ファイヤーウォールに関する考慮事項
OT Security システムを設定する際、Tenable システムが正しく動作するように、オープンポートを緻密に計画することは重要です。次の表は、OT Security ICP および OT Security センサーで使用するために予約するポート、アクティブクエリを実行するために必要なポート、Tenable Vulnerability Management や Tenable Security Center との統合に必要なポートを示しています。
注意: ファイヤーウォールの通過を許可する必要がある Tenable のウェブサイトとドメインのリストについては、ナレッジベースの記事を参照してください。
OT Security Core プラットフォーム
OT Security Core プラットフォームとの通信のために、次のポートは開いたままにしてください。
注意: EM で一元化されたアップデートが機能するには、ICP がポート 28305 および 8000 (TCP) に到達できる必要があります。
| 通信方向 | ポート | 通信先 | 目的 |
|---|---|---|---|
| インバウンド | TCP 443 | OT Security アプライアンスのウェブインターフェース | OT Security へのブラウザアクセス |
| インバウンド | TCP 8000 | Tenable Core 用ウェブインターフェース | Tenable Core へのブラウザアクセス |
| インバウンド | TCP 443 および TCP 28304 | OT センサー | センサーの認証、ペアリング、センサー情報の受信。 |
| アウトバウンド | TCP 443 および TCP 28305 | OT Security EM | ICP と EM のペアリング |
| インバウンド | TCP 22 | SSH アクセス用アプライアンス | OS またはアプライアンスへのコマンドラインアクセス |
| アウトバウンド | TCP 443 | Tenable Security Center | 統合のためにデータを送信 |
| アウトバウンド* | TCP 443 | cloud.tenable.com | 統合のためにデータを送信 |
| アウトバウンド* | さまざまな産業用プロトコル | PLC/ コントローラー | アクティブクエリ |
| アウトバウンド* | TCP 25 または 587 | アラート用メールサーバー | SMTP (アラートメール、レポート) |
| アウトバウンド* | UDP 514 | Syslog サーバー | ポリシーイベントアラートと syslog メッセージを送信する |
| アウトバウンド* | UDP 53 | DNS サーバー | 名前解決 |
| アウトバウンド* | UDP 123 | NTP サーバー | タイムサービス |
| アウトバウンド* | TCP 389 または 636 | AD サーバー | AD LDAP 認証 |
| アウトバウンド* | TCP 443 | SAML プロバイダー | シングルサインオン |
| アウトバウンド* | UDP 161 | SNMP サーバー | Tenable Core に対する SNMP 監視 |
| アウトバウンド* | TCP 443 |
*.tenable.com *.nessus.org |
自動プラグイン、アプリケーション、OS アップデート** |
| アウトバウンド |
TCP 10146 (セキュアポート)
|
IoT コネクタ | ICP を IoT コネクタエージェントに接続する |
*オプションサービス
**オフライン手順が利用可能
OT Security センサー
OT Security センサーとの通信のために、次のポートを開いたままにしておく必要があります。
| 通信方向 | ポート | 通信先 | 目的 |
|---|---|---|---|
| インバウンド | TCP 8000 | ウェブインターフェース | ユーザー GUI へのブラウザアクセス |
| インバウンド | TCP 22 | SSH アクセス用アプライアンス | OS またはアプライアンスへのコマンドラインアクセス |
| アウトバウンド* | TCP 25 | アラート用メールサーバー | SMTP (アラートメール、レポート) |
| アウトバウンド* | UDP 53 | DNS サーバー | 名前解決 |
| アウトバウンド* | UDP 123 | NTP サーバー | タイムサービス |
| アウトバウンド* | UDP 161 | SNMP サーバー | Tenable Core に対する SNMP 監視 |
| アウトバウンド | TCP 28303 | ICP/OT Security センサーから通信を送信、ICP/OT Security で受信 |
認証されていない、もしくはパッシブのみのセンサー接続 |
| アウトバウンド | TCP 443 および TCP 28304 | ICP/OT Security センサーから通信を送信、ICP/OT Security で受信 |
