ファイヤーウォールの考慮事項

OT Security システムを設定する際、Tenable システムが正しく動作するように、どのポートを開いたままにしておくかを計画することが重要です。次の表は、OT Security Core プラットフォームおよび OT Security センサーで使用するために開いたままにしておくべきポートを示しています。アクティブクエリの実行や、Tenable Vulnerability Management および Tenable Security Center との統合に必要なポートを示すテーブルもあります。

OT Security Core プラットフォーム

OT Security Core プラットフォームとの通信のために、次のポートを開いたままにしておく必要があります。

通信方向 ポート 通信先 目的
インバウンド TCP 443 および TCP 28304 OT センサー センサーの認証、ペアリング、センサー情報の受信。
インバウンド TCP 8000 Tenable Core 用ウェブインターフェース Tenable Core へのブラウザアクセス
インバウンド TCP 28304 ICP/OT Security センサー通信
インバウンド TCP 22 SSH アクセス用アプライアンス OS またはアプライアンスへのコマンドラインアクセス
アウトバウンド TCP 443 Tenable Security Center 統合のためにデータを送信
アウトバウンド* TCP 443 cloud.tenable.com 統合のためにデータを送信
アウトバウンド* さまざまな産業用プロトコル PLC/ コントローラー アクティブクエリ
アウトバウンド* TCP 25 または 587 アラート用メールサーバー SMTP (アラートメール、レポート)
アウトバウンド* UDP 514 Syslog サーバー ポリシーイベントアラートと syslog メッセージを送信する
アウトバウンド* UDP 53 DNS サーバー 名前解決
アウトバウンド* UDP 123 NTP サーバー タイムサービス
アウトバウンド* TCP 389 または 636 AD サーバー AD LDAP 認証
アウトバウンド* TCP 443 SAML プロバイダー シングルサインオン
アウトバウンド* UDP 161 SNMP サーバー Tenable Core に対する SNMP 監視
アウトバウンド* TCP 443 *.tenable.com 自動プラグイン、アプリケーション、OS の更新**

*オプションサービス

**オフライン手順が利用可能

OT Security センサー

OT Security センサーとの通信のために、次のポートを開いたままにしておく必要があります。

通信方向 ポート 通信先 目的
インバウンド TCP 8000 ウェブインターフェース ユーザー GUI へのブラウザアクセス
インバウンド TCP 22 SSH アクセス用アプライアンス OS またはアプライアンスへのコマンドラインアクセス
アウトバウンド* TCP 25 アラート用メールサーバー SMTP (アラートメール、レポート)
アウトバウンド* UDP 53 DNS サーバー 名前解決
アウトバウンド* UDP 123 NTP サーバー タイムサービス
アウトバウンド* UDP 161 SNMP サーバー Tenable Core に対する SNMP 監視
アウトバウンド TCP 28303 ICP/OT Security
センサーから通信を送信、ICP/OT Security で受信
認証されていない、もしくはパッシブのみのセンサー接続
アウトバウンド TCP 443 および TCP 28304 ICP/OT Security
センサーから通信を送信、ICP/OT Security で受信
センサーと ICP 間の認証済み / 安全なトンネル

*オプションサービス

アクティブクエリ

アクティブクエリ機能を使用するには、以下のポートを開いたままにしておく必要があります。

通信方向 ポート 通信先 目的
アウトバウンド TCP 80 OT デバイス HTTP フィンガープリント
アウトバウンド TCP 102 OT デバイス S7/S7+ プロトコル
アウトバウンド TCP 443 OT デバイス HTTPS フィンガープリント
アウトバウンド TCP 445 OT デバイス WMI クエリ
アウトバウンド TCP 502 OT デバイス Modbus プロトコル
アウトバウンド TCP 5432 OT デバイス PostgreSQL クエリ
アウトバウンド TCP 44818 OT デバイス

CIP プロトコル

アウトバウンド TCP/UDP 53 OT デバイス DNS
アウトバウンド ICMP OT デバイス 資産検出
アウトバウンド UDP 161 OT デバイス SNMP クエリ
アウトバウンド UDP 137 OT デバイス NBNS クエリ
アウトバウンド UDP 138 OT デバイス NetBIOS クエリ

注意: デバイスが使用するポートは、ベンダーや製品ラインによって異なります。アクティブなクエリを成功させるために必要な、関連するポートとプロトコルのリストについては、 識別と詳細のクエリを参照してください。

OT Security の統合

Tenable Vulnerability Management および Tenable Security Center の統合との通信のために、次のポートを開いたままにしておく必要があります。

通信方向 ポート 通信先 目的
アウトバウンド TCP 443 cloud.tenable.com Tenable Vulnerability Management の統合
アウトバウンド TCP 443 Tenable Security Center Tenable Security Center の統合

識別クエリと詳細クエリ

識別クエリと詳細クエリでは、次のポートを使用できます。

注意: 場合によっては、OT Security またはそのセンサーが資産に関連するポートに到達するために、ファイヤーウォールのポートを開放する必要があります。
ポート ポート名

21

FTP

80

HTTP

102

Step-7 / S7+

111

Emerson OVATION

135

WMI
161 SNMP

443

HTTPS

502

MODBUS / MMS

1911

Niagara FOX

2001

Profibus

2222

PCCC_AB-ETH

2404

IEC 60870-5

3500

Bachmann

4000

Emerson ROC

4911

Niagara FOX TLS

5002

Mitsubishi MELSEC

5007

Mitsubishi MELSEC

5432

PSQL / SEL

18245

SRTP

20000

DNP3

20256

PCOM

44818

EthernetIP / CIP
47808 BACNET (udp)

48898

ADS

55553

Honeywell CEE
55565 Honeywell FTE