Überlegungen zur Firewall
Beim Einrichten Ihres OT Security-Systems ist es wichtig, die offenen Ports zu bestimmen, damit das Tenable-System ordnungsgemäß funktioniert. Die folgenden Tabellen geben die Ports an, die für die Verwendung mit OT Security ICP und den OT Security Sensoren reserviert werden müssen, sowie die Ports, die für die Ausführung von aktiven Abfragen und für die Integration mit Tenable Vulnerability Management und Tenable Security Center benötigt werden.
OT Security Core-Plattform
Die folgenden Ports sollten für die Kommunikation mit der OT Security Core-Plattform offen bleiben.
| Flussrichtung | Port | Kommuniziert mit | Zweck |
|---|---|---|---|
| Eingehend | TCP 443 und TCP 28304 | OT-Sensor | Sensorauthentifizierung, Kopplung und Empfang von Sensorinformationen. |
| Ausgehend | TCP 443 und TCP 28305 | OT Security EM | ICP- und EM-Kopplung |
| Eingehend | TCP 8000 | Weboberfläche für Tenable Core | Browserzugriff auf Tenable Core |
| Eingehend | TCP 28304 | ICP/OT Security | Sensorkommunikation |
| Eingehend | TCP 22 | Appliance für SSH-Zugriff | Befehlszeilenzugriff auf Betriebssystem oder Appliance |
| Ausgehend | TCP 443 | Tenable Security Center | Sendet Daten zur Integration |
| Ausgehend* | TCP 443 | cloud.tenable.com | Sendet Daten zur Integration |
| Ausgehend* | Verschiedene Industrieprotokolle | SPS/Steuerungen | Aktive Abfrage |
| Ausgehend* | TCP 25 oder 587 | E-Mail-Server für Warnmeldungen | SMTP (Warn-E-Mails, Berichte) |
| Ausgehend* | UDP 514 | Syslog-Server | Sendet Richtlinien-Ereigniswarnungen und Syslog-Meldungen |
| Ausgehend* | UDP 53 | DNS-Server | Namensauflösung |
| Ausgehend* | UDP 123 | NTP-Server | Zeitdienst |
| Ausgehend* | TCP 389 oder 636 | AD-Server | AD-LDAP-Authentifizierung |
| Ausgehend* | TCP 443 | SAML-Anbieter | Single Sign-On (SSO) |
| Ausgehend* | UDP 161 | SNMP-Server | SNMP-Überwachung an Tenable Core |
| Ausgehend* | TCP 443 |
*.tenable.com *.nessus.org |
Automatische Plugin-, Anwendungs- und Betriebssystem-Updates** |
| Ausgehend |
TCP 10146 (sicherer Port)
|
IoT-Connector | Verbindet ICP mit dem IoT-Connector-Agent |
* Optionale Dienste
** Offline-Verfahren verfügbar
OT Security Sensoren
Die folgenden Ports sollten für die Kommunikation mit OT Security Sensoren offen bleiben.
| Flussrichtung | Port | Kommuniziert mit | Zweck |
|---|---|---|---|
| Eingehend | TCP 8000 | Weboberfläche | Browserzugriff auf Benutzer-GUI |
| Eingehend | TCP 22 | Appliance für SSH-Zugriff | Befehlszeilenzugriff auf Betriebssystem oder Appliance |
| Ausgehend* | TCP 25 | E-Mail-Server für Warnmeldungen | SMTP (Warn-E-Mails, Berichte) |
| Ausgehend* | UDP 53 | DNS-Server | Namensauflösung |
| Ausgehend* | UDP 123 | NTP-Server | Zeitdienst |
| Ausgehend* | UDP 161 | SNMP-Server | SNMP-Überwachung an Tenable Core |
| Ausgehend | TCP 28303 | ICP/OT Security Sendet Kommunikation vom Sensor, empfängt auf ICP/OT Security |
Nicht authentifizierte/nur passive Sensorverbindung |
| Ausgehend | TCP 443 und TCP 28304 | ICP/OT Security Sendet Kommunikation vom Sensor, empfängt auf ICP/OT Security |
Authentifizierter/sicherer Tunnel zwischen Sensor und ICP |
* Optionale Dienste
Aktive Abfrage
Die folgenden Ports sollten offen bleiben, um die aktiven Abfragen nutzen zu können.
| Flussrichtung | Port | Kommuniziert mit | Zweck |
|---|---|---|---|
| Ausgehend | TCP 80 | OT-Geräte | HTTP-Fingerprinting |
| Ausgehend | TCP 102 | OT-Geräte | S7/S7+-Protokoll |
| Ausgehend | TCP 443 | OT-Geräte | HTTPS-Fingerprinting |
| Ausgehend | TCP 445 | OT-Geräte | WMI-Abfragen |
| Ausgehend | TCP 502 | OT-Geräte | Modbus-Protokoll |
| Ausgehend | TCP 5432 | OT-Geräte | PostgreSQL-Abfragen |
| Ausgehend | UDP/TCP 44818 | OT-Geräte |
CIP-Protokoll |
| Ausgehend | TCP/UDP 53 | OT-Geräte | DNS |
| Ausgehend | ICMP | OT-Geräte | Asset-Erfassung |
| Ausgehend | UDP 161 | OT-Geräte | SNMP-Abfragen |
| Ausgehend | UDP 137 | OT-Geräte | NBNS-Abfragen |
| Ausgehend | UDP 138 | OT-Geräte | NetBIOS-Abfragen |
OT Security-Integrationen
Die folgenden Ports sollten für die Kommunikation mit der Tenable Vulnerability Management- und der Tenable Security Center-Integration offen bleiben.
| Flussrichtung | Port | Kommuniziert mit | Zweck |
|---|---|---|---|
| Ausgehend | TCP 443 | cloud.tenable.com | Tenable Vulnerability Management-Integration |
| Ausgehend | TCP 443 | Tenable Security Center | Tenable Security Center-Integration |
Identifizierungs- und Detailabfrage
Sie können die folgenden Ports für Identifizierungs- und Detailabfragen verwenden:
| Port | Port-Name |
|---|---|
|
21 |
FTP |
|
80 |
HTTP |
|
102 |
Step 7/S7+ |
|
111 |
Emerson OVATION |
|
135 |
WMI |
| 161 | SNMP |
|
443 |
HTTPS |
|
502 |
MODBUS/MMS |
|
1911 |
Niagara FOX |
|
2001 |
Profibus |
|
2222 |
PCCC_AB-ETH |
|
2404 |
IEC 60870-5 |
|
3500 |
Bachmann |
|
4000 |
Emerson ROC |
|
4911 |
Niagara FOX TLS |
|
5002 |
Mitsubishi MELSEC |
|
5007 |
Mitsubishi MELSEC |
|
5432 |
PSQL/SEL |
|
18245 |
SRTP |
|
20000 |
DNP3 |
|
20256 |
PCOM |
|
44818 |
EthernetIP/CIP |
| 47808 | BACNET (udp) |
|
48898 |
ADS |
|
55553 |
Honeywell CEE |
| 55565 | Honeywell FTE |