センサーと ICP 間の認証済み / 安全なトンネル |
*オプションサービス
アクティブクエリ
アクティブクエリを使用するには、以下のポートを開いたままにしておく必要があります。
注意: OT Security は、これらのプロトコル全体に対するクエリをサポートしていますが、すべてのクエリがお客様の環境に適用されるわけではありません。最適な結果を得るために、OT Security (または OT Security センサー) と近隣のリモートデバイス間で、リストされているポートの中からできるだけ多くのポートを開いてください。このアクションにより、正確な識別とクエリが可能になります。
| プロトコル | ポート | 通信先 | 目的 |
|---|---|---|---|
| ICMP | 一般/その他 | ネットワークレベルの資産検出/ping | |
| TCP | 21 | 一般/その他 | FTP ファイル転送 |
| TCP/UDP | 53 | DNS サーバー | ドメインネームシステム (DNS) 解決クエリ |
| TCP | 80 | 一般/その他 | HTTP フィンガープリントおよびウェブインターフェースアクセス |
| TCP | 102 | Siemens デバイス | 製造メッセージ仕様 (MMS)、IEC 61850 と重複 |
| TCP | 102 | Siemens デバイス | 変電所および SCADA デバイスの IEC 61850/MMS |
| TCP | 102 | Siemens デバイス | 自動化デバイスの S7/S7+/MMS 通信 |
| UDP | 111 | Emerson Ovation デバイス | Ovation の RPC サービス登録/検出 |
| TCP | 135 | Windows デバイス | システムおよびネットワーク管理の WMI クエリ |
| UDP | 137 | 一般/その他 | Windows ネットワーク検出の NetBIOS ネームサービス (NBNS) |
| UDP | 138 | 一般/その他 | Windows ファイル/プリンター共有の NetBIOS データグラムサービス (NBT) |
| UDP | 161 | 一般/その他 | SNMP ポーリングおよびトラップ通信 |
| TCP | 443 | 一般/その他 | HTTPS フィンガープリントおよび安全なウェブサービス |
| TCP | 445 | Windows デバイス | システム管理の WMI/SMB クエリ (一部のケースでは 135 に代わる) |
| TCP | 502 | OT デバイス | PLC およびメーターとの Modbus TCP 通信 |
| UDP | 1069 | Cognex カメラ | Cognex ビジョンシステム検出プロトコル |
| TCP | 1911 | BMS コントローラー | Niagara FOX 非暗号化プロトコル |
| TCP | 1962 | Phoenix Contact デバイス | PC Worx エンジニアリングおよびコントロール通信 |
| TCP/UDP | 2001 | Profinet デバイス | コントローラーおよび I/O モジュールの Profinet デバイス通信 |
| TCP | 2001 | Siemens デバイス | SICAM/PROFINET (レガシーおよび変電所のデバイス) |
| TCP | 2222 | Rockwell デバイス | ControlLogix/PLC 通信の PCCC プロトコル |
| TCP | 2404 | SCADA デバイス | RTU および変電所通信の IEC 60870-5-104 |
| TCP | 3389 | Windows デバイス | RDP (リモートデスクトッププロトコル) |
| TCP | 3500 | Bachmann M1 デバイス | Bachmann M1 コントローラー通信 |
| TCP | 4000 | Emerson デバイス | Emerson ROC 4000 コントローラーデータ/コントロール |
| TCP | 4444 | Schneider Electric | SmartX コントローラー (EcoStruxure Building Operation) |
| UDP | 4800 | Moxa デバイス | Moxa デバイス検出プロトコル |
| TCP | 4911 | BMS コントローラー | Niagara FOX セキュア (TLS/SSL) プロトコル |
| TCP | 5001 | Bosch デバイス | Bosch PSI (プログラマブルシステムインターフェース) |
| TCP | 5002 | Mitsubishi デバイス | MELSEC PLC MC プロトコルオーバー TCP |
| TCP | 5007 | Mitsubishi デバイス | MELSEC PLC 追加通信ポート |
| UDP | 5009 | Mitsubishi デバイス | MELSEC Finder ブロードキャスト (デバイス検出) |
