NetWorker: Cómo deshabilitar el puerto 5672 para DSA-2018-120

Resumen: Debido a una vulnerabilidad de autenticación de texto no cifrado, se descubrió que el puerto 5672 enviaba credenciales sin cifrar. Como solución, se introdujo el puerto 5671 para utilizar cifrados SSL, pero aún está abierto el puerto 5672, ya que algunas funciones de NetWorker necesitan este puerto para funcionar. Por lo tanto, algún software de escaneo puede mostrar que la vulnerabilidad aún existe en NetWorker Server. En este artículo, se describe cómo deshabilitar completamente este puerto. ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Instrucciones

Antes de leer este artículo, asegúrese de haber leído y entendido el siguiente artículo de la base de conocimientos: DSA-2018-120: Vulnerabilidad de la autenticación de texto no cifrado en la red de Dell EMC NetWorker
 
Después de implementar la corrección para corregir CVE-2018-11050, es posible que se requieran más acciones.
  • Es posible que el software de análisis de seguridad continúe mostrando la vulnerabilidad, ya que el puerto que no es SSL aún está abierto para la compatibilidad con versiones anteriores (esto es NMC, Hyper-V FLR/NMM).
  • Los servicios internos de NetWorker (nsrd/nsrjobd) comience a usar el puerto habilitado para SSL (5761) en las versiones fijas. Sin embargo, el puerto sigue abierto y NetWorker y NetWorker Module para Microsoft (NMM) lo utilizan para otras operaciones.
  • Este problema se soluciona en esas versiones mediante el no envío de "Credenciales de usuario sin cifrar al servicio AMQP remoto" a través del puerto no SSL 5672.
  • El puerto no SSL aún se puede utilizar si es necesario.
  • Para aquellos que desean utilizar el puerto SSL, esta corrección proporciona el mecanismo.
  • Si el puerto 5672 está deshabilitado, la operación correcta de otros servicios de NetWorker se ve afectada, como Hyper-V o NMM (todos los clientes de aplicaciones).
 
P: ¿Puedo bloquear el puerto 5672 en nuestro firewall para evitar que el escaneo de seguridad lo reporte?
R: No, el puerto 5672 se debe abrir desde el servidor NMC al servidor NetWorker Server. Este es el puerto "Message Queue Adapter".
 
Los clientes AMQP interactúan con el bus de mensajes en el puerto 5672 y debe estar abierto. El puerto 5671 debe estar abierto para SSL.
 
Las funciones que se exponen desde NetWorker Server son el estado de trabajo de los respaldos y nada más. Por lo tanto, es una operación de solo lectura que cualquier componente no autorizado puede suponer como un riesgo.
 
A partir de las versiones fijas de NetWorker especificadas en este artículo, NetWorker utiliza el puerto 5671 (SSL) para la autenticación y cifra las credenciales según los cifrados mencionados. Sin embargo, el bloqueo del puerto 5672 tiene los efectos adversos descritos en este artículo. Por lo tanto:
  • El bus de RabbitMQ sigue estando disponible sin cifrar (sin TLS) amqp en el puerto 5672.
  • El bus de RabbitMQ ahora también está disponible mediante cifrado (TLS) amqp en el puerto 5671.
  • El puerto 5671 debe estar abierto entrante en NetWorker Server.
  • El servidor de NetWorker Management Console (NMC) se conecta al puerto 5671, por lo que debe ser saliente de NMC a NetWorker.
Resumen: Los puertos 5671 y 5672 se utilizan para varias otras operaciones además de la autenticación. La vulnerabilidad se informa en 5672 (no SSL), donde las credenciales se envían mediante un método no cifrado.
 
Si el puerto 5672 aparece en un análisis, la única opción por ahora es ignorarlo, ya que ya no se utiliza para enviar credenciales vulnerables.
 
Dicho esto, este artículo se aplica solo si:
Antes de deshabilitar el puerto 5672, asegúrese de que se cumplan los requisitos anteriores.
 

Pasos para deshabilitar el puerto 5672:

  1. Editar o crear el archivo /nsr/rabbitmq-server-<version>/etc/rabbitmq.config.
    1. Tenga las opciones SSL implementadas, ya que este es el puerto SSL que utiliza NetWorker.
    2. Las líneas que hacen referencia a tcp_listener debe ser comentado, excepto el primero a continuación: 
      {tcp_listeners, []}, %%this will make {tcp_listeners, []} to not listen to any port
%% {tcp_listeners, [{"127.0.0.1", 5672},
%%                  {"::1",       5672}]},
  2. Para mayor seguridad, se recomienda contar con los siguientes ajustes (revise la rabbitmq.config.example archivo adjunto a este artículo): 
    {honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers,  [
"list of ciphers"
]},
    • Como se indica en la documentación Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.de RabbitMQ:
      "Durante la negociación de la conexión TLS, el servidor y el cliente negocian qué conjunto de cifrado se utiliza. Es posible forzar la implementación de TLS del servidor para que dicte su preferencia (orden del conjunto de cifrado) para evitar clientes maliciosos que negocian intencionalmente conjuntos de cifrado débiles como preparación para ejecutar un ataque contra ellos. Para ello, configure honor_cipher_order y honor_ecc_order a verdadero".
  3. El servicio NSR debe estar deshabilitado en NetWorker Server. Ejecute los siguientes comandos: 
    nsradmin
> p type:nsr service
> update enabled: No

Información adicional

Más información sobre rabbitmq.configuration Las opciones están disponibles en:

Productos afectados

NetWorker

Productos

NetWorker
Propiedades del artículo
Número del artículo: 000020688
Tipo de artículo: How To
Última modificación: 30 mar 2026
Versión:  4
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.