Portas Necessárias para ITOM Discovery no ServiceNow - ITOM Discovery Ports

tiagomacul · ‎11-08-2024

A sonda Shazzam é uma ferramenta de varredura de rede que pode ser usada para identificar vulnerabilidades em sistemas de rede. Ela verifica as portas e protocolos usados por um sistema para determinar se ele está exposto a ataques.

As portas são pontos de entrada para a comunicação entre dispositivos de rede. Os protocolos são conjuntos de regras que definem como os dispositivos se comunicam.

Para a descoberta no ITOM (IT Operations Management) do ServiceNow, é necessário abrir algumas portas específicas para permitir a comunicação adequada entre o MID Server e os dispositivos que estão sendo descobertos. Aqui estão as portas principais que precisam ser abertas:

O documento oficial diz que a sonda Shazzam verifica as seguintes portas: 53, 80, 443, 5060, 548, 9100, 427, 161, 22, 443, 8443, 9443, 636, 993, 995, 989, 990, 25, 110, 143, 389, 21, 587, 5480, 9443, 5989, 5985, 5986, 137, 135. Sources and related content

O documento diz que a sonda Shazzam utiliza os seguintes protocolos: afp, dns, epmap, ftp, hp-pdl-datastr, http, https, IBM DB2, IBM MQSeries, IBM Websphere, IMAPS, pip, LDAP, LDAPs, NetBIOS, Microsoft-ds, ms-nb-ns, MySQL, NRPE, nfs, Oracle TNS, POP3, postgresql, printer, sip, slp, smtp, smux, snmp, snmptrap, ssh, sunrpc, telnet, TIBCO Rendezvous, Tomcat HTTP, vmapp6_https, vmapp_https, wbem_https, wins. Sources and related content

Nome	Nome do serviço	Porta	Detalhes	Criações	Protocolo
Nome da sonda de porta padrão	Classificação padrão	Porta e serviço IP padrões
dns	Classificação do processo [discovery_classy_proc]	dns (porta 53)
http	Classificação HTTP [discovery_classy_http]	http (porta 80) e https (porta 443)
printer/impressora	Classificador da aplicação de resultados de varredura [discovery_classy_scan_app]	lp-pdl-datastr (porta 9100) e impressora (porta 515)
ip_phone	Classificação SNMP [discovery_classy_snmp]	SIP (porta 5060)
osx	Classificador da aplicação de resultados de varredura [discovery_classy_scan_app]	afp (porta 548)
slp	Classificação do processo [discovery_classy_proc]	slp (porta 427)
snmp	Classificação SNMP [discovery_classy_snmp]	SNMP (porta 161)
ssh	Classificação UNIX [discovery_classy_unix]	ssh (porta 22)
tls_ssl_certs		tls_ssl_certs Portas SSL: 443, 8443, 9443, 636 (ldaps), 993 (imaps), 995 (popssl), 989, 990 Portas StartTLS: 25 (smtp), 110, 143, 389, 21, 587 (smtp)
vmapp	Classificação da aplicação [discovery_classy_appl]	vmapp_https (porta 5480) e vmapp6_https (porta 9443)
wbem	Classificação CIM [discovery_classy_cim]	wbem_https (porta 5989)
winrm	Classificação do Windows [discovery_classy_windows]	winrm (porta 5985) e winrm_ssl (porta 5986)
wins	Classificação do processo [discovery_classy_proc]	ms-nb-ns (porta 137)
wmi	Classificação do Windows [discovery_classy_windows]	epmap (porta 135)				Esta porta é usada para iniciar consultas WMI (Windows Management Instrumentation) KB0564341 The firewall is not configured correctly to let through RPC calls from the MID Server. Typically, RPC uses a large range of ports. The MID Server initiates the RPC connection on port 135, but once the connection is established, it uses any port in the range of 1024 and up.

afp	Protocolo de arquivo da Apple	548			TCP
BEA Weblogic		7001		cmdb_ci_app_server	TCP
dns	Serviço de Nome de Domínio	53	Para resolver o nome de cada endereço IP		TCP/UDP
epmap	Microsoft RPC (WMI, DCOM)	135	Sistemas Windows		TCP	Esta porta é usada para iniciar consultas WMI (Windows Management Instrumentation) Portas DCOM (Distributed Component Object Model): Dependendo da versão do Windows, as portas DCOM podem variar. Para Windows 2000, XP e Server 2003, as portas de 1025 a 5000 são usadas2. Para Windows Server 2008 e versões posteriores, as portas de 49152 a 65535 são usadas.
ftp		21			TCP
hp-pdl-datastr	Fluxo de dados PDL da impressora	9100	Impressoras HP		TCP
http	Protocolo de transferência de hipertexto	80	Servidores Web	cmdb_ci_web_server	TCP
https	Protocolo de transferência de hipertexto sobre soquete seguro	443	Servidores Web seguros	cmdb_ci_web_server	TCP
IBM DB2		50000			TCP
IBM MQSeries		1414			TCP
IBM Websphere		9080			TCP
SSL do IBM Websphere		9443			TCP
IMAPS		993			TCP
pip (Protocolo de Impressão da Internet)	Telefone IP/Protocolo de início de sessão	5060			TCP
LDAP		389			TCP
LDAPs		636			TCP
NetBIOS da Microsoft		139			TCP
Microsoft-ds		445			TCP
ms-nb-ns		137			UDP
Microsoft SQL Server		1433			TCP
MySQL		3306			TCP
NRPE do Nagios		5666			TCP
nfs		2049			TCP/UDP
Oracle TNS		1521			TCP
POP3		110			TCP
postgresql		5432		cmdb_ci_database	TCP
impressora	Impressora	515	Impressoras		TCP
sip	SIP (Protocolo de início de sessão)	5060			TCP
slp	Protocolo de localização de serviço (SLP)	427			TCP/UDP
smtp	TCP	25
smux (multiplexação SNMP)		199
snmp	Protocolo de gestão de rede simples	161	Dispositivos de rede		UDP
snmptrap		162			UDP
ssh	Serviço Shell Seguro	22	Sistemas UNIX		TCP
sunrpc		111			TCP
telnet		23			TCP
TIBCO Rendezvous		7500			TCP
HTTP do Tomcat		8080			TCP
vmapp6_https		9443			TCP
vmapp_https	Interface Web do Servidor de Dispositivos vCenter utilizando https	5480			TCP
wbem_https	CIM-XML via HTTPS (WBEM)	5989	Classificação CIM		TCP
wins	Serviço de nomes na Internet para Windows	137	Solucionador de nomes NetBIOS		UDP

Por que a faixa começa em 1024?

Portas bem conhecidas: As portas de 0 a 1023 são geralmente reservadas para serviços de rede padrão (como HTTP, FTP, SSH, etc.).
Evitar conflitos: Utilizar portas acima de 1024 reduz a chance de conflitos com outros serviços.

Saiba Mais
Sonda Shazzam, sondas de portas e protocolos

https://docs.servicenow.com/bundle/vancouver-it-operations-management/page/product/discovery/referen...

https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB0564341

https://www.servicenow.com/community/itom-blog/discovery-ports/ba-p/2274848?lightbox-message-images-...