IBM Support

QRadar xSeries アプライアンス: 統合管理モジュール( IMM )の共通ポート

Troubleshooting


Problem

コンプライアンス監査は、 xSeries ハードウェアをリモートで管理する統合管理モジュール( IMM )のリスナー・ポートを開くため、 QRadar xSeries アプライアンス上のオープン・ポートを特定する場合があります。これらのポートは、ポート・スキャン中に識別される可能性があります。

Symptom

 IBM またはサード・パーティー製のスキャナーによって返されたスキャン・レポートは、以下のポートがセキュリティー監査中に IBM Security QRadar xSeries アプライアンスを listen しているという結果を返す場合があります。

  • UDP 427
  • TCP 443
  • TCP 3389
  • TCP 3900
  • TCP 5900

Cause

 IBM xSeries アプライアンスを管理する IBM 統合管理モジュール( IMM )で必要とされるオープン・ポートを見つけるスキャナー製品が根本原因となります。次の製品は、オープン・リスニング・ポートとして IMM ポートの値が識別されます: QRadar Vulnerability Manager、 Nessus 、および Nmap スキャナー

Diagnosing The Problem

所定のセキュリティー監査中に QRadar アプライアンスがスキャンされた時に、 427 、 443 、3389 、 3900 および 5900 ポートがオープンとして表示する場合があります。

Resolving The Problem

セキュリティー監査の間、管理者はスキャン中にオープン・ポートとして識別された UDP 427、 TCP 443、 TCP 3389、 TCP 3900 および TCP 5900 ポートの情報を要求しました。スキャン中に識別されたポートは、統合管理モジュール( IMM )に属されます。

 IMM に必要なポートは、次の Web サイトに一覧があります:
 CMM 管理プロセッサーおよび IMM2 管理プロセッサー上の TCP/IP ポート

ポートの説明:

  • UDP ポート 427: サービス・ロケーション・プロトコル( SLP )接続に必要です。

    このポートは、クライアントで TN3270 および TN5250 サービスを動的に検出することを可能にし、最も負荷の少ないサーバーに接続します。 UDP ポート 427 はデフォルト・ポートですが、別の値に再割り当てすることができます。

    UDP 427 および TCP 3900 のデフォルト・ポートの割り当てについては、次のリンクをご参照ください。http://publib.boulder.ibm.com/infocenter/bladectr/documentation/index.jsp?topic=/com.ibm.bladecenter.advmgtmod.doc/kp1bb_bc_mmug_mmportassignpage.html

    SLP の詳細については、次のリンクをご参照ください: https://www.ibm.com/docs/ja/spectrum-control/5.3.2?topic=standards-service-location-protocol
  • TCP ポート 443: このポートは SSL 接続を許可します。これは、 IMM2 に接続するブラウザーへのセキュア接続を可能にするために、オープンのままにする必要があります。
  • TCP ポート 3389Ethernet over USB をサポートします。

    このポートは、 USB 経由のイーサネットがアプライアンスで構成または有効にされている、またはオペレーティング・システムが Windows であることと、 Windows が RDP をサポートする場合に使用可能となります。このポートは、管理ネットワーク上のサーバーへのセッションを開始することができます。これは、 USB インターフェース上のコマンドが許可されている限り、デフォルトのポート 3389 をオープンにしなければいけないことを意味します。管理者は「 Allow commands on the USB interface 」を無効にすることで、 TCP ポート 3389 を無効にできます。

    Ethernet over USB を無効にする方法は、次のリンクをご参照ください: Enabling and disabling the LAN over USB interface.sonas.doc/imm_users_guide_60y1465.pdf
  • TCP ポート 3900: リモート・プレゼンス。

    このポートは、リモート・ディスク、ストレージ、および KVM の操作に使用されます。TCP ポート 3900 はデフォルト・ポートですが、別の値に再割り当てすることができます。ポート 3900 は、RDP、HTML5、および Java 接続にも必要です。

     UDP 427 および TCP 3900 のデフォルト・ポートの割り当てについては、次のリンクをご参照ください。 CMM 管理プロセッサーおよび IMM2 管理プロセッサー上の TCP/IP ポート
  • TCP ポート 5900: リモート・コンソールのビデオをリダイレクトする。

    ポート 5900 は RDP または Java 接続を使用する場合、 3900 に追加する必要があります。



[{"Product":{"code":"SSBQAC","label":"IBM QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Integrations - 3rd Party","Platform":[{"code":"PF016","label":"Linux"},{"code":"PF033","label":"Windows"}],"Version":"7.3;7.2","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
28 January 2022

UID

ibm16510116

Page Feedback