Überlegungen zur Firewall
Beim Einrichten Ihres OT Security-Systems ist es wichtig, die offenen Ports zu bestimmen, damit das Tenable-System ordnungsgemäß funktioniert. Die folgenden Tabellen geben die Ports an, die für die Verwendung mit OT Security ICP und den OT Security Sensoren reserviert werden müssen, sowie die Ports, die für die Ausführung von aktiven Abfragen und für die Integration mit Tenable Vulnerability Management und Tenable Security Center benötigt werden.
Hinweis: Informationen zur Liste der Tenable-Websites und -Domänen, die Sie in der Firewall zulassen müssen, finden Sie im Wissensdatenbankartikel.
OT Security Core-Plattform
Die folgenden Ports sollten für die Kommunikation mit der OT Security Core-Plattform offen bleiben.
Hinweis: Damit die zentralisierten EM-Updates funktionieren, muss der ICP die Ports 28305 und 8000 (TCP) erreichen können.
| Flussrichtung | Port | Kommuniziert mit | Zweck |
|---|---|---|---|
| Eingehend | TCP 443 | Weboberfläche für die OT Security Appliance | Browserzugriff auf OT Security |
| Eingehend | TCP 8000 | Weboberfläche für Tenable Core | Browserzugriff auf Tenable Core |
| Eingehend | TCP 443 und TCP 28304 | OT-Sensor | Sensorauthentifizierung, Kopplung und Empfang von Sensorinformationen. |
| Ausgehend | TCP 443 und TCP 28305 | OT Security EM | ICP- und EM-Kopplung |
| Eingehend | TCP 22 | Appliance für SSH-Zugriff | Befehlszeilenzugriff auf Betriebssystem oder Appliance |
| Ausgehend | TCP 443 | Tenable Security Center | Sendet Daten zur Integration |
| Ausgehend* | TCP 443 | cloud.tenable.com | Sendet Daten zur Integration |
| Ausgehend* | Verschiedene Industrieprotokolle | SPS/Steuerungen | Aktive Abfrage |
| Ausgehend* | TCP 25 oder 587 | E-Mail-Server für Warnmeldungen | SMTP (Warn-E-Mails, Berichte) |
| Ausgehend* | UDP 514 | Syslog-Server | Sendet Richtlinien-Ereigniswarnungen und Syslog-Meldungen |
| Ausgehend* | UDP 53 | DNS-Server | Namensauflösung |
| Ausgehend* | UDP 123 | NTP-Server | Zeitdienst |
| Ausgehend* | TCP 389 oder 636 | AD-Server | AD-LDAP-Authentifizierung |
| Ausgehend* | TCP 443 | SAML-Anbieter | Single Sign-On (SSO) |
| Ausgehend* | UDP 161 | SNMP-Server | SNMP-Überwachung an Tenable Core |
| Ausgehend* | TCP 443 |
*.tenable.com *.nessus.org |
Automatische Plugin-, Anwendungs- und Betriebssystem-Updates** |
| Ausgehend |
TCP 10146 (sicherer Port)
|
IoT-Connector | Verbindet ICP mit dem IoT-Connector-Agent |
* Optionale Dienste
** Offline-Verfahren verfügbar
OT Security Sensoren
Die folgenden Ports sollten für die Kommunikation mit OT Security Sensoren offen bleiben.
| Flussrichtung | Port | Kommuniziert mit | Zweck |
|---|---|---|---|
| Eingehend | TCP 8000 | Weboberfläche | Browserzugriff auf Benutzer-GUI |
| Eingehend | TCP 22 | Appliance für SSH-Zugriff | Befehlszeilenzugriff auf Betriebssystem oder Appliance |
| Ausgehend* | TCP 25 | E-Mail-Server für Warnmeldungen | SMTP (Warn-E-Mails, Berichte) |
| Ausgehend* | UDP 53 | DNS-Server | Namensauflösung |
| Ausgehend* | UDP 123 | NTP-Server | Zeitdienst |
| Ausgehend* | UDP 161 | SNMP-Server | SNMP-Überwachung an Tenable Core |
| Ausgehend | TCP 28303 | ICP/OT Security Sendet Kommunikation vom Sensor, empfängt auf ICP/OT Security |
Nicht authentifizierte/nur passive Sensorverbindung |
| Ausgehend | TCP 443 und TCP 28304 | ICP/OT Security Sendet Kommunikation vom Sensor, empfängt auf ICP/OT Security |
Authentifizierter/sicherer Tunnel zwischen Sensor und ICP |
* Optionale Dienste
Aktive Abfrage
Die folgenden Ports müssen offen bleiben, um die aktiven Abfragen nutzen zu können.
