NetWorker：如何为 DSA-2018-120 禁用端口 5672，以避免扫描软件仍然显示漏洞

在阅读本文之前，请确保您已阅读并理解以下知识库文章523985：DSA-2018-120：Dell EMC NetWorker 基于网络的明文身份验证漏洞

实施修复以修正 CVE-2018-11050 后，可能需要执行一些进一步的作：   

• 扫描软件继续显示漏洞，因为非 SSL 端口由于向后兼容性（这是 NMC、Hyper-V FLR/NMM）仍处于打开状态。
• NetWorker 内部服务 （nsrd/nsrjobd） 已开始在固定版本上使用启用 SSL 的端口 （5761），但该端口仍处于打开状态，并由 NetWorker\NMM 用于其他作。
• 通过不通过非 SSL 端口 5672 将“未加密的用户凭据发送到远程 AMQP 服务”，这些问题在这些版本中得到了修复。
• 如果要使用非 SSL 端口，可以继续使用它。
• 对于想要使用 SSL 端口的用户，此修复提供了该机制。
• 如果禁用端口 5672，则会影响其他 NetWorker 服务的正常运行，例如 Hyper-V、NMM 等（所有应用程序客户端）。

问：是否可以在防火墙中阻止端口 5672 以避免安全扫描报告它？
一个：否，必须打开从 NMC 服务器到 NetWorker 服务器的端口 5672。这是“Messmage Queue Adapter”端口。

AMQP 客户端与端口 5672 上的消息总线交互，并且该总线必须处于打开状态。必须为 SSL 打开端口 5671。

NW 服务器公开的功能是备份的作业状态，仅此而已。因此，这是一个只读作，任何恶意组件都可能带来风险。

从知识库文章 523985 中指定的固定 NetWorker 版本开始：DSA-2018-120：Dell EMC NetWorker 基于网络的明文身份验证漏洞，NW 将使用 5671 （SSL） 进行身份验证，并根据所述密码加密凭据。但是，阻止 5672 将对知识库文章 503523：NetWorker 9：当防火墙阻止端口 5672 时，NMC Monitoring 会为策略显示 Status Never Run，单击工作流状态会弹出消息总线无法打开与主机<的套接字连接> 端口 5672 上的NetWorker_server：请求计时 \BRM\DPC\FLR 等），因此：

• RabbitMQ 总线继续在端口 5672 上通过未加密（无 TLS）amqp 提供
• RabbitMQ 总线现在也可通过端口 5671 上的加密 （TLS） amqp 获得
• 端口 5671 必须在 NetWorker 服务器上打开入站。
• NMC 服务器连接到端口 5671，因此它需要从 NMC 出站到 Networker。

摘要：5671 和 5672 都用于除身份验证之外的其他几项作，该漏洞在 5672（非 SSL）上报告，其中使用未加密方法发送凭据。
如果扫描中显示 5672，则目前唯一的选择是忽略它， 因为我们不再使用端口 5672 发送易受攻击的凭据。（凭据现在通过端口 5671 发送）。

话虽如此，本文仅适用于以下情况：    

• 您运行的不是知识库文章 523985中所述的受影响的 NetWorker 版本之一：DSA-2018-120：Dell EMC NetWorker 基于网络的明文身份验证漏洞   
• 您不需要端口 5672，因为您不需要 Hyper-V FLR/NMM作即可正常工作。

在禁用端口 5672 之前，请确保满足上述要求。

禁用端口 5672 的步骤：  

1. 编辑/创建文件 /nsr/rabbitmq-server-version<>/etc/rabbitmq.config

2. 为了提高安全性，建议实施以下设置（检查附加的 rabbitmq.config.example）：    

3. 必须在 NetWorker 服务器上禁用 NSR 服务。

由于明文身份验证漏洞，发现端口 5672 正在发送未加密的凭据。作为一种补救措施，引入了端口 5671 以使用 SSL 密码，但端口 5672 仍处于打开状态，因为某些 NetWorker 功能需要此端口才能运行;因此，某些扫描软件可能会显示 NetWorker 服务器上仍然存在漏洞。本文介绍如何完全禁用此端口。

有关 rabbitmq.configuration 选项的详细信息，请访问：     

• https://www.rabbitmq.com/configure.html。
• https://www.rabbitmq.com/ssl.html
• https://www.rabbitmq.com/networking.html