Considérations sur le pare-feu

Lors de la configuration de votre système OT Security, il est important de planifier les ports ouverts pour que le système Tenable puisse fonctionner correctement. Les tableaux suivants indiquent les ports à réserver à l'usage de l'ICP OT Security et des capteurs OT Security, ainsi que les ports requis pour exécuter des requêtes actives et pour l'intégration avec Tenable Vulnerability Management et Tenable Security Center.

Remarque : pour plus d'informations sur la liste des sites et domaines Tenable que vous devez autoriser à franchir le pare-feu, voir l'article de la base de connaissances.

Plateforme OT Security Core

Les ports suivants doivent rester ouverts pour assurer la communication avec la plateforme OT Security Core.

Sens du flux Port Communique avec Usage
Entrant TCP 443 et TCP 28304 Capteur OT Authentification, appairage et réception des informations du capteur.
Sortant TCP 443 et TCP 28305 OT Security EM Appairage de l'ICP et d'EM
Entrant TCP 8000 Interface web pour Tenable Core Accès par navigateur à Tenable Core
Entrant TCP 28304 ICP/OT Security Communication du capteur
Entrant TCP 22 Appliance pour l'accès SSH Accès par ligne de commande au système d'exploitation ou à l'appliance
Sortant TCP 443 Tenable Security Center Envoie les données pour intégration
Sortant* TCP 443 cloud.tenable.com Envoie les données pour intégration
Sortant* Divers protocoles industriels PLC/contrôleurs Requête active
Sortant* TCP 25 ou 587 Serveur de messagerie pour les alertes SMTP (e-mails d'alerte, rapports)
Sortant* UDP 514 Serveur Syslog Envoie des alertes d'événements de politique et des messages syslog
Sortant* UDP 53 Serveur DNS Résolution de nom
Sortant* UDP 123 Serveur NTP Service de temps
Sortant* TCP 389 ou 636 Serveur AD Authentification AD LDAP
Sortant* TCP 443 Fournisseur SAML Authentification unique
Sortant* UDP 161 Serveur SNMP Surveillance SNMP vers Tenable Core
Sortant* TCP 443

*.tenable.com

*.nessus.org

Mises à jour automatiques des plug-ins, des applications et du système d'exploitation**
Sortant

TCP 10146 (port sécurisé)

 

Connecteur IoT Connecte l'ICP à l'IoT Connector Agent

*Services optionnels

**Procédure hors ligne disponible

Capteurs OT Security

Les ports suivants doivent rester ouverts pour la communication avec les capteurs OT Security.

Sens du flux Port Communique avec Usage
Entrant TCP 8000 Interface web Accès du navigateur à l'IGU
Entrant TCP 22 Appliance pour l'accès SSH Accès par ligne de commande au système d'exploitation ou à l'appliance
Sortant* TCP 25 Serveur de messagerie pour les alertes SMTP (e-mails d'alerte, rapports)
Sortant* UDP 53 Serveur DNS Résolution de nom
Sortant* UDP 123 Serveur NTP Service de temps
Sortant* UDP 161 Serveur SNMP Surveillance SNMP vers Tenable Core
Sortant TCP 28303 ICP/OT Security
Envoie la communication du capteur, reçoit sur ICP/OT Security
Non authentifié / Connexion à un capteur passif uniquement
Sortant TCP 443 et TCP 28304 ICP/OT Security
Envoie la communication du capteur, reçoit sur ICP/OT Security
Authentifié / Tunnel sécurisé entre le capteur et l'ICP

*Services optionnels

Requête active

Les ports suivants doivent rester ouverts pour permettre l'utilisation des requêtes actives.

Sens du flux Port Communique avec Usage
Sortant TCP 80 Appareils OT Empreinte digitale HTTP
Sortant TCP 102 Appareils OT Protocole S7/S7+
Sortant TCP 443 Appareils OT Empreinte digitale HTTPS
Sortant TCP 445 Appareils OT Requêtes WMI
Sortant TCP 502 Appareils OT Protocole Modbus
Sortant TCP 5432 Appareils OT Requêtes PostgreSQL
Sortant UDP/TCP 44818 Appareils OT

Protocole CIP

Sortant TCP/UDP 53 Appareils OT DNS
Sortant ICMP Appareils OT Découverte des assets
Sortant UDP 161 Appareils OT Requêtes SNMP
Sortant UDP 137 Appareils OT Requêtes NBNS
Sortant UDP 138 Appareils OT Requêtes NetBIOS

Remarque : les ports utilisés par les appareils varient selon le fournisseur et la ligne de produits. Pour obtenir une liste des ports et protocoles pertinents nécessaires pour garantir le succès des requêtes actives, voir Requête d'identification et de détails.

Intégrations OT Security

Les ports suivants doivent rester ouverts pour communiquer avec les intégrations Tenable Vulnerability Management et Tenable Security Center.

Sens du flux Port Communique avec Usage
Sortant TCP 443 cloud.tenable.com Intégration Tenable Vulnerability Management
Sortant TCP 443 Tenable Security Center Intégration de Tenable Security Center

Requête d'identification et de détails

Vous pouvez utiliser les ports suivants pour les requêtes d'identification et de détails :

Remarque : vous devrez peut-être ouvrir les ports pour OT Security ou ses capteurs sur le pare-feu afin d'atteindre le port pertinent pour vos assets.
Port Nom du port

21

FTP

80

HTTP

102

Step-7/S7+

111

Emerson OVATION

135

WMI
161 SNMP

443

HTTPS

502

MODBUS/MMS

1911

Niagara FOX

2001

Profibus

2222

PCCC_AB-ETH

2404

CEI 60870-5

3500

Bachmann

4000

Emerson ROC

4911

Niagara FOX TLS

5002

Mitsubishi MELSEC

5007

Mitsubishi MELSEC

5432

PSQL/SEL

18245

SRTP

20000

DNP3

20256

PCOM

44818

EthernetIP/CIP
47808 BACNET (udp)

48898

ADS

55553

Honeywell CEE
55565 Honeywell FTE