Hinweis: OT Security unterstützt Abfragen in diesen Protokollen, jedoch gelten möglicherweise nicht alle für Ihre Umgebung. Um optimale Ergebnisse zu erzielen, öffnen Sie so viele der aufgeführten Ports wie möglich zwischen OT Security (oder den OT Security-Sensoren) und den nahegelegenen Remote-Geräten. Dies ermöglicht eine genaue Identifizierung und Abfrage.
| Protokoll | Port | Kommuniziert mit | Zweck |
|---|---|---|---|
| ICMP | Generisch/Verschiedene | Asset-Erfassung/Ping auf Netzwerkebene | |
| TCP | 21 | Generisch/Verschiedene | FTP-Dateiübertragung |
| TCP/UDP | 53 | DNS-Server | Abfragen für die DNS-Auflösung |
| TCP | 80 | Generisch/Verschiedene | HTTP-Fingerprinting und Zugriff auf die Weboberfläche |
| TCP | 102 | Siemens-Geräte | Manufacturing Message Specification (MMS), überlappt IEC 61850 |
| TCP | 102 | Siemens-Geräte | IEC 61850/MMS für Unterstationen und SCADA-Geräte |
| TCP | 102 | Siemens-Geräte | S7/S7+-/MMS-Kommunikation für Automatisierungsgeräte |
| UDP | 111 | Emerson Ovation-Geräte | Registrierung/Erfassung des RPC-Diensts für Ovation |
| TCP | 135 | Windows-Geräte | WMI-Abfragen für die System- und Netzwerkverwaltung |
| UDP | 137 | Generisch/Verschiedene | NetBIOS Name Service (NBNS) für Windows-Netzwerkerfassung |
| UDP | 138 | Generisch/Verschiedene | NetBIOS Datagram Service (NBT) für Datei-/Druckerfreigabe unter Windows |
| UDP | 161 | Generisch/Verschiedene | SNMP-Abfrage und -Trap-Kommunikation |
| TCP | 443 | Generisch/Verschiedene | HTTPS-Fingerprinting und sichere Webdienste |
| TCP | 445 | Windows-Geräte | WMI/SMB-Abfragen für die Systemverwaltung (ersetzt in einigen Fällen 135) |
| TCP | 502 | OT-Geräte | Modbus TCP-Kommunikation mit SPS und Zählern |
| UDP | 1069 | Cognex-Kameras | Erfassungsprotokoll für Cognex Vision-System |
| TCP | 1911 | BMS-Controller | Unverschlüsseltes Niagara FOX-Protokoll |
| TCP | 1962 | Phoenix Contact-Geräte | PC Worx-Engineering und -Steuerungskommunikation |
| TCP/UDP | 2001 | Profinet-Geräte | Profinet-Gerätekommunikation für Controller und E/A-Module |
| TCP | 2001 | Siemens-Geräte | SICAM/PROFINET (ältere Geräte und Unterstationen) |
| TCP | 2222 | Rockwell-Geräte | PCCC-Protokoll für die ControlLogix/SPS-Kommunikation |
| TCP | 2404 | SCADA-Geräte | IEC 60870-5-104 für RTU- und Unterstationskommunikation |
| TCP | 3389 | Windows-Geräte | RDP (Remote Desktop Protocol) |
| TCP | 3500 | Bachmann M1-Geräte | Bachmann M1-Controller-Kommunikation |
| TCP | 4000 | Emerson-Geräte | Daten/Steuerung des Emerson ROC 4000-Controllers |
| TCP | 4444 | Schneider Electric | SmartX-Controller (EcoStruxure Building Operation) |
| UDP | 4800 | Moxa-Geräte | Moxa-Geräteerfassungsprotokoll |
| TCP | 4911 | BMS-Controller | Niagara FOX Secure-Protokoll (TLS/SSL) |
| TCP | 5001 | Bosch-Geräte | Bosch PSI (Programmable System Interface) |
| TCP | 5002 | Mitsubishi-Geräte | MELSEC-SPS-MC-Protokoll über TCP |
| TCP | 5007 | Mitsubishi-Geräte | Zusätzlicher Kommunikationsport der MELSEC SPS |
