NetWorker. Как отключить порт 5672 для DSA-2018-120, чтобы избежать сканирования программного обеспечения, по-прежнему отображающего уязвимость
Summary: Из-за уязвимости аутентификации открытым текстом было обнаружено, что порт 5672 отправляет незашифрованные учетные данные. В качестве решения проблемы был введен порт 5671 для использования SSL-шифров, но порт 5672 все еще открыт, так как некоторым функциям NetWorker требуется этот порт для работы; поэтому некоторые программы сканирования могут показать, что уязвимость все еще существует на сервере NetWorker. В этой статье описывается, как полностью отключить этот порт. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Перед прочтением этой статьи обязательно прочитайте и поняли следующую статью базы знаний 523985: ДСА-2018-120: Уязвимость
Dell EMC NetWorker, связанная с аутентификацией открытым текстом по сетиПосле внедрения исправления для устранения уязвимости CVE-2018-11050 может потребоваться выполнить следующие действия.
В. Можно ли заблокировать порт 5672 в нашем брандмауэре, чтобы избежать обнаружения ошибок при сканировании безопасности?
A: Нет, порт 5672 должен быть открыт для сервера NMC на сервере NetWorker. Это порт "Messmage Queue Adapter".
Клиенты AMQP взаимодействуют с шиной сообщений через порт 5672, и он должен быть открыт. Порт 5671 должен быть открыт для SSL.
Функции, которые предоставляются сервером NW, — это состояние «JOB» резервного копирования и ничего более. Следовательно, это операция доступна только для чтения, и любой несанкционированный компонент может представлять опасность.
Начиная с фиксированных версий NetWorker, указанных в статье базы знаний 523985: ДСА-2018-120: Dell EMC NetWorker — проверка подлинности открытым текстом через сеть Vulnerability, NW будет использовать 5671 (SSL) для аутентификации и шифровать учетные данные в соответствии с упомянутыми шифрами. Однако блокировка 5672 отрицательно скажется на 503523 статьи базы знаний: NetWorker 9. Если межсетевой экран блокирует порт 5672, в NMC Monitoring отображается состояние «Never Run» для политик, а при нажатии на «Workflow status» появляется всплывающее окно «Шина сообщений не может открыть соединение сокета с хостом<»> NetWorker_server на порт 5672: время запроса \BRM\DPC\FLR и т.д.), поэтому:
Если при сканировании отображается 5672, единственным вариантом на данный момент является игнорировать его, поскольку мы больше не используем порт 5672 для отправки уязвимых учетных данных. (теперь учетные данные передаются через порт 5671).
При этом эта статья применима только в том случае, если:
Действия по отключению порта 5672.
Dell EMC NetWorker, связанная с аутентификацией открытым текстом по сетиПосле внедрения исправления для устранения уязвимости CVE-2018-11050 может потребоваться выполнить следующие действия.
- Программное обеспечение для сканирования продолжает отображать уязвимость, так как порт, не являющийся SSL, все еще открыт из-за обратной совместимости (это NMC, Hyper-V FLR/NMM).
- Внутренние службы NetWorker (nsrd/nsrjobd) начали использовать порт с поддержкой SSL (5761) в фиксированных версиях, однако порт все еще открыт и используется NetWorker\NMM для других операций.
- В этих версиях эта проблема устраняется тем, что не отправляются «Учетные данные пользователя незашифрованы в удаленную службу AMQP» через порт 5672, отличный от SSL.
- Если вы хотите использовать порт, отличный от SSL, вы можете продолжить его использовать.
- Для тех, кто хочет использовать SSL-порт, это исправление предоставляет механизм.
- При отключении порта 5672 нарушается работа других служб NetWorker, таких как Hyper-V, NMM и т. д. (все клиенты приложений).
В. Можно ли заблокировать порт 5672 в нашем брандмауэре, чтобы избежать обнаружения ошибок при сканировании безопасности?
A: Нет, порт 5672 должен быть открыт для сервера NMC на сервере NetWorker. Это порт "Messmage Queue Adapter".
Клиенты AMQP взаимодействуют с шиной сообщений через порт 5672, и он должен быть открыт. Порт 5671 должен быть открыт для SSL.
Функции, которые предоставляются сервером NW, — это состояние «JOB» резервного копирования и ничего более. Следовательно, это операция доступна только для чтения, и любой несанкционированный компонент может представлять опасность.
Начиная с фиксированных версий NetWorker, указанных в статье базы знаний 523985: ДСА-2018-120: Dell EMC NetWorker — проверка подлинности открытым текстом через сеть Vulnerability, NW будет использовать 5671 (SSL) для аутентификации и шифровать учетные данные в соответствии с упомянутыми шифрами. Однако блокировка 5672 отрицательно скажется на 503523 статьи базы знаний: NetWorker 9. Если межсетевой экран блокирует порт 5672, в NMC Monitoring отображается состояние «Never Run» для политик, а при нажатии на «Workflow status» появляется всплывающее окно «Шина сообщений не может открыть соединение сокета с хостом<»> NetWorker_server на порт 5672: время запроса \BRM\DPC\FLR и т.д.), поэтому:
- Шина RabbitMQ по-прежнему доступна по незашифрованному (без TLS) amqp на порте 5672
- Шина RabbitMQ теперь также доступна по протоколу TLS amqp на порте 5671
- Входящий порт 5671 должен быть открыт на сервере NetWorker.
- Сервер NMC подключается к порту 5671. Поэтому он должен быть исходящим из NMC в Networker.
Если при сканировании отображается 5672, единственным вариантом на данный момент является игнорировать его, поскольку мы больше не используем порт 5672 для отправки уязвимых учетных данных. (теперь учетные данные передаются через порт 5671).
При этом эта статья применима только в том случае, если:
- У вас не запущена одна из затронутых версий NetWorker, описанных в статье базы знаний 523985: ДСА-2018-120: Уязвимость Dell EMC NetWorker, связанная с аутентификацией открытым текстом по сети
- Порт 5672 не нужен, так как для работы не требуются операции Hyper-V FLR/NMM.
Действия по отключению порта 5672.
- Редактирование/создание файла /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Подготовьте параметры SSL, так как это порт SSL, который мы используем.
Строки, ссылающиеся на tcp_listener, должны быть прокомментированы, за исключением первой ниже:
{tcp_listeners, []}, %%это заставит {tcp_listeners, []} не прослушивать порт
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Для большей безопасности рекомендуется иметь следующие настройки (см. rabbitmq.config.example):
{honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers, [
"list of ciphers"
]},
{honor_ecc_order, true},
{ciphers, [
"list of ciphers"
]},
Как указано в https://www.rabbitmq.com/ssl.html:
Во время согласования подключения по протоколу TLS сервер и клиент согласовывают используемый пакет шифрования. Можно заставить реализацию TLS сервера диктовать свои предпочтения (порядок набора шифров), чтобы избежать вредоносных клиентов, которые намеренно согласовывают слабые пакеты шифрования при подготовке к запуску атаки на них. Для этого настройте для honor_cipher_order и honor_ecc_order значение true.
- На сервере NetWorker должна быть отключена служба NSR.
После каждой перезагрузки она снова включается по умолчанию, поэтому ее необходимо снова отключить. Это связано с ошибкой 300070, исправленной в версиях 9.2.2 и выше.
Действия по его отключению:
NSRADMIN
> P Type:Обновление службы
> NSR включено: Нет
> P Type:Обновление службы
> NSR включено: Нет
Additional Information
Из-за уязвимости аутентификации открытым текстом было обнаружено, что порт 5672 отправляет незашифрованные учетные данные. В качестве решения проблемы был введен порт 5671 для использования шифров SSL, но порт 5672 все еще открыт, так как некоторым функциям NetWorker требуется этот порт для работы; поэтому некоторые программы сканирования могут показать, что уязвимость все еще существует на сервере NetWorker. В этой статье описывается, как полностью отключить этот порт.
Дополнительные сведения о параметрах rabbitmq.configuration доступны по адресу:
Дополнительные сведения о параметрах rabbitmq.configuration доступны по адресу:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.