Überlegungen zur Firewall

Beim Einrichten Ihres OT Security-Systems ist es wichtig, die offenen Ports zu bestimmen, damit das Tenable-System ordnungsgemäß funktioniert. Die folgenden Tabellen geben die Ports an, die für die Verwendung mit OT Security ICP und den OT Security Sensoren reserviert werden müssen, sowie die Ports, die für die Ausführung von aktiven Abfragen und für die Integration mit Tenable Vulnerability Management und Tenable Security Center benötigt werden.

OT Security Core-Plattform

Die folgenden Ports sollten für die Kommunikation mit der OT Security Core-Plattform offen bleiben.

Flussrichtung Port Kommuniziert mit Zweck
Eingehend TCP 443 und TCP 28304 OT-Sensor Sensorauthentifizierung, Kopplung und Empfang von Sensorinformationen.
Eingehend TCP 443 und TCP 28305 OT Security EM ICP- und EM-Kopplung
Eingehend TCP 8000 Weboberfläche für Tenable Core Browserzugriff auf Tenable Core
Eingehend TCP 28304 ICP/OT Security Sensorkommunikation
Eingehend TCP 22 Appliance für SSH-Zugriff Befehlszeilenzugriff auf Betriebssystem oder Appliance
Ausgehend TCP 443 Tenable Security Center Sendet Daten zur Integration
Ausgehend* TCP 443 cloud.tenable.com Sendet Daten zur Integration
Ausgehend* Verschiedene Industrieprotokolle SPS/Steuerungen Aktive Abfrage
Ausgehend* TCP 25 oder 587 E-Mail-Server für Warnmeldungen SMTP (Warn-E-Mails, Berichte)
Ausgehend* UDP 514 Syslog-Server Sendet Richtlinien-Ereigniswarnungen und Syslog-Meldungen
Ausgehend* UDP 53 DNS-Server Namensauflösung
Ausgehend* UDP 123 NTP-Server Zeitdienst
Ausgehend* TCP 389 oder 636 AD-Server AD-LDAP-Authentifizierung
Ausgehend* TCP 443 SAML-Anbieter Single Sign-On (SSO)
Ausgehend* UDP 161 SNMP-Server SNMP-Überwachung an Tenable Core
Ausgehend* TCP 443 *.tenable.com Automatische Plugin-, Anwendungs- und Betriebssystem-Updates**

* Optionale Dienste

** Offline-Verfahren verfügbar

OT Security Sensoren

Die folgenden Ports sollten für die Kommunikation mit OT Security Sensoren offen bleiben.

Flussrichtung Port Kommuniziert mit Zweck
Eingehend TCP 8000 Weboberfläche Browserzugriff auf Benutzer-GUI
Eingehend TCP 22 Appliance für SSH-Zugriff Befehlszeilenzugriff auf Betriebssystem oder Appliance
Ausgehend* TCP 25 E-Mail-Server für Warnmeldungen SMTP (Warn-E-Mails, Berichte)
Ausgehend* UDP 53 DNS-Server Namensauflösung
Ausgehend* UDP 123 NTP-Server Zeitdienst
Ausgehend* UDP 161 SNMP-Server SNMP-Überwachung an Tenable Core
Ausgehend TCP 28303 ICP/OT Security
Sendet Kommunikation vom Sensor, empfängt auf ICP/OT Security
Nicht authentifizierte/nur passive Sensorverbindung
Ausgehend TCP 443 und TCP 28304 ICP/OT Security
Sendet Kommunikation vom Sensor, empfängt auf ICP/OT Security
Authentifizierter/sicherer Tunnel zwischen Sensor und ICP

* Optionale Dienste

Aktive Abfrage

Die folgenden Ports sollten offen bleiben, um die Funktion für aktive Abfragen nutzen zu können.

Flussrichtung Port Kommuniziert mit Zweck
Ausgehend TCP 80 OT-Geräte HTTP-Fingerprinting
Ausgehend TCP 102 OT-Geräte S7/S7+-Protokoll
Ausgehend TCP 443 OT-Geräte HTTPS-Fingerprinting
Ausgehend TCP 445 OT-Geräte WMI-Abfragen
Ausgehend TCP 502 OT-Geräte Modbus-Protokoll
Ausgehend TCP 5432 OT-Geräte PostgreSQL-Abfragen
Ausgehend TCP 44818 OT-Geräte

CIP-Protokoll

Ausgehend TCP/UDP 53 OT-Geräte DNS
Ausgehend ICMP OT-Geräte Asset-Erfassung
Ausgehend UDP 161 OT-Geräte SNMP-Abfragen
Ausgehend UDP 137 OT-Geräte NBNS-Abfragen
Ausgehend UDP 138 OT-Geräte NetBIOS-Abfragen

Hinweis: Die von den Geräten verwendeten Ports variieren je nach Anbieter und Produktreihe. Eine Liste der relevanten Ports und Protokolle, die erforderlich sind, um den Erfolg aktiver Abfragen sicherzustellen, finden Sie unter Identifizierungs- und Detailabfrage.

OT Security-Integrationen

Die folgenden Ports sollten für die Kommunikation mit der Tenable Vulnerability Management- und der Tenable Security Center-Integration offen bleiben.

Flussrichtung Port Kommuniziert mit Zweck
Ausgehend TCP 443 cloud.tenable.com Tenable Vulnerability Management-Integration
Ausgehend TCP 443 Tenable Security Center Tenable Security Center-Integration

Identifizierungs- und Detailabfrage

Sie können die folgenden Ports für Identifizierungs- und Detailabfragen verwenden:

Hinweis: Möglicherweise müssen Sie die Ports in der Firewall für OT Security oder dessen Sensoren öffnen, um den relevanten Port für Ihre Assets zu erreichen.
Port Port-Name

21

FTP

80

HTTP

102

Step 7/S7+

111

Emerson OVATION

135

WMI
161 SNMP

443

HTTPS

502

MODBUS/MMS

1911

Niagara FOX

2001

Profibus

2222

PCCC_AB-ETH

2404

IEC 60870-5

3500

Bachmann

4000

Emerson ROC

4911

Niagara FOX TLS

5002

Mitsubishi MELSEC

5007

Mitsubishi MELSEC

5432

PSQL/SEL

18245

SRTP

20000

DNP3

20256

PCOM

44818

EthernetIP/CIP
47808 BACNET (udp)

48898

ADS

55553

Honeywell CEE
55565 Honeywell FTE