ファイヤーウォールの考慮事項

OT Security システムを設定する際、Tenable システムが正しく動作するように、オープンポートを緻密に計画することは重要です。次の表は、OT Security ICP および OT Security センサーで使用するために予約するポート、アクティブクエリを実行するために必要なポート、Tenable Vulnerability ManagementTenable Security Center との統合に必要なポートを示しています。

注意: ファイヤーウォールの通過を許可する必要がある Tenable のウェブサイトとドメインのリストについては、ナレッジベースの記事を参照してください。

OT Security Core プラットフォーム

OT Security Core プラットフォームとの通信のために、次のポートを開いたままにしておく必要があります。

通信方向 ポート 通信先 目的
インバウンド TCP 443 および TCP 28304 OT センサー センサーの認証、ペアリング、センサー情報の受信。
アウトバウンド TCP 443 および TCP 28305 OT Security EM ICP と EM のペアリング
インバウンド TCP 8000 Tenable Core 用ウェブインターフェース Tenable Core へのブラウザアクセス
インバウンド TCP 28304 ICP/OT Security センサー通信
インバウンド TCP 22 SSH アクセス用アプライアンス OS またはアプライアンスへのコマンドラインアクセス
アウトバウンド TCP 443 Tenable Security Center 統合のためにデータを送信
アウトバウンド* TCP 443 cloud.tenable.com 統合のためにデータを送信
アウトバウンド* さまざまな産業用プロトコル PLC/ コントローラー アクティブクエリ
アウトバウンド* TCP 25 または 587 アラート用メールサーバー SMTP (アラートメール、レポート)
アウトバウンド* UDP 514 Syslog サーバー ポリシーイベントアラートと syslog メッセージを送信する
アウトバウンド* UDP 53 DNS サーバー 名前解決
アウトバウンド* UDP 123 NTP サーバー タイムサービス
アウトバウンド* TCP 389 または 636 AD サーバー AD LDAP 認証
アウトバウンド* TCP 443 SAML プロバイダー シングルサインオン
アウトバウンド* UDP 161 SNMP サーバー Tenable Core に対する SNMP 監視
アウトバウンド* TCP 443

*.tenable.com

*.nessus.org

自動プラグイン、アプリケーション、OS アップデート**
アウトバウンド

TCP 10146 (セキュアポート)

 

IoT コネクタ ICP を IoT コネクタエージェントに接続する

*オプションサービス

**オフライン手順が利用可能

OT Security センサー

OT Security センサーとの通信のために、次のポートを開いたままにしておく必要があります。

通信方向 ポート 通信先 目的
インバウンド TCP 8000 ウェブインターフェース ユーザー GUI へのブラウザアクセス
インバウンド TCP 22 SSH アクセス用アプライアンス OS またはアプライアンスへのコマンドラインアクセス
アウトバウンド* TCP 25 アラート用メールサーバー SMTP (アラートメール、レポート)
アウトバウンド* UDP 53 DNS サーバー 名前解決
アウトバウンド* UDP 123 NTP サーバー タイムサービス
アウトバウンド* UDP 161 SNMP サーバー Tenable Core に対する SNMP 監視
アウトバウンド TCP 28303 ICP/OT Security
センサーから通信を送信、ICP/OT Security で受信
認証されていない、もしくはパッシブのみのセンサー接続
アウトバウンド TCP 443 および TCP 28304 ICP/OT Security
センサーから通信を送信、ICP/OT Security で受信
センサーと ICP 間の認証済み / 安全なトンネル

*オプションサービス

アクティブクエリ

アクティブクエリを使用するには、以下のポートを開いたままにしておく必要があります。

通信方向 ポート 通信先 目的
アウトバウンド TCP 80 OT デバイス HTTP フィンガープリント
アウトバウンド TCP 102 OT デバイス S7/S7+ プロトコル
アウトバウンド TCP 443 OT デバイス HTTPS フィンガープリント
アウトバウンド TCP 445 OT デバイス WMI クエリ
アウトバウンド TCP 502 OT デバイス Modbus プロトコル
アウトバウンド TCP 5432 OT デバイス PostgreSQL クエリ
アウトバウンド UDP/TCP 44818 OT デバイス

CIP プロトコル

アウトバウンド TCP/UDP 53 OT デバイス DNS
アウトバウンド ICMP OT デバイス 資産検出
アウトバウンド UDP 161 OT デバイス SNMP クエリ
アウトバウンド UDP 137 OT デバイス NBNS クエリ
アウトバウンド UDP 138 OT デバイス NetBIOS クエリ

注意: デバイスが使用するポートは、ベンダーや製品ラインによって異なります。アクティブなクエリを成功させるために必要な、関連するポートとプロトコルのリストについては、 識別と詳細のクエリを参照してください。

OT Security の統合

Tenable Vulnerability Management および Tenable Security Center の統合との通信のために、次のポートを開いたままにしておく必要があります。

通信方向 ポート 通信先 目的
アウトバウンド TCP 443 cloud.tenable.com Tenable Vulnerability Management の統合
アウトバウンド TCP 443 Tenable Security Center Tenable Security Center の統合

識別クエリと詳細クエリ

識別クエリと詳細クエリでは、次のポートを使用できます。

注意: 場合によっては、OT Security またはそのセンサーが資産に関連するポートに到達するために、ファイヤーウォールのポートを開放する必要があります。
ポート ポート名

21

FTP

80

HTTP

102

Step-7 / S7+

111

Emerson OVATION

135

WMI
161 SNMP

443

HTTPS

502

MODBUS / MMS

1911

Niagara FOX

2001

Profibus

2222

PCCC_AB-ETH

2404

IEC 60870-5

3500

Bachmann

4000

Emerson ROC

4911

Niagara FOX TLS

5002

Mitsubishi MELSEC

5007

Mitsubishi MELSEC

5432

PSQL / SEL

18245

SRTP

20000

DNP3

20256

PCOM

44818

EthernetIP / CIP
47808 BACNET (udp)

48898

ADS

55553

Honeywell CEE
55565 Honeywell FTE