ファイヤーウォールの考慮事項
OT Security システムを設定する際、Tenable システムが正しく動作するように、オープンポートを緻密に計画することは重要です。次の表は、OT Security ICP および OT Security センサーで使用するために予約するポート、アクティブクエリを実行するために必要なポート、Tenable Vulnerability Management や Tenable Security Center との統合に必要なポートを示しています。
OT Security Core プラットフォーム
OT Security Core プラットフォームとの通信のために、次のポートを開いたままにしておく必要があります。
| 通信方向 | ポート | 通信先 | 目的 |
|---|---|---|---|
| インバウンド | TCP 443 および TCP 28304 | OT センサー | センサーの認証、ペアリング、センサー情報の受信。 |
| インバウンド | TCP 443 および TCP 28305 | OT Security EM | ICP と EM のペアリング |
| インバウンド | TCP 8000 | Tenable Core 用ウェブインターフェース | Tenable Core へのブラウザアクセス |
| インバウンド | TCP 28304 | ICP/OT Security | センサー通信 |
| インバウンド | TCP 22 | SSH アクセス用アプライアンス | OS またはアプライアンスへのコマンドラインアクセス |
| アウトバウンド | TCP 443 | Tenable Security Center | 統合のためにデータを送信 |
| アウトバウンド* | TCP 443 | cloud.tenable.com | 統合のためにデータを送信 |
| アウトバウンド* | さまざまな産業用プロトコル | PLC/ コントローラー | アクティブクエリ |
| アウトバウンド* | TCP 25 または 587 | アラート用メールサーバー | SMTP (アラートメール、レポート) |
| アウトバウンド* | UDP 514 | Syslog サーバー | ポリシーイベントアラートと syslog メッセージを送信する |
| アウトバウンド* | UDP 53 | DNS サーバー | 名前解決 |
| アウトバウンド* | UDP 123 | NTP サーバー | タイムサービス |
| アウトバウンド* | TCP 389 または 636 | AD サーバー | AD LDAP 認証 |
| アウトバウンド* | TCP 443 | SAML プロバイダー | シングルサインオン |
| アウトバウンド* | UDP 161 | SNMP サーバー | Tenable Core に対する SNMP 監視 |
| アウトバウンド* | TCP 443 |
*.tenable.com *.nessus.org |
自動プラグイン、アプリケーション、OS アップデート** |
*オプションサービス
**オフライン手順が利用可能
OT Security センサー
OT Security センサーとの通信のために、次のポートを開いたままにしておく必要があります。
| 通信方向 | ポート | 通信先 | 目的 |
|---|---|---|---|
| インバウンド | TCP 8000 | ウェブインターフェース | ユーザー GUI へのブラウザアクセス |
| インバウンド | TCP 22 | SSH アクセス用アプライアンス | OS またはアプライアンスへのコマンドラインアクセス |
| アウトバウンド* | TCP 25 | アラート用メールサーバー | SMTP (アラートメール、レポート) |
| アウトバウンド* | UDP 53 | DNS サーバー | 名前解決 |
| アウトバウンド* | UDP 123 | NTP サーバー | タイムサービス |
| アウトバウンド* | UDP 161 | SNMP サーバー | Tenable Core に対する SNMP 監視 |
| アウトバウンド | TCP 28303 | ICP/OT Security センサーから通信を送信、ICP/OT Security で受信 |
認証されていない、もしくはパッシブのみのセンサー接続 |
| アウトバウンド | TCP 443 および TCP 28304 | ICP/OT Security センサーから通信を送信、ICP/OT Security で受信 |
センサーと ICP 間の認証済み / 安全なトンネル |
*オプションサービス
アクティブクエリ
アクティブクエリを使用するには、以下のポートを開いたままにしておく必要があります。
| 通信方向 | ポート | 通信先 | 目的 |
|---|---|---|---|
| アウトバウンド | TCP 80 | OT デバイス | HTTP フィンガープリント |
| アウトバウンド | TCP 102 | OT デバイス | S7/S7+ プロトコル |
| アウトバウンド | TCP 443 | OT デバイス | HTTPS フィンガープリント |
| アウトバウンド | TCP 445 | OT デバイス | WMI クエリ |
| アウトバウンド | TCP 502 | OT デバイス | Modbus プロトコル |
| アウトバウンド | TCP 5432 | OT デバイス | PostgreSQL クエリ |
| アウトバウンド | UDP/TCP 44818 | OT デバイス |
CIP プロトコル |
| アウトバウンド | TCP/UDP 53 | OT デバイス | DNS |
| アウトバウンド | ICMP | OT デバイス | 資産検出 |
| アウトバウンド | UDP 161 | OT デバイス | SNMP クエリ |
| アウトバウンド | UDP 137 | OT デバイス | NBNS クエリ |
| アウトバウンド | UDP 138 | OT デバイス | NetBIOS クエリ |
OT Security の統合
Tenable Vulnerability Management および Tenable Security Center の統合との通信のために、次のポートを開いたままにしておく必要があります。
| 通信方向 | ポート | 通信先 | 目的 |
|---|---|---|---|
| アウトバウンド | TCP 443 | cloud.tenable.com | Tenable Vulnerability Management の統合 |
| アウトバウンド | TCP 443 | Tenable Security Center | Tenable Security Center の統合 |
識別クエリと詳細クエリ
識別クエリと詳細クエリでは、次のポートを使用できます。
| ポート | ポート名 |
|---|---|
|
21 |
FTP |
|
80 |
HTTP |
|
102 |
Step-7 / S7+ |
|
111 |
Emerson OVATION |
|
135 |
WMI |
| 161 | SNMP |
|
443 |
HTTPS |
|
502 |
MODBUS / MMS |
|
1911 |
Niagara FOX |
|
2001 |
Profibus |
|
2222 |
PCCC_AB-ETH |
|
2404 |
IEC 60870-5 |
|
3500 |
Bachmann |
|
4000 |
Emerson ROC |
|
4911 |
Niagara FOX TLS |
|
5002 |
Mitsubishi MELSEC |
|
5007 |
Mitsubishi MELSEC |
|
5432 |
PSQL / SEL |
|
18245 |
SRTP |
|
20000 |
DNP3 |
|
20256 |
PCOM |
|
44818 |
EthernetIP / CIP |
| 47808 | BACNET (udp) |
|
48898 |
ADS |
|
55553 |
Honeywell CEE |
| 55565 | Honeywell FTE |