Überlegungen zur Firewall

Beim Einrichten Ihres OT Security-Systems ist es wichtig, die offenen Ports zu bestimmen, damit das Tenable-System ordnungsgemäß funktioniert. Die folgenden Tabellen geben die Ports an, die für die Verwendung mit OT Security ICP und den OT Security Sensoren reserviert werden müssen, sowie die Ports, die für die Ausführung von aktiven Abfragen und für die Integration mit Tenable Vulnerability Management und Tenable Security Center benötigt werden.

Hinweis: Informationen zur Liste der Tenable-Websites und -Domänen, die Sie in der Firewall zulassen müssen, finden Sie im Wissensdatenbankartikel.

OT Security Core-Plattform

Die folgenden Ports sollten für die Kommunikation mit der OT Security Core-Plattform offen bleiben.

Flussrichtung Port Kommuniziert mit Zweck
Eingehend TCP 443 und TCP 28304 OT-Sensor Sensorauthentifizierung, Kopplung und Empfang von Sensorinformationen.
Eingehend TCP 8000 Weboberfläche für Tenable Core Browserzugriff auf Tenable Core
Eingehend TCP 28304 ICP/OT Security Sensorkommunikation
Eingehend TCP 22 Appliance für SSH-Zugriff Befehlszeilenzugriff auf Betriebssystem oder Appliance
Ausgehend TCP 443 Tenable Security Center Sendet Daten zur Integration
Ausgehend* TCP 443 cloud.tenable.com Sendet Daten zur Integration
Ausgehend* Verschiedene Industrieprotokolle SPS/Steuerungen Aktive Abfrage
Ausgehend* TCP 25 oder 587 E-Mail-Server für Warnmeldungen SMTP (Warn-E-Mails, Berichte)
Ausgehend* UDP 514 Syslog-Server Sendet Richtlinien-Ereigniswarnungen und Syslog-Meldungen
Ausgehend* UDP 53 DNS-Server Namensauflösung
Ausgehend* UDP 123 NTP-Server Zeitdienst
Ausgehend* TCP 389 oder 636 AD-Server AD-LDAP-Authentifizierung
Ausgehend* TCP 443 SAML-Anbieter Single Sign-On (SSO)
Ausgehend* UDP 161 SNMP-Server SNMP-Überwachung an Tenable Core
Ausgehend* TCP 443

*.tenable.com

*.nessus.org

 Automatische Plugin-, Anwendungs- und Betriebssystem-Updates**

* Optionale Dienste

** Offline-Verfahren verfügbar

OT Security Sensoren

Die folgenden Ports sollten für die Kommunikation mit OT Security Sensoren offen bleiben.

Flussrichtung Port Kommuniziert mit Zweck
Eingehend TCP 8000 Weboberfläche Browserzugriff auf Benutzer-GUI
Eingehend TCP 22 Appliance für SSH-Zugriff Befehlszeilenzugriff auf Betriebssystem oder Appliance
Ausgehend* TCP 25 E-Mail-Server für Warnmeldungen SMTP (Warn-E-Mails, Berichte)
Ausgehend* UDP 53 DNS-Server Namensauflösung
Ausgehend* UDP 123 NTP-Server Zeitdienst
Ausgehend* UDP 161 SNMP-Server SNMP-Überwachung an Tenable Core
Ausgehend TCP 28303 ICP/OT Security
Sendet Kommunikation vom Sensor, empfängt auf ICP/OT Security		 Nicht authentifizierte/nur passive Sensorverbindung
Ausgehend TCP 443 und TCP 28304 ICP/OT Security
Sendet Kommunikation vom Sensor, empfängt auf ICP/OT Security		 Authentifizierter/sicherer Tunnel zwischen Sensor und ICP

* Optionale Dienste

Aktive Abfrage

Die folgenden Ports sollten offen bleiben, um die aktiven Abfragen nutzen zu können.

Flussrichtung Port Kommuniziert mit Zweck
Ausgehend TCP 80 OT-Geräte HTTP-Fingerprinting
Ausgehend TCP 102 OT-Geräte S7/S7+-Protokoll
Ausgehend TCP 443 OT-Geräte HTTPS-Fingerprinting
Ausgehend TCP 445 OT-Geräte WMI-Abfragen
Ausgehend TCP 502 OT-Geräte Modbus-Protokoll
Ausgehend TCP 5432 OT-Geräte PostgreSQL-Abfragen
Ausgehend UDP/TCP 44818 OT-Geräte

CIP-Protokoll
Ausgehend TCP/UDP 53 OT-Geräte DNS
Ausgehend ICMP OT-Geräte Asset-Erfassung
Ausgehend UDP 161 OT-Geräte SNMP-Abfragen
Ausgehend UDP 137 OT-Geräte NBNS-Abfragen
Ausgehend UDP 138 OT-Geräte NetBIOS-Abfragen

Hinweis: Die von den Geräten verwendeten Ports variieren je nach Anbieter und Produktreihe. Eine Liste der relevanten Ports und Protokolle, die erforderlich sind, um den Erfolg aktiver Abfragen sicherzustellen, finden Sie unter Identifizierungs- und Detailabfrage.

OT Security-Integrationen

Die folgenden Ports sollten für die Kommunikation mit der Tenable Vulnerability Management- und der Tenable Security Center-Integration offen bleiben.

Flussrichtung Port Kommuniziert mit Zweck
Ausgehend TCP 443 cloud.tenable.com Tenable Vulnerability Management-Integration
Ausgehend TCP 443 Tenable Security Center Tenable Security Center-Integration

Identifizierungs- und Detailabfrage

Sie können die folgenden Ports für Identifizierungs- und Detailabfragen verwenden:

Hinweis: Möglicherweise müssen Sie die Ports in der Firewall für OT Security oder dessen Sensoren öffnen, um den relevanten Port für Ihre Assets zu erreichen.
Port Port-Name

21

 FTP

80

 HTTP

102

 Step 7/S7+

111

 Emerson OVATION

135

 WMI
161 SNMP

443

 HTTPS

502

 MODBUS/MMS

1911

 Niagara FOX

2001

 Profibus

2222

 PCCC_AB-ETH

2404

 IEC 60870-5

3500

 Bachmann

4000

 Emerson ROC

4911

 Niagara FOX TLS

5002

 Mitsubishi MELSEC

5007

 Mitsubishi MELSEC

5432

 PSQL/SEL

18245

 SRTP

20000

 DNP3

20256

 PCOM

44818

 EthernetIP/CIP
47808 BACNET (udp)

48898

 ADS

55553

 Honeywell CEE
55565 Honeywell FTE