Considérations sur le pare-feu
Lors de la configuration de votre système OT Security, il est important de planifier les ports ouverts pour que le système Tenable puisse fonctionner correctement. Les tableaux suivants indiquent les ports à réserver à l'usage de l'ICP OT Security et des capteurs OT Security, ainsi que les ports requis pour exécuter des requêtes actives et pour l'intégration avec Tenable Vulnerability Management et Tenable Security Center.
Remarque : pour plus d'informations sur la liste des sites et domaines Tenable que vous devez autoriser à franchir le pare-feu, voir l'article de la base de connaissances.
Plateforme OT Security Core
Les ports suivants doivent rester ouverts pour assurer la communication avec la plateforme OT Security Core.
| Sens du flux | Port | Communique avec | Usage |
|---|---|---|---|
| Entrant | TCP 443 | Interface web pour l'appliance OT Security | Accès du navigateur à OT Security |
| Entrant | TCP 8000 | Interface web pour Tenable Core | Accès par navigateur à Tenable Core |
| Entrant | TCP 443 et TCP 28304 | Capteur OT | Authentification, appairage et réception des informations du capteur. |
| Sortant | TCP 443 et TCP 28305 | OT Security EM | Appairage de l'ICP et d'EM |
| Entrant | TCP 22 | Appliance pour l'accès SSH | Accès par ligne de commande au système d'exploitation ou à l'appliance |
| Sortant | TCP 443 | Tenable Security Center | Envoie les données pour intégration |
| Sortant* | TCP 443 | cloud.tenable.com | Envoie les données pour intégration |
| Sortant* | Divers protocoles industriels | PLC/contrôleurs | Requête active |
| Sortant* | TCP 25 ou 587 | Serveur de messagerie pour les alertes | SMTP (e-mails d'alerte, rapports) |
| Sortant* | UDP 514 | Serveur Syslog | Envoie des alertes d'événements de politique et des messages syslog |
| Sortant* | UDP 53 | Serveur DNS | Résolution de nom |
| Sortant* | UDP 123 | Serveur NTP | Service de temps |
| Sortant* | TCP 389 ou 636 | Serveur AD | Authentification AD LDAP |
| Sortant* | TCP 443 | Fournisseur SAML | Authentification unique |
| Sortant* | UDP 161 | Serveur SNMP | Surveillance SNMP vers Tenable Core |
| Sortant* | TCP 443 |
*.tenable.com *.nessus.org |
Mises à jour automatiques des plug-ins, des applications et du système d'exploitation** |
| Sortant |
TCP 10146 (port sécurisé)
|
Connecteur IoT | Connecte l'ICP à l'IoT Connector Agent |
*Services optionnels
**Procédure hors ligne disponible
Capteurs OT Security
Les ports suivants doivent rester ouverts pour la communication avec les capteurs OT Security.
| Sens du flux | Port | Communique avec | Usage |
|---|---|---|---|
| Entrant | TCP 8000 | Interface web | Accès du navigateur à l'IGU |
| Entrant | TCP 22 | Appliance pour l'accès SSH | Accès par ligne de commande au système d'exploitation ou à l'appliance |
| Sortant* | TCP 25 | Serveur de messagerie pour les alertes | SMTP (e-mails d'alerte, rapports) |
| Sortant* | UDP 53 | Serveur DNS | Résolution de nom |
| Sortant* | UDP 123 | Serveur NTP | Service de temps |
| Sortant* | UDP 161 | Serveur SNMP | Surveillance SNMP vers Tenable Core |
| Sortant | TCP 28303 | ICP/OT Security Envoie la communication du capteur, reçoit sur ICP/OT Security |
Non authentifié / Connexion à un capteur passif uniquement |
| Sortant | TCP 443 et TCP 28304 | ICP/OT Security Envoie la communication du capteur, reçoit sur ICP/OT Security |
Authentifié / Tunnel sécurisé entre le capteur et l'ICP |
*Services optionnels
Requête active
Les ports suivants doivent rester ouverts pour permettre l'utilisation des requêtes actives.
