NetWorker: Poort 5672 uitschakelen voor DSA-2018-120 om te voorkomen dat scansoftware nog steeds het beveiligingslek weergeeft
Samenvatting: Vanwege een beveiligingslek in Clear-Text Authentication bleek poort 5672 niet-versleutelde referenties te verzenden. Als oplossing werd poort 5671 geïntroduceerd om gebruik te maken van SSL-cijfers, maar toch wordt poort 5672 geopend omdat sommige NetWorker-functies deze poort nodig hebben om te werken; daarom kunnen sommige scansoftware aantonen dat het beveiligingslek nog steeds bestaat op de NetWorker-server. In dit artikel wordt beschreven hoe u deze poort volledig uitschakelt. ...
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Instructies
Voordat u dit artikel leest, moet u ervoor zorgen dat u het volgende KB-artikel hebt gelezen en begrepen 523985: DSA-2018-120: Kwetsbaarheid
in Dell EMC NetWorker Clear-Text Authentication over NetworkNadat de oplossing is geïmplementeerd om CVE-2018-11050 op te lossen, zijn er nog enkele acties die mogelijk moeten worden uitgevoerd:
V: Kan ik poort 5672 in onze firewall blokkeren om te voorkomen dat de beveiligingsscan dit meldt?
Een: Nee, poort 5672 moet worden geopend vanaf de NMC server naar de NetWorker server. Dit is de "Messmage Queue Adapter"-poort.
De AMQP-clients communiceren met de berichtenbus op poort 5672 en deze moet open zijn. Poort 5671 moet worden geopend voor SSL.
De functies die worden weergegeven vanaf de NW-server zijn de taakstatus van back-ups en niets meer. Daarom is het een alleen-lezen bewerking die elk kwaadaardig onderdeel als een risico kan vormen.
Te beginnen met vaste NetWorker-versies die worden gespecificeerd in KB-artikel 523985: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW gebruikt 5671 (SSL) voor authenticatie en versleutelt de referenties volgens de vermelde cijfers. Het blokkeren van 5672 heeft echter een negatieve invloed op de 503523 van kb-artikelen: NetWorker 9: Wanneer een firewall poort 5672 blokkeert, geeft de NMC Monitoring de status Never Run weer voor beleid, en als u op Workflowstatus klikt, verschijnt Berichtenbus kan socketverbinding met host < niet openen> NetWorker_server op poort 5672: request timed \BRM\DPC\FLR etc) vandaar:
Als 5672 wordt weergegeven in de scan, is de enige optie voor nu om het te negeren omdat we poort 5672 niet meer gebruiken voor het verzenden van kwetsbare referenties. (Referenties worden nu verzonden via poort 5671).
Dit artikel is echter alleen van toepassing indien:
Stappen om poort 5672 uit te schakelen:
in Dell EMC NetWorker Clear-Text Authentication over NetworkNadat de oplossing is geïmplementeerd om CVE-2018-11050 op te lossen, zijn er nog enkele acties die mogelijk moeten worden uitgevoerd:
- De scansoftware blijft het beveiligingslek vertonen omdat de niet-SSL-poort nog steeds open is vanwege achterwaartse compatibiliteit (dit is NMC, Hyper-V FLR/NMM).
- NetWorker Internal Services (nsrd/nsrjobd) zijn begonnen met het gebruik van SSL-poort (5761) op de vaste versies, maar de poort is nog steeds open en wordt door NetWorker\NMM gebruikt voor andere bewerkingen.
- Dit probleem wordt in deze versies opgelost door User credentials unencrypted to the remote AMQP service niet te verzenden via niet-SSL-poort 5672.
- Als u een niet-SSL-poort wilt gebruiken, kunt u deze blijven gebruiken.
- Voor degenen die de SSL-poort willen gebruiken, biedt deze oplossing het mechanisme.
- Als u poort 5672 uitschakelt, heeft dit invloed op de correcte werking van andere NetWorker-services, zoals Hyper-V, NMM enzovoort (allemaal app-clients).
V: Kan ik poort 5672 in onze firewall blokkeren om te voorkomen dat de beveiligingsscan dit meldt?
Een: Nee, poort 5672 moet worden geopend vanaf de NMC server naar de NetWorker server. Dit is de "Messmage Queue Adapter"-poort.
De AMQP-clients communiceren met de berichtenbus op poort 5672 en deze moet open zijn. Poort 5671 moet worden geopend voor SSL.
