do Networker.
Jeśli 5672 pojawi się w skanowaniu, jedyną opcją na razie jest zignorowanie go, ponieważ nie używamy już portu 5672 do wysyłania wrażliwych poświadczeń. (poświadczenia są teraz wysyłane przez port 5671).
Biorąc to pod uwagę, niniejszy artykuł ma zastosowanie tylko wtedy, gdy:
- Nie używasz jednej z wersji NetWorker, których dotyczy problem, opisanych w artykule 523985 bazy wiedzy: DSA-2018-120: Luka w zabezpieczeniach interfejsu Dell EMC NetWorker umożliwiającego uwierzytelnianie w postaci zwykłego tekstu w sieci
- Port 5672 nie jest potrzebny, ponieważ do działania nie są potrzebne operacje FLR/NMM funkcji Hyper-V.
Kroki wyłączania portu 5672:
- Edytuj/utwórz plik /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Miej włączone opcje SSL, ponieważ jest to port SSL, którego używamy.
Wiersze odnoszące się do tcp_listener muszą być skomentowane, z wyjątkiem pierwszego poniżej:
{tcp_listeners, []}, %%to sprawi, że {tcp_listeners, []} nie będzie nasłuchiwał żadnego portu
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Z myślą o większym bezpieczeństwie zaleca się wprowadzenie następujących ustawień (sprawdź rabbitmq.config.example w załączeniu):
{honor_cipher_order, true},
{honor_ecc_order, true},
{szyfry, [
"lista szyfrów"
]},
{honor_ecc_order, true},
{szyfry, [
"lista szyfrów"
]},
Zgodnie z https://www.rabbitmq.com/ssl.html:
Podczas negocjowania połączenia TLS serwer i klient negocjują, jaki zestaw szyfrowania jest używany. Możliwe jest wymuszenie na implementacji protokołu TLS serwera, aby dyktowała swoje preferencje (kolejność zestawu szyfrowania), aby uniknąć złośliwych klientów, którzy celowo negocjują słabe zestawy szyfrowania w ramach przygotowań do przeprowadzenia na nich ataku. Aby to zrobić, skonfiguruj honor_cipher_order i honor_ecc_order na wartość true.
- Usługa NSR musi być wyłączona na serwerze NetWorker.
Po każdym ponownym uruchomieniu jest ona ponownie domyślnie włączona, dlatego należy ją ponownie wyłączyć. Jest to spowodowane błędem 300070, naprawionym w wersji 9.2.2 i nowszych.
Kroki, aby go wyłączyć:
nsradmin
> P typ: aktualizacja usługi
> NSR włączona: Nie
> P typ: aktualizacja usługi
> NSR włączona: Nie
Additional Information
Ze względu na lukę w zabezpieczeniach uwierzytelniania zwykłego tekstu stwierdzono, że port 5672 wysyła niezaszyfrowane poświadczenia. Jako środek zaradczy wprowadzono port 5671 w celu korzystania z szyfrów SSL, ale port 5672 jest nadal otwarty, ponieważ niektóre funkcje NetWorker wymagają tego portu do działania; w związku z tym niektóre programy do skanowania mogą pokazywać, że luka nadal istnieje na serwerze NetWorker. W tym artykule opisano, jak całkowicie wyłączyć ten port.
Więcej informacji na temat opcji rabbitmq.configuration można znaleźć na stronie:
Więcej informacji na temat opcji rabbitmq.configuration można znaleźć na stronie:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.