Remarque : OT Security prend en charge les requêtes sur ces protocoles, mais il est possible que certains ne s'appliquent pas à votre environnement. Pour des résultats optimaux, veillez à ouvrir autant de ports répertoriés que possible entre OT Security (ou les capteurs OT Security) et les appareils distants à proximité. Cette action accroît la précision de l'identification et des requêtes.
| Protocole | Port | Communique avec | Usage |
|---|---|---|---|
| ICMP | Générique/Divers | Découverte/ping des assets au niveau du réseau | |
| TCP | 21 | Générique/Divers | Transfert de fichiers FTP |
| TCP/UDP | 53 | Serveurs DNS | Requêtes de résolution du système de noms de domaine (DNS) |
| TCP | 80 | Générique/Divers | Empreinte digitale HTTP et accès à l'interface web |
| TCP | 102 | Appareils Siemens | Protocole MMS (Manufacturing Message Specification), chevauche la norme CEI 61850 |
| TCP | 102 | Appareils Siemens | CEI 61850/MMS pour les sous-stations et les appareils SCADA |
| TCP | 102 | Appareils Siemens | Communication S7/S7+/MMS pour les appareils d'automatisation |
| UDP | 111 | Appareils Emerson Ovation | Inscription/découverte du service RPC pour Ovation |
| TCP | 135 | Appareils Windows | Requêtes WMI pour la gestion des systèmes et réseaux |
| UDP | 137 | Générique/Divers | Service de nom NetBIOS (MBNS) pour la découverte de réseau Windows |
| UDP | 138 | Générique/Divers | Service de datagramme NetBIOS (NBT) pour le partage de fichiers/d'imprimantes Windows |
| UDP | 161 | Générique/Divers | Interrogation SNMP et communication de traps |
| TCP | 443 | Générique/Divers | Empreinte digitale HTTPS et services web sécurisés |
| TCP | 445 | Appareils Windows | Requêtes WMI/SMB pour la gestion des systèmes (remplace 135 dans certains cas) |
| TCP | 502 | Appareils OT | Communication Modbus TCP avec les PLC et les compteurs |
| UDP | 1069 | Caméras Cognex | Protocole de découverte du système de vision Cognex |
| TCP | 1911 | Contrôleurs BMS | Protocole non chiffré Niagara FOX |
| TCP | 1962 | Appareils Phoenix Contact | Ingénierie et contrôle de la communication PC Worx |
| TCP/UDP | 2001 | Appareils Profinet | Communication entre appareils Profinet pour les contrôleurs et les modules E/S |
| TCP | 2001 | Appareils Siemens | SICAM/PROFINET (appareils hérités et sous-stations) |
| TCP | 2222 | Appareils Rockwell | Protocole PCCC pour les communications ControlLogix/PLC |
| TCP | 2404 | Appareils SCADA | CEI 60870-5-104 pour les communications entre RTU et sous-stations |
| TCP | 3389 | Appareils Windows | RDP (Remote Desktop Protocol) |
| TCP | 3500 | Appareils Bachmann M1 | Communication du contrôleur Bachmann M1 |
| TCP | 4000 | Appareils Emerson | Données/contrôle du contrôleur Emerson ROC 4000 |
| TCP | 4444 | Schneider Electric | Contrôleurs SmartX (EcoTrusture Building Operation) |
| UDP | 4800 | Appareils Moxa | Protocole de découverte des appareils Moxa |
| TCP | 4911 | Contrôleurs BMS | Protocole sécurisé (TLS/SSL) Niagara FOX |
| TCP | 5001 | Appareils Bosch | Bosch PSI (Programmable System Interface) |
| TCP | 5002 | Appareils Mitsubishi | Protocole MC sur TCP pour PLC MELSEC |
| TCP | 5007 | Appareils Mitsubishi | Port de communication supplémentaire pour PLC MELSEC |