| UDP | 5009 | Mitsubishi-Geräte | MELSEC-Finder-Broadcast (Geräteerfassung) |
| TCP | 5033 | Siemens-Geräte | P2-Protokoll (in älteren Siemens-Automatisierungssystemen verwendet) |
| TCP | 5050 | Saia-Burgess-Geräte | Saia PCD-Controller-Kommunikation |
| TCP | 5094 | HART-IP | HART-IP über TCP für intelligente Instrumentierung |
| TCP | 5313 | Yokogawa DCS | CENTUM DCS-Engineering-Oberfläche |
| TCP | 5432 | SEL-Geräte (Schweitzer) | Zugriff auf die PostgreSQL-Datenbank für Energiegeräte |
| TCP | 6626 | WAGO-Geräte | WAGO-E/A-Kommunikation und -Programmierung |
| TCP | 7700 | Schneider Electric | ION-Stromzähler und -Energiemanagementsysteme |
| TCP | 8000, 8008, 8080, 8443, 8800 | Generisch/Verschiedene | Gängige alternative HTTP/HTTPS-Ports |
| TCP | 9940 | Yokogawa DCS | CENTUM-Status und -Diagnose |
| UDP | 12321 | Honeywell-Geräte | Honeywell FTE UDP-Erfassung/Redundanz |
| TCP | 18245 | Schneider-Geräte | SRTP (Schneider Real-Time Protocol) für M340-/M580-SPS |
| TCP | 18507 | Emerson-Geräte | Emerson ROC/Mengenumwerter (FACE-Protokoll) |
| TCP | 18508 | Emerson-Geräte | Emerson-Firmware-Upgrade-Service (UPGD) |
| TCP | 20256 | GE-Geräte | PCOM-Protokoll für Proficy iFIX/CIMPLICITY SCADA |
| TCP | 20547 | Procon | PROCON OS-Remote-Verwaltungsoberfläche |
| TCP | 24576 | ABB-Geräte | ABB Network Control (ABB_NC)-Protokoll für die Automatisierung von Unterstationen |
| TCP | 34964 | Siemens-Geräte | PROFINET-Verbindungsverwaltung (PROFINET CM) |
| TCP | 39329 | Emerson-Geräte | Ovation-/VME-basierte Steuerungssysteme |
| TCP/UDP | 44818 | OT-Geräte | CIP (Common Industrial Protocol) für Rockwell-Geräte |
| UDP | 47808 | BMS-Controller | BACnet/IP-Kommunikation für Gebäudeautomatisierungsgeräte |
| TCP/UDP | 48898 | Beckhoff-Geräte | ADS/TwinCAT-Protokoll für die Controller- und Engineering-Kommunikation |
| UDP | 48899 | Beckhoff-Geräte | ADS/AMS-Erfassung (TwinCAT-/Beckhoff-IPCs) |
| TCP | 50000 | Siemens-Geräte | SIPROTEC 4-Relay-Kommunikation |
| TCP | 51966 | Honeywell-Geräte | Honeywell FTE-Kommunikation (Fault Tolerant Ethernet) |
| TCP | 55553 | Honeywell-Geräte | CEE-Kommunikation (Control Execution Environment) in Experion PKS |
| TCP | 55565 | Honeywell-Geräte | FTE-Kommunikation (Fault Tolerant Ethernet) für Redundanz in Experion PKS |
OT Security-Integrationen
Die folgenden Ports sollten für die Kommunikation mit der Tenable Vulnerability Management- und der Tenable Security Center-Integration offen bleiben.
| Flussrichtung | Port | Kommuniziert mit | Zweck |
|---|---|---|---|
| Ausgehend | TCP 443 | cloud.tenable.com | Tenable Vulnerability Management-Integration |
| Ausgehend | TCP 443 | Tenable Security Center | Tenable Security Center-Integration |
IoT-Connector-Agent
| Flussrichtung | Port | Kommuniziert mit | Zweck |
|---|---|---|---|
| Ausgehend |
TCP 10146 (sicherer Port)
|
IoT-Connector | Verbindet ICP mit dem IoT-Connector-Agent |
| Ausgehend |
TCP 10104 (unsicherer Port)
|
IoT-Connector | Verbindet ICP mit dem IoT-Connector-Agent |