Considérations sur le pare-feu
Lors de la configuration de votre système OT Security, il est important de planifier les ports ouverts pour que le système Tenable puisse fonctionner correctement. Les tableaux suivants indiquent les ports à réserver à l'usage de l'ICP OT Security et des capteurs OT Security, ainsi que les ports requis pour exécuter des requêtes actives et pour l'intégration avec Tenable Vulnerability Management et Tenable Security Center.
Plateforme OT Security Core
Les ports suivants doivent rester ouverts pour assurer la communication avec la plateforme OT Security Core.
Sens du flux | Port | Communique avec | Usage |
---|---|---|---|
Entrant | TCP 443 et TCP 28304 | Capteur OT | Authentification, appairage et réception des informations du capteur. |
Sortant | TCP 443 et TCP 28305 | OT Security EM | Appairage de l'ICP et d'EM |
Entrant | TCP 8000 | Interface web pour Tenable Core | Accès par navigateur à Tenable Core |
Entrant | TCP 28304 | ICP/OT Security | Communication du capteur |
Entrant | TCP 22 | Appliance pour l'accès SSH | Accès par ligne de commande au système d'exploitation ou à l'appliance |
Sortant | TCP 443 | Tenable Security Center | Envoie les données pour intégration |
Sortant* | TCP 443 | cloud.tenable.com | Envoie les données pour intégration |
Sortant* | Divers protocoles industriels | PLC/contrôleurs | Requête active |
Sortant* | TCP 25 ou 587 | Serveur de messagerie pour les alertes | SMTP (e-mails d'alerte, rapports) |
Sortant* | UDP 514 | Serveur Syslog | Envoie des alertes d'événements de politique et des messages syslog |
Sortant* | UDP 53 | Serveur DNS | Résolution de nom |
Sortant* | UDP 123 | Serveur NTP | Service de temps |
Sortant* | TCP 389 ou 636 | Serveur AD | Authentification AD LDAP |
Sortant* | TCP 443 | Fournisseur SAML | Authentification unique |
Sortant* | UDP 161 | Serveur SNMP | Surveillance SNMP vers Tenable Core |
Sortant* | TCP 443 |
*.tenable.com *.nessus.org |
Mises à jour automatiques des plug-ins, des applications et du système d'exploitation** |
Sortant |
TCP 10146 (port sécurisé)
|
Connecteur IoT | Connecte l'ICP à l'IoT Connector Agent |
*Services optionnels
**Procédure hors ligne disponible
Capteurs OT Security
Les ports suivants doivent rester ouverts pour la communication avec les capteurs OT Security.
Sens du flux | Port | Communique avec | Usage |
---|---|---|---|
Entrant | TCP 8000 | Interface web | Accès du navigateur à l'IGU |
Entrant | TCP 22 | Appliance pour l'accès SSH | Accès par ligne de commande au système d'exploitation ou à l'appliance |
Sortant* | TCP 25 | Serveur de messagerie pour les alertes | SMTP (e-mails d'alerte, rapports) |
Sortant* | UDP 53 | Serveur DNS | Résolution de nom |
Sortant* | UDP 123 | Serveur NTP | Service de temps |
Sortant* | UDP 161 | Serveur SNMP | Surveillance SNMP vers Tenable Core |
Sortant | TCP 28303 | ICP/OT Security Envoie la communication du capteur, reçoit sur ICP/OT Security |
Non authentifié / Connexion à un capteur passif uniquement |
Sortant | TCP 443 et TCP 28304 | ICP/OT Security Envoie la communication du capteur, reçoit sur ICP/OT Security |
Authentifié / Tunnel sécurisé entre le capteur et l'ICP |
*Services optionnels
Requête active
Les ports suivants doivent rester ouverts pour permettre l'utilisation des requêtes actives.
Sens du flux | Port | Communique avec | Usage |
---|---|---|---|
Sortant | TCP 80 | Appareils OT | Empreinte digitale HTTP |
Sortant | TCP 102 | Appareils OT | Protocole S7/S7+ |
Sortant | TCP 443 | Appareils OT | Empreinte digitale HTTPS |
Sortant | TCP 445 | Appareils OT | Requêtes WMI |
Sortant | TCP 502 | Appareils OT | Protocole Modbus |
Sortant | TCP 5432 | Appareils OT | Requêtes PostgreSQL |
Sortant | UDP/TCP 44818 | Appareils OT |
Protocole CIP |
Sortant | TCP/UDP 53 | Appareils OT | DNS |
Sortant | ICMP | Appareils OT | Découverte des assets |
Sortant | UDP 161 | Appareils OT | Requêtes SNMP |
Sortant | UDP 137 | Appareils OT | Requêtes NBNS |
Sortant | UDP 138 | Appareils OT | Requêtes NetBIOS |
Intégrations OT Security
Les ports suivants doivent rester ouverts pour communiquer avec les intégrations Tenable Vulnerability Management et Tenable Security Center.
Sens du flux | Port | Communique avec | Usage |
---|---|---|---|
Sortant | TCP 443 | cloud.tenable.com | Intégration Tenable Vulnerability Management |
Sortant | TCP 443 | Tenable Security Center | Intégration de Tenable Security Center |
Requête d'identification et de détails
Vous pouvez utiliser les ports suivants pour les requêtes d'identification et de détails :
Port | Nom du port |
---|---|
21 |
FTP |
80 |
HTTP |
102 |
Step-7/S7+ |
111 |
Emerson OVATION |
135 |
WMI |
161 | SNMP |
443 |
HTTPS |
502 |
MODBUS/MMS |
1911 |
Niagara FOX |
2001 |
Profibus |
2222 |
PCCC_AB-ETH |
2404 |
CEI 60870-5 |
3500 |
Bachmann |
4000 |
Emerson ROC |
4911 |
Niagara FOX TLS |
5002 |
Mitsubishi MELSEC |
5007 |
Mitsubishi MELSEC |
5432 |
PSQL/SEL |
18245 |
SRTP |
20000 |
DNP3 |
20256 |
PCOM |
44818 |
EthernetIP/CIP |
47808 | BACNET (udp) |
48898 |
ADS |
55553 |
Honeywell CEE |
55565 | Honeywell FTE |