| TCP | 5033 | Siemens デバイス | P2 プロトコル (レガシー Siemens 自動化システムで使用) |
| TCP | 5050 | Saia-Burgess デバイス | Saia PCD コントローラー通信 |
| TCP | 5094 | HART-IP | スマートインストルメンテーションの HART-IP オーバー TCP |
| TCP | 5313 | Yokogawa DCS | CENTUM DCS エンジニアリングインターフェース |
| TCP | 5432 | SEL (Schweitzer) デバイス | エネルギーデバイスの PostgreSQL データベースアクセス |
| TCP | 6626 | WAGO デバイス | WAGO I/O 通信およびプログラミング |
| TCP | 7700 | Schneider Electric | ION パワーメーターおよびエネルギー管理システム |
| TCP | 8000, 8008, 8080, 8443, 8800 | 一般/その他 | 共通 HTTP/HTTPS 代替ポート |
| TCP | 9940 | Yokogawa DCS | CENTUM ステータスおよび診断 |
| UDP | 12321 | Honeywell デバイス | Honeywell FTE UDP 検出/冗長性 |
| TCP | 18245 | Schneider デバイス | M340/M580 PLC の SRTP (Schneider リアルタイムプロトコル) |
| TCP | 18507 | Emerson デバイス | Emerson ROC/フローコンピューター (FACE プロトコル) |
| TCP | 18508 | Emerson デバイス | Emerson ファームウェアアップグレードサービス (UPGD) |
| TCP | 20256 | GE デバイス | Proficy iFIX/CIMPLICITY SCADA の PCOM プロトコル |
| TCP | 20547 | Procon | PROCON OS リモート管理インターフェース |
| TCP | 24576 | ABB デバイス | 変電所自動化の ABB ネットワークコントロール (ABB_NC) プロトコル |
| TCP | 34964 | Siemens デバイス | PROFINET 接続管理 (PROFINET CM) |
| TCP | 39329 | Emerson デバイス | Ovation/VME ベースのコントロールシステム |
| TCP/UDP | 44818 | OT デバイス | Rockwell デバイスの CIP (Common Industrial Protocol) |
| UDP | 47808 | BMS コントローラー | 建物自動化デバイスの BACnet/IP 通信 |
| TCP/UDP | 48898 | Beckhoff デバイス | コントローラーおよびエンジニアリング通信の ADS/TwinCAT プロトコル |
| UDP | 48899 | Beckhoff デバイス | ADS/AMS 検出 (TwinCAT/Beckhoff IPC) |
| TCP | 50000 | Siemens デバイス | SIPROTEC 4 リレー通信 |
| TCP | 51966 | Honeywell デバイス | Honeywell FTE (Fault Tolerant Ethernet) 通信 |
| TCP | 55553 | Honeywell デバイス | Experion PKS の CEE (Control Execution Environment) 通信 |
| TCP | 55565 | Honeywell デバイス | Experion PKS の冗長性のための FTE (Fault Tolerant Ethernet) 通信 |
OT Security の統合
Tenable Vulnerability Management および Tenable Security Center の統合との通信のために、次のポートを開いたままにしておく必要があります。
| 通信方向 | ポート | 通信先 | 目的 |
|---|---|---|---|
| アウトバウンド | TCP 443 | cloud.tenable.com | Tenable Vulnerability Management の統合 |
| アウトバウンド | TCP 443 | Tenable Security Center | Tenable Security Center の統合 |
IoT コネクタエージェント
| 通信方向 | ポート | 通信先 | 目的 |
|---|---|---|---|
| アウトバウンド |
TCP 10146 (セキュアポート)
|
IoT コネクタ | ICP を IoT コネクタエージェントに接続する |
| アウトバウンド |
TCP 10104 (安全でないポート)
|
IoT コネクタ | ICP を IoT コネクタエージェントに接続する |