Modbus ist das Standardprotokoll im OT-Netzwerk – PLCs, RTUs und Feldgeräte lesen und schreiben Register über TCP-Port 502. Es verfügt weder über Authentifizierung noch über eigene Verschlüsselung: Jedes System, das das Gerät erreichen kann, kann es auslesen oder steuern. Access Gate stellt Identität, Richtlinien und Verschlüsselung vor Modbus, sodass nur autorisierte Systeme mit einem Controller kommunizieren.
Was Sie erhalten
- Default-deny auf Port 502. Nichts erreicht den Modbus-Port des Controllers, sofern keine explizite ACL-Regel dies erlaubt. Das allein beseitigt die Schwachstelle, dass jeder Host im LAN den PLC steuern kann.
- Identitätsbasierter Peer-Zugriff. Modbus ist in der Regel Machine-to-Machine – ein SCADA-Server oder Historian fragt einen PLC ab. Berechtigungen werden zwischen Assets (oder Asset-Gruppen) vergeben, sodass nur der SCADA-Host den PLC erreicht und kein anderes System.
- TLS für ein Protokoll ohne eigene Verschlüsselung. Modbus/TCP überträgt Daten im Klartext. Das Gate kann die Sitzung zwischen dem Master und sich selbst in TLS einbetten und die Anfrage dann über das geschützte Segment an das Feldgerät weiterleiten – der Datenverkehr ist damit während der Übertragung verschlüsselt, und der Legacy-PLC benötigt keine eigene kryptografische Funktion.
Einrichtung
- Fügen Sie den Controller einem Enclave hinzu – siehe Protecting an asset with enclaves.
- Fügen Sie unter Enclaves → [Your Enclave] eine
allow-Regel für dasmodbus-Protokoll hinzu – odertcp:{custom_port}, wenn das Gerät Modbus auf einem nicht standardmäßigen Port betreibt. - Setzen Sie den Principal auf das spezifische System, das mit dem PLC kommunizieren soll – in der Regel ein anderes Asset (der SCADA-Server oder Historian) oder eine Gruppe von Polling-Hosts.
Praxisbeispiel: Absicherung einer HMI-zu-Pumpe-Verbindung
Die folgenden Abbildungen zeigen Befehle, die von einem HMI über das Access Gate eine Pumpe erreichen. Das Enclave ist so konfiguriert, dass nur das HMI diese Pumpe erreichen und Befehle an sie senden kann – kein anderes System im Netzwerk kann dies.
Vorher – nur Zugangskontrolle
Vom HMI aus lesen und schreiben wir die VFD-Drehzahl auf 55 und stoppen die Pumpe.
Die Befehle werden von der Pumpe verarbeitet und empfangen.
Nachher – TLS-Verschlüsselung hinzufügen
Öffnen Sie die Advanced Configuration der Regel und aktivieren Sie TLS. Access Gate unterhält einen TLS-Tunnel zwischen dem HMI und der Pumpe, um den Datenverkehr zu verschlüsseln. Modbus-Datenverkehr wird während der Übertragung vom Master zum Access Gate verschlüsselt; dieses authentifiziert die Sitzung, setzt die Enclave-Richtlinie durch und leitet die Anfrage über das geschützte Segment an das Feldgerät weiter. Der Legacy-PLC benötigt keine eigene kryptografische Funktion. Wie sich dies von nativem Modbus/TCP unterscheidet, erfahren Sie unter The Difference Between Secure Modbus and Modbus TCP.
Hinweise & Fallstricke
- Den Regelkreis nicht unterbrechen. Beobachten Sie vor der Durchsetzung den tatsächlichen Modbus-Datenverkehr, um zu wissen, welche Systeme das Gerät legitim abfragen oder steuern – aktivieren Sie zuerst die Inspektion und überführen Sie beobachtete Datenflüsse in Regeln, wie im Quick start beschrieben.
- Latenzbudgets. Modbus-Polling kann zeitkritisch sein. Die inline-Durchsetzung fügt eine geringe, deterministische Latenz hinzu. Validieren Sie dies anhand Ihrer Scan-Zyklusanforderungen.
- Unit-IDs hinter einem Gateway. Ein einzelner Modbus/TCP-Endpunkt kann mehrere serielle Geräte über Unit-IDs ansprechen. Erfassen Sie, welche Unit-IDs hinter einem Gateway liegen, damit eine Regel die beabsichtigten Geräte abdeckt.
- Andere OT-Protokolle. Das gleiche Default-deny-, identitätsbasierte Modell gilt für andere industrielle Protokolle im Netzwerk – Modbus ist der häufigste Ausgangspunkt, aber nicht der einzige.