NetWorker：如何為 DSA-2018-120 停用連接埠 5672，以避免掃描軟體仍顯示漏洞

在閱讀本文之前，請務必先閱讀並理解下列 KB 文章523985：DSA-2018-120：Dell EMC NetWorker 網路漏洞

的明文驗證實作修正以補救 CVE-2018-11050 後，可能需要執行一些進一步的動作：   

• 掃描軟體會繼續顯示漏洞，因為由於向後相容性 （這是 NMC、Hyper-V FLR/NMM），非 SSL 連接埠仍處於開啟狀態。
• NetWorker 內部服務 （nsrd/nsrjobd） 已在修正版本上開始使用啟用 SSL 的連接埠 （5761），但連接埠仍為開啟狀態，並由 NetWorker\NMM 用於其他作業。
• 這些問題已在這些版本中修復，方法是不通過非 SSL 埠 5672 將「未加密的使用者憑據發送到遠端 AMQP 服務」。
• 如果要使用非 SSL 埠，可以繼續使用它。
• 對於想要使用 SSL 埠的使用者，此修復提供了機制。
• 如果您停用連接埠 5672，其他 NetWorker 服務的正確運作便會受到影響，例如 Hyper-V、NMM 等 （所有應用程式用戶端）。

問：我可以在防火牆中阻止埠 5672 以避免安全掃描報告它嗎？
一個：否，連接埠 5672 必須從 NMC 伺服器開啟至 NetWorker 伺服器。這是「消息佇列適配器」埠。

AMQP 用戶端與埠 5672 上的消息總線交互，並且它必須處於打開狀態。必須為 SSL 開啟連接埠 5671。

從 NW 伺服器公開的功能是備份的工作狀態，僅此而已。因此，這是唯讀操作，任何惡意元件都可能構成風險。

從 KB 文章 523985 中指定的固定 NetWorker 版本開始：DSA-2018-120：Dell EMC NetWorker 網路漏洞的明文驗證，NW 會使用 5671 （SSL） 進行驗證，並根據提到的密碼加密登入資料。但是，封鎖 5672 會對 kb 文章 503523 產生不良影響：NetWorker 9：當防火牆封鎖連接埠 5672 時，NMC 監控會顯示原則的狀態永不執行，然後按一下工作流程狀態彈出訊息匯流排無法開啟與主機<的插槽連線> NetWorker_server連接埠 5672：Request timed \BRM\DPC\FLR 等），因此：

• RabbitMQ 匯流排仍可透過連接埠 5672 上的未加密 （無 TLS） amqp 使用
• RabbitMQ 匯流排現在也可透過連接埠 5671 上的加密 （TLS） amqp 使用
• 連接埠 5671 必須在 NetWorker 伺服器上開啟為入站。
• NMC 伺服器連線至連接埠 5671，因此需要從 NMC 連出至 Networker。

摘要：5671 和 5672 都用於身份驗證以外的其他幾個操作，5672 （非 SSL） 會報告此漏洞，其中憑據使用未加密的方法發送。
如果掃描中顯示 5672，現在唯一的選擇是忽略它， 因為我們不再使用埠 5672 發送易受攻擊的憑據。（憑據現在通過埠 5671 發送）。

話雖如此，本文僅適用於以下情況：    

• 您並未執行 KB： 文章 523985 中所述的受影響 NetWorker 版本：DSA-2018-120：Dell EMC NetWorker 網路漏洞的明文驗證   
• 您不需要連接埠 5672，因為您不需要使用 Hyper-V FLR/NMM 作業即可運作。

在禁用埠 5672 之前，請確保滿足上述要求。

停用連接埠 5672 的步驟：  

1. 編輯/建立檔案 /nsr/rabbitmq-server-version<>/etc/rabbitmq.config

2. 為了提高安全性，建議您進行下列設定 （檢查附加的 rabbitmq.config.example）：    

3. 必須在 NetWorker 伺服器上停用 NSR 服務。

由於明文驗證漏洞，發現連接埠 5672 正在傳送未加密的認證。作為補救措施，引入了埠 5671 以使用 SSL 密碼，但埠 5672 仍處於打開狀態，因為某些 NetWorker 功能需要此埠才能運行;因此，某些掃描軟體可能會顯示 NetWorker 伺服器上仍然存在漏洞。本文介紹如何完全禁用此埠。

有關 rabbitmq.configuration 選項的更多資訊，請參閱：     

• https://www.rabbitmq.com/configure.html。
• https://www.rabbitmq.com/ssl.html
• https://www.rabbitmq.com/networking.html