De functies die worden weergegeven vanaf de NW-server zijn de taakstatus van back-ups en niets meer. Daarom is het een alleen-lezen bewerking die elk kwaadaardig onderdeel als een risico kan vormen.
Te beginnen met vaste NetWorker-versies die worden gespecificeerd in KB-artikel 523985: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW gebruikt 5671 (SSL) voor authenticatie en versleutelt de referenties volgens de vermelde cijfers. Het blokkeren van 5672 heeft echter een negatieve invloed op de 503523 van kb-artikelen: NetWorker 9: Wanneer een firewall poort 5672 blokkeert, geeft de NMC Monitoring de status Never Run weer voor beleid, en als u op Workflowstatus klikt, verschijnt Berichtenbus kan socketverbinding met host < niet openen> NetWorker_server op poort 5672: request timed \BRM\DPC\FLR etc) vandaar:
- RabbitMQ-bus blijft beschikbaar via niet-versleutelde (geen TLS) AMQP op poort 5672
- RabbitMQ-bus is nu ook beschikbaar via gecodeerde (TLS) AMQP op poort 5671
- Poort 5671 moet inkomend geopend zijn op de NetWorker-server.
- NMC Server maakt verbinding met poort 5671 Dus het moet uitgaand zijn van NMC naar Networker.
Als 5672 wordt weergegeven in de scan, is de enige optie voor nu om het te negeren omdat we poort 5672 niet meer gebruiken voor het verzenden van kwetsbare referenties. (Referenties worden nu verzonden via poort 5671).
Dit artikel is echter alleen van toepassing indien:
- U gebruikt niet een van de betreffende NetWorker-versies die worden beschreven in KB: artikel 523985: DSA-2018-120: Kwetsbaarheid in Dell EMC NetWorker Clear-Text Authentication over Network
- U hebt poort 5672 niet nodig, omdat u geen Hyper-V FLR/NMM-bewerkingen nodig hebt om te werken.
Stappen om poort 5672 uit te schakelen:
- Bestand bewerken/maken /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Zorg dat u over de SSL-opties beschikt, want dit is de SSL-poort die we gebruiken.
De regels die naar tcp_listener verwijzen, moeten worden becommentarieerd, met uitzondering van de eerste hieronder:
{tcp_listeners, []}, %%this will make {tcp_listeners, []} to not listen to some port
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Voor meer beveiliging wordt aanbevolen om de volgende instellingen in te voeren (controleer rabbitmq.config.example bijgevoegd):
{honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers, [
"list of ciphers"
]},
{honor_ecc_order, true},
{ciphers, [
"list of ciphers"
]},
Zoals vermeld in https://www.rabbitmq.com/ssl.html:
Tijdens de TLS-verbindingsonderhandelingen onderhandelen de server en de client over welke coderingssuite wordt gebruikt. Het is mogelijk om de TLS-implementatie van de server te dwingen zijn voorkeur te dicteren (cipher suite order) om kwaadaardige clients te vermijden die opzettelijk onderhandelen over zwakke cipher suites ter voorbereiding op het uitvoeren van een aanval op hen. Om dit te doen, configureert u honor_cipher_order en honor_ecc_order naar true.
- De NSR-service moet worden uitgeschakeld op de NetWorker-server.
Na elke herstart is het weer standaard ingeschakeld, dus het moet opnieuw worden uitgeschakeld. Dit wordt veroorzaakt door bug 300070, opgelost in releases van 9.2.2 en hoger.
Stappen om het uit te schakelen:
NSRadmin
> P Type: NSR service-update
> ingeschakeld: Nee
> P Type: NSR service-update
> ingeschakeld: Nee
Extra informatie
Vanwege een beveiligingslek in Clear-Text Authentication bleek poort 5672 niet-versleutelde referenties te verzenden. Als oplossing werd poort 5671 geïntroduceerd om gebruik te maken van SSL-cijfers, maar poort 5672 is nog steeds geopend omdat sommige NetWorker-functies deze poort nodig hebben om te werken; daarom kunnen sommige scansoftware aantonen dat het beveiligingslek nog steeds bestaat op de NetWorker-server. In dit artikel wordt beschreven hoe u deze poort volledig uitschakelt.
Meer informatie over rabbitmq.configuration-opties is beschikbaar op:
Meer informatie over rabbitmq.configuration-opties is beschikbaar op:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Getroffen producten
NetWorkerProducten
NetWorkerArtikeleigenschappen
Artikelnummer: 000020688
Artikeltype: How To
Laatst aangepast: 16 jun. 2025
Versie: 3
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.