| UDP | 5009 | Appareils Mitsubishi | Diffusion du localisateur MELSEC (découverte de l'appareil) |
| TCP | 5033 | Appareils Siemens | Protocole P2 (utilisé dans les anciens systèmes d'automatisation Siemens) |
| TCP | 5050 | Appareils Saia-Burgers | Communication des contrôleurs Saia PCD |
| TCP | 5094 | HAR-IP | HAR-IP sur TCP pour l'instrumentation intelligente |
| TCP | 5313 | Yokogawa DCS | Interface d'ingénierie CENTUM DCS |
| TCP | 5432 | Appareils SEL (Schveitzer) | Accès à la base de données PostgreSQL pour les appareils à source d'énergie |
| TCP | 6626 | Appareils WAGO | Communication et programmation des E/S WAGO |
| TCP | 7700 | Schneider Electric | Wattmètres et systèmes de gestion de l'énergie ION |
| TCP | 8000, 8008, 8080, 8443, 8800 | Générique/Divers | Ports alternatifs HTTP/HTTPS courants |
| TCP | 9940 | Yokogawa DCS | Statut et diagnostic CENTUM |
| UDP | 12321 | Appareils Honeywell | Découverte/redondance UDP Honeywell FTE |
| TCP | 18245 | Appareils Schneider | Protocole SRTP (Schneider Real-Time Protocol) pour les PLC M340/M580 |
| TCP | 18507 | Appareils Emerson | ROC/Calculateurs de débit Emerson (protocole ACE) |
| TCP | 18508 | Appareils Emerson | Service de mise à niveau des micrologiciels Emerson (UPGD) |
| TCP | 20256 | Appareils GE | Protocole PCOM pour Proficy iFix/CIMPLICITY SCADA |
| TCP | 20547 | Procon | Interface de gestion à distance PROCON OS |
| TCP | 24576 | Appareils ABB | Protocole ABB Network Control (ABB_NC) pour l'automatisation des sous-stations |
| TCP | 34964 | Appareils Siemens | PROFINET Connection Management (PROFINET CM) |
| TCP | 39329 | Appareils Emerson | Ovation/Systèmes de contrôle basés sur VME |
| TCP/UDP | 44818 | Appareils OT | Protocole CIP (Common Industrial Protocol) pour les appareils Rockwell |
| UDP | 47808 | Contrôleurs BMS | Communication BACnet/IP pour les appareils d'automatisation des bâtiments |
| TCP/UDP | 48898 | Appareils Beckhoff | Protocole ADS/TwinCAT pour les communications des contrôleurs et de l'ingénierie |
| UDP | 48899 | Appareils Beckhoff | Découverte ADS/AMS (IPC TwinCAT/Beckhoff) |
| TCP | 50000 | Appareils Siemens | Communication des relais SIPROTEC 4 |
| TCP | 51966 | Appareils Honeywell | Communications Honeywell FTE (Fault Tolerant Ethernet) |
| TCP | 55553 | Appareils Honeywell | Communications CEE (Control Execution Environment) dans Experion PKS |
| TCP | 55565 | Appareils Honeywell | Communications FTE (Fault Tolerant Ethernet) pour la redondance dans Experion PKS |
Intégrations OT Security
Les ports suivants doivent rester ouverts pour communiquer avec les intégrations Tenable Vulnerability Management et Tenable Security Center.
| Sens du flux | Port | Communique avec | Usage |
|---|---|---|---|
| Sortant | TCP 443 | cloud.tenable.com | Intégration Tenable Vulnerability Management |
| Sortant | TCP 443 | Tenable Security Center | Intégration de Tenable Security Center |
IoT Connector Agent
| Sens du flux | Port | Communique avec | Usage |
|---|---|---|---|
| Sortant |
TCP 10146 (port sécurisé)
|
Connecteur IoT | Connecte l'ICP à l'IoT Connector Agent |
| Sortant |
TCP 10104 (port non sécurisé)
|
Connecteur IoT | Connecte l'ICP à l'IoT Connector Agent |