NetWorker: Så här inaktiverar du port 5672 för DSA-2018-120 för att undvika att skanningsprogram fortfarande visar sårbarheten
Summary: På grund av ett säkerhetsproblem med autentisering i klartext sände port 5672 okrypterade autentiseringsuppgifter. Som en lösning infördes port 5671 för att använda SSL-chiffer, men port 5672 är fortfarande öppen eftersom vissa NetWorker-funktioner behöver den här porten för att fungera. Därför kan vissa genomsökningsprogram visa att säkerhetsproblemet fortfarande finns på NetWorker-servern. I den här artikeln beskrivs hur du inaktiverar porten helt. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Innan du läser den här artikeln bör du se till att du har läst och förstått följande KB-artikel 523985: DSA-2018-120: Dell EMC NetWorker Autentisering i klartext över sårbarhet i nätverket
När korrigeringen har implementerats för att åtgärda CVE-2018-11050 finns det några ytterligare åtgärder som kan behöva vidtas:
F: Kan jag blockera port 5672 i vår brandvägg för att undvika att säkerhetsgenomsökningen rapporterar det?
A: Nej, port 5672 måste öppnas från NMC-servern till NetWorker-servern. Det här är "Messmage Queue Adapter"-porten.
AMQP-klienterna interagerar med meddelandebussen på port 5672 och måste vara öppen. Port 5671 måste öppnas för SSL.
De funktioner som exponeras från NW-servern är JOBB-status för säkerhetskopieringar och inget mer. Därför är det en skrivskyddad åtgärd som alla falska komponenter kan utgöra en risk.
Från och med de fasta NetWorker-versioner som anges i KB-artikeln 523985: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication over Network Vulnerability, NW använder 5671 (SSL) för autentisering och krypterar inloggningsuppgifterna enligt de chiffer som nämns. Blockering 5672 kommer dock att påverka kb artikel 503523 negativt: NetWorker 9: När en brandvägg blockerar port 5672 visar NMC-övervakningen Status Kör aldrig för principer och när du klickar på Arbetsflödesstatus visas Meddelandebussen kan inte öppna socketanslutningen till värden <> NetWorker_server på port 5672: begäran tidsinställd \BRM\DPC\FLR osv.) Därav:
Om 5672 visas i genomsökningen är det enda alternativet för tillfället att ignorera det eftersom vi inte längre använder port 5672 för att skicka sårbara autentiseringsuppgifter. (Autentiseringsuppgifter skickas nu via port 5671) .
Med detta sagt gäller denna artikel endast om:
Steg för att inaktivera port 5672:
När korrigeringen har implementerats för att åtgärda CVE-2018-11050 finns det några ytterligare åtgärder som kan behöva vidtas:
- Skanningsprogramvaran fortsätter att visa sårbarheten eftersom icke-SSL-porten fortfarande är öppen på grund av bakåtkompatibilitet (detta är NMC, Hyper-V FLR/NMM).
- NetWorkers interna tjänster (nsrd/nsrjobd) började använda SSL-aktiverad port (5761) på de fasta versionerna, men porten är fortfarande öppen och används av NetWorker\NMM för andra åtgärder.
- Det här problemet åtgärdas i dessa versioner genom att inte skicka "Användarautentiseringsuppgifter okrypterade till fjärr-AMQP-tjänsten" via icke-SSL-port 5672.
- Om du vill använda en port som inte är SSL kan du fortsätta att använda den.
- För de som vill använda SSL-porten tillhandahåller denna fix mekanismen.
- Om du inaktiverar port 5672 påverkas den korrekta funktionen av andra NetWorker-tjänster, till exempel Hyper-V, NMM osv. (alla appklienter).
F: Kan jag blockera port 5672 i vår brandvägg för att undvika att säkerhetsgenomsökningen rapporterar det?
A: Nej, port 5672 måste öppnas från NMC-servern till NetWorker-servern. Det här är "Messmage Queue Adapter"-porten.
AMQP-klienterna interagerar med meddelandebussen på port 5672 och måste vara öppen. Port 5671 måste öppnas för SSL.
De funktioner som exponeras från NW-servern är JOBB-status för säkerhetskopieringar och inget mer. Därför är det en skrivskyddad åtgärd som alla falska komponenter kan utgöra en risk.
Från och med de fasta NetWorker-versioner som anges i KB-artikeln 523985: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication over Network Vulnerability, NW använder 5671 (SSL) för autentisering och krypterar inloggningsuppgifterna enligt de chiffer som nämns. Blockering 5672 kommer dock att påverka kb artikel 503523 negativt: NetWorker 9: När en brandvägg blockerar port 5672 visar NMC-övervakningen Status Kör aldrig för principer och när du klickar på Arbetsflödesstatus visas Meddelandebussen kan inte öppna socketanslutningen till värden <> NetWorker_server på port 5672: begäran tidsinställd \BRM\DPC\FLR osv.) Därav:
- RabbitMQ-bussen fortsätter att vara tillgänglig via okrypterad amqp (ingen TLS) på port 5672
- RabbitMQ-bussen är nu också tillgänglig via encyperad (TLS) amqp på port 5671
- Port 5671 måste vara öppen, inkommande på NetWorker-servern.
- NMC-servern ansluter till port 5671 Så den måste vara utgående från NMC till Networker.
Om 5672 visas i genomsökningen är det enda alternativet för tillfället att ignorera det eftersom vi inte längre använder port 5672 för att skicka sårbara autentiseringsuppgifter. (Autentiseringsuppgifter skickas nu via port 5671) .
Med detta sagt gäller denna artikel endast om:
- Du kör inte någon av de berörda NetWorker-versionerna som beskrivs i KB: artikel 523985: DSA-2018-120: Dell EMC NetWorker Autentisering i klartext över sårbarhet i nätverket
- Du behöver inte port 5672 eftersom du inte behöver Hyper-V FLR/NMM-åtgärder för att fungera.
Steg för att inaktivera port 5672:
- Redigera/skapa fil /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Se till att du har SSL-alternativen på plats, eftersom det är den SSL-port vi använder.
Raderna som hänvisar till tcp_listener måste kommenteras, utom den första nedan:
{tcp_listeners, []}, %%detta gör att {tcp_listeners, []} inte lyssnar på någon port
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- För mer säkerhet rekommenderar vi att du har följande inställningar på plats (kontrollera rabbitmq.config.example bifogad):
{honor_cipher_order, true},
{honor_ecc_order, true},
{chiffer, [
"lista över chiffer"
]},
{honor_ecc_order, true},
{chiffer, [
"lista över chiffer"
]},
Som anges i https://www.rabbitmq.com/ssl.html:
Under TLS-anslutningsförhandling förhandlar servern och klienten om vilken chiffersvit som används. Det går att tvinga serverns TLS-implementering att diktera dess inställningar (chiffersvitordning) för att undvika skadliga klienter som avsiktligt förhandlar om svaga chiffersviter som förberedelse för att köra en attack mot dem. Det gör du genom att konfigurera honor_cipher_order och honor_ecc_order till true.
- NSR-tjänsten måste vara inaktiverad på NetWorker-servern.
Efter varje omstart aktiveras den som standard igen, så den måste inaktiveras igen. Detta beror på fel 300070, rättat i version 9.2.2 och senare.
Steg för att inaktivera det:
NSRADMIN
> P-typ: NSR-tjänstuppdatering
> aktiverad: Nej
> P-typ: NSR-tjänstuppdatering
> aktiverad: Nej
Additional Information
På grund av ett säkerhetsproblem med autentisering i klartext sände port 5672 okrypterade autentiseringsuppgifter. Som en lösning infördes port 5671 för att använda SSL-chiffer, men port 5672 är fortfarande öppen eftersom vissa NetWorker-funktioner behöver den här porten för att fungera. Därför kan vissa genomsökningsprogram visa att säkerhetsproblemet fortfarande finns på NetWorker-servern. I den här artikeln beskrivs hur du inaktiverar porten helt.
Mer information om rabbitmq.configuration alternativ finns på:
Mer information om rabbitmq.configuration alternativ